Недопустимые события, риски или угрозы ИБ?

Стратегия

Регулярно слышу вопросы и сомнения относительно термина «недопустимые события«, которые использует в своей риторике Positive Technologies. Многие противники считают, что не надо вводить новые сущности без необходимости и уже известных терминов «угроза» и «риск» вполне достаточно. Мне хотелось бы немного порассуждать на эту тему.

Идея введения нового термина связана с очень простой мыслью — на уровне топ-менеджмента эти термина не заходят. Вообще. Они слишком технократичны, сложны и непонятны. Возьмем к примеру «угрозу«. Нарушение конфиденциальности, целостности, доступности или несанкционированного доступа к Active Directory. Буэээ. Это прекрасно понятно любому безопаснику, чего не скажешь о финансовом директоре или операционном. С ними можно попробовать поговорить о рисках, о чем с ними и говорят рисковики, готовящие простыни под названием «реестр рисков«, содержащий сотни всяких опасностей, которые могут произойти с компанией. Причем опасности из совершенно разных областей, среди которых есть и кибербезопасность. И вот сидит генеральный директор в своем мягком кожаном кресле, а на столе перед ним простыня на сотни пунктов с кучей полей по каждому риску — владелец, вероятность, ущерб, приоритет, пороговые значения, остаточный риск, стратегия управления, план устранения, дата пересмотра и т.п. И, конечно, начинаются вопросы:

  • А как вы посчитали вероятность? А как быть, если событие еще ни разу не происходило?
  • А как вы посчитали ущерб? А с владельцем вы его согласовали?
  • А что такое остаточный риск? Это что, получается, что риски все равно остаются?
  • И т.д.
Реестр рисков
Реестр рисков

Конечно, хороший рисковик на все эти вопросы ответит, но много ли у нас таких? Когда вы в разговоре с коллегами упоминаете про угрозу утечки ПДн, то вы оцениваете ее вероятность или ущерб? Ну вероятность вы, скорее всего, оцениваете равной единице (смотрим не в контексте «если», а в контексте «когда»). А ущерб?

Когда вы думаете, тратить деньги на КАСКО или нет, вы точно оцениваете реальную вероятность/частоту попадания в аварии или кражи вашего авто? А ущерб вы, скорее всего, на понятийном уровне оцениваете с максимальной границей в стоимость авто.

Так почему, когда заходит речь о недопустимых событиях, все так прям и давят на то, что они не измеряемы. Ну так вы попробуйте сначала угрозы ИБ поизмерять, а потом уже и к недопустимым будете такое требование предъявлять. Возьмем, к примеру, угрозу подмены датасета в информационной системе на базе искусственного интеллекта. Вы вообще неспособны оценить ни вероятность, ни ущерб от этого, так как у вас нет для такого расчета исходных данных (по крайней мере на текущем уровне развития этих технологий). И что, не заниматься теперь защитой искусственного интеллекта?

Но если с обычными рисками у вас еще есть актуарные таблицы, то с рисками ИБ ситуация гораздо хуже. Вот честно, положа руку на сердце, вы можете посчитать каждый риск ИБ, который вы считаете настолько важным, чтобы вынести его на уровень руководства компании? Скорее всего все закончится профанацией, то есть «светофором» или «тепловой картой», на которой все риски у вас будут оцениваться как «высокие», «средние» или «низкие».

 

Количество рисков
Количество рисков

И когда генеральный директор вас спросит, что имелось ввиду под критическим риском, вы не сможете ответить ему ничего конкретного. В лучшем случае вы сошлетесь на экспертную оценку, которая не имеет ничего общего с реальной оценкой рисков. Более продвинутые ИБшники подготовят матрицу, которая позволит разъяснить разницу между несущественными и катастрофическими последствиями, а также между редким и вероятным событием. Выглядеть это можно примерно так:

Матрица оценки риска
Матрица оценки риска

Вас ничего в ней не смущает? Лично меня да. Например, риск с вероятностью реализации выше 90% и почти отсутствующими последствиями, устраняемыми в рамках ежедневных операций, оценивается как «высокий» (выше него только «чрезвычайный»). Ну это же бред, если вдуматься. Как может быть высоким риск, который устраняется без каких-либо напрягов? И вот с оценкой рисков ИБ такое часто. Да еще проблема с оценкой того, что новое. По нему как минимум вероятности еще никакой нет. Поэтому я не люблю риски; хотя и понимаю, что само слово уже давно прижилось в бизнес-среде. Но именно в контексте ИБ оно деградировало. Ну или если смотреть с более позитивной позиции, еще не доросло до состояния спелости зрелости. И тут перед нами открывается два пути развития ситуации:

  1. Начать прокачивать навыки реальной оценки рисков ИБ, с доказательной базой по вероятности их наступления и ущербом от их реализации. Очень достойная исследовательская задача, но сложнореализуемая, если вы не работали в компаниях «большой четверки» и не успели унести при своем уходе оттуда нужные Excel’евские таблички с кучей вкладок и красивыми диаграммами. Правда, вопрос с исходными данными для расчетов все равно остается открытым.
  2. Ввести в оборот новый термин, не имеющий за собой негативного флёра и позволяющий простым и понятным языком объяснить топ-менеджерам, что плохого может произойти в компании, о чем должен задуматься руководитель уровня CxO, и что имеет преломление в области кибербеза. Тут-то на сцену и выходят недопустимые события.

