Анализи

Прогноза, защита, реагиране – пътят към киберустойчивост

CIO Media

Компаниите по света отбелязват напредък в развитието на своите способности да предвиждат кибератаки и заплахи за информационната сигурност, както и в уменията си да се защитават от атаки. Но в същото време повечето от тях трябва да осъществят сериозни преобразувания, за да предпазят бизнеса си от всевъзможни опасности, възникващи на фона на усложняващите се взаимовръзки и и все по разрушителните последствия от кибератаки. Това е основният извод от 19-то глобално проучване на EY за състоянието на информационната сигурност 2016-2017. В рамките на проучването са анкетирани 1735 представители на крупни международни компании – изпълнителни директори, ИТ директори и мениджъри по информационна сигурност.

Пейзажът на заплахите постоянно се променя, което поставя нови задачи пред бизнеса всеки ден. Компаниите предприемат ответни мерки – през последното десетилетие те се научиха да се защитават от хакерски атаки по-ефективно, реагирайки на събития, които могат да имат катастрофални последствия. Системите с базова функционалност и решенията вземани според ситуацията бяха заменени от по-сложни, добре настроени, регламентирани процеси. Ускореното развитие на цифровите технологии, нарастващият брой устройства свързани с Интернет на нещата, промените в регулациите и ръста на киберпрестъпността – това са само някои от причините, които заставят организациите да усъвършенстват своите системи и средства за защита”, пишат експертите от EY.

Устойчивостта при киберзаплахи е неотменна част от цялостната устойчивост на бизнеса, подчертават авторите на доклада, обобщаващ резултатите от изследването на EY. Те определят и 3 ключови компонента на киберустойчивостта на бизнеса: прогнозиране, защита и реагиране.

Прогнозиране

Това е способността на организацията своевременно да открие киберзаплаха или хакерска атака. За да бъдат откроени актуалните за организацията опасности свързани с информационната сигурност преди те да са се превърнали в проблем, компаниите се нуждаят от инструменти, осигуряващи събиране и анализ на информация и активна защита. Съвременните средства за интелигентни анализи позволяват на бизнеса да открие нежелателни събития, които биха могли да настъпят и навреме да получава сигнали за ранно предупреждаване във връзка с рискове за нарушения на безопасността.

Защита

Механизмите за защита лежат в основата на “корпоративния щит”. Те определят три линии на отбрана на базата на анализи за нивото на риска, което организацията е готова да приеме в мащабите на своята екосистема. Първата линия на отбрана е провеждането на контролни мероприятия в рамките на всекидневната дейност. Втората – внедряване на функции за мониторинг, включително за вътрешен контрол, управление на рисковете и др. Третата линия на отбрана, според експертите на EY, е създаването на ефективен отдел за вътрешен одит.

Реагиране

Дори и да са изградени, първите две нива на системата за киберустойчивост в много случаи не са достатъчни – въпреки взетите мерки, компанията може да не открои навреме потенциална киберзаплаха, а провежданите контролни мероприятия може да не са достатъчно ефективни за да окажат отпор при атака. При такива случаи организацията трябва да бъде готова да отстрани последствията от срив, да приложи оперативно средства за реагиране при инциденти и да въведе в действие план за антикризисно управление. Освен това е необходимо да бъдат събрани и съхранени всички улики, след което нарушението на безопасността да бъде разследвано до пълното удовлетворяване на всички ключови заинтересовани страни, включително потребители, регулатори, инвеститори, правоохранителни органи и представители на обществеността. Всяка от тези страни може да предяви претенции за неспазване на нормите за информационна сигурност или да поиска компенцация за възможни щети. В случай, че отговорните за нарушенията на безопасността лица бъдат открити, компанията може да заведе съдебно дело срещу тях. Не на последно място, компанията трябва оперативно да възстанови своя нормален режим на работа, да извлече полезни уроци, а също така да адаптира и усъвършенства своите подходи към осигуряването на киберустойчивост в бъдеще.

