Кибербезопасность предприятия: что для ИТ-директоров является «Святым Граалем»?
Что такое «Святой Грааль» корпоративной кибербезопасности, спросите вы?
Оказывается, для многих ИТ-специалистов, и особенно для ИТ-директоров, это рентабельность инвестиций (ROI), которая измеряет выгоды от инвестиций по сравнению с их затратами.
«Каждый хочет получить эту отдачу от инвестиций в то, что не происходит», — сказал Крис Портер, директор по информационной безопасности Fannie Mae, во время панельной дискуссии на симпозиуме Sloan CIO MIT, состоявшемся в Кембридже, штат Массачусетс, 24 мая.
Окупаемость инвестиций в кибербезопасность предполагает «доверие», — сказал Джеймс Каплан, партнер консалтинговой фирмы McKinsey & Co. «Цифровая экономика требует доверия; цифровым предприятиям требуется доверие… Без соответствующих инвестиций в кибербезопасность доверия не существует», — сказал он.
По словам Каплана, советам директоров необходимо рассматривать рентабельность инвестиций в корпоративную кибербезопасность по-разному, в зависимости от отрасли. Во-первых, они должны думать о безопасности с точки зрения своих клиентов. Во-вторых, им необходимо учитывать свои самые важные информационные активы. «У нас есть средства безопасности для защиты определенных данных и определенных транзакций. В-третьих, им нужно подумать о вреде, который компрометация этих данных нанесет организации. Затем они могут подумать о том, какие меры безопасности следует принять для защиты этих активов, чтобы снизить риски», — сказал он.
Кибербезопасность предприятия: расходы на утечку данных
Портер, который до прихода в Fannie Mae руководил группой Verizon по расследованию утечек данных, подчеркнул, что расчет затрат на сбой корпоративной кибербезопасности может быть сложной задачей.
Утечка данных конфиденциальной личной информации (PII), такой как номера социального обеспечения и кредитных карт, сопряжена со многими издержками. К ним относятся покупка услуг кредитного мониторинга и уведомлений для жертв взлома, около 20 долларов за запись. Если компания потеряет 1 миллион записей, это 20 миллионов долларов только на кредитный мониторинг. По его словам, другие потери включают ущерб для бренда, потерю бизнеса, судебные издержки и расходы на PR.
Еще одним типом затрат, связанных с киберсобытием, является время простоя из-за распределенной атаки типа «отказ в обслуживании» (DDoS) или программы-вымогателя. Это имеет другой набор критериев, чем утечка данных для оценки потерь.
«Когда вы начинаете собирать вместе данные [от разных типов атак], все начинает разваливаться, потому что мы действительно не понимаем взаимосвязи того, как все элементы управления работают вместе», — сказал Портер.
Каплан отметил, что компании также должны учитывать убытки от кражи интеллектуальной собственности. «Насколько ценна интеллектуальная собственность и могут ли люди, которые ее украли, использовать ее?» он спросил. Он отметил, что на эти вопросы трудно ответить.
Оценка интеллектуальной собственности
Эндрю Стэнли, директор по информационной безопасности голландской технологической транснациональной компании Philips и модератор дискуссии, оспорил утверждение Каплана о том, что оценить интеллектуальную собственность сложно. Philips регистрирует около 3000 патентов и ежегодно тратит около 2,3 миллиарда долларов на исследования и разработки.
Стэнли сказал, что Philips может оценить совокупную стоимость своего портфеля интеллектуальной собственности и определить, какие злоумышленники могут быть заинтересованы в конкретной интеллектуальной собственности. Компания может оценить, что часть ее портфеля ИС находится под угрозой, например, 10 процентов. И если произойдет нарушение, это обойдется компании примерно в 200 миллионов долларов в зависимости от этого процента.
«Хотя это не точно, мы можем использовать совокупный уровень и вывести его на доску. Мы можем сказать, что если мы не будем заниматься этим, вы рискуете 200 миллионами долларов. Таким образом, мы монетизируем угрозу так, как ее понимает совет директоров. Правление привыкло делать подобные предположения в отношении интеллектуальной собственности», — сказал Стэнли.
