В XX веке американский психолог Абрахам Маслоу сформулировал концепцию пирамиды потребностей личности. Его идея состояла в том, что человек удовлетворяет потребности низшего уровня (физиологические нужды, безопасность), прежде чем перейти к высшим — потребностям в любви и принадлежности, в уважении и самоактуализации.
В статье применим похожий подход, чтобы определить потребности бизнеса и разобраться, как кибербезопасность помогает их удовлетворить.
На данный момент стандартов и фреймворков для такой оценки нет, поэтому концепция, о которой пойдет речь, открывает качественно новую перспективу на стратегическое управление компанией.
Первый шаг на этом пути — понять потребности компаний в целом: какие цели для них более приоритетны, есть ли у них иерархия, какова внутренняя взаимосвязь разных потребностей.
Исследование ГК «Солар» определило пять иерархических уровней. Такая модель применима ко всем организациям с поправкой на цели бизнеса и его акционеров.
В компании видят пирамиду потребностей организации:
- 1 уровень — денежный поток. Менеджмент должен создать динамически развивающуюся финансовую и операционную модель, научиться ей управлять, чтобы инвестировать в развитие.
- 2 уровень — стабильность. Успешный бизнес должен соответствовать всем необходимым законам и требованиям регуляторов, а также быть гибким, чтобы пережить неожиданные изменения.
- 3 уровень — культура. У сотрудников компании тоже есть свои потребности, которые они стремятся реализовать. Для этого внутри организации должны существовать правила и стандарты поведения, которые растут из корпоративных ценностей.
- 4 уровень — миссия. Это понятие воплощает нематериальную ценность бизнеса, с которой могут ассоциировать себя ваши сотрудники и клиенты.
- 5 уровень — влияние. По мере развития у компании повышается авторитет на рынке, который позволяет ей определять вектор развития отрасли, внедрять в экономику технологии будущего и поддерживать лидерство в кроссотраслевых проектах.
Кибербезопасность на разных уровнях потребностей
На каждом уровне пирамиды корпоративных потребностей располагаются процессы, люди, технологии и данные, а также связанные с ними риски. Эта логика касается любых рисков, но мы решили сосредоточиться на рисках кибербезопасности.
Киберриски на разных ступенях иерархии могут связаны между собой: реализация одного риска может повлечь за собой реализацию нескольких других. Некоторые киберриски или их связанные цепочки можно избежать, применяя принципы безопасного проектирования архитектуры (Secure by Design), однако защититься от всего попросту невозможно.
В сегодняшнем в мире глобальной цифровизации и непрерывной ИТ-трансформации, где новые технологии появляются практически каждый год, реализация киберриска неизбежна. Если он спровоцирует связанные риски на всех уровнях пирамиды, такая цепочка создаст экзистенциальную угрозу для компании.
В этом случае пирамида буквально потеряет свою устойчивость, поэтому способность противостоять таким сценариям логично обозначить через понятие киберустойчивости.
Роль киберустойчивости в иерархии потребностей компании
В интернете есть много определений этого термина: свои варианты предлагают вендоры, интеграторы, поставщики ИТ- и ИБ-решений, авторы отраслевых стандартов.
|
Название стандарта |
Определение киберустойчивости |
Недостатки формулировки |
|
ГОСТ 57580.3-2022 |
Киберустойчивость — Способность финансовой организации обеспечивать непрерывность функционирования бизнес- и технологических процессов с учетом целевых показателей операционной надежности в условиях возможной реализации информационных угроз |
Определение в большей степени сосредотачивается на непрерывности процессов компании, а также касается только определенной отрасли и связано со специфическими нормативными документами ЦБ РФ |
|
NIST SP 800-160 |
Киберустойчивость — способность предвидеть и выдерживать неблагоприятные условия, адаптироваться к ним и восстанавливаться после атак или реализации киберугроз системам и ресурсам. Киберустойчивость предназначена для достижения миссии или бизнес-целей, которые зависят от киберресурсов, в оспариваемой киберсреде |
В этом определении больше внимания уделяется правильному алгоритму действий, когда что-то произошло в информационных системах. Отдельные техники описываются без взаимодействия с процессами, также упускаются из вида вероятность наступления негативных событий (риски). |
С экспертной точки зрения, ни одно определение не позволяет полностью раскрыть суть киберустойчивости, которую мы вкладываем в это понятие.
В ГК «Солар» разработали собственное определение, в котором объединили лучшие практики из этих двух примеров: умение реагировать на инциденты, и восстанавливаться после них, обеспечивая при этом непрерывность бизнес-процессов.
Киберустойчивость — способность организации предвидеть и противостоять существующим рискам кибербезопасности, восстанавливаться после них и адаптироваться к изменяющимся условиям путем обеспечения непрерывности бизнес- и технологических процессов разного уровня.
Такой взгляд на киберустойчивость отражает ключевую мысль: кибербезопасность необходимо обеспечивать на каждом уровне пирамиды потребностей.
