Как внедрить управление рисками кибербезопасности
В этой книге есть три общие темы:
1) что такое измерения;
2) как применять измерения;
3) как улучшить измерения.
От своих предшественниц, книг «Как измерить все, что угодно. Оценка стоимости нематериального в бизнесе» и The Failure of Risk Management, она отличается тем, что ориентирована на конкретную область. Более того, книга создавалась как дорожная карта для построения системы управления рисками кибербезопасности и стратегических технологических методов управления рисками для руководителей высшего звена. По нашему мнению, на данный момент кибербезопасность как операционную функцию необходимо переопределить на основе количественных показателей управления рисками. Данная книга пропагандирует количественные методы и предлагает дополнительные аргументы в их пользу. Если вам кажется, что управление рисками кибербезопасности (УРК) должно представлять собой программу, а не набор количественных приемов, то эта глава как раз для вас. Здесь мы рассмотрим, как может выглядеть такая программа и как она может работать вместе с другими функциями, связанными с технологическими рисками.
Составление стратегической хартии управления рисками кибербезопасности
Данный раздел отвечает на вопрос «Какова должна быть стратегическая корпоративная роль управления УРК?». То, что понимается нами под функцией УРК, должно стать первым аспектом для рассмотрения крупных инвестиций на уровне высшего руководства или совета директоров. Решения по-прежнему принимают руководители, но они пользуются количественными методами для сложения, умножения и деления долларов и вероятностей. Порядковые шкалы и другие фальшивые методы оценки риска неприемлемы.
Функция УРК является функцией уровня руководства высшего звена. Выполнение этой функции может возлагаться на руководителя отдела информационной безопасности, но мы бы отнесли ее выше по субординации – к его начальнику, в свою очередь подчиняющемуся непосредственно генеральному директору или совету директоров. Если руководитель отдела информационной безопасности обладает подобными полномочиями, тогда это, конечно, тоже может сработать, но для этого ему придется сменить круг обязанностей. «Информация и безопасность» завязаны на «риск», который рассматривается исключительно как вероятность и воздействие в понимании актуария. Что касается обязанностей или изменения должности, нам встречались такие варианты, как «главный специалист по управлению технологическими рисками» и «главный специалист по рискам». К сожалению, последний, как правило, выполняет чисто финансовые и/или юридические функции. Как бы ни называлась должность, она не должна находиться в подчинении у директора по IT / технического директора, в противном случае это все равно, что назначить лису следить за курятником. Функция УРК отвечает интересам генерального директора и совета директоров и нужна для защиты бизнеса от неудачных инвестиций в технологии.
Хартия в целом такова.
• Деятельность по УРК подотчетна генеральному директору и/или совету директоров. Должность руководителя может называться «главный специалист по управлению технологическими рисками», «главный специалист по рискам» или, возможно, «руководитель отдела информационной безопасности», при условии что его обязанности будут качественно переопределены.
• Функция УРК должна рассматривать все крупные инициативы с учетом технологических рисков, в том числе корпоративные поглощения, крупные инвестиции в новые технологии для предприятия, венчурные инвестиции и т. п. «Рассматривать» здесь означает количественно оценивать и прогнозировать потери, прибыли и стратегические меры по смягчению последствий, а также связанные с этим оптимизации.
• В обязанности УРК также входит мониторинг и анализ существующих вложений в средства контроля безопасности. Задача состоит в оптимизации вложений в технологии с учетом вероятных будущих убытков. Размерное моделирование и связанные с ним техники, описанные в главе 11, являются при этом ключевыми. С операционной точки зрения целью данной функции является ответ на вопрос «Эффективно ли взаимодействуют между собой наши вложения в борьбе с ключевыми рисками?».
• В УРК применяются проверенные количественные методы для понимания и передачи информации о риске в денежном выражении. Кривые вероятности превышения потерь должны стать средством для обсуждения и визуализации рисков, а также связанных с ними инвестиций в смягчение последствий с учетом рискоустойчивости. Сюда входят риски, связанные с одним приложением, и/или их совокупность из одного или нескольких портфелей риска.
