Аудит ИБ vs инцидент: что дешевле
У цифровой экономики есть свои плюсы и минусы. Мобильные сервисы, интернет вещей, большие данные, 5G-сети, криптовалюта с одной стороны повышают эффективность бизнеса и качество услуг, с другой — вынуждают уделять больше внимания кибербезопасности. Это подтверждает постоянный рост экономических потерь от действий киберпреступников.
По данным аналитиков Group-IB, в период с середины 2018 по середину 2019 года ущерб российских банков от кибератак составил 500 млн руб. Общемировые потери, вне зависимости от отрасли, в 2019-м достигли 2,5 трлн долл. По оценке Всемирного экономического форума, к 2022 году глобальный убыток киберпреступности составит 8 трлн долл.
Тем не менее, до сих пор для многих организаций информационная безопасность (ИБ) — отнюдь не приоритетная статья расходов в бюджете на ИТ. Затраты на внешний аудит ИБ таким компаниям кажутся необязательными, а то и сомнительными. «Не дешевле ли пережить инцидент», — рассуждает расчетливый руководитель.
Попробуем разобраться, насколько все-таки оправдан аудит ИБ — не только как мера по контролю и совершенствованию безопасности информационных систем, но и как финансовое вложение.
Уровень киберзащиты в России
В конце февраля Positive Technologies опубликовали результаты пентестов (тестирования на проникновение), которые проводились в 18 российских финансовых организациях в 2019 году. Основными задачами специалистов-пентестеров были: проникновение во внутреннюю сеть из интернета (при внешнем тестировании), получение максимальных полномочий в ИТ-инфраструктуре (при внутреннем тестировании) и получение контроля над критически важными системами — автоматизированными рабочими местами (АРМ КБР), SWIFT, системой управления банкоматами и пр. Результаты можно назвать удручающими. Приведем главные:
- В большинстве компаний внешний злоумышленник способен проникнуть во внутреннюю сеть из интернета (для этого требуется 5 дней); уровень защищенности внешнего периметра — «крайне низкий».
- Во всех компаниях внутренним пентестерам удалось получить максимальные права на управление ИТ-инфраструктурой, в том числе удалось продемонстрировать возможность хищения денег (временные затраты — 2 дня).
- Уровень защищенности информационных систем и корпоративной сети компаний также обозначен как «крайне низкий».
Эти результаты схожи с результатами пентестов ITGLOBAL.COM. Характерно, что у некоторых из участвовавших в исследовании организаций было внедрено ПО для мониторинга и корреляции различных событий безопасности — SIEM. Но этот факт никак не повлиял на возможность внешнего и внутреннего проникновения в инфраструктуру компании, включая получение доступа к важным компонентам, и хищения денежных средств. Следовательно, процессы по мониторингу и выявлению инцидентов в компаниях не работали на должном уровне.
Если взять банковский сектор, то здесь, кроме финансовых потерь, «дыры» в информационной безопасности приводят и к потерям репутационным. Особенно часто это связано с утечками персональных данных (ПДн) клиентов. Недавнее исследование компании InfoWatch показало, что 2019 году количество инцидентов, связанных с утечками данных, выросло на 60% по сравнению с 2018-м. При этом было скомпрометировано более 1 млрд пользовательских записей.
Но утечки характерны не только для финансовых организаций. Так, например, в начале года в сеть утекли ПДн 17 млн клиентов сети алкомаркетов «Красное и белое». База продавалась на профильном форуме за 15 тыс. рублей.
«Сливы» нередко случаются в результате действий внутренних злоумышленников — и компрометируются не только ПДн, но и данные, составляющие коммерческую тайну. Это объяснимо: теневой рынок ПДн тоже с каждым годом растет. По информации аналитического центра «Гарда Технологии», стоимость клиентских ПДн сейчас в среднем составляет 175 тыс. руб. за 45000 клиентов. Причем 90% банковских данных «сливается» инсайдерами — сотрудниками и подрядчиками.
Еще один критичный вектор атаки — серверы компаний. Вывод из строя серверного оборудования, например с ключевой для бизнес-процессов СУБД, даже на 1 день может повлечь за собой серьезные убытки.
В еще одном исследовании Positive Technologies, посвященном затратам на информационную безопасность 170 российских организаций из разных отраслей, даны такие цифры:
- От 500 тыс. до 2 млн руб. будет стоить день простоя всех информационных систем для 33% компаний
- От 10 до 50 млн руб. — для 18% компаний
- Более 50 млн руб. — для 19%
Надо ли говорить, что далеко не во всех организациях оцениваются потенциальные риски простоя ключевых сервисов — даже приблизительно. Как правило, сумму ущерба считают уже после того, как инцидент случился.
Чем полезен аудит ИБ
Аудит ИБ — это комплексное аудиторское обследование уровня защищенности информационных систем организации от внутренних и внешних угроз. Он включает в себя проверку всех важных компонентов информационных систем. Кроме средств защиты и процессов ИБ, проверяются сетевое и серверное оборудование, ОС, СУБД. Итогом аудита становится подготовка подробного отчета и разработка экспертных рекомендаций по защите ИТ-инфраструктуры для минимизации рисков.
Даже в тех компаниях, у которых есть собственный отдел ИБ, не всегда удается правильно выстроить процессы инфобезопасности, поскольку специалисты по ИБ часто погружены в перманентные, локальные проблемы. Аудитор помогает взглянуть на ситуацию со стороны.
Кроме того, аудит — это еще и возможность оптимизировать затраты на информационную безопасность компании. А это один из главных пунктов при оценке общих затрат на ИТ. Предложенная аналитическим агентством Gartner методика расчета совокупной стоимости владения ИТ-активами (TCO) подразумевает, среди прочего, обоснование бюджета на ИБ. Методика позволяет сделать информационную безопасность финансово измеримой. Используя рекомендации аудитора, можно сократить необязательные расходы на ИБ.
Аудит в рублях
Для оценки целесообразности аудита некоторым компаниям достаточно элементарного сопоставления затрат на аудит ИБ и стоимости простоя информационных систем и критичных сервисов.
Для наглядности: стоимость услуги «аудит информационной безопасности» в среднем по рынку составляет 500 – 700 тыс. руб. (для крупных финансовых компаний ценник доходит до 5 млн руб.) Здесь же уместно привести статистику Schneider Electric: по оценке аналитиков, за два часа простоя СХД или серверов российские финансовые организации теряют в среднем 13 – 20 млн руб. — цифры, несопоставимые со стоимостью аудита.
Аудит ИБ — это как страховка от финансовых рисков, только лучше. Преимущество страховки в том, что она помогает компенсировать последствия инцидента. Аудит ИБ помогает его не допустить.