Кіберстійкість – що це, як забезпечити та як управляти
Термін «кіберстійкість» досі не є популярним у світі інформаційної та навіть кібербезпеки. Активно його почали обговорювати тільки декілька років тому, хоча в світі безпеки він існує вже багато років. Поняття кіберстійкості включає в себе, крім безпеки, ряд завдань і процесів, які відносяться до інформаційних технологій (наприклад, резервування та відновлення після збоїв) і захисту бренду. Причому питання стійкості і безперервності сервісів в цьому понятті відносяться як до самої компанії, так і до зовнішніх підрядників, які надають такі послуги.
Передумовою до появи кіберстійкості як напрямки корпоративної кібербезпеки стало прийняття компаніями факту про неминучість кібератаки. Кіберустійкість дозволяє підготуватися до атаки, забезпечує ефективну діяльність і протидію під час атаки, а також знижує можливі наслідки атаки на компанію.
Елементи кіберстійкості в компанії розділяють на кілька основних категорій: управління, права доступу, сегментування, забезпечення цілісності та конфіденційності даних, активне реагування на інциденти, відновлення і координація, скоординований захист компанії. Такий підхід ґрунтується на кращих практиках побудови і управління кібербезпекою в компаніях, зокрема, на методологіях, затверджених Національним інститутом стандартів і технологій США (NIST). Кожна категорія представляє собою комплекс процесів, інструментів і контролів, які формують кістяк управління і кіберстійкістю, і кібербезпекою компанії.
Управління («governance») кіберстійкістю повністю базується на процесі управління ризиками в компанії в прив’язці до загальної стратегії розвитку бізнесу. Ця категорія включає в себе управління кіберризиками, аудит кіберзахищеності компанії і розробку стратегії кібербезпеки в компанії. Мета даної категорії інструментів і процесів – в зв’язці бізнесу і кібербезпеки, що дозволяє управляти стійкістю компанії з технічної і з бізнесової точки зору. В рамках категорії впроваджуються процеси управління кіберризиками, проводиться зовнішній і внутрішній аудит кіберзахищеності, впроваджуються програми управління обізнаністю співробітників, розробляються і впроваджуються основні політики та інші організаційно-нормативні документи в області кібербезпеки.
Права доступу, а вірніше управління правами доступу для забезпечення кіберстійкості, здійснюється відповідно до принципу їх мінімізації. Це означає, що користувачам необхідно надавати мінімально можливий рівень доступу для виконання їх обов’язків і завдань. Управління доступом користувачів – важливий елемент, який відноситься до процесів авторизації, аутентифікації та моніторингу. Мета цієї категорії – в забезпеченні безпеки даних і моніторингу доступу до даних і інформаційних систем в операційній діяльності компанії та під час кібератаки. Впровадження процесів управління доступом включає в себе роботу з рядовими користувачами, а також з користувачами з привілейованим доступом. Для останніх передбачається опрацювання та впровадження додаткових механізмів аутентифікації і контролю.
Третя категорія, сегментування, має на увазі не тільки звичне вже сегментування мережі, а й сегментування архітектури ІТ і кібербезпеки для забезпечення багаторівневого захисту даних та інформаційних систем. Відповідно до карти кіберризиків і структури бізнес процесів компанії проводиться логічне і фізичне сегментування на рівні інформаційних систем і ІТ активів. Проводиться виділення критично важливих систем і їх ізоляція з наступним забезпеченням жорсткого контролю доступу. Важливим елементом залишається і сегментування на мережевому рівні.
Однією з найбільш важливих категорій є активне реагування на інциденти і кібератаки. Побудова таких процесів включає в себе впровадження автоматизованих засобів виявлення та реагування, а також розробку і впровадження процесів управління реагуванням на кібератаки в компанії. Саме впровадження контролів та заходів активного реагування забезпечує оперативне виявлення і реагування на інциденти. Особлива увага в питаннях активного реагування приділяється роботі з персоналом, підготовці співробітників до кібератаки. Необхідно забезпечити високий рівень обізнаності співробітників в питаннях кібербезпеки, а також підтримувати його і актуалізувати їх знання та вміння. Для цього періодично в компанії повинні проводитися кібенавчання, які імітують атаки різної складності і перевіряють «бойову готовність» компанії.
Наступна категорія процесів стосується забезпечення цілісності та конфіденційності даних в компанії. Метою цих елементів є зниження шкоди для інформаційних систем і даних в разі інциденту або атаки. Забезпечення конфіденційності та цілісності варіюється від компанії до компанії, а також залежить від того, чи працює компанія з підрядниками, які мають доступ до чутливих даними. Контролі в даній категорії будуються на логічному і фізичному обмеження доступу до даних як в операційній діяльності, так і під час кібератаки або інциденту.
Категорія моніторингу в термінології кіберстійкості – набагато ширше програмних або апаратних засобів, які виконують подібні завдання. Крім них, серед елементів цієї категорії – постійна оцінка всіх процесів і діяльності компанії з точки зору кібербезпеки і кіберстійкості. Сюди входить, наприклад, проведення регулярних сканувань для визначення уразливостей, тестування на проникнення, аудит безпеки аутсорсингу і контроль усунення всіх знайдених загроз і уразливостей в технологіях і в бізнес процесах компанії. Результати такого моніторингу кіберстійкості компанії використовуються для регулярних оновлень програм обізнаності співробітників та плануванні розвитку кібербезпеки компанії і всього бізнесу.
Категорія відновлення кіберстійкості базується на стандартних процесах відновлення після збоїв (DRP) і планування безперервності ведення бізнесу (BCP). Склад контролів і заходів, впроваджуваних в цій категорії, забезпечує резервне копіювання і відновлення даних, інформаційних систем та активів, а також оперативне і аварійне відновлення бізнес процесів і діяльності компанії після інциденту або атаки. Важливим фактором є постійний перегляд і розвиток процесів відновлення відповідно до нових кіберзагроз для конкретної компанії і в цілому в світі.
Найнезрозумілішою, на перший погляд, є категорія скоординованого захисту. Насправді, ця категорія включає в себе елементи всіх категорій і об’єднує їх в єдину стратегію забезпечення кібербезпеки і стійкості. Як правило, в цю категорію відносять забезпечення кіберстрахування компанії, а також залучення зовнішніх фахівців для проведення цифрових розслідувань успішних кібератак на компанію. Координація захисту компанії включає в себе як технічну складову, так і захист компанії в засобах масової інформації і зв’язку з громадськістю (кризовий PR), зв’язок з органами влади, антикризове управління та управління всіма цими аспектами. Цю категорію часто виділяють в окрему послугу – «захист бренду», що по суті своїй одне і те ж.
Впровадження та забезпечення кіберстійкості компанії – великий комплексний проект, який вимагає не тільки фінансових вкладень, а й певного рівня зрілості і готовності компанії до нього. Тому, найбільш ефективним підходом до реалізації такого проекту є поступове впровадження елементів кожної категорії у відповідності зі стратегією розвитку бізнесу. Саме в балансі кіберстійкості і цілей бізнесу знаходиться необхідна гнучкість для забезпечення зростання і безпеки компанії.