Знайти та знешкодити: навіщо потрібен кібераудит
БізнесінформаторЧитати: 5 хв.
У топ-10 найбільших ризиків для світової економіки на 2018 рік, складеному та оприлюдненому виданням The Economist, п'яту сходинку посіли масовані кібератаки. Вже зараз кіберзлочини, у тому числі програми-вимагачі, щорічно завдають глобальній економіці збитків на майже $600 млрд. Такі дані наводить Центр стратегічних і міжнародних досліджень (CSIS) на підставі результатів дослідження, проведеного спільно з фірмою-виробником захисних програм McAfee. Виходячи з цього, можна стверджувати, що захист бізнесу від «мережевих» небезпек стає не лише все більш актуальним, а й відверто необхідним аспектом підприємницької діяльності.
Для простоти розуміння безпеку бізнесу і, зокрема, кібербезпеку можна порівняти зі здоров'ям людини або технічним станом автомобіля. Їхній статус буде позитивним (людина здорова, а машина – на ходу), якщо дотримуватися елементарних правил: профілактика, періодичні перевірки (огляди) і швидке прийняття заходів у випадку виникнення проблем. У кібербезпеки все так же, стверджує Віталій Якушев, операційний директор 10guards. За його словами, бізнес повинен розуміти, які ризики для нього несе кіберпростір, робити періодичні аудити і мати план на випадок виникнення кіберзагроз. Детальніше – в матеріалі для Mind.
На які групи можна розділити періодичні аудити?
Аудит поточних процесів, політик і процедур кібербезпеки. Добре було б проводити після переоцінки поточних ризиків бізнесу та вживати заходів щодо їхнього усунення та/або компенсації до актуального виду. Головний результат цих аудитів – на виході отримати реально працюючі інструменти, а не просто прописані для галочки.
Аудит поточного рівня захищеності від кіберзагроз. Включає у себе пошук вразливостей, моделювання хакерських атак, тести на проникнення і т.п. Цей тип аудитів – вже як краш-тест або стрес-тест для бізнесу та/або технічного персоналу, перевірка на реагування персоналу на кіберзагрози, а також перевірка реального впровадження політик, процесів і процедур. Під час таких аудитів можуть виявлятися й так звані тіньові IT-системи (Shadow IT), які формально в компанії не задокументовані та невідомі IT-персоналу.
Аудит на відповідність вимогам регуляторів, стандартів (compliance). Тут зрозумілий аудит, який допомагає компанії отримати сертифікацію і/або ліцензію. Найчастіше вважаються аудитами для галочки, але при впровадженні всіх вимог регуляторів/стандартів бізнес однозначно стає безпечнішим і кіберстійкішим.
Чому треба проводити кібераудіти?
У будь-якому випадку мета кожного з перерахованих вище аудитів кібербезпеки не повинна бути «аудит заради аудиту». Це зріз поточного стану кібербезпеки (в тому чи іншому вигляді у залежності від типу аудиту), який дозволить зрозуміти, де ви знаходитеся і куди потрібно рухатися далі для поліпшення загального стану кібербезпеки, а також зменшення кіберризиків або наслідків їхнього виникнення.
Оскільки ризик – величина ймовірна, тобто, може наступити, а може – й ні, то виправдати аудити однозначними об'єктивними розрахунками дуже складно. В принципі, робота з ризиками, ризик-менеджмент – це показник зрілості бізнесу, який мислить стратегічно. На доказ цього – більшість великих західних компаній проводить аудити кібербезпеки на постійній основі. Такі програми називаються bug bounty, полювання за помилками.
Де й нащо полюють за помилками?
Їхня мета – знаходити проблеми кібербезпеки у продуктах або в кібербезпеці самої компанії і отримувати за це винагороду. Існують глобальні платформи, де запускають програми bug bounty, наприклад, HackerOne, BugCrowd. Також деякі компанії запускають bug bounty на власних ресурсах. В Україні одна з них – ПриватБанк. Важливо розуміти, що програми bug bounty діють паралельно з іншими типами аудитів, особливо з аудитами на відповідність, без яких складно самостійно отримати необхідні сертифікати/ліцензії.
Вартість аудитів варіюється від їхнього типу, кваліфікації аудиторів та величини аудируваної компанії, і може становити як тисячі, так і десятки тисяч доларів. Економічний ефект від аудитів складно порахувати безпосередньо, так само, як і ефект від проведення медоглядів або ж техоглядів.
Однак опосередковано якісно проведений аудит може розкрити проблеми безпеки, які часто призводять до прямих або непрямих фінансових втрат, простою окремих бізнес-процесів або й бізнесу в цілому. Тому нехтувати проведенням періодичних аудитів не варто, а тип аудитів слід вибирати в залежності від поточних умов та завдань бізнесу.