Общата картина

Според проучването на EY, по отношение на състоянието на куберустойчивостта, както цяло, тенденциите са положителни – компаниите се движат в правилна посока. На фона на все по взискателните регулации през последните години организациите активно инвестират в създаването на надежден “корпоративен щит” и в тази сфера е постигнат съществен прогрес. Също така, през последните 2-3 години компаниите отделят все повече внимание върху подобряването на техните способности за прогнозиране. Огромна част от тях обаче все още не са готови да реагират ефективно при нарушения на безопасността – те все още не осъзнават напълно смисъла на цитираното милиони пъти предупреждение: “въпросът не е в това дали някога ще станете жертва на кибератака, въпросът е кога точно ще се случи това”.

В крайна сметка, според резултатите от проучването на EY, 87% от представителите на управителните съвети и изпълнителните директори заявяват, че не са уверени в кибербезопасността на своите компании, а това означава, че за защитата на информацията трябва да бъде направено още много.

Как може да бъде повишена увереността

Отговорът на този въпрос до голяма степен се свежда до подобряване на възможностите за прогнозиране и през последните години организациите имат напредък в това отношение. Много от тях използват аналитични системи за прогнозиране на възможни събития. Все повече компании внедряват механизми за непрекъснат мониторинг – например чрез създаване на центрове за осигуряване на информационна безопасност (security operations center, SOC) и внедряване на системи за активна защита.

В крайна сметка, компаниите са способни с все по-голяма увереност да прогнозират кибератаки. През 2016 г. 50% от организациите участващи в проучването на EY заявяват, че са в състояние да предвидят кибератака с висока вероятност. Това е най-високият показател за увереност от 2013 г. насам.

Въпреки постигнатият прогрес, организациите трябва да направят още много за развитието на базовата функционалност в сферата на прогнозирането на киберзаплахи, за което говорят следните резултати от проучването:

  • 44% от анкетираните нямат SOC.

  • 64% нямат специална програма за събиране и анализ на информация за киберзаплахи или се ограничават с неформални мероприятия в тази сфера.

  • 55% не разполагат със средства за идентификация на уязвимостите или прилагат за тази цел неформални методи.

На този фон, анализаторите от EY обръщат внимание на още няколко аспекта, които според тях могат да подтикнат компаниите да преразгледат кардинално своя подход към киберсигурността, а именно:

>> Видимите и невидимите вреди. 62% от организациите не планират да увеличават разходите си за киберсигурност след нарушения, които не са нанесли вреда. Всъщност, в повечето случаи има вреда, но няма явни признаци за нейното наличие. Киберпрестъпниците често провеждат пробни атаки, след което известно време не предприемат никакви дейности, или осъществяват проникване като отвличаща вниманието маневра, за да осъществят по-сериозна атака срещу ресурс, който действително ги интересува. Компаниите трябва да вземат решенията за своите инвестиции в средства за защита, като приемат, че всяка кибератака нанася вреда, а ако последствията не са очевидни, то те просто още не са се проявили.

>> Защитата на екосистемата. В съвременния цифров свят, където всичко е взаимосвързано, всяко събитие в екосистемата на компанията, обхващаща нейни доставчици, клиенти, държавни институции и други участници, може да се отрази и на самата компания. Това е много сериозна област на риск, на която компаниите често не обръщат достатъчно внимание, което личи от данните, обобщени от EY. Например 68% от анкетираните не планират да увеличат разходите си за информационна сигурност, дори ако техен доставчик или партньор е бил обект на кибератака, независимо от това, че чрез него се открива възможност за атака непосредствено към компанията. Също така 58% от компаниите не планират да увеличат разходите си за защита на информацията в случай, че на атака е подложен техен конкурент, въпреки че е добре известно, че киберпрестъпниците обикновено предприемат серии от атаки към организации със сходна информационна и оперативна инфраструктура, използвайки опита от една успешна атака при провеждане на останалите. Анализирайки инцидентите, настъпващи в заобикалящата ги екосистема, компаниите могат да подобрят значително своята система за прогнозиране на киберзаплахи.

