Зашел у меня тут разговор с коллегами, которые работают в государственном секторе, про недопустимые события (НС). С самим термином вроде уже потихоньку многие смирились и логика его появления стала более понятной. Но вот, как их определять, до сих пор вызывает вопросы, основной из которых звучит так:
Пусть Минцифры даст нам список недопустимых событий и мы тогда сможем с ними эффективно бороться!
Вот тут, как мне кажется, кроется очередные и проблема, и непонимание самой идеи. Вспомним, что недопустимые события определяет топ-менеджмент компании и никто другой. Да, специалисты по ИБ или рисковики могут помочь в этом вопросе, но основную скрипку должны играть именно те, кто отвечает за деньги в компании или за цели госусправления, если мы говорим о государственной структуре. Не может специалист по ИБ, сидящий на не очень высокой зарплате, определять, что плохого может произойти в компании. Ему и ущерб в миллион рублей может казаться катастрофой вселенской (так как при зарплате в 30 тысяч рублей, это доход почти за 3 года). А у руководителя его организации только часы Vacheron Constantin Fiftysix стоят 11 тысяч, только не рублей, а евро (и это еще не самый шик — какой-нибудь Vacheron Constantin Historiques American 1921 стоит 37 тысяч евро, а Patek Philippe Gondolo — 36 тысяч, и тоже евро. О каком едином уровне восприятия может в этом случае идти речь?
О
невозможностисложностях количественной оценке рисков ИБ я недавно рассказывал на клубе рисковиков в ВК. Презентацию можно скачать у меня в Telegram-канале.
А ИБшники привыкли, что если речь идет о чем-то плохом, происходящем в киберпространстве или ИТ-инфраструктуре, то это их зона контроля. А еще они привыкли, что за них все время думает регулятор, который и спускает сверху все указания, которые надо безоговорочно выполнять.
Вроде и в демократическом обществе живем, а полагаемся на диктатуру регуляторов. И перечить им отучились. И критически их требования уже не воспринимаем. Аукнется нам еще такое бессилие или зависимость от мнения органов контроля/надзора.
Возьмем, к примеру, ФСТЭК, которая в своих документах требует оценки угроз (на самом деле этого требуют законы, ФЗ-149, ФЗ-152, ФЗ-187 и другие). Но помимо этого, у ФСТЭК есть Банк данных угроз, который содержит более 200 примеров угроз, на которые надо ориентироваться, составляя свою модель угроз. Так было раньше. И все привыкли, что если ты согласовываешь свою модель с регулятором, то надо обязательно ссылаться на БДУ, а иначе ай-яй-яй. Но последние пару-тройку лет, после выпуска новой методики оценки угроз, ФСТЭК уже не требует безусловного использования БДУ, который не соответствует ни тексту методики, ни новому инструменту автоматизации, запущенному на том же сайте регулятора, который вообще отталкивается от другой концепции при формировании списка угроз.
К слову сказать, новый инструмент автоматизации отталкивается от
недопустимых событийнегативных последствий, которые определяет сама компания, а не регулятор за нее.
То есть ФСТЭК сегодня, как мне видится, прекрасно отдает себе отчет, что нельзя навесить на неизвестный тебе бизнес и процессы свой список угроз и отдает эту тему на откуп тем, кто и несет ответственность за конечный результат своей ИБ, — на потребителя.
Но многие по привычке еще ориентируются на БДУ ФСТЭК и не отходят от него ни на миллиметр 🙁
С ЦБ ситуация прямо противоположная. Я вообще поражаюсь, как в одном департаменте ИБ уживается две противоположные концепции управления кибербезом. Одна гласит, что надо за подопечных решить, что они должны делать, и спустить им детальные требования по кибербезу. Так появился ГОСТ 57580.1 с его сотнями пунктов, которые почти все надо исполнять, а иначе ай-яй-яй (хотя в ГОСТе и написано, что финансовые организации могут выбирать, что реализовывать, а что нет, но ДИБ не приветствует такую самодеятельность). Делай все, как там написано, и к тебе не будет претензий регулятора.
Вторая концепция совсем иная — она отталкивается от рисков, которые каждый банк и каждая некредитная финансовая организация определять должна для себя самостоятельно. В Гражданском же Кодексе написано, что предпринимательская деятельность осуществляется на свой страх и риск. Значит мы сами и должны определять, что для нас опасно, а что нет, что мы готовы принять, что мы будем снижать, что перекладывать на чужие плечи и т.п. И во всем мире оно так и работает, но не у нас. У нас ЦБ сам определил риски за всех, сам указал их количественные значения, и сам указал, что все финансовые институты должны помимо обязательных требований по ИБ, еще и обязательные требования по рискам выполнять (даже если риски для нас это неактуальны или мы их приняли).
То есть нас опять лишили инициативы признавать, что для нас опасно, а что нет!
И поэтому вполне логично (хотя и неправильно), что многие специалисты ждут и от Минцифры, введшего в свои требования термин «недопустимые события», что оно даст и их перечень. Тем более, что Минцифры как-то уже заявляло о том, что они готовят реестр отраслевых НС. Вот все и расслабились. И если, вдруг, ИТ-регулятор даст слабину и пойдет на поводу у подопечных и выпустит реестр недопустимого для госструктур, то это будет началом конца. Опять все ИБшники будут ждать чеклистов со списком, в котором они проставят галочки по своему разумению, подпишут у руководства и отчитаются о выполнении. По этой же причине мы в Positive Technologies не выкладываем имеющиеся у нас документы с типовыми недопустимыми событиями. Стоит это сделать и все, никто не будет больше думать, проводить стратсессии для топ-менеджмента, определять то, что важно именно в конкретной ситуации и для конкретной организации.
