Найти и обезвредить: зачем нужен кибераудит

В топ-10 наибольших рисков для мировой экономики на 2018 год, составленном и обнародованном изданием The Economist, пятую строчку заняли массированные кибератаки. Уже сейчас киберпреступления, в том числе программы-вымогатели, ежегодно наносят глобальной экономике ущерб на почти $600 млрд. Такие данные приводит Центр стратегических и международных исследований (CSIS) на основании результатов исследования, проведенного совместно с фирмой-производителем защитных программ McAfee. Исходя из этого, можно утверждать, что защита бизнеса от «сетевых» опасностей становится не только все более актуальным, но и откровенно необходимым аспектом предпринимательской деятельности.

Для простоты понимания безопасность бизнеса и, в частности, кибербезопасность можно сравнить со здоровьем человека или техническим состоянием автомобиля. Их статус будет положительным (человек здоров, а машина – на ходу), если придерживаться элементарных правил: профилактика, периодические проверки (осмотры) и быстрое принятие мер в случае возникновения проблем. В кибербезопасности все так же, утверждает Виталий Якушев, операционный директор  компании 10guards. По его словам, бизнес должен понимать, какие риски для него несет киберпространство, делать периодические аудиты и иметь план на случай возникновения киберугроз. Подробнее – в материале для Mind.

На какие группы можно разделить периодические аудиты?

Аудит текущих процессов, политик и процедур кибербезопасности. Желательно проводить после переоценки текущих рисков бизнеса и принимать меры по их устранению и/или компенсации к актуальному виду. Главный результат этих аудитов – на выходе получить реально работающие инструменты, а не просто прописанные для галочки.

Аудит текущего уровня защищенности от киберугроз. Включает в себя поиск уязвимостей, моделирование хакерских атак, тесты на проникновение и т.п. Этот тип аудитов – уже как краш-тест или стресс-тест для бизнеса и/или технического персонала, проверка на реагирование персонала на киберугрозы, а также проверка реального внедрения политик, процессов и процедур. Во время таких аудитов также могут выявляться так называемые теневые IT-системы (Shadow IT), которые формально в компании не задокументированы и неизвестны IT-персоналу.

Аудит на соответствие требованиям регуляторов, стандартов (compliance). Здесь понятный аудит, который помогает компании получить сертификацию и/или лицензию. Зачастую считаются аудитами для галочки, но при внедрении всех требований регуляторов/стандартов бизнес однозначно становится безопаснее и киберустойчивее.

Зачем проводить кибераудиты?

В любом случае цель каждого из вышеперечисленных аудитов кибербезопасности не должна быть «аудит ради аудита». Это срез текущего состояния кибербезопасности (в том или ином виде в зависимости от типа аудита), который позволит понять, где вы находитесь и куда нужно двигаться далее для улучшения общего состояния кибербезопасности, а также уменьшения киберрисков или последствий их возникновения.

Так как риск – величина вероятностная, то есть может наступить, а может – и нет, то оправдать аудиты однозначными объективными расчетами очень сложно. В принципе, работа с рисками, риск-менеджмент – это показатель зрелости бизнеса, который мыслит стратегически. В доказательство этому – большинство крупных западных компаний проводит аудиты кибербезопасности на постоянной основе. Такие программы называются bug bounty, охота за ошибками. 

Где и зачем охотятся за ошибками?

Их цель – находить проблемы кибербезопасности в продуктах или в кибербезопасности самой компании и получать за это вознаграждение. Существуют глобальные платформы, где запускают программы bug bounty, например, HackerOne, BugCrowd. Также некоторые компании запускают bug bounty на собственных ресурсах. В Украине одна из них – ПриватБанк. Важно понимать, что программы bug bounty действуют параллельно с другими типами аудитов, особенно с аудитами на соответствие, без которых сложно самостоятельно получить необходимые сертификаты/лицензии.

Стоимость аудитов варьируется от их типа, квалификации аудиторов и величины аудируемой компании, и может составлять как тысячи, так и десятки тысяч долларов. Экономический эффект от аудитов сложно посчитать напрямую, так же, как и эффект от проведения медосмотров или техосмотров.

Однако косвенно качественно проведенный аудит может вскрыть проблемы безопасности, которые зачастую приводят к прямым или непрямым финансовым потерям, простою отдельных бизнес-процессов или бизнеса в целом. Поэтому пренебрегать проведением периодических аудитов не стоит, а тип аудитов следует выбирать в зависимости от текущих условий и задач бизнеса.