Комплексное обеспечение безопасности требует глубоких профессиональных знаний и понимания задач бизнеса со стороны сотрудников ИБ-направления, а также обязательного содействия со стороны топ-менеджмента компании. Поэтому решения по защите данных будут различными для каждой отдельно взятой организации. Недостаточно заплатить за самый дорогой защитный комплекс, необходим индивидуальный подход.
Наиболее острый вопрос – это подбор квалифицированных кадров в сфере информационной безопасности и понимание того, какие задачи они в конечном счете будут решать.
Задача № 1: решение бизнес-задач
Типичная проблема в области безопасности – отсутствие единого понимания стратегии бизнес-подразделениями и ИБ-службой. Ограничения, связанные с реализацией политики информационной безопасности компании, часто воспринимаются другими сотрудниками как вмешательство в работу или же как «палки в колеса».
Например, чтобы сократить утечки информации о клиентах, на всех компьютерах компании заблокировали возможность работать с флешками, а вся отправляемая электронная переписка мониторилась на предмет разглашения коммерческой тайны. Результатом данной инициативы стали протесты сотрудников клиентского отдела. На совещании с руководством они заявили, что «безопасники блокировали их работу» из-за невозможности «скачать документы и поработать дома». Для разрешения конфликта руководству совместно со службой безопасности пришлось объяснять, как утечки данных приводят к потере клиентов и снижению прибыли компании.
Описанная конфликтная ситуация все же разрешилась благодаря действиям руководителя службы информационной безопасности и его пониманию задач, стоящих перед компанией. Однако такое насильно спущенное ИБ-департаментом решение все же привело к ухудшению имиджа руководства.
К сожалению, из-за нехватки ИБ-специалистов и из соображений экономии времени и ресурсов компании передают управление информационной безопасностью системным администраторам и даже разработчикам. Базовых знаний таких сотрудников, как правило, недостаточно и в чрезвычайной ситуации, скажем, во время кибератаки, компания рискует понести значительные финансовые потери.
Задача № 2: повышение эффективности бюджета
Низкая квалификация сотрудников служб информационной безопасности – это не только риски проникновения киберпреступников в корпоративную сеть или заражения ее компьютеров вирусами. Незнание программных и аппаратных средств защиты, особенностей их функционирования – это избыточные затраты на ненужное оборудование или несовместимое с инфраструктурой компании, либо внедрение недостаточно производительного или функционального решения.
Планирование информационной безопасности бизнеса должно быть ориентировано на имеющуюся IT-инфраструктуру и актуальные угрозы. Это сложный процесс, который должен происходить поэтапно: от создания ИБ-стратегии и аудита текущей ситуации до подбора конкретных специалистов под задачи бизнеса. Именно такой подход позволит защитить инфраструктуру и обеспечить оптимальную стоимость защитного решения.
Задача № 3: снижение потерь от кибератак
Одной из задач бизнеса, помимо получения прибыли от деятельности, является максимальное снижение потерь при возможных кибератаках. И здесь грамотные действия ИБ-подразделения играют ключевую роль. Если, несмотря на принятые меры, атака хакеров увенчалась успехом, грамотные действия ИБ-сотрудников сократят или исключат вовсе время простоя, потерю информации, а иногда и выплату выкупа. Соответственно, при отсутствии квалифицированных кадров придется смириться и с финансовыми потерями, и с остановкой работы.
В 2016 году ряд американских госпиталей стали жертвами вымогателя-шифровальщика Locky. В результате:
- Методистский госпиталь в Хендерсоне, штат Кентукки, был вынужден отключить все компьютеры в здании, иначе они могли заразить друг друга. Преступники требовали всего $1600, но администрация заявила, что заплатит выкуп лишь в крайнем случае.
- Калифорнийский медицинский центр заплатил взломщикам около $17 тыс., чтобы вернуть свои файлы.
Во всех случаях наличие квалифицированной ИБ-команды позволило бы устранить вредоносное ПО, а зашифрованные данные восстановить из резервной копии, избежав перечисления выкупа вымогателям и остановки работы.
Задача № 4: увеличение выручки
Сотрудники ИБ-службы, понимающие бизнес-процессы, могут не только защищать компанию от угроз и снижать процент успешных атак, но и улучшать потребительские свойства выпускаемой продукции и предоставляемых услуг. В перспективе это – снижение возвратов и негативных отзывов из-за ошибок, связанных с недостаточной проработкой средств обеспечения безопасности.
В феврале 2017 года Федеральное сетевое агентство Германии признало интерактивную куклу My Friend Cayla скрытым шпионским устройством – ее было легко превратить в средство слежения с помощью приложения на смартфоне. Продажу куклы запретили, а родителей обязали уничтожить принадлежавшие им игрушки. Из базы данных производителя «умных» плюшевых игрушек CloudPets во время кибератаки была похищена информация о более чем 820 тыс. учетных записей, содержавшая имена и фамилии владельцев, их логины, пароли и адреса электронной почты, а также 2,2 млн аудиозаписей, которыми обменивались дети и родители.
Оба случая демонстрируют последствия, к которым может привести недостаточная проработка готовой продукции с точки зрения информационной безопасности.
Что делать
Квалифицированная ИБ-команда – критически важное подразделение любой крупной компании. Совместная работа с лидерами бизнеса и высокий уровень профессионализма ИБ-сотрудников повышают отдачу от инвестиций, предотвращают утечки информации, снижают потери от кибератак.
На текущий момент в девяти из десяти компаний ощущается острый недостаток ИБ-профессионалов. Для восполнения такого пробела компаниям важно расширять фокус внимания и вкладываться в кибербезопасность. Ну а рынок труда в свою очередь начнет реагировать на растущие запросы бизнеса.