Знаете, какая одна из самых популярных жалоб руководителей по информационной безопасности (ИБ)? Нет, не отсутствие бюджета. Это, конечно, популярное сетование, но оно является следствием из ставшего классикой не только в ИБ жалобы о непонимании со стороны руководства. У специалистов по кибербезопасности ситуация все-таки хуже остальных подразделений. Отличная работы безопасников не видна руководству, которое даже начинает думать, что отсутствие атак – это не заслуга подразделения по защите информации, которое можно и сократить.
Как трансформировать отношение бизнеса к деятельности ИБ в кратчайшие сроки и при этом не затрачивать много ресурсов – ни временных, ни финансовых, ни людских? Безусловно, можно вспомнить уже не раз звучавшие рекомендации о том, что надо посмотреть на кибербезопасность с точки зрения бизнеса, оценить даруемые преимущества и спасенные активы, перевести это все в деньги и презентовать генеральному или финансовому директору на ближайшем инвестиционном комитете. Но даст ли это эффект при отсутствии должных навыков бизнес-артикуляции и нехватке финансовых и иных бизнес-данных для подготовки соответствующей аналитики? А может быть есть вариант проще?
Проверка на прочность
Да, такой вариант есть и называется он «киберучения для топ-менеджмента», то есть мероприятие, которое позволяет быть уверенным в том, что руководители компании понимают роль (не обязательно важность) кибербезопасности в деятельности предприятия и свою роль в обеспечении кибербезопасности на предприятии, а также шаги, которые надо предпринимать для поддержания кибербезопасности, включая действия в нештатных ситуациях. При этом следует обратить внимание, что в отличие от технических учений (Cyber Range, CTF и т. п.), на учениях для топ-менеджмента главным является проверка и выработка правильных коммуникаций между всеми участниками, а также устранение слабых мест в существующих процессах и процедурах. Это не обучение и не тренинги, где участники либо слушают лекции либо повторяют вслед за инструктором определенные операции. Задача киберучений – заставить руководителей думать о нештатных ситуациях, способных повлиять на бизнес с точки зрения конкретного направления деятельности предприятия – работы с клиентами, налогового, юридического, ИТ, экономического, финансового, репутационного, кадрового и т. п.
Почему именно учения? Давно известно, что из прочитанного усваивается только 10% информации (многое ли мы помним из прочитанных даже относительно недавно книг?), из услышанного – только 20%, из увиденного – 30%, а из проработанного в упражнениях – 90%. Именно поэтому помимо программы повышения осведомленности, которая требует от специалистов по ИБ использовать различные каналы донесения информации до сотрудников – инструкции, постеры и скринсейверы, необходимо и давать возможность участвовать в киберучениях, которые отрабатывают навыки действий в нештатных ситуаций или обнаруживают слабые места в текущей стратегии кибербезопасности. Самостоятельно пройдя по тщательно подготовленному сценарию, начинаешь совершенно по-другому осознавать деятельность службы ИБ, ее требования и ограничения. Кроме того, такое имитационное моделирование позволяет в реальной жизни, если ситуация повторится, сэкономить и снизить временные и финансовые потери при реагировании на возникший инцидент.
Идея и сценарий
Из семи типов существующих киберучений для руководства имеет смысл выбрать штабные учения (table-top exercises) или игры, отличающиеся от штабных учений наличием нескольких команд (например, из разных дочерних предприятий или бизнес-единиц).
При планировании киберучений, обычно занимающем от одного до двух месяцев, сначала обычно идентифицируется проблема, которая должна быть решена, – проблема коммуникаций между членами органа управления или иными уровнями руководства, неэффективные процедуры и процессы, реализация которых приводит к дополнительным затратам и потерям, нехватка знаний у руководства. Определившись с исходной проблемой, руководитель службы ИБ (возможно, с привлечением внешних компаний или консультантов) начинает продумывать сценарий учений. Он должен быть:
Реалистичным. Инопланетный вирус – это реальный сценарий, если вы работаете в NASA или ЦУПе, но не в ретейле или промышленности.