• Специалист по УРК отвечает за поддержание рискоустойчивости компании совместно с финансовым директором, главным юрисконсультом и советом директоров. В частности, КПЭ, используемым для управления рисками, должно быть «превышение допустимого риска».
• Функция УРК отвечает за руководство технологическими программами управления исключениями, нарушающими допустимый уровень риска, и их мониторинг.
• Функция УРК обеспечивает политику киберстрахования совместно с юридической и финансовой функциями, в том числе УРК определяет базовые параметры, на основе которых строятся модели страхования.
Роли и обязанности УРК в организации
На рис. 12.1 показан пример организационной структуры УРК. Такая структура больше подходит для крупной компании (вроде тех, что входят в список Fortune 1000) с оборотом в сотни миллионов, а то и в миллиарды долларов, которые могут оказаться под угрозой. Отсюда следует, что инвестиции в технологии являются ключевой стратегической инициативой, которую довольно просто претворить в жизнь в наши дни. А также что риски кибербезопасности находятся в пятерке, если не в тройке самых серьезных рисков, рассматриваемых на уровне совета директоров или генерального директора.
Команда специалистов по количественному анализу рисков состоит из квалифицированных аналитиков, умеющих находить подход к людям. Их можно сравнить с консультантами или советниками, но отличие заключается в том, что они обладают навыками количественного анализа. По сути, это специалисты по теории принятия решений, умеющие и программировать, и конструктивно общаться с профильными экспертами и руководителями. Должность является высокооплачиваемой и, как правило, требует наличия у кандидата дипломной работы по статистике и/или степени магистра делового администрирования в области количественного анализа. И хотя соответствующее образование приветствуется, ключевыми факторами все же являются хорошие навыки количественного анализа и деловая хватка. Специалистам в области статистики и количественного анализа придется работать бок о бок с экспертами по безопасности и руководителями. По мере того как позиции кибербезопасности – дисциплины, требующей измерений (как и большинство наук), – будут укрепляться, эта роль и набор навыков будут встречаться все чаще.
Рис. 12.1. Функция управления рисками кибербезопасности
Важно подобрать правильное соотношение проведения количественного анализа и задач по оценке риска. С практической точки зрения в каждый конкретный момент времени для запуска и сопровождения доступно ограниченное количество моделей. Соотношение 10:1 новых моделей на одного аналитика кажется целесообразным. Но это зависит от сложности моделей. Кроме того, завершенные модели нуждаются в постоянном отслеживании текущих рисков относительно уровня рискоустойчивости. Здесь, безусловно, большим подспорьем оказываются корпоративные технологии, однако даже с продвинутой предписывающей аналитикой необходимость консультирования по поводу превышения допустимого уровня риска все равно никуда не исчезает. То есть если потребуется оптимизировать определенный портфель рисков, возможно путем приобретения новых технологий и/или вывода из эксплуатации неудачных инвестиций, то надо учитывать, что весь этот процесс занимает время. Ведь количественный анализ рисков будет задействован и во всех текущих обсуждениях по определению рисков, и в разработке моделей с использованием статистики и статистических инструментов (R, Python и т. д.), и в координации работы с технологами компании с целью проектирования и создания систем мониторинга рисков в режиме реального времени.
При помощи команды специалистов по количественному анализу рисков можно, конечно, собрать обучающие материалы по количественной оценке и даже проводить тренинги, но все же основная задача здесь – внедрить количественный подход на различных уровнях организации. Это похоже на построение общей структуры безопасности в инженерных и IT-командах (мы предполагаем, что вы уже этим занимаетесь).
Ваши возможности по расширению штата специалистов по количественному анализу рисков весьма ограничены – их мало, они дорого обходятся, и их трудно удержать, ведь такие специалисты очень востребованы. Поэтому, если вы собираетесь бороться со злоумышленниками, необходимо активно развивать соответствующие инструменты и навыки в целом. И для выполнения этой функции понадобится команда по разработке и предоставлению контента, а также кто-то, кто ее возглавит. При этом использование технологий для достижения результата становится ключевым моментом в крупных, распределенных организациях.