Джим Куппс, старший директор Liberty Mutual, задался вопросом, могут ли компании на самом деле объединять риски и убытки таким образом. «Когда вы пытаетесь агрегировать риски по своему портфелю, вы упускаете все счетчики и средства контроля, и вы упускаете те места, где есть совпадения, которые могут быть потенциально катастрофическими… У меня возникает проблема, как перейти от количественной модели к более качественная модель, основанная на CIA [конфиденциальность, целостность и доступность] и соблюдении требований».
Куппс отметил, что оценка потерь с точки зрения доступности более проста, чем оценка потерь с точки зрения конфиденциальности и целостности. Изначально хакеры пытались вывести системы из строя своими атаками, поэтому оценить потери было проще. Затем они перешли к краже конфиденциальной информации, что усложнило расчет убытков. Он объяснил, что теперь, когда хакеры используют программы-вымогатели, происходит возврат к расчету потерь с точки зрения доступности.
Когда вы пытаетесь агрегировать риски по своему портфелю, вы упускаете все счетчики и элементы управления, а также упускаете те точки пересечения, которые могут привести к катастрофическим последствиям.
— Джим Куппс, старший директор Liberty Mutual.
«Теперь, когда мы переходим к программам-вымогателям, где они зарабатывают деньги за счет потери доступности, мне интересно, есть ли еще один сдвиг, который облегчит эти расчеты рентабельности инвестиций», — сказал он.
Сторонний риск
Усложнение картины возврата инвестиций для предприятий: сторонние поставщики, которые обрабатывают их конфиденциальные данные, могут представлять риск для этих данных, если у них нет надежных мер безопасности. Прекрасным примером этого является объявление ранее в этом месяце об утечке данных, которая затронула Verizon.
Во время другой дискуссии на симпозиуме Стэнли рассказал, как его компания справилась с серьезной утечкой данных с участием стороннего поставщика, в результате которой данные о заработной плате 4000 сотрудников Philips появились на текстовом хранилище Pastebin.
Раскрытая информация о сотрудниках включала платежную ведомость и банковские удостоверения личности, национальные удостоверения личности Нидерландов (водительские права и номер паспорта), домашние адреса и другую информацию, которая могла быть использована для кражи личности сотрудников.
Прежде чем определить, где произошло нарушение, компания Philips проинформировала об этом Управление по защите данных Нидерландов и создала группу реагирования на кризисные ситуации.
По его словам, команда подала уведомления об удалении в Pastebin и ряд поисковых систем. Аналитики безопасности компании просканировали сеть, чтобы выяснить, могла ли информация просочиться изнутри компании и могли ли произойти дополнительные нарушения в системе расчета заработной платы. Он добавил, что эксперты по проникновению изучили, как мог произойти взлом и каковы были потенциальные точки входа для хакеров.
В целом процесс занял месяц. В конце концов, Philips смогла показать, что нарушение произошло на нижестоящем обработчике заработной платы, и сообщила обработчику, что он должен позаботиться об этом. «Мы сказали им: «Вы позаботитесь об этом. И если вы не позаботитесь об этом, вам очень быстро станет очень плохо», — сказал он.
Также на панели присутствовал Джеймс Лугабил, директор по обеспечению исполнения платежных ведомостей ADP. Он описал утечку данных в 2011 году, с которой он столкнулся у предыдущего работодателя, компании из списка Fortune 150. Он сказал, что изощренная атака была осуществлена деятелем национального государства, который хотел украсть интеллектуальную собственность.
Атака началась с фишингового письма, содержащего зараженную таблицу Excel, которую открыл сотрудник. Внезапно: «Мы попали в новости», — сказал он.
Лугабил сказал, что его команда получила полную поддержку руководства корпорации и смогла выявить, поместить в карантин и удалить противника из сети.
После нарушения компания изучила, как такое нарушение могло произойти и как его можно было предотвратить в будущем. Группа безопасности изучила сегментацию сети компании, чтобы определить, правильно ли они провели сегментацию, чтобы предотвратить боковое перемещение злоумышленника по сети. Также было рассмотрено, как компания управляет учетными записями привилегированных администраторов, чтобы предотвратить маневрирование в сети. Команда даже посмотрела на ответ службы поддержки, чтобы увидеть, не оказала ли она непреднамеренную помощь злоумышленникам каким-либо образом.
Суть этих панелей заключается в том, что большинство компаний в какой-то момент будут взломаны злоумышленниками, и им нужно подготовиться к этому. Инвестирование в корпоративную кибербезопасность позволит предотвратить крупные потери от кибератак в будущем.