>> Влиянието на Интернет на нещата (IoT). Появата на IoT и стремителният ръст на броя свързани с мрежата устройства предявяват повишени изисквания към функционалността за прогнозиране на киберзаплахи. Според проучването на EY, 73% от анкетираните се безпокоят от ниското ниво на осведоменост за заплахите, свързани с използването на мобилни устройства. Други въпроси, които тревожат компаниите са: как да се организира събирането на информация за многобройните устройства, включени към корпоративната мрежа (46%); как тези устройства да бъдат защитени от вируси и как достатъчно бързо да инсталират на тях обновявания за отстраняване на уязвимости (43%); как да се управляват точките за достъп до корпоративната мрежа, чийто брой постоянно расте (35%).

Компаниите са принудени да решават и цял кръг проблеми, свързани с увеличения трафик на данни. 49% от анкетираните не са уверени, че са в състояние ефективно да открояват подозрителен трафик в своите мрежи. 44% се съмняват в това, че могат да проследяват достатъчно добре лица, които имат достъп до вътрешни данни. 40% признават, че не могат да откриват скрити и неизвестни атаки от тип “нулев ден”.

Отделен кръг проблеми пораждат разширяващите се екосистеми. За компаниите става все по-трудно да преценят, каква част от тяхната екосистема може да повлияе на тяхната киберустойчивост.

Обмен на информация и взаимодействие

Въпросите, свързани с киберсигурността все повече привличат вниманието на държавни институции и други организации. Появяват се нормативни документи за кибер рисковете в различни индустрии, нараства интереса към тази сфера и от страна на законодателите. На този фон, можем да очакваме приемането на нови нормативни актове и закони. В много страни по света се разработват стандарти за безопасност за критично важни обекти на инфраструктурата. Все по-често се чуват призиви за по-активен обмен на информация и по-тясно взаимодействие, както и за предоставяне на задължителни отчети за кибератаки с цел съвместна борба с киберпрестъпниците. С голяма доза сигурност можем да очакваме въвеждането на задължителна отчетност за събития в сферата на информационната сигурност. Но дори ако това не стане в близко бъдеще, общата атмосфера днес е такава, че регулационните органи, заинтересованите страни, бизнес партньорите и дори клиентите искат да разширяват своите знания за киберсигурността. Затова компаниите трябва да бъдат готови да подготвят такава отчетност, а също така да търсят възможности за обмен на информация и взаимодействие с други страни. Данните от проучването на EY очертават следните тенденции:

  • Центровете за сигурност на операциите (SOC) на 49% от анкетираните компании осъществяват взаимодействие и обмен на данни с други такива центрове в своите индустрии.

  • Центровете за сигурност на операциите на 38% от компаниите осъществяват взаимодействие и обмен на данни с други такива центрове в институции от държавната администрация.

Рискове и защита

Като цяло компаниите значително са подобрили своите системи и средства за защита от киберзаплахи, и много от тях заявяват, че успешно отразяват огромен брой атаки всеки ден. Хакерските атаки обаче могат да приемат различни сложни форми. Реализираните в рамките на “корпоративен щит” контролни мероприятия, които в много случаи успешно се справят с прости DDoS атаки или вируси, често се оказват недостатъчно ефективни пред лицето на по-усъвършенствани и целенасочени атаки, които организираните киберпрестъпници могат да предприемат всеки ден, ако са твърдо решени да проникнат в дадена ИТ среда.

В проучването на EY през 2015 г., 88% от анкетираните отбелязват, тяхната функцията по киберсигурност не съответства напълно на потребностите на организацията. През 2016 г. аналогичният показател е 86%, което не може да се определи като значителен напредък. Очевидно, активно вземаните мерки са недостатъчни, на фона на изпреварващите действия на киберпрестъпниците. Данните от проучването на EY потвърждават тази теза. Така например, почти половината от анкетираните през 2016 г. (48%) посочват остарелите средства за контрол или архитектури за безопасност области с висока степен на уязвимост. През 2015 г. на това мнение бяха едва 34%. През 2016 г. 55% от анкетираните посочват като основен източник на риск невнимателното или некомпетентно отношение на сътрудниците, спрямо 53% през 2015 г.

Като цяло, резултатите от проучването през 2015 г. показваха значителен ръст на увереността на компаниите, които бяха започнали да възприемат много точки на уязвимост и заплахи като по-малко сериозни проблеми. Но тази увереност бързо се стопи на фона на нарасналите рискове, свързани с човешкия фактор и осъзнаването на това как киберпрестъпниците могат да използват слабостите на сътрудниците. През 2016 г. проучването констатира значителен ръст на загрижеността за тези рискове. Накратко, година по-рано на компаниите им се струваше, че вече са се научили как да се защитават активно от атаки, но по-задълбоченото разбиране на съвременните заплахи промени това тяхно мнение.

Активизация на защитата

Независимо от постоянната промяна на характера на атаките, фундаменталните принципи на киберсигурността си остават валидни – противодействие, защита, минимизация и неутрализация. Развитието на услугите и инструментите за защита не остана на едно място през годините, така че компаниите могат да избират сред различни ефективни решения за противодействие на киберзаплахите. Въпреки това 57% от участниците в проучването на EY съобщават, че в тяхната компания неотдавна е имало инцидент, свързан с киберсигурността, което показва, че повечето организации трябва да предприемат допълнителни мерки за изграждането на надежден “корпоративен щит”. Нивото на зрелост на много важни процеси все още е ниско и организациите трябва да решат редица задачи за да променят това. Ето каква част от участниците в проучването на EY считат, че следните процеси, свързани с управлението на информационната сигурност в техните организации са достатъчно зрели:

  • Безопасност на софтуера – 29%

  • Мониторинг на сигурността – 38%

  • Управление на инцидентите – 38%

  • Управление на идентификацията и достъпа на потребителите – 38%

  • Безопасност на мрежата – 52%.

Прилагайте нетривиален подход

Когато става дума за средства за защита, организациите посочват на първо място технологични бариери от типа на криптографска защита или firewall. Има обаче и други начини за противопоставяне на заплахите и минимизиране на последствията от кибератаки. Напоследък все по-ясно изразени са две тенденции:

>> Преход от концепцията за отказоустойчивост към концепцията за безопасно възстановяване. До скоро компаниите насочваха усилията си основно върху изграждането на ефективни, надеждни, стабилни и отказоустойчиви системи, които да бъдат в състояние да издържат на неочаквана кибератака, и това бе правилно решение. Но на фона на непредсказуемия характер и безпрецедентния мащаб на киберзаплахите подходът към повишаване на киберсигурността не може повече да се ограничава до отказоустойчивостта. Днес основна задача е разработването на система, която да гарантира на бизнеса защита, дори в случай на срив. Системата за киберсигурност трябва да бъде “по-умна” и надеждна, тя трябва да бъде изграждана на принципа на еластичната устойчивост. Тя трябва да бъде снабдена с механизми, които при откриване на заплаха ще могат да смекчат удара, да намалят неговата скорост и да минимизират последствията. При това, частичният срив на система следва да се разглежда като начин да се ограничи радиуса на пораженията. Експертите наричат тази стратегия накратко “превключване от fail-safe to safe-to-fail”.

>> От защита към разумна жертва. Съвременните технологии позволяват определена информация или операции да бъдат пожертвани в интерес на защитата на цялата мрежа. Правилната конфигурация на системите с отчитане на апетита за риск на организацията позволяват тази опция да се реализира във вид на автоматичен отговор. В частност, когато центърът за оперативна сигурност открие заплаха от високо ниво за някаква система, нейният собственик получава предупреждение, че работата и ще бъде спряна за да се предотврати разпространяване на заплахата.

Бюджетите растат, но достатъчни ли са?

