Как помочь отрасли информационной безопасности договориться с бизнесом

Корень всех крупных инцидентов в области кибербезопасности состоит в том, что бизнес не смог или не захотел найти общий язык с отраслью информационной безопасности (ИБ). Процесс сближения ИБ и бизнеса уже идет, но не слишком быстро.

Идея этой колонки возникла у меня несколько недель назад, после посещения нескольких форумов, посвященных безопасности в самом широком смысле, не только информационной. И представители разных вендоров, интеграторов и конечных заказчиков сетовали, что бизнесу и ИБ сложно найти общий язык.

С одной стороны, причина понятна: ИБ - вспомогательная функция, и денег она не зарабатывает, а только тратит. Попытки пугать, неважно - возможной атакой или последствиями нарушения регуляторных норм, тоже не работают. Люди всегда уверены, что с ними ничего не случится, так уж устроена психология.

А нарушение регуляторики иногда выгоднее, чем ее соблюдение "от и до". Тут самый наглядный пример - действующие (пока еще) штрафы за утечки персональных данных. Видя пример, когда сети медлабораторий, допустивших "слив" результатов 500 млн анализов за несколько лет, назначили штраф 60 тысяч рублей, бизнес предпочтет не делать практически ничего и заплатить, что будет дешевле и менее хлопотно.

https://www.comnews.ru/content/221350/2022-07-26/2022-w30/gemotest-osht…

Есть, конечно, зарегулированные сферы вроде банков, где регулятор не оставляет пространства для манипуляций, но и тут все очень относительно. И чем меньше банк, тем менее пристально за ним следят. С критической инфраструктурой все еще сложнее. С одной стороны, там жесткая регуляторика, но у промышленности, телекома и прочих сфер КИИ есть куда более насущные задачи. И это понимают все, в том числе и регуляторы. Плюс ко всему, менять системы, которые работают, часто просто не на что.

Во многих компаниях выделенной ИБ-службы просто нет. Причем, чем меньше компания, тем эта вероятность выше. Да, президентский указ №250 обязал создать такие службы, но, во-первых, под требования данного документа попадают не все, и, во-вторых, кадров нет, и быстро восполнить их дефицит не удастся еще очень долго.

Хотя тут есть важный плюс. Чтобы выполнить требования указа №250, многие компании назначают на должности заместителей директоров по ИБ людей с непрофильным образованием. Но этим самым непрофильным сотрудникам проще найти общий язык с бизнесом.

Тем более что перед глазами есть пример с ИТ. Где-то до середины 2000-х годов среди ИТ-менеджеров преобладали ИТ-специалисты, поднявшиеся с позиции старших сисадминов. Им также сложно было найти общий язык с бизнесом, даже тогда, когда речь шла о насущных вещах. Например, на одной из конференций в 2009 году, в разгар кризиса, довелось услышать такую историю, которая произошла в одной из розничных сетей. ИТ-директор не смог добиться от руководства средств на замену дышащей на ладан дисковой полки. Результат оказался предсказуемым: она вышла из строя, причем в разгар сезона высоких продаж. Оборудование пришлось менять в экстренном режиме, но все равно продажи прекратились на несколько дней со всеми, как говорится, вытекающими последствиями. И такие истории, пусть и в меньших масштабах, были из разряда типичных.

Однако уже на рубеже 2000-х и 2010-х на место бывших старших сисадминов пришли бизнес-менеджеры. К этому вынуждали изменения традиционного бизнеса, связанные с началом массовой цифровизации. Часто те, кто не успевал "оцифроваться" вовремя, уходили из бизнеса, и такие примеры были и в России. С другой стороны, можно было, поддавшись маркетинговым заклинаниям вендоров, вложить значительные средства в бесперспективные проекты. Переход управления ИТ к бизнес-менеджерам позволил снизить остроту многих рисков. Конечно, всегда есть где ошибиться. Были как проекты из разряда "цифровизация ради цифровизации", как "у нас", так и "у них", так и примеры неразумного консерватизма, но движение все же было в одном направлении.

https://www.comnews.ru/content/234102/2024-07-03/2024-w27/1009/pogonya-…

С ИБ неизбежно произойдет нечто похожее. Точнее, во многих передовых в плане цифровизации отраслях, в тех же банках, страховых компаниях, телеком-операторах он уже идет. Другое дело, что движение это происходит с разной скоростью. Там, где место ИБ-руководителей занимают менеджеры, это происходит быстрее, а там, где остаются "технари", - медленнее. И как раз вторым договариваться с бизнесом сложно. Равно как и выходцам из спецслужб и правоохранительных органов, которые среди ИБ-специалистов тоже есть.

Ускорить такое движение могло бы усиление ответственности за наиболее массовые нарушения, например, связанные с обработкой персональных данных. Но, как показывает пример стран Европы, где уже давно ввели оборотные штрафы за утечки, эффект будет не быстрым. Очень уж велика инерция, особенно в малом бизнесе.

Усиление проверок регуляторов тоже будет мерой очень точечной. Что поделать, катастрофическая нехватка кадров касается и их тоже.

Распространение страхования киберрисков станет более действенной мерой. Ведь перед заключением договора страховая компания проводит аудит потенциального клиента, от результатов которого зависят условия договора. И чем хуже обстоят дела с ИБ, тем они менее выгодны. Эта мера позволит в довольно короткие сроки повысить уровень зрелости ИБ в компаниях, по крайней мере более-менее крупных. Страховщики умеют говорить с бизнесом на языке денег.