Вот как реализация рисков на разных уровнях выглядит в реальных бизнес-сценариях и как можно с ними работать:
|
Описание риска |
Как защититься |
|
|
1 уровень — денежный поток |
Небезопасная конфигурация сетевого оборудования на заводе позволила хакеру получить привилегированный доступ к АСУ ТП и вызвать остановку производственной линии |
Использовать систему для контроля привилегированного доступа, логировать действия администраторов |
|
2 уровень — стабильность |
Невыполнение требований нормативных актов ЦБ привело отзыву лицензии и полной остановке операционной деятельности |
Регулярно отслеживать выполнение предписаний регулятора, создать программу внешних и внутренних аудитов кибербезопасности |
|
3 уровень — культура |
Нарушение базовых принципов управления доступами привело к внутренней утечке данных о зарплатах, из-за чего несколько ключевых сотрудников уволились |
Контролировать доступ к информационным системам, в которых хранится конфиденциальная информация |
|
4 уровень — миссия |
Отсутствие требований к обеспечению безопасности передачи данных с третьими лицами привели к утечке персональных данных клиентов, что разрушило репутацию компании |
Использовать систему противодействия утечкам, регламентировать процессы кибербезопасности при взаимодействии с контрагентами |
|
5 уровень — влияние |
Руководство не проявляет достаточную вовлеченность в процессы кибербезопасности. Нехватка ресурсов при реализации национального проекта приводит к масштабному киберинциденту, что вызывает потерю доверия государственных органов |
Создать коллегиальный органа на уровне топ-менеджмента и включить вопросы кибербезопасности в регулярную повестку |
Возвращаясь к общей концепции: насколько целостной будет конструкция, если покрыть мерами защиты и контрольными процедурами все уровни пирамиды?
Фреймворк киберустойчивости — укрепление пирамиды потребностей
Если система защиты базируется на наборе разрозненных контрольных процедур и мер защиты, то при появлении новых угроз придется оперативно искать новые решения. Это оставляет компанию открытой для атак киберпреступников.
Например, такая ситуация может возникнуть, если организация сосредоточится на противодействии внешним угрозам, забыв о внутренних. Бизнес может инвестировать в дорогостоящие средства защиты, не уделяя внимания осведомленности персонала о вариантах кибератак. В случае фишинговой атаки сотрудник выполнит инструкцию из вредоносного письма, после чего злоумышленник сможет получить доступ в инфраструктуру компании в обход средств защиты.
Поэтому потребовался новый подход к оценке, в основе которого — принципы риск-ориентированного полагания бизнес-целей. В результате при незначительных изменениях процессов, возникновении новых угроз и уязвимостей эти риски сразу оказываются закрыты базовыми верхнеуровневыми требованиями безопасности.
Так, при появлении и распространении новых технологий (облаков, средств контейнеризации или искусственного интеллекта) бизнес всегда старается взять их на вооружение, чтобы создать или укрепить конкурентные преимущества. Возвращаясь к примерам выше, службам ИТ и ИБ в срочном порядке приходится придумывать новые контрольные процедуры или меры защиты.
Подход ГК «Солар» предполагает, что сама система безопасности уже имеет базовые политики допустимого использования новых технологий.
Теория пирамиды корпоративных потребностей воплощается на практике в виде фреймворка, объединяющего нужные инструменты, алгоритмы и подходы. В этом случае в основу методики заложена, в том числе, оценка влияния контрольных процедур и средств защиты на разные уровни иерархии.
Для каждого требования установлена ответственность за его исполнение: в одних случаях отвечает служба КБ, в других — ИТ, бизнес-подразделения или несколько команд сразу.
Сам фреймворк разбит на три глобальных домена:
- Система управления и надзор.
- Безопасная архитектура.
- Оперативный мониторинг и реагирование.
Внутри доменов были заложены основные процессы кибербезопасности, где каждый процесс разбит на группы требований. У самих требований есть весовые коэффициенты и определения их типов (например, если для того или иного контроля нужны определенные технологии).
Типам требований соответствуют степени их выполнения: степень документирования, степень покрытия, уровень компетенций и степень автоматизации, у которых предустановлен определенный вариант ответа из выпадающего списка.
Автоматизировать расчеты по такой методике можно любыми средствами, даже на базе MS Excel. В ГК «Солар» также пошли по этому пути: создали электронную таблицу, которая включает базовые алгоритмы для оценки текущего состояния. В будущем планируем автоматизировать оценку текущего состояния, наладить интеграцию с другими информационными системами (например, с системами отчетности и средствами защиты), подготовить маппинг с требованиями других стандартов и добавить к требованиям отраслевую специфику.
На текущий момент фреймворк уже активно тестируется в разных отраслях и типах организаций, но команда ГК «Солар» готова расширить область тестирования и пригласить к совместному испытанию методики оценки заинтересованные стороны.