Неадекватность существующего подхода к достижению приемлемого уровня кибер-защищенности для цифровой трансформации

1 Возрастание изощренности и размаха кибер-атак (по материалам конференции cybercon.eu, 2018)

Предсказания от IBM:

Современные атаки строятся по следующему алгоритму: а) находится социальная или партнерские связь с объектом атаки, б) создается слабина в защите объекта атаки, в) внедряется агент, которого обычно обнаруживают через месяцев 6, г) агент делает что-то в системах объекта атаки. Стоимость такой атаки оценивается, как минимум, в 1 MUSD с привлечением специалистов DarkNet и, возможно, фрилансеров.

Кибер-атаки считаются частью гибридной войны и, хотя, практически невозможно доказать кто атаковал, во многих случаях виноватый назначен заранее. Не удивительно, что Евросоюз и НАТО создали «European Centre of Excellence for Countering Hybrid Threats» https://www.hybridcoe.fi/

 

Направления кибер-атак весьма различны:

Физические средства связи
ИИ алгоритмы
Манипуляция данными
Инфраструктура энергетики

2 Реакция «сил добра» весьма предсказуема

1. Ситуация выгодна для консультантов по кибер-безопасности тарифы на чьи услуги растут.

2. ИТ гиганты продают много ИТ продуктов и услуг для информационной безопасности «The global cybersecurity market is currently valued at over $120 billion, up from just $3.5 billion in 2004,» https://www.darkreading.com/threat-intelligence/the-good-and-bad-news-about-todays-cybersecurity-investment-landscape/a/d-id/1332361

3. Ответственные за информационную безопасность требуют места в Совете Директоров, что соответствует бюрократическому менталитету – вместо глубокого изучения и всестороннего решения проблемы, следует назначить ответственного за нее.

4. Вместо кибер-безопасности пошли разговоры об “корпоративной” безопасности https://en.wikipedia.org/wiki/Corporate_security, что соответствуют известному бюрократическому приему – если не можешь что-то сделать, то нужно пообещать сделать что-то бОльшее, также, с теми же людьми, но с меньшими ресурсами.

5. Политики используют кибер-безопасность для манипуляций.

3 Почему существующий подход к кибер-защищенности неадекватен размаху кибер-угроз

1. Существующий подход с кибер-защищенностью основан на принципе создания системы защиты для защищаемой системы – типа крепостных стен вокруг городища. (см. иллюстрацию из https://www.linkedin.com/pulse/fortress-mindset-strategic-mindset-embedding-security-paul-gibson/ ) При этом системы защиты (группа кибер-безопасности) и защищаемая система (собственно контора, предприятие, компания, организация) «живут» сами по себе, что создает расхождение интересов и запаздывание исполнения необходимых работ. 

2. Существующая кибер-безопасность построена на эмпирических практиках. Наука и математика полностью отсутствуют за исключением криптографии. Поэтому невозможно объективно «вычислить» уровень безопасности любой конторы.

3. Зная, что DarkNet легко может объединить топ-специалистов для кибер-атаки какой-то конторы, а отдельная контора не обладает возможность быстро «возвести более высокие стены», то существующий подход, из-за своего «ответного» характера, заведомо проигрышный по финансовым соображениям.

4. Вовлечение же ответственного за кибер-безопасность (Chief Information Security Office) на уровень высшего руководства показывает бессилие руководства (эффект страуса). Следуя такой логике, ответственный за данные (Chief Data Officer), ответственный за «цифру» (Chief Digital Officer), ответственный за цифровое преобразование (Chief Digital Transformation Officer), ответственный за ИКТ (Chief Information Officer), ответственный за технологии (Chief Technology Officer) тоже должны быть на уровне высшего руководства. Зная что все эти роли тесно переплетаются и имеют несовпадающие интересы, то высшее руководство становиться дискуссионным клубом по ИТ интересам. Ну а требование высшего руководства страны обеспечить безопасность общества, бизнеса и граждан в условиях цифровой реальности является практически невыполнимым в позиции «страуса».

4 Некоторые характеристики требуемого подхода к кибер-защищенности

1. Уровень защищенности любой системы является одной из эмерджентных характеристик этой системы. Поэтому безопасность нельзя простенько потом «добавить» к системе, можно только построить систему с каким-то уровнем безопасности. Ну как здоровье, которое нельзя «купить», потому что оно «дороже» денег.

Зная, что за эмерджентные характеристики любой системы отвечает ее архитектор, значит некоторые функции группы корпоративной безопасности должны подчиняться службе главного архитектора. (Все функции группы корпоративной безопасности – это другая тема.)

2. Уровень защищенности любой системы должен гарантироваться изначально (by design и by default). Это относиться ко всем эмерджентным характеристикам, таким как:

• способность к взаимодействию, интегративность (interoperability),
• безопасность (safety),
• защищенность, включая конфиденциальность, целостность и доступность информации (security, including information confidentiality, integrity and availability),
• защита частной информации (privacy),
• устойчивость (resilience),
• надежность (reliability),
• низкая стоимость эксплуатации,
• способность к быстрой адаптации,
• короткое время выхода на рынок.

Такой «изначальный» подход к уровню защищенности требует использования научных методов для создания систем с заданными эмерджентными характеристиками. Значит системный подход необходимо усилить математически точными расчетными алгоритмами.

А современную инфо-безопасность требуется трансформировать в нормальную прикладную научную дисциплину и возможностью работы со смежными дисциплинами.

3. Зная транснациональный характер кибер-криминалитета необходимо создание адекватных интернациональных органов борьбы с кибер-криминалом в различных форматах, например, в рамках БРИКС.

4. Всеобщая гонка в цифровизации требует согласованной системности во всем – от стратегического управления страной к эффективного управления конторой до самых мелких деталей. Поэтому на уровне конторы надо применять хорошо отработанные практики «corporate standing governance».

5 Заключение

Перечисленные недостатки существующего подхода к достижению приемлемого уровня кибер-защищенности практически ставят «крест» на попытках цифровой трансформации.

Срочно требуется новый подход, эмерджентными характеристиками которого являются:

1. Системный подход к построению сложных систем.
2. Научно-обоснованные методы расчета уровня безопасности.
3. Международное сотрудничество для противодействия интернациональному кибер-криминалу.
4. Повышение уровня системности в управлении систем всех уровней.

Thanks,
AS