В периода от 2013 до 2016 година бюджетите за киберсигурност са нараствали всяка година. През 2016 г. 53% от анкетираните посочват, че през последните 12 месеца средствата предвидени за защита на информацията в техните организации са увеличени. За сравнение, през 2013 г. такъв отговор са дали 43%. Освен това 55% от участниците в последното проучване на EY планират да заделят повече средства за сигурност през следващите 12 месеца (спрямо 50% през 2013 г.). Растат и максималните размери на бюджетите: компаниите, в които това перо от разходите (включително за персонал, процеси и технологии) е под $2 млн. са били 76% през 2013 г., а през 2016 г. те са 64%. В същото време все повече организации заделят за целите на киберсигурността от $10 млн. до от $50 млн.

Въпреки всичко изброено, повечето компании отбелязват необходимостта от допълнително финансиране: 61% казват, че финансовите ограничения са проблем, а 86% твърдят, че са им необходими с около 50% повече средства. Но предизвикателствата не са свързани само с бюджета. С пари могат да бъдат решени проблемите произтичащи от дефицита на квалифицирани специалисти, но няма как да се купи подкрепата на топ мениджмънта.

Ролята на топ мениджмънта

За повишаване на устойчивостта на бизнеса при киберзаплахи изключително важна е подкрепата и лидерската роля на топ мениджмънта. Докато мероприятията в областта на прогнозирането и традиционните системи за защита са в сферата на отговорност на директорите по ИТ и информационна сигурност, то осигуряването на устойчивост на бизнеса изисква от ръководството на компанията активно участие и координация на всички мероприятия за реагиране. От 2013 г. досега броят на анкетираните, които съобщават за недостатъчна осведоменост и подкрепа от страна на ръководството, остава неизменен – 31-32%, което се отразява отрицателно на кибербезопасността на компаниите.

Реакцията при кибератака

Ако компанията е обект на разрушителна кибератака и трябва незабавно да реагира, висшето ръководство, включително борда на директорите, трябва играе главна роля този процес. Планът за възстановяване след срив може да има недостатъци. Възможно е да има проблеми с неговото изпълнение, а колкото по-дълго те остават нерешени, толкова повече ще се влошава ситуацията. Дори ако организацията възстанови дейността си след атаката, нейната репутация и доверието към нея може да бъдат разклатени. Това може да се избегне, ако компанията сама съобщи за инцидента и вземе разпространението на информацията под свой контрол, изпреварвайки новинарските издания и социалните мрежи. Много организации обаче още не са готови за такива действия. 42% от анкетираните компании нямат съгласувана стратегия или план за информационно взаимодействие в случай на сериозна атака. В срок от 7 дни след атака 39% изпращат официално изявление на медиите, а 70% уведомяват регулаторните и надзорните органи. 46% от анкетираните не планират да информират клиентите си, а 56% не планират да информират доставчиците си, дори ако е нарушена поверителността на техните данни.

Задачите, свързани с реагирането при кибератаки се усложняват и от това, че голяма част от компаниите разчитат прекалено много на вътрешните си ресурси, когато става дума за проверка и управление на тяхната киберсигурност. Така например 79% от анкетираните сами изпращат фишинг съобщения с цел да проверят нивото на осведоменост на техните служители по въпросите на сигурността, 64% провеждат самостоятелно тестове за проникване, 81% разследват сами инциденти, свързани с нарушения на безопасността.

Накратко, данните от изследването на EY показват, че е необходимо значително усъвършенстване на способностите за реакция при кибератаки. Въпреки, че функционалността в областта на реагирането заема една от водещите позиции в списъка на приоритетите на компаниите, за това направление все така се отделят доста ограничени средства.

В заключение

Както отчита високата вероятност за кибератака, всяка организация би трябвало, в рамките на общата си стратегия за управление на рисковете, да разработи централизирана система за реагиране на заплахи свързани с киберсигурността. Централизираната програма за реагиране при нарушения на сигурността (cyber breach response program, CBRP) осигурява единно решение, обединяващо усилията на широк кръг заинтересовани страни, които трябва да работят съвместно за отстраняването на последствия в случай на кибератака.

Източник: “Path to cyber resilience: Sense, resist, react”, EY, 19th Global Information Security Survey 2016-17


X