Ключевые моменты выступления на ежегодной международной научно-практической конференции «РусКрипто’2018» бизнес-консультанта по безопасности Cisco Systems Алексея ЛУКАЦКОГО.

Между тем, безопасность должна рассматриваться не как страховка, и не как налог, от которого мы не можем отказаться, а как бизнес-функция. Высший пилотаж – это когда мы смотрим на безопасность не как на нечто предотвращающее и мешающее, а как на то, что помогает географически и продуктово расширяться и зарабатывать. Понятно, что нас много лет учили, что все обстоит иначе, но теперь просто надо сделать шаг вперед, чтобы обрести новое понимание.

Подходов здесь несколько. Первый из них – страх: все вендоры рассказывают вам про различные вирусы, угрозы и утечки, и говорят, что у них есть решения, которые позволят вам бороться с этими бедами. Примерно то же самое говорит и регулятор. Второй вариант – это выполнение нормативных требований: мы не смотрим на угрозы, а идем по другому пути: берем табличку в конце указания ЦБ или ФСТЭК и выполняем то, что там написано. Перед регуляторами мы чисты, а то, что у нас пропали деньги, или оказались зашифрованными файлы – это издержки. Это тоже достаточно распространенный подход, поскольку у нас «нормативка» традиционно достаточно сильна.

И третий подход – когда мы смотрим, насколько те или иные меры помогают нам, с точки зрения защиты бизнеса. Этот подход не слишком распространен не только в России, но и в мире. Причина этого проста – безопасники не очень любят, когда их эффективность мерят в деньгах, они в большинстве случаев говорят, что так делать неправильно, и их функция – не в том, чтобы увеличивать доходы бизнеса. Естественно, что в этой ситуации у бизнеса возникают вопросы: скажем, штрафы за невыполнение тех или иных регуляторных требований составляют десятки тысяч рублей, а на решения по безопасности надо потратить миллионы рублей. Очевидно, что во многих случаях бизнес делает очевидный выбор.

Еще одна проблема – начиная с 2011 года, у нас произошел взрывной рост выпуска нормативных актов в сфере ИБ. Если до 2011 года у нас было всего выпущено порядка 100 документов по защите, то за 4-5 лет их вышло порядка 300. Возникает вопрос, как во всем этом массиве разобраться? Требования все эти разные, написанные разными людьми, даже в тех случаях, когда речь идет об одном и том же ведомстве, и только сейчас начинается работа над их унификацией и кодификацией. Уже неоднократно звучало предложение создать единый орган по информационной безопасности, но пока ничего конкретного в этом направлении не делается, и очевидно, что в обозримые шесть лет такого регулятора не возникнет. А это значит, что разные регуляторы будут продолжать по-разному влиять на рынок. 

При этом они дают свободу творчества – каждая организация вольна сама выбирать набор защитных мероприятий. С одной стороны, это несколько облегчает жить компаний, а с другой осложняет, потому что это заставляет думать и выбирать. Причем разные наборы инструментов и подходов к защите могут быть даже у тех компаний, которые работают в одной и той же сфере бизнеса. 

Хотел бы затронуть вопрос о DLP-рещениях. На сегодняшний день у нас сложился самый большой рынок в мире таких решений, но беда в том, что их эффективность стремится к нулю. Поэтому сами по себе DLP-решения используются не столько для того, чтобы предотвратить утечки, а для того, чтобы найти в компании «гада», который вместо работы сидит на посторонних сайтах. 

Перейдем к тому, в чем заключается принцип Парето. Его иногда называют 80 на 20, хотя на самом деле Парето никогда про это ничего не говорил. Его вывод был таким – небольшая доля причин отвечает за большую долю результата. То есть, речь идет о приотизации – в нашем случае этот принцип может проиллюстрировать следующим образом: 

• 80% совершают НСД, то есть компьютерные преступления, если они уверены в том, что это не станет известным. 
• 88% ИТ-специалистов допускают месть работодателю после своего увольнения – либо в форме смены паролей при увольнении, либо стирая бэкап-файлы, либо другими способами. 
• 20% уязвимостей приводят к 80% всех атак. Атаки обычно направлены на 95% уязвимостей, для которых уже существуют способы устранения. Очень ярким примером, подтверждающим это, является атака WannaCry – об этом вирусе было известно заблаговременно, но, тем не менее, многие компании оказались к атаке не готовы. 
• 80% функционала современных средств защиты не используется. Производители стараются по максимуму включить в продукт все, что только можно, а покупатели в результате сильно переплачивают за функции, которые им на самом деле не нужны.

Стоимость лицензии на систему защиты составляет 15-20% от совокупной стоимости владения. 

Если мы транслируем принцип Парето на законодательную область, то убедимся, что он работает и здесь. На практике все можно обобщить в следующие несколько пунктов: моделирование угроз, предотвращение неправомерного доступа, недопущение воздействия на средства обработки информации, оценка эффективности принимаемых мер, учет машинных носителей, обнаружение фактов несанкционированного доступа и принятие мер, восстановление информации и правил доступа к информации, контроль за принимаемыми мерами, наличие ответственного сотрудника, непрерывное взаимодействие с ГосСОПКА.