Самая дорогостоящая и затратная в операционном плане функция. Она предполагает использование больших данных, потоковой аналитики и облачных решений для поддержки множества результатов аналитической деятельности. Команде аналитиков предстоит управлять перемещением больших массивов данных и соответствующим развертыванием телеметрии в системах. Если вы надеетесь внедрить хотя бы часть практик из главы 11, пользуясь методологией Agile, именно данная группа должна этим заниматься. В ее составе должны быть системные инженеры, администраторы баз больших данных, программисты и т. д. Это оптимизированное IT-подразделение, ориентированное на аналитические результаты.
Деятельность, затрагивающая множество функций в нескольких подразделениях, является программой. Функция УРК, как правило, как раз реализуется в различных подразделениях. Команда количественного анализа рисков занимается технической стороной, но всё вместе, от вовлечения через обучение и развитие до технологий, связывает функция управления программой. Не стоит перегибать палку в этом вопросе, но и не экономьте на управлении программой, иначе вас ждет провал.
Можно было бы еще подробнее обсудить каждую роль и функцию, расписав различные матрицы, должностные инструкции, диаграммы Ганта и т. п. Но в этом нет необходимости. Все описанные в книге практики знакомят с основным содержанием более крупной функции управления рисками кибербезопасности. Роли и обязанности достаточно адаптивны. Вы можете для начала потренироваться с минимальными затратами на одном или двух проектах с помощью одних лишь предоставленных электронных таблиц. Однако, если вы всерьез намерены противостоять злоумышленникам с помощью аналитики, вам нужен план. Прежде всего определите, на каком этапе модели зрелости, описанной в начале третьей части, вы находитесь. Затем наметьте курс развития навыков и систем, которые позволят создать возможности для предписывающей аналитики. Наличие плана устраняет ключевое препятствие на пути к успеху. Как сказал Бенджамин Франклин: «Те, кто не готовится, готовятся к неудаче!»
Существует множество потенциальных преград вроде неудачного планирования, мешающих добиться успеха, но есть одна институциональная преграда, способная затруднить количественный анализ: аудиты соответствия. В теории аудиторские проверки должны помочь убедиться, что действия происходят в нужное время и нужным образом. В этом смысле аудиты – отличная вещь. Но они становятся проблемой, когда функции управления рисками фокусируются на удовлетворении аудита вместо управления реальными рисками. Именно поэтому, вероятно, генеральный директор компании Target был шокирован, когда у них произошла утечка данных. Согласно его официальному заявлению, компания соответствовала стандарту индустрии платежных карт. Другими словами, настрой на соответствие преобладает над настроем на управление рисками, и это смертельная ошибка перед лицом наших врагов.
А если бы существовала функция аудита, оценивающая (действительно измеряющая) эффективность подходов к управлению рисками? То есть могла бы она определить фактическое влияние на снижение риска мягких методов в сравнении с количественными методами? А если проверить алгоритмы балльной оценки? Конечно же, тогда нужно будет протестировать и передовые методы, такие как симуляции по методу Монте-Карло, бета-распределение и т. п. Прекрасно! Опять же мы считаем одной из причин неудач непроверенные мягкие методы.
Однако есть риск, что это приведет к противоположному результату. Например, что, если методы, основанные на измерении неопределенности, подвергались бы аудиту потому, что считаются новыми, а методы, где используются матрицы рисков, порядковые шкалы и системы балльных оценок, уже по обратной причине оставались без проверки? Это могло бы помешать внедрению количественных методов. К сожалению, как вы узнаете далее, так и произошло по крайней мере в одной отрасли. Мы приводим эту ситуацию как пример аудита соответствия, который вышел из-под контроля и мог бы оказать сильное негативное влияние на управление рисками кибербезопасности.
Аудит аудита
Аудит играет ключевую роль в обеспечении качества моделей риска, особенно в таких жестко регулируемых областях, как банковское дело и страхование. При разработке новых количественных моделей, оказывающих влияние на финансовые операции, аудит является необходимой контрольной точкой, позволяющей убедиться, что модели не приведут к непредвиденным последствиям, скажем, из-за простых ошибок, вкравшихся в сложные формулы. Подобный тщательный анализ должен применяться к любой модели, предложенной для финансовых операций и, конечно, для решений, касающихся подверженности организации таким рискам, как неопределенность рынка и кибератаки.
Аудиторы могут воодушевиться, увидев модель, содержащую сложные математические вычисления. Каждый аудитор в какой-то момент своей карьеры проходит через подобное. Здорово ведь наконец-то получить возможность применить на практике что-то, на изучение чего когда-то было потрачено так много времени и сил. Поэтому они с рвением, как им и следует, примутся за модели, содержащие некоторые статистические данные и, возможно, симуляции по методу Монте-Карло. Если заявляется, что метод основан на каких-то научных исследованиях, о которых аудиторы не слышали, они должны потребовать ссылки на исследования. Если модель довольно сложная, вероятно, следует провести аудит дважды, пригласив двух разных специалистов. И если в процессе проверки в модели обнаружится ошибка, то те, кто эту модель разработал, если их интересует в первую очередь качество, должны с радостью ее исправить.
Однако даже добросовестные и квалифицированные аудиторы, сами того не желая, мешают внедрению более совершенных моделей при принятии решений. В некоторых случаях более сложная модель приходит на смену очень мягкой, ненаучной модели. Фактически так было со всеми моделями, разработанными и представленными авторами этой книги. Наши разработки пришли на смену моделям, основанным на методах, против которых здесь уже приводились аргументы: выполнении арифметических действий с порядковыми шкалами, использовании определений типа «средний» в качестве оценки риска, тепловых картах и т. д. Тем не менее все эти мягкие методы не подвергаются такой же тщательной проверке со стороны аудиторов. Если в сфере кибербезопасности появляется метод, в котором нужно лишь субъективно оценить вероятность и воздействие, а затем выразить их с помощью субъективных оценок с использованием неоднозначных шкал, аудиторы не требуют ссылки на исследования, показывающие измеренную эффективность некалиброванных субъективных оценок, обосновывающие метод математически или указывающие на проблемы при использовании вербальных шкал для обозначения риска.
Что же происходит, когда проверяются только методы, содержащие более сложные расчеты? Тех, кто использует простую систему подсчета баллов, которую они сами только что придумали, не будут проверять так же тщательно, как сторонников передовых методов, только благодаря тому, что их метод простой. Это лишает стимула совершенствовать работу с помощью применения количественных и научно обоснованных методов управления рисками и принятия решений.
Чтобы аудит не превратился (наверняка непреднамеренно) в такую дестимулирующую меру в сфере совершенствования процесса принятия управленческих решений, необходимо начать проводить аудит мягких методов так же тщательно, как он проводится в отношении методов, позволяющих аудиторам вспомнить свои знания статистики.
• Аудит проводится для ВСЕХ моделей. Все решения принимаются на основе модели, будь то интуиция руководителя, субъективная система баллов, детерминированный анализ экономической эффективности, стохастические модели или подбрасывание монетки. Аудитору не стоит проверять только то, что сама организация называет моделями. Если какие-то решения принимаются интуитивно, то надо изучить также обширные исследования ошибок интуиции и чрезмерной уверенности и затребовать доказательства того, что такие проблемы никак не касаются рассматриваемой ситуации.
• Модель не должна проверяться строго в своих рамках. Например, если применяется детерминированная модель экономической эффективности в виде электронной таблицы для оценки средств контроля кибербезопасности, недостаточно просто проверить правильность основных финансовых расчетов или спросить, откуда взялись исходные данные. Лучше аудитору начать с вопроса: можно ли вообще применять подобный подход моделирования в этом случае, почему детерминированные методы используются для принятия решений, которые явно опираются на неопределенные исходные данные?
• Тот факт, что вывод модели неоднозначен, не указывает на невозможность измерить ее эффективность. Если модель говорит, что риск «средний», следует задаться вопросом: действительно ли события средней степени риска происходят чаще, чем события низкой степени, и реже, чем события высокой степени риска? Количественные модели часто привлекают внимание, так как их выводы однозначны и могут отслеживаться для сравнения с фактическими результатами. Именно поэтому аудиторы предпочитают изучать статистические, а не мягкие модели. И это на самом деле говорит в пользу первых.
• Аудитору следует попросить предоставить исследования, подтверждающие относительную эффективность данного метода по сравнению с альтернативными вариантами. Если метод предполагает создание цветной тепловой карты, можно обратиться к работам Тони Кокса. Если опирается на вербальные шкалы – к работам Дэвида Будеску и Ричарда Хойера. И если утверждается, что предложенный более мягкий метод каким-то образом позволяет избежать выявленных этими исследователями проблем, то должны быть предоставлены соответствующие доказательства.
• Даже утверждения о том, какие уровни сложности допустимы в организации, не должны приниматься за чистую монету. Если более простой метод балльной оценки предлагается из соображения, что руководство не поймет более сложные методы, то стоит потребовать исследований, подтверждающих данное утверждение (совокупный опыт авторов свидетельствует об обратном).
Одно из обоснованных опасений заключается в том, что аудитору, возможно, придется выполнять очень большой объем работы. Мы, конечно, понимаем, что у них много важных дел и часто не хватает персонала, но все же в ходе аудита можно по крайней мере проверять какие-то ключевые методы, особенно когда они содержат псевдовычисления. Если хотя бы часть мягких моделей начнет подвергаться аудиту в той же степени, что и модели, содержащие математические вычисления, у организаций исчезнет стимул придерживаться научно не обоснованных методов только для того, чтобы избежать аудиторских проверок.
Что должна сделать экосистема кибербезопасности для вашей поддержки
Ранее в этой книге были подробно рассмотрены популярные методы анализа рисков и установлена их несостоятельность. Они не добавляют ценности и, по сути, привносят ошибки. Кто-то скажет, что такие методы помогают хотя бы «начать разговор» об управлении рисками, но поскольку это же можно сделать с помощью многих методов, почему бы сразу не выбрать те, что показывают измеримое улучшение оценок? Кроме того, нельзя продолжать заявлять, что количественные методы непрактичны, поскольку они применялись нами в реальных условиях, будь то симуляции по методу Монте-Карло, байесовские эмпирические методы или более продвинутые их комбинации, описанные в главах 8 и 9. И, наконец, ничего в сведениях о недавних крупных утечках данных не указывает на то, что существующие широко применяемые методы вообще хоть как-то помогали управлять рисками.
И все же мы не укоряем специалистов по кибербезопасности за неэффективные методы. Они следуют рекомендациям организаций по стандартизации и применяют методы, которым их обучили в рамках признанных требований по сертификации. Им необходимо соблюдать нормативные требования и критерии аудита в своих организациях. И в их распоряжении инструменты, разработанные поставщиками, большинство которых ориентируются на более мягкие методы. Таким образом, если мы хотим, чтобы специалисты начали придерживаться иных подходов, должны произойти следующие изменения в экосистеме кибербезопасности.
1. Организации по стандартизации должны прекратить продвижение в сфере управления рисками кибербезопасности матриц риска как «лучших практик» и начать продвигать обоснованные (научные) подходы, если только не будут получены доказательства их неэффективности. Как было нами продемонстрировано, в отношении мягких методов подобных доказательств предостаточно.
2. В дополнение к первому пункту организации по стандартизации должны принять научно обоснованные методы для выявления лучших практик вместо существующих методов, в основе которых лежат рекомендации или мнения комиссий. Если организации по стандартизации смогут продемонстрировать эмпирические доказательства эффективности своих текущих рекомендуемых методов, которых окажется достаточно для опровержения уже имеющихся эмпирических данных, свидетельствующих против них (что кажется маловероятным), только тогда эти методы можно будет снова продвигать.
3. Можно создать организацию, которая будет отслеживать и измерять эффективность работы самих методов оценки риска. Она может быть сформирована по образцу Национальной базы данных уязвимостей, которую ведет NIST, а может – даже как часть этой базы (в конце концов, плачевное состояние методов оценки риска определенно стоит считать уязвимостью уровня государства). Тогда организации по стандартизации могли бы при выборе опираться на информированный, основанный на фактах анализ альтернативных методов.
4. Программы сертификации, обучающие применению матриц рисков и порядковых шкал, должны перейти на обучение как уже существующим научно обоснованным методам, так и новым методам, появляющимся по мере накопления доказательств (полученных из опубликованных исследований и благодаря осуществлению перечисленных выше действий).
5. Аудиторы должны начать применять стандарты пригодности модели в равной степени ко всем методам, чтобы не создавать препятствий для использования более эффективных методов. Когда и мягкие, и количественные методы станут проверяться одинаково тщательно (вместо того чтобы оценивать только последние и по умолчанию переходить к первым в случае обнаружения каких-либо проблем), то в итоге, мы уверены, будут приняты более эффективные методы.
6. Регулирующие органы должны способствовать изменениям. Понятно, что консервативные регуляторы меняются медленно, но им следует хотя бы начать процесс признания неадекватности методов, которые в настоящее время считаются «соответствующими требованиям», и поощрять более эффективные методы.
7. Поставщики, консультанты и страховые компании должны ухватиться за коммерческие возможности, связанные с методами, описанными в этой книге. Опрос, упомянутый в главе 5, показал высокий уровень принятия количественных методов среди специалистов по кибербезопасности. Растет количество доказательств неэффективности ряда наиболее популярных методов и эффективности строгих научно обоснованных методов. Те, кто первыми станут продвигать методы, способные показать измеримые улучшения, получат преимущество. Страховые компании уже начинают понимать, что научно обоснованные методы – верное решение. Применение таких методов клиентами страховых компаний и качество их применения должны в итоге стать частью процесса страхования.
Удастся ли избежать «Большого взлома»?
«Большой взлом», который упоминался в главе 1, представляет собой масштабную кибератаку, затрагивающую несколько крупных организаций. В том числе следствием может стать сбой в работе основных служб, например оказывающих коммунальные услуги и услуги связи. Это в сочетании со значительным снижением доверия к онлайн-транзакциям и операциям по платежным картам может оказать на экономику гораздо большее влияние, чем затраты отдельной крупной компании – даже крупнейшей из пострадавших на сегодняшний день.
Характер атаки на компанию Target – один из показателей природы риска. Она была атакована таким образом, что раскрыла угрозу, общую для многих предприятий: компании и их поставщики связаны друг с другом, и многие из них соединены в сети со множеством прочих компаний. Так или иначе с ними связаны даже правительственные учреждения. Все организации разделены всего одним или двумя уровнями связи. Если поставщик услуг может обнажить уязвимость компании и если у этого поставщика много клиентов, а у этих клиентов много поставщиков, то получается своего рода общий сетевой риск, который хотя еще и не эксплуатировался, но вполне возможен.
Анализ рисков, связанных с подобной ситуацией, слишком сложен, чтобы его можно было выполнить с помощью существующих популярных методов или в голове любого из ведущих экспертов. Правильный анализ потребует создания реальных количественных моделей для расчета воздействия всех связей. Организации с ограниченными ресурсами (а они, конечно же, ограничены у всех) должны будут применять рациональные научно обоснованные методы, решая, каким образом снижать такие риски. Начав соглашаться с этим, мы сможем повысить шансы на то, что удастся избежать «Большого взлома» или, по крайней мере, восстановиться после него с меньшими затратами.