Давайте рассмотрим эту ситуацию на примере. Компания Change Healthcare (США) 21-го февраля столкнулась с инцидентом. Первоначально компания не признавала это проблемой ИБ и просто ссылалась на недоступность отдельных приложений, а потом и сетевых коммуникаций. Спустя 12 часов компания признала, что это инцидент кибербезопасности. Ожидалось, что нарушение работы сервисов продлится не менее одного дня. Но прошло уже больше 4-х дней, а компания все еще не восстановилась. В результате атаки по всей Америке начались перебои с поставкой лекарств через аптечные сети. Рейтинговое агентство Moody’s заявило, что эта атака негативно скажется на кредитном рейтинге UnitedHealth Group, в которую входит Change Healthcare. Сама пострадавшая компания пока никак не оценивает финансовые потери от данного 4-хдневного (пока) инцидента.
Можно ли эту историю отнести к недопустимым событиям? Лично я не знаю. С точки зрения ИБ налицо серьезная проблема, результатом которой явился 4-хдневный простой информационных систем. Но так ли плохо о последствиях думает руководство компании? Возможно для них это не критическое событие. Возможно, они застрахованы от него и страховка покроет все потери. А возможно и наоборот — за простои в поставках лекарств предусмотрены штрафные санкции от подрядчиков и клиентов, государство оштрафует компанию со своей стороны, акции группы компаний упадут, а кредитный рейтинг UnitedHealth Group, и правда, будет снижен. И вот тогда это может стать недопустимым событием (не сам сбой, а его последствия).
Полный перечень возможных последствий можно посмотреть в вебинаре PT «Как оценить стоимость инцидента? Подходы и примеры», который я проводил некоторое время назад. Саму презентацию можно скачать у меня в Telegram-канале. А статью про это можно почитать тут, на сайте.
Схожая с Change Healthcare история случилась в России летом 2023-го года, когда в Приморье вышла из строя система распространения льготных лекарств, которая была недоступна, минимум, 10 дней (потом информацию о недоступности скрыли из публичного доступа). Недопустимое ли это событие?
В федеральном проекте «Информационная безопасность» нацпроекта «Цифровая экономика» был такой целевой показатель как «Средний срок простоя государственных информационных систем (ГИС) в результате компьютерных атак, часов». В 2021-м году он был 18 часов, а в 2024-м он должен был уже достичь показателя в 1 час и на мой взгляд это была очень хорошая метрика, так как чтобы ее достичь надо было сделать прям дофига всего (это примерно как выйти на багбаунти — тоже надо сделать многое). Приказом Минкомсвязи России от 30.04.2019 №178 даже была разработана методика расчета этого показателя. Но потом кто-то решил заменить этот показатель на новый и совершенно бессмысленный — «Количество ведомственных информационных систем, подключенных к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак». Минцифры, в обосновании этого решения, писало, что планирует отменяемый показатель собирать вручную административными методами и он совершенно не показателен, так как не отражает реальное состояние защищенности ГИС от компьютерных атак (количество подключенных к ГосСОПКЕ систем, конечно, отражает).
То есть в случае принятия показателя недоступности сбой в работе систем приморских аптек мог стать недопустимым событием, но сейчас нет. А кого волнует, что льготники не получают своих лекарств? Нет такого недопустимого события 🙁
А вот если у вас будет выведена из строя система управления доменной печью или процессом электролиза в электролитической ванне хотя бы на несколько минут? В первом случае вам у вас в печи застывает металл и выковырять его оттуда будет невозможно — придется менять всю печь, а это сотни миллионов рублей затрат, если не миллиарды. С электролитическими ваннами затраты будут поменьше, но алюминий придется «выбросить» ввиду снижения его качества. То есть в этом случае простой даже в минуты будет рассматриваться недопустимым событием.
Итого, у нас получается три результата, связанные с простоем информационной системы:
- В первом случае недопустимость события определить со стороны сложно и все будет зависеть от последствий.
К слову о размере возможных потерь от инцидента ИБ. Косметический гигант Estée Lauder опубликовал годовой отчет, в котором привел данные по потерям от инцидента ИБ, произошедшего в июле 2023-го года. Ущерб за прошлый год составил 219 миллионов долларов и включает в себя затраты на реструктуризацию и иные расходы, снижение стоимости нематериальных активов, а также снижение стоимости опционов на акции. Оборот Estée Lauder за второе полугодие составил 7,8 миллиарда долларов; то есть ущерб от инцидента составил почти 3% полугодового оборота. Это явно недопустимое событие для любого финансово подкованного руководителя.
- Во втором случае простой сложно отнести к недопустимым событиям; даже скорее нет.
- В третьем случае простой однозначно недопустим.
И вот как в ситуации, когда у вас все зависит от конкретного организации, ее процессов, финансового положения и многих других факторов, заранее определять, что для вас недопустимо, а что нет? Это могут сделать только топ-менеджеры, понимающие в том, чем занимается их компания и какие последствия можно отнести к недопустимым, какие к нежелательным, а какие и вовсе не рассматривать в качестве проблем.
Поэтому не ждите от Минцифры списка недопустимых событий — пусть их определяет ваше руководство, которому вы можете помочь, если понимаете, на чем ваш бизнес зарабатывает деньги.