В начале этого года правительство страны внесло дополнения в постановление «Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности». Теперь каждая компания, которая работает с персональными данными, обязана настроить у себя процессы информационной безопасности. На что обратить внимание и как контролировать работу отдела, если вы столкнулись с киберугрозами впервые? На эти вопросы ответила руководитель компании Target Information Security, аудитор по информационной безопасности Лаура Тлепина.
Реальная угроза
На сегодняшний день у большинства казахстанских организаций функционируют десятки IT-систем, которые используются ежедневно: бухгалтерия, учет кадров, маркетинг, базы данных, отраслевые и узкопрофильные системы.
Мы спокойно храним информацию о кредитной карте, номера социального страхования и данные банковского счета в облачных сервисах, полностью доверяя прогрессу. Но на самом деле киберпреступникам получить доступ к Google Drive и Dropbox не составляет труда.
Текущая геополитическая ситуация не только способствует увеличению известных киберугроз, затрагивающих бизнес-сферу, но и влечет другие непредсказуемые риски, которые могут привести к достаточно серьезным последствиям.
Все больше организаций наращивают свои вычислительные мощности, добавляют серверы, рабочие станции, сетевые и прочие устройства, а цены на оборудование продолжают расти. В таких условиях начинают сокращаться затраты на кибербезопасность, на приобретение оборудования или продление лицензии на ПО.
Нехватка персонала, проблемы с распределением бюджета, а также неадекватная аналитика и фильтрация — вот те проблемы, с которыми организации столкнутся при внедрении системы управления информационной безопасностью.
Многим организациям не хватает талантов, знаний и опыта в области кибербезопасности, и этот дефицит растет. В целом управление киберрисками не поспевает за распространением цифровых и аналитических преобразований, и многие компании не знают, как выявлять цифровые риски и управлять ими.
Регулирование и наказание
Проблема усугубляется тем, что регулирующие органы усиливают свои рекомендации в отношении возможностей корпоративной кибербезопасности — часто с тем же уровнем надзора и внимания, что и риск в финансовых услугах, а также операционные риски и риски физической безопасности в критически важной инфраструктуре.
Государственная техническая служба при КНБ проводит профилактический контроль и внеплановые проверки, которые позволяют выявлять несоответствия требованиям ИБ. Обратите внимание - внеплановые, то есть эта проверка может коснуться абсолютно каждую компанию, каждую информационную систему.
«Согласно данным Министерства цифрового развития, инноваций и аэрокосмической промышленности РК, с начала 2022 года по 2023 год на основании запросов государственных органов, обращений физических и юридических лиц было проведено 56 внеплановых проверок», – говорит Лаура Тлепина, руководитель компании Target Information Security, аудитор по информационной безопасности. – В результате привлечены к административной ответственности 22 должностных лица, а также 16 юридических лиц. Рассмотрено 157 административных дел за нарушение требований обеспечения информационной безопасности без выезда на место. В результате 130 должностных лиц и 17 юридических лиц привлечены к административной ответственности по статье 641 КоАП РК».
Практические советы
Основываясь на многочисленных обращениях от бизнес-владельцев, которые в этом году впервые столкнулись с необходимостью настраивать системы информационной безопасности, Лаура Тлепина составила практические вопросы. Их руководитель компании должен задать профильному отделу, чтобы удостовериться, качественно ли организован процесс работы, защищена ли компания от киберугроз и штрафов со стороны госорганов.
1. Каковы наши самые важные активы и как мы их защищаем?
Учитывая, что невозможно быть в безопасности на 100%, руководитель должен убедиться, что наиболее важные активы организации защищены на самом высоком разумном уровне. Это данные ваших клиентов, ваши системы и операционные процессы или IP вашей компании. Если нет соглашения о том, что защищать, остальная часть стратегии кибербезопасности является спорной.
2. Какие уровни защиты мы установили?
Защита осуществляется с помощью нескольких уровней, процедур и политик, а также других подходов к управлению рисками. Руководителю не нужно принимать решение о том, как реализовать каждый из этих уровней, но ему необходимо знать, какие уровни защиты существуют и насколько хорошо каждый уровень защищает организацию.
3. Как мы узнаем, что нас взломали? Как мы обнаруживаем нарушение?
Руководитель будет игнорировать важную часть своей фидуциарной ответственности, если он не гарантирует, что организация имеет возможности как для защиты, так и для обнаружения. Поскольку многие нарушения не обнаруживаются сразу же после их возникновения, необходимо убедиться, что ему известно, как обнаруживается нарушение, и он согласен с уровнем риска, вытекающим из такого подхода.
4. Каковы наши планы реагирования в случае инцидента?
Если требуется выкуп, какова политика в отношении его выплаты? Каковы планы связи (в конце концов, если системы взломаны или ненадежны, как мы будем общаться?). Кто оповещает власти? Какие органы предупреждены? Кто общается с прессой? Наши клиенты? Наши поставщики? Наличие плана имеет решающее значение для адекватного реагирования. Крайне маловероятно, что план будет выполнен точно так, как задумано, но вы не хотите ждать, пока произойдет нарушение, чтобы начать планировать, как реагировать.
5. Какова роль правления в случае инцидента?
Для руководителя было бы полезно знать, какова будет их роль, и практиковать ее. Использование пожарных учений и настольных упражнений для развития мышечной памяти звучит как роскошь, но если в вашей компании произойдет инцидент, вы должны быть уверены, что мышцы реагирования готовы к работе.
6. Каковы наши планы восстановления бизнеса в случае киберинцидентов?
Многие руководители, с которыми мы беседовали, не проверяли свои планы восстановления бизнеса. Могут быть значительные различия в восстановлении после сбоя в бизнесе из-за киберинцидента. Восстановление данных может быть другим, если все записи уничтожены или повреждены злоумышленником, который шифрует файлы или манипулирует ими. Нужно точно знать, кто «владеет» восстановлением бизнеса, есть ли план того, как это сделать, и был ли он протестирован с учетом киберинцидентов.
7. Достаточно ли наших инвестиций в кибербезопасность?
Вы не можете инвестировать достаточно, чтобы быть на 100% безопасным. Но поскольку должен быть установлен бюджет, крайне важно, чтобы компании гарантировали, что у них есть отличная команда безопасности с соответствующим опытом для решения технических проблем и понимания уязвимостей в основных критических функциях бизнеса. Таким образом, компания будет лучше подготовлена к размещению инвестиций там, где они наиболее необходимы. Компании должны оценить свой уровень защиты и свою устойчивость к риску, прежде чем приступать к новым инвестициям. Это можно сделать двумя способами: с помощью моделирования кибератак и с помощью тестов на проникновение/уязвимость. Эти действия выявляют уязвимости, позволяют минимизировать потенциальный ущерб в зависимости от приоритета, подверженности риску и бюджета и, в конечном счете, обеспечивают надлежащее вложение времени, денег и ресурсов.
Проблемы, стоящие перед владельцами бизнеса, выходят за рамки технологий, кибербезопасности и контроля. У них нет повседневных обязанностей по управлению, но у них есть надзор и фидуциарная ответственность. Эти вопросы помогут бизнесу предотвратить необратимые последствия от нарушения в работе информационной безопасности.