Недопустимые события — это события, делающие невозможным достижение предприятием, отраслью, государством операционных и стратегических целей или приводящие к длительному нарушению основной деятельности, в результате кибератак.

Их задача не подменять собой риски и угрозы, а предложить более понятную на высоком уровне управления предприятием, терминологию. Если угрозы определяют ИБшники, а риски — рисковики или руководитель ИБ, то недопустимые события определяют именно топы. Нонсенсом является ситуация, когда недопустимые события определяют ИБшники. Это тоже превращается в профанацию. Идея же совсем в другом — вовлечь бизнес в кибербез. Если вам удается это с помощью «угроз» или «рисков», то и прекрасно, а если нет? Как раз тут и помогают «недопустимые события» (по опыту).

Термины ИБ и их использование на разных уровнях иерархии в компании
Термины ИБ и их использование на разных уровнях иерархии в компании

Давайте обратимся немного к другой истории. Вы когда про SOC говорите, у вас какая картина в голове рисуется? Нечто, что позволяет мониторить угрозы? А что насчет реагирования? Ведь именно в нем кроется весь смысл мониторинга. Зачем вам знать, что вас в данный момент грабят, если вы не можете ничего этому противопоставить?

Ну такая себе безопасность. Поэтому вместо SOC мы в Positive Technologies стали использовать термин «центр противодействия угрозам». Та же история и с «недопустимыми событиями». Можно противостоять сложившейся практике, тратя усилия на объяснения очевидного и переобучение заблудших, а можно попробовать начать все с чистого листа, введя новый термин и продвигая именно его. Часто так гораздо проще достичь результата, чем пытаться писать против ветра.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Юрий

    Как то я все это понял немного с другой стороны. И логика здесь предельно простая. Бессмысленно носится с простынями в сотни рисков, их постоянного оценивания и переоценивания. А каждое из них еще требует десятков телодвижений, расходов, времени и т.д. Объясню просто, на пальцах — есть риск, что следующей зимой я заболею ОРЗ, буду неделю чихать и страдать… Да и хр…н с ним!

    А вот подхватить гепатит С — или ВИЧ — это недопустимое событие. Поэтому я «забиваю болт» на все эти мелкие простуды и ими вообще не заморачиваюсь — заболею — буду заниматься. А вот все свои силы и средства я направлю на то чтобы не случились те немногочисленные недопустимые события, которые я таким образом вполне смогу предотвратить. Ибо от всего защищаться — только средства по ветру пускать…

    Вот такое мое мнение.

    Ответить
    1. Алексей Лукацкий автор

      Да, так и есть 🙂

      Ответить
  2. Михаил

    Отличная статья, спасибо.
    Мне кажется, что есть пара моментов, которые можно улучшить. Например
    «Когда вы думаете, тратить деньги на КАСКО или нет, вы точно оцениваете реальную вероятность/частоту попадания в аварии или кражи вашего авто? »
    Покупатель КАСКО как раз отличный пример управленца уровня С, который покупает «защиту от недопустимого события — единовременная потеря стоимости автомобиля, приведшая к кассовому разрыву», поэтому он никаких вероятностей не считает и не должен. За него это уже сделали страховщики. И это они на основе своих расчетов предложили продукт.

    А покупатель в свою очередь оценивает только ценность этого продукта. Разумеется, обычно на уровне интуиции, но всегда оперируя данными, потому что он знает, сколько раз он тоталил свои предыдущие машины, знает стоимость текущей и может быстро понять пропорцию «КАСКО/стоимость машины».
    Если ценность низка, например КАСКО стоит 50% от стоимости машины, а водитель не собирается тоталить авто раз в 1,5 лет — он смеется над продавцом и уходит.
    Ровно так же должно происходить с недопустимыми событиями. Для них нужно считать вероятность и нужно уметь показать эффективность предложенных мер.

    Ответить
    1. Алексей Лукацкий автор

      Не может быть у недопустимого события вероятности. Она может быть и 1, и 0. Ключевое — все-таки масштаб ущерба

      Ответить
    2. Алексей Лукацкий автор

      Показ эффективности и вероятность — это уже другой уровень, ниже. Как раз риски и угрозы…

      Ответить
  3. Сергей Солдатов

    Спасибо за статью!
    Не хватило примеров недопустимых событий, поэтому не понятно отличие от классических «ущерба», или «результата инцидента», или, проще говоря, Impact-а.

    Как считается\оценивается вероятность недопустимого события?

    Ответить
    1. Алексей Лукацкий автор

      Никак. Ее нельзя посчитать в ИБ. В принципе.

      Ответить