Аудит кібербезпеки: більше, ніж заповнений опитувальник
При слові «аудит» перше, що спадає на думку – фінансові аудитори, які перевіряють звітність та іншу документацію в компанії. Проте коли ми говоримо про аудит інформаційних технологій, інформаційної безпеки або кібербезпеки, багато хто жартує про консультантів, які розповідають одне й те саме, надають поради без практичної користі, розмиті рекомендації, які клієнт міг би написати сам. Ситуація трохи змінилася з появою галузевих стандартів на кшталт PCI DSS, HIPAA та інших. З’явилося поняття аудиту на відповідність вимогам конкретного стандарту і відповідної сертифікації. Однак, такі аудити суворо обмежені сферою дії (охопленням) конкретного стандарту і не можуть відображати повної картини захищеності компанії.
Аудит кібербезпеки – проект набагато ширше галузевого аудиту на відповідність або перевірки впроваджених заходів безпеки з контролю поширення стандартів, наприклад, сімейства ISO27000. Це комплексна оцінка захищеності компанії, яка включає в себе:
Аудит бізнес-процесів компанії та організаційної структури
Аудит процесів кібербезпеки
Оцінку технічної захищеності (сканування і тестування на проникнення)
Оцінку стійкості компанії до соціальної інженерії
Аудит «тіньових» інформаційних технологій
Аудит безпеки процесів аутсорсингу
Перший етап аудиту кібербезпеки – це знайомство з бізнесом компанії, колективом і структурою управління в компанії. Цей етап, який зазвичай оминають аудитори ІТ та інформаційної безпеки, критично важливий для кібербезпеки. Він обґрунтовує розвиток кібербезпеки компанії не як витратну складову, а як невід’ємну частину розвитку бізнесу. Фундаментальним етапом аудиту бізнесу і бізнес-процесів є оцінка ризиків (або аналіз існуючих моделей і карти ризиків). Результатом етапу є розуміння того, як працює компанія, а також перелік критично важливих процесів і найбільш небезпечних ризиків для компанії. Ключовим тут є важливість і критичність результатів саме для бізнесу і компанії, а не просто стійкість інформаційних технологій або розвиток інфраструктури і «безпеки в цілому».
Важливою частиною аудиту є аналіз процесів управління і забезпечення кібербезпеки в компанії. У сучасній компанії сфера дії кібербезпеки, як правило, розподілена між цілою низкою департаментів: інформаційних технологій, інформаційної безпеки, управління відповідністю, управління кадрами, службою безпеки, внутрішнім аудитом і ще рядом інших підрозділів, які безпосередньо та опосередковано впливають на рівень кіберзахищеності. Оцінка ефективності та зрілості процесів управління кібербезпекою і взаємодії всіх цих елементів – основа проактивної роботи і ефективного реагування в разі кіберінцидентів або під час кібератаки. Результатом етапу є карта розвитку існуючих і впровадження нових процесів, які повинні забезпечити необхідний рівень кіберзахищеності бізнесу.
Технічна складова аудиту кібербезпеки також ширше, ніж просто інвентаризація програмних та апаратних засобів безпеки з вибірковим переглядом налаштувань. Це, в тому числі, зовнішнє і внутрішнє сканування для визначення вразливостей (навіть за наявності відповідного процесу та інструментів в компанії), а також проведення тестування на проникнення ззовні і зсередини компанії. Така незалежна оцінка має ще більший ефект, якщо проводиться «хвилею». Спочатку проводиться тестування на проникнення «наосліп» (Blackbox), потім проводиться аудит засобів безпеки і налаштувань, а потім проводиться «біле» тестування на проникнення (Whitebox) з усіма конфігураціями і доступами на руках. Результати етапу будуть цікаві технічним підрозділам і фахівцям, які матимуть практичну користь з рекомендацій, складених консультантами і «білими» хакерами.
Окремою задачею іноді виділяють також перевірку стійкості компанії до елементів соціальної інженерії: фішинг та вішинг. Дана перевірка – творча, отже, її результат багато в чому, залежить не від налаштувань технічних засобів безпеки, а від підготовки співробітників компанії до таких дій з боку зловмисників. Залежно від специфіки проекту можуть проводитися масові фішингові розсилки або персоналізовані, так звані spear-фішингові розсилки, які фокусуються на конкретних співробітників компанії з найцікавішими доступами і правами.
У сучасному офісі можна часто побачити масу технічних пристроїв, які не належать до розряду корпоративних. А іноді концепція «принеси свій пристрій» (bring your own device, BYOD) зовсім стирає поняття корпоративних технологій, що часто призводить до хаосу з точки зору контролю. В рамках аудиту кібербезпеки окремим процесом проводиться аудит «тіньових» інформаційних технологій для виявлення несанкціонованих програмних і апаратних продуктів в компанії, які можуть використовуватися або вже використовуються зловмисниками.
З огляду на кількість реалізованих атак і загроз з боку постачальників, з якими працює компанія – аудит безпеки аутсорсингу є ключовим модулем аудиту кібербезпеки. Те, що ми описуємо його останнім, зовсім не означає, що це найменше за кількістю необхідних ресурсів або за важливістю завдання. Для великих і середніх за розміром компаній аудит аутсорсингу рекомендується виносити в окремий проект. В розрізі кібербезпеки це не тільки сторонні розробники або системні адміністратори, що «приходять-йдуть». Навіть аутсорсинг клінінгової компанії для прибирання офісу – ризик для вашої компанії, який можна цілком конкретно оцінити і яким можна керувати. Аудит аутсорсингу – це перевірка існуючих контрагентів та умов роботи з ними, а також процесу залучення нових підрядників і виконавців до роботи з компанією.
У підсумку, аудит кібербезпеки – це складний, комплексний проект, який можна виконувати, як цілком, так і окремими модулями. Основна відмінність такого виду робіт від «аудиту захищеності» або «аудиту ІБ» – всебічні рекомендації як практичного, так і методологічного характеру, перевірка відповідності регуляторним нормам і навіть оцінка безпеки роботи з контрагентами. Такий аудит сянає за межі сфери інтересів департаментів інформаційних технологій та інформаційної безпеки. Тому він є сферою інтересів вищого керівництва компанії, адже вони отримують зрозумілу їм оцінку захищеності компанії, а також інформацію для стратегічного планування бізнесу в сучасних «кібер»-реаліях.