Часть первая

Представьте, что ваша любимая команда с треском провалилась на крупном чемпионате. Кто возьмёт на себя ответственность за проигрыш? Будете ли вы проклинать нападающего, упустившего «тот самый момент» на последних секундах? Или защитника, которого обвиняют/хвалят в зависимости от исхода матча (а не его личной игры)? Чиновников? Тренера? Владельца команды, купившего именно этих игроков?

Поиск козла отпущения начнётся и в любой крупной компании, зафиксировавшей утечку данных. Кто им станет? Рядовой сотрудник, открывший не то письмо? IT-департамент в целом или конкретно его глава?  Верхушка корпоративной пирамиды – генеральный директор или совет директоров?

Как показало исследование Ponemon Institute, 67% CISO (Chief Information Security Officer) замерли в ожидании кибератаки или утечки данных в 2018 году.  Это на 7% больше, чем в 2017-м. И 45% из них боятся, что это может стоить им работы. Похожие результаты были получены в ходе опроса на Infosecurity Europe 2017. Тогда список ответственных (и первых в очереди на увольнение) за утечку данных выглядел так:

  • CEO – 40%
  • CISO – 21%
  • Other – 15%
  • CIO (chief information officer) – 14%

Вовлечённость СМИ только подливает масла в огонь. Общественность смакует громкие случаи Equifax, Uber и Target, образована и осведомлена гораздо лучше, чем того хотелось бы участникам событий. Опрос 9000 потребителей в 11-ти странах, включая США, показал, что 70% респондентов возлагают ответственность за защиту данных непосредственно на компании, их собирающие.

К слову, на слушании в Комитете по энергетике и торговле США бывший CEO Equifax признал, что вина за утечку данных лежит полностью на нём. Напомним, в сентябре 2017 года стало известно, что злоумышленники похитили у Equifax данные кредитных историй американских (143 млн), британских (15,2 млн) и канадских (8 тыс.) граждан.

Часть вторая

Всегда легко обвинить IT-отдел, который (как и защитник в спорте) не в состоянии контролировать всё. Безопасник может внедрить лучшее в отрасли решение для защиты электронной почты, но – если ссылка таки просочилась – не уследит за каждым, кто захочет её нажать. Поэтому человеческий фактор стал причиной 17% всех случаев утечки данных, считает Verizon 2018 Data Breach Investigation Repot.

Кибербезопасность – это ответственность каждого функционального отдела на каждом организационном уровне. Это почти субкультура, которая должна брать свои истоки у высшего руководства. Если они не относятся к этому вопросу серьёзно, то о работниках передовой нечего и думать. Без человеческого участия ROI любого внедрения будет невелик.

Второй ключевой момент: невозможно свести риск кибератаки к нулю. Даже если отключить интернет, съёмные и USB-устройства останутся уязвимыми. Поэтому так важно установить уровень приемлемого риска. Лучший способ это сделать – организовать встречу руководства IT-отдела и компании в целом, чтобы вместе определить допустимые границы. Для многих организаций они будут зависеть от юридических обязательств, да и в целом это больше управленческая задача. Руководство знает, каковы последствия невыполнения планов и какие факторы влияют на развитие бизнеса.

Определив допустимый уровень риска, следует перейти к duty of care. На русском это звучит не так лаконично – обязанность блюсти интересы компании, проявлять должную заботливость и добросовестно вести дела. В разрезе кибербезопасности это набор шагов и правил, которых сотрудник будет придерживаться, чтобы защитить компанию от кибератак. Duty of care помогает установить баланс между требованиям безопасности и посильным (reasonable) вкладом каждого, не усложняя существующие бизнес-процессы.

Часть третья

Подход Duty of Care

Что попадает в категорию «посильного», зависит от компании. Очевидно, что в придорожном магазине не будут соблюдать стандарты, характерные для крупных супермаркетов. Из-за отсутствия унифицированного подхода руководство компании должно решить, как они будут действовать:

  • самостоятельно определить, что входит в обязанности рядовых сотрудников для обеспечения кибербезопасности
  • дождаться единых для всей отрасли правил, разработанных государственным регулятором
  • или же прописать их после судебного процесса, когда на компанию подадут в суд за утечку данных

Очевидно, что первый вариант безