14/06/2017
ВВЕДЕНИЕ
 
В 2012 году, участвуя от Службы ИБ в Программе по автоматизации АЗК глобальной нефтегазовой Группы, я не представлял в какую паутину рисков попадает подключающееся к любой третьей стороне предприятие.

В это время на АЗК активно продвигалась карта ХХХ с начислением бонусных баллов от оператора системы лояльности ХХV, а значит компрометация сети оператора создавала новый вектор атаки на сеть Группы.

Произведем простой расчет. Допустим, вероятность взлома сети АЗК составляет 50%. Аналогично, вероятность взлома ХХV 50%. Итого вероятность взлома АЗК со стороны ХХV вероятность взлома АЗК = 50%*50%=25%.

Итоговый риск – 75%, т.е. уровень риска АЗК вырос на 50% только из-за подключения оператора. Вспоминая популярную фразу «Существуют три вида лжи: ложь, наглая ложь и статистика» можно отмахнуться даже от таких простых расчетов, но тяжело забыть взлом розничной сети Таргет в 2013. Тогда утекло 130 миллионов клиентских записей, и уволился генеральный директор сети. А ведь похитивший данные вирус пришел со стороны обслуживавшей POS третьей стороны.

Но самая проблемная часть связанного с третьими сторонами риска (далее – third party risk или TPR) – это его плохая управляемость. Пока мы совершенствуем процессы и внедряем технологии защиты внутри организации у партнеров происходит непонятно что. Многие ли службы ИБ включили в требования к партнерам необходимость соответствовать стандартам ИБ организации в данный момент времени?

В 2015 году из интервью представителя интегратора ХХZ я узнал о заключенном еще в 2005 году долгосрочном аутсорсинговом контракте между ХХZ и вышеупомянутым оператором. В первом приближении стоило бы к нашему TPR добавить половину (12,5%), допуская что у XXZ с ИБ не лучше, чем у других участников цепочки. Т.е. из-за подключения 1-ого партнера наш риск вырос с 50% до 87,5%. А в том же интервью XXZ рассказали о поддержке телекома, банка и других…

И тут цепочка превращается в паутину. Один раз организовав подключение всего лишь одного партнера, организация теряет прозрачность своего профиля риска ИБ. Ведь ни XXZ, ни какой другой из ТОП-10 интеграторов не раскрывают публично свои практики ИБ (в отличие от западных вендоров Google, Microsoft, Amazon).
 
ИДЕНТИФИКАЦИЯ РИСКОВ. ВНЕДРЕНИЕ ТОЧЕК КОНТРОЛЯ
 
Увы, не только ХХV подключается к современной организации. Это были и ИТ-аутсорсеры/вендоры, и информационные сервисы для руководства (Reuters+), и многие другие инициативы, отследить которые отдельная непростая задача.

В идеале оптимален гибридный подход – “и сверху, и снизу”:  “сверху” делать требования по ИБ приложением любого договора организации (как есть  NDA), а «снизу» делать невозможным добавление любых сетевых маршрутов или пользователей в системы организации без согласования с  ИБ.

Таким образом мы защитимся от случаев «хотели как лучше, а получилось как всегда», когда бизнес просто не понимает рисков, которые приносит его потенциальная сделка. Рисков, влияющих на P&L как отдельного бизнес-юнита так и P&L организации.
 
УЧЕТ РИСКОВ
 
Каждый партнер может подключаться не только в одном месте и одним способом, а значит, для понимания профиля риска и поиска причин инцидентов ИБ, необходим учет подключений. Для начала это может быть простая таблица, содержащая минимальную информацию – название организации партнера, ответственные от ИБ, бизнеса и ИТ-инфраструктуры, если принято решение типизировать партнера, то его тип, дата последнего прохождения партнером аудита безопасности и ссылка на профиль риска партнера, ранее заполненного офицером ИБ.

Можно использовать свободное и промышленное ПО от западных или российских производителей. В частности, существует квадрат Gartner “IT Risk Management”, в других странах управление TPR уже внедрено в крупнейших организациях -  JPMorgan, Citigroup, Pepsi и NEC.
 
АУДИТ ТЕКУЩИХ РИСКОВ
 
Наладив процесс идентификации будущих TPR, разумно обратить внимание на существующие. Ведь организация уже имеет консультантов, СП, аутсорсеров и др., профиль риска которых влияет на профиль риска организации. Все их подключения необходимо определить и вести их учет - для дальнейшего управления TRP.

Для аудита могут быть полезны технические системы управления рисками сети, которые покажут какие подключения извне имеет сеть и “подсветят” те подключения, использование которых может привести к эксплуатации реальных уязвимостей организации. Наиболее продвинутые из них позволяют моделировать новые подключения и анализировать состояние сети в прошлом, интегрируясь с сетевыми устройствами, сканерами уязвимостей и CMDB.

Необходимо обратить внимание и на контракты с консультантами, сидящими в офисе организации, и пользователями, имеющими право удаленного доступа.
 
УПРАВЛЕНИЕ РИСКАМИ – СНИЖЕНИЕ РИСКОВ
 
Различающийся профиль рисков связанных сторон приводит к необходимости в первую очередь снижать риски. Ведь инцидент безопасности может произойти не у самой организации, а у ее связанной стороны, и эти убытки организация не всегда сможет покрыть. Кроме примера с Таргет приведу и другие.

В сфере нефтегаза. На АЗК нефтегазовой группы через партнера пробрался вирус. Вирус распространился по сети и добрался в головную компанию холдинга, а через нее в газотранспортный дивизион холдинга. В итоге вирус изменил режим работы газоперекачивающего агрегата, вследствие чего поломалась турбина агрегата, стоимость замены – $4 млн. Дело было в зимний пик поставок газа, и страна-потребитель предъявила холдингу иск на $10 млн. неустойки. Ни одна АЗК в принципе не стоит $14 млн.

Финансовая индустрия. Каждую неделю банки видят, как через взломанные клиент-банк контрагента перегоняются деньги для затруднения возврата. Каждый такой случай несет юридические и финансовые риски для взломанного «прокси» контрагента.

Если все же бизнес готов принять “все риски” и “безотлагательно”, то необходимо зафиксировать это письменно (неплохая форма есть в стандарте ISO 13569), и тогда в будущем будет понятно – это безопасность перестраховывалась или бизнес недостаточно ответственно относился к создаваемым им рискам. Иногда после предъявления такой формы риск-аппетит бизнеса стремительно падает. Особенно если бизнес-модель уже устоялась (консервативные индустрии - ТЭК, ГМК и т.п.).
 
КОНТРОЛЬ РИСКОВ
 
Контроль связанных рисков подразумевает соблюдение трех принципов:
  • «чтобы было не хуже, чем у нас»;
  • «соответствие требованиям в текущий момент времени»;
  • «переносимость требований на партнеров партнера».
Увы, применять для контроля связанных рисков типовую политику ИБ не получится, ведь и бизнес, и ИТ знают, что из нее выполняется в лучшем случае 60%. Поэтому необходима разработка каталога требований, желательно с разбиением по типам партнеров (в зависимости от их типа доступа и количества данных под их влиянием). Понятно, что требования для подключения через защищенный шлюз должны быть гораздо мягче прямого соединения сетей. Конечно, политика должна распространяться и на персонал партнера. Т.е. если в организации положено предоставлять доступ к информационным ресурсам после background check, прохождения обучения правилам ИБ и сдачи экзамена, ежегодной переаттестации знаний ИБ, то то же самое нужно делать и для персонала партнера.

Аналогично не помешают выборочные проверки физической безопасности активов партнера.

Интересной альтернативой тщательному контролю выполнения требований будет прописанная в контракте финансовая ответственность за инциденты ИБ. Понятно, что партнер в этом случае должен иметь заведомо лучшие практики ИБ и стабильное финансовое положение. Например, это может быть один из ИТ-гигантов. Хотя после четырех лет, проведенных в переговорах с самыми разными организациями, я обнаружил что в Группе была, вероятно, лучшая служба ИБ среди нефтегазовых компаний России, ее PaaS-инфраструктура от одного из ИТ-гигантов в швейцарском ЦОДе подвергалась аудитам безопасности службой ИБ ИТ-гиганта в разы чаще, чем внутренняя сеть Группы.
 
ОПТИМИЗАЦИЯ РИСКОВ – КАПИТАЛИЗАЦИЯ РИСКОВ
 
Понятно, что попытка реализовать, например, службой ИБ Сбербанка принципы контроля рисков могут встретить ожесточенное сопротивление партнеров. Ведь как ООО «Ромашка» может выделить на безопасность сопоставимые с гигантами средства? Эффект масштаба обычно позволяет крупным компаниям достигать уровня безопасности, недосягаемого для “малышей”.

В таких случаях в дело вступает “капитализация” рисков, когда бизнес вместо того, чтобы постоянно платить за повышенный уровень безопасности в партнере (выбирать более дорогих партнеров (OPEX), один раз платит за внедрение технических точек контроля (CAPEX).

Техническими точками контроля могут быть NAC, secure remote access, PIM, IPS, 2FA, adaptive access.

Внедрение технических точек контроля позволяет закрыть возможные векторы атаки – снизить уязвимость сети организации перед внешним подключением и таким образом снизить необходимость в применении 100% требований ИБ организации к партнерам.
 
МОНИТОРИНГ РИСКОВ
 
Новые технологии и бизнес-тренды меняют не только профиль риска организации, но и профили риска ее партнеров. Необходим мониторинг TPR, чтобы понимать насколько TPR влияет на профиль рисков организации, насколько служба ИБ операционно эффективна.

Для мониторинга TPR необходимо контролировать 3 основных домена:
  • Эффективность процесса управления связанными рисками организации.
  • Профиль риска партнера.
  • Профиль связанных рисков организации. 
Примеры метрик для измерения эффективности процесса управления связанными рисками:
  • Процент подключений партнеров, прошедших оценку ИБ среди всех партнеров.
  • Медианное время подготовки профиля риска офицером безопасности.
Примеры метрик для профиля риска партнера:
  • Количество инцидентов ИБ за последний год.
  • Дата последнего аудита ИБ партнера организацией.
  • Количество найденных несоответствий.
  • Процент устраненных в оговоренный период несоответствий.
  • Количество принятых рисков для этого партнера. 
Примеры метрик для профиля связанных рисков организации:
  • Медианное значение количества невыполненных требований (принятых рисков) на одного партнера.
  • Среднее отклонение количества инцидентов ИБ по партнерам.
  • Количество инцидентов ИБ, вызванных соединением с партнером.
  • Процент контрактов с партнерами включающих требования по ИБ. 
Для запуска мониторинга выстраиваем коммуникации. В частности, определяем контактные лица по ИБ в целом, управления инцидентами и устранения несоответствий со стороны организации и партнера, а также резервные КЛ (болезни, отпуска и т.п.).

Кроме контактных лиц необходимо определить правила классификации и обработки инцидентов ИБ, формы и периодичность отчетности партнера (например, уровень обновлений, отчетность антивирусной системы в периметре сервисов для клиента).
 
ИНФОРМИРОВАНИЕ О РИСКАХ (Risk Intelligence)
 
Эффективное управление TPR возможно на основе достоверной информации, и традиционным первым шагом будет предварительный аудит партнера перед подписанием договора. Такой аудит необходим при прямом сетевом подключении, предоставлении доступа к чувствительной информации или другом серьезном изменении. Проводить его желательно с использованием ранее разработанных критерий типизации партнеров с точки зрения ИБ.

Аудит должен быть направлен на оценку способности службы ИБ партнера грамотно и эффективно управлять профилем риска партнера. Имеет ли служба ИБ партнера поддержку бизнеса? Какие угрозы она считает актуальными и как с ними борется?

У крупных компаний на западе принято заказывать тест на проникновение партнера. Для снижения сопротивления бизнеса желательно забюджетировать пентест на стадии формирования бюджета проекта.

Предостерегу от слепого доверия наличию сертификации по риск-ориентированным стандартам ИБ (27001 и др.), что само по себе не гарантирует мер безопасности.  В моей практике сертификат выданный одной из ТОП-30 компаний страны охватывал несколько ПК SOC партнера, тогда как предлагались услуги call-center.

По итогам аудита безопасности важно не только понять профиль риска партнера, но и установить рабочие отношения – расширить профессиональную сеть контактов для двухстороннего обмена информацией об угрозах. Партнеры обычно работают в других секторах экономики, у них другой «сектор обзора» и от них можно получить информацию об угрозах, от которых организация еще не пострадала.

Для стимулирования партнера к совершенствованию системы ИБ рационально предусмотреть в договоре штрафы за нарушения требований ИБ организации (естественно, как и right to audit). На практике штрафы редко применяются, но само их наличие облегчит коммуникацию с партнером и мотивирует его менеджмент.
 
ЗАКЛЮЧЕНИЕ
 
Разумная и эффективная система управления TPR позволяет не только снизить влияние TPR на профиль риска организации, но и снизить профиль риска национальной экономики. Ведь упомянутый в начале рассказа оператор имеет соединения с десятками компаний, каждая из которых может пострадать от небрежностей руководства оператора при построении системы ИБ.

Аналогичная ответственность лежит и на тех организациях, которые сами создают много подключений к сетям других партнеров. Укрепляя собственную безопасность, они укрепляют собственный бренд, защищают рыночную долю, не допуская таких инцидентов как взлом Таргет или утечки Сноудена, получившего доступ к чувствительным данным, работая в консультанте Booz Allen Hamilton. Учитывая высокий потенциал ущерба от внутренних нарушителей и целый ряд кейсов злоупотребления полномочиями, не хотелось бы добавлять к внутренним нарушителям организации еще и внутренних нарушителей партнеров.