Дмитрий
Ивлиев

консультант компании Axenix (экс-Accenture)
© ComNews
23.01.2023

Современные технологии позволяют не только выстроить систему киберобороны, но и рассчитать все возможные потенциальные проблемы в информационной безопасности. Расчет количественной оценки рисков – тренд в сфере ИБ.

Сколько стоит инцидент?

Последние несколько лет образовывается рынок решений по количественной оценке ИБ-рисков, с помощью которых возможно рассчитать (в деньгах) потенциальный ущерб от реализации угроз кибербезопасности. Для этого выполняется детальная оценка ущерба от определенного типа кибератак в отношении ИТ-систем и бизнес-процессов.

Такой расчет позволяет оптимизировать распределение бюджета и кадровых ресурсов на информационную безопасность, подобрать оптимальный стэк технологий и инструментов, определить ключевые вехи развития ИБ на будущее.

Готовых систем количественной оценки ИБ-рисков от вендоров пока немного, они дорого стоят, и все являются разработками международных компаний. В России рынка подобных систем пока не сложилось.

Несколько выделяется финансовая отрасль, поскольку к ней применимы требования регулятора, например, предписание банкам в обязательном порядке иметь систему оценки операционных рисков, в том числе ИБ-рисков.

Но в других отраслях подобных регуляций нет. Сейчас оценка ИБ-рисков опциональна и зависит от желания руководства конкретной компании. Не более 20% бизнеса в России сегодня организовали процессы, связанные с количественной оценкой рисков кибербезопасности.

На ситуацию влияет не только недостаток готовых решений, но и нехватка специалистов с определенным опытом: нужны профессионалы с компетенциями одновременно в ИБ и в оценке рисков. А это две совершенно разные области знаний.

Влияет и общая сложность поддержки таких систем – это дорогое удовольствие вследствие значительной стоимости внедрения готовых решений и размеров зарплат специалистов, необходимых для работы с ними.

Главное – такие системы не первый рубеж киберзащиты. Они приносят видимый эффект только на базе зрелой ИБ-системы и культуры кибербезопасности. А этим могут похвастаться немногие компании в России.

Метод успеха

База любой такой системы – методология FAIR. Она определяет общую канву системы оценки ИБ-рисков: этапность, ключевые элементы процесса, набор входных данных, которые нужно использовать.

Что касается непосредственно ИБ-составляющей, то здесь стандартно используются международные практики типа NIST и ISO. Например, часто используют стандарт CIS: набор ИБ-параметров с контрольными показателями, с помощью которых можно оценить, насколько хорошо у компании обстоят дела с кибербезопасностью.

В целом же в сфере количественной оценки ИБ-рисков строгая стандартизация отсутствует. Достигнув определенного уровня зрелости, продвинутые компании внедряют процесс инцидент-менеджмента в рамках центра SOC (Security Operation Center), на основе которого выстраивается кибербезопасность компании.

Если этот компонент в компании автоматизирован – появляется возможность использовать "живую" статистику и оценивать риски максимально предметно.

Количественная оценка ИБ-рисков позволяет продемонстрировать проблемы на определенных участках ИТ-периметра, влекущих за собой финансовые потери.

Чтобы не потерять условные 10 миллиардов от критичного ИБ-инцидента, следует вложить 10 млн в ИБ: внедрить или усовершенствовать средства защиты, обучить сотрудников и прочее. В результате снижается уровень риска, а именно вероятность реализации инцидента и размер потенциальных потерь.

Цель защиты

Важно понимать, что количественная оценка ИБ-рисков сама по себе ни от чего не защищает. Это методология, которая позволяет аргументированно приоритезировать инициативы стратегии ИБ для сокращения вероятных потерь от кибератак.

В России, к сожалению, слабо развита культура публикации отчетов и статистики – какие атаки совершались на компании и каков масштаб потерь, поэтому оперировать точными цифрами сложно. Однако часто от клиентов можно услышать: "А мы и не знали, что у нас есть риски, при реализации которых мы можем потерять очень много!".

Впрочем, верно и обратное – часто бизнес чересчур много инвестирует в снижение рисков, потенциальный ущерб от которых вполне укладываются в риск-аппетит компании даже при самых худших сценариях. По результатам проведения количественной оценки ИБ-рисков компании инициируют программы стратегических изменений.

Используя актуальные финансовые показатели компании, оценив уровень зрелости системы управления ИБ и аккумулируя мнения экспертов компании от бизнеса, ИТ и ИБ, можно получить довольно точное представление о потенциальных потерях от реализации различных сценариев риска ИБ.

Например, 0-day атаки (неизвестные ранее ИБ-угрозы, целенаправленно разработанные хакерами, чтобы за счет фактора новизны обходить существующие методы киберобороны) подразумевает множество вариантов воплощения, защита от них потребует соответствующей глубины проработки реакций и вариантов защиты.

Количественная оценка ИБ-рисков поможет оптимальным образом понять, с какой стороны лучше защищаться, какие акценты расставить, понизив общий риск 0-day угроз.

Классический проект по количественной оценке рисков ИБ: 5 этапов

  1. Профилирование риск-ландшафта.

Определяется общий бизнес-контекст компании: что она делает, маршруты информационных и денежных потоков, критически важные элементы и процессы, на что нужно обратить особое внимание с точки зрения бизнес-процессов в привязке к ИТ.

  1. Анализ угроз и контрольной среды.

Составляется карта потенциальных целей атак, технологий и сценариев возможных нападений, варианты защиты. Здесь набор потенциальных угроз кастомизируется для бизнеса каждой отдельной компании.

Проанализировав внутреннюю статистику по инцидентам и событиям ИБ конкретной компании и присовокупив к этому российский и международный опыт, формируется понимание потенциальных угроз и даже портрет атакующего.

На этом же этапе проводится достаточно глубокое исследование на основе международных стандартов. Оно позволяет сформировать всесторонний взгляд на систему управления ИБ в компании.

  1. Формирование риск-сценариев на основе результатов первого и второго этапов.

Определение потенциальных целей для хакеров. Формирование понимания: в рамках каких бизнес-процессов целевые ИТ-системы задействованы, что в результате атаки может обрушиться и привести к убыткам. Пример сценария – группа хакеров заразила вирусом-шифровальщиком 70% персональных компьютеров сотрудников в трех регионах.

Формируется список таких сценариев, рассчитывается вероятность реализации каждого из них на базе результатов оценки агентов угрозы и набора инструментов защиты в распоряжении компании. В рамках общения консультантов, сотрудников бизнес-, ИТ- и ИБ-департаментов происходит предварительный расчет ущерба: прямого и косвенного.

  1. Обработка риска.

Формируется список актуальных мер защиты ИБ, которые отвечают на максимальное количество угроз, просчитанных на этапе формирования сценариев. Например, если главная опасность в DDoS-атаках, то оборудование должно конфигурироваться в определенной модели ИТ-архитектуры, необходимо подобрать соответствующие ИБ-инструменты.

На основе списка таких мер защиты формируется перечень инициатив, позволяющих снизить потенциальные потери. Демонстрируется картина актуального состояния и целевые показатели. С таким уровнем наглядности проект может рассмотреть инвестиционный комитет, который увидит ROI от внедрения системы.

На этом же этапе формируются карточки инициатив: сколько стоит каждый элемент проекта, какие потребуются трудозатраты и время, сколько средств он потенциально сэкономит.

  1. Мониторинг рисков.

Чтобы мероприятие было не разовым, сотрудники компании-заказчика обучаются всей процедуре, им передается методология количественной оценки рисков ИБ, и компания сможет воспроизводить процесс мониторинга рисков самостоятельно.

Любой проект в этом направлении можно кастомизировать: от разовой оценки рисков до полноценного внедрения с полным вовлечением ИТ- и ИБ-специалистов заказчика и продолжительностью от 6 месяцев.

Итоги

Общее число кибератак в РФ стремительно растет. Сегодня появляются совершенно немыслимые ранее вещи, например услуги malware-as-a-service (заражения ИТ-инфраструктуры с помощью ИТ-сервиса, предоставляемого злоумышленниками) на черном рынке.

При этом стоимость таких атак снижается. Они становятся доступнее, а, значит, и более массовыми.

В этом свете количественная оценка ИБ-рисков с каждым годом будет набирать актуальности как единственный инструмент, который позволяет ответить на вопрос: "Что компания может сделать сегодня, чтобы снизить затраты в будущем?".

Мы живем в мире, где любой бизнес должен быть построен по модели risk-based, то есть с учетом любых потенциальных угроз его непрерывности, целостности данных и блокировок работы. Иначе компания не сможет уверенно расти.