Релевантным. Проверка способности генерального директора отражать эпидемию WannaCry будет выглядеть забавной, но бесполезной.
Гибким. Настоящая жизнь полна сюрпризов, и наши планы часто идут вкривь и вкось, заставляя нас менять их на ходу. Таким должен быть и сценарий учений. Идеально, если у нас имеется несколько альтернативных сценариев или предусмотрено развитие событий «вне основного сюжета».
Какие идеи могут стать основой вашего сценария? Конечно, для его разработки надо четко понимать, как функционирует бизнес. Это ключевой момент! Но есть и какие-то общие темы, которые будут знакомы многим:
Утечка важной для бизнеса информации.
Нарушение контрактных обязательств.
Инициация конкурентами проверки регулятора.
Шантаж со стороны мошенников/хакеров.
Санкционная тематика.
Публикация в СМИ информации об инциденте.
Массовое заражение шифровальщиком.
А еще, и пусть простят меня ИТ-менеджеры, читающие эту статью, очень неплохим может быть сценарий «злой айтишник». Он может быть многоходовым, что гораздо интереснее нереалистичных, зато более коротких, одноходовых «короткометражек». Например, сценарий может быть таким.
Знающий об увольнении сисадмин устанавливает закладки во все критические системы и покидает компанию. После увольнения бывший сисадмин входит в ИТ-системы бывшего работодателя и крадет информацию, нарушая целостность всех БД и резервных копий, что приводит к нарушению контрактных обязательств. Сисадмин находит на черном рынке покупателя на украденную информацию и продает ее. Покупатель требует выкуп, а СМИ узнают об инциденте и публикуют на эту тему новости в региональных или федеральных изданиях и на телевидении.
Готовы ли вы к таким сценариям? Знаете ли вы, как поведете себя? Желание поймать и расстрелять бывшего сисадмина понятно, но оно явно выходит за рамки закона и, кроме желания потешить самолюбие, не дает ничего для разрешение кризисной ситуации. Кто будет общаться с прессой при таком инциденте? А с акционерами? А если ваши файлы оказались зашифрованы и вымогатель требует выкуп в биткойнах, то есть ли у вас биткойн-кошелек и знаете ли вы, как туда перевести деньги? А не боитесь, что этот кошелек используется для отмывания денег, полученных преступным путем, или для финансирования терроризма? Готовы ли вы к приходу людей в масках, которые обвинят вас в противоправной деятельности и поддержке суррогатных денег, отношение к которым в России скорее негативное?
Что надо помнить при подготовке сценариев?
Дам несколько простых советов.
Во-первых. Не бывает идеальных сценариев – всегда есть неточности, недоговоренности, условности и даже ошибки. В киберучениях вы играете, а не живете реальной жизнью. Хотя и в жизни бывают ошибки и условности.
Во-вторых. Не давайте возможности участникам погружаться в детали и искать слабые места в вашем сценарии. Задача участников – определить свои слабые и сильные стороны, а не играть роль кинокритиков.
В-третьих. Имитируйте реальные жизненные ситуации (ваш эксперт в отпуске, у вашего провайдера отключили Интернет, у вас не обновлялось средство защиты и т. д.).
И, наконец, помните, вы тестируете не сценарий, а возможности вашей команды или команд.
При формировании сценария вы должны помнить о стоящих перед киберучениями целях, к числу которых можно отнести (целей может быть несколько):
Получение обратной связи.
Определение ответственности.
Идентификация ролей
Расширение навыков и знаний.
Оценку возможностей.
Оценку тонких и слабых мест.
Оценку требуемых ресурсов.
Мотивация сотрудников
Вовлечение топ-менеджмента.
По итогам подготовки киберучений, которая, как я уже упоминал выше, длится от одного до двух месяцев, у вас должно быть подготовлено следующее:
Цели и планируемые результаты.
Оценка необходимости привлечения внешних лиц и, если такая необходимость существует, договоренности с ними.
Список требуемых ресурсов.
Финальный сценарий и брифинг руководства/организаторов. Сценарий должен оставаться в секрете, но участники должны понимать условия учений, правила, свои роли.
Финальные и утвержденные правила проведения киберучений.
Список участников с указанием их ролей.
Финальный план логистики (место проведения, даты, бронь, трансфер, переводчик, оборудование, питание, безопасность, Wi-Fi).
Финальные материалы для учений.
План мероприятий (чеклист), даты, сроки, ответственные
Гибкий подход
Вновь хочу напомнить, что киберучения – это не жестко запрограммированные обучение или тренинг. Руководители компании не на экзамене – в этой киберигре не бывает правильных и неправильных ответов. Все идеи приветствуются и будут использованы по мере необходимости. Более того, надо понимать, что сценарий, в отличие от кинематографа, дает направление, но не ограничивает идеи и мысли. Вам не надо расписывать, что и когда должен сказать каждый участник – предоставьте им свободу действий. Поймите, что мышление генерального директора или руководителя HR и даже ИТ-директора отличается от направления мыслей главы службы кибербезопасности в сходных ситуациях. Поэтому не может быть единственно верного решения или ответа. Они должны приниматься все, не ограничиваясь только официальной позицией или политикой; не надо бояться выходить за их рамки.
Самое главное – создать бесстрессовую, открытую, дружелюбную среду, которая позволить участникам раскрыться. Стоит им один раз сказать, что они неправы – и все, учения сорваны. Помните, участники могут бояться показать свою некомпетентность в недружественном или неизвестном окружении. А уж если участники высокопоставленные, то они не любят признавать, что сейчас действуют неэффективно. Поэтому во время учений, которые лучше проводить вне офиса (лучше на выезде), чтобы никто не отвлекался, надо только собирать мнения участников, а не критиковать их. И только на этапе оценки результатов можно придать им соответствующий окрас, извлечь уроки и сделать выводы; но, опять же, никого не обвиняя.
Что ждем в итоге?
Какие результаты киберучений могут быть? Они – не самоцель и помимо нового опыта и интересных впечатлений киберигры должны приводить к нужным (и желательно спланированным изначально) результатам, к которым я бы отнес следующие:
Ситуационная осведомленность.
Добавление или исключение элементов плана непрерывности бизнеса.
Соблюдение планов.
Рост скорости реагирования.
Улучшение процесса принятия решений.
Обмен информацией.
Улучшение взаимодействия.
Координация ресурсов, логистики, поддержки.
Рост устойчивости окружения.
И другие.
Главные ошибки
Сами учения для руководства обычно длятся 1–4 часа, но и за это короткое время можно наделать немало ошибок, среди которых я бы выделил самые главные:
Сценарий нечеткий или нерелевантный. Именно поэтому подготовка к кибериграм занимает около двух месяцев, а сами игры проходят всего за полдня.
Участники борются со сценарием, а не с проблемой. Помните, что киберучения – это имитация реальной жизни, а не сама жизнь. В сценарии могут быть неточности и даже ошибки, но это нормально и это надо сразу оговорить с участниками.
Правила проведения учений не определены, что приводит к хаосу, потере контроля и провалу.
Топ-менеджмент не вовлечен в учения.
Апатия участников и отсутствие реакции на «вбросы», которые обычно связаны со скучным сценарием или неумением ведущего (фасилитатора) вести мероприятие, поддерживая интерес в течение всех 4 часов.
***
В заключение мне бы хотелось вновь напомнить то, с чего я начинал эту статью. Киберучения – это инструмент повышения готовности компании к нештатным ситуациям и обнаружения слабых мест в защите компании, а также способ вызвать интерес к такой «скучной» по мнению многих руководителей теме. Способ этот недорогой и не требует от специалистов по ИБ глубоких бизнес-знаний (хотя они не помешали бы), что позволяет применять его уже сейчас, по завершении прочтения этой статьи, что в итоге позволит прийти к реальной трансформации отношения бизнеса к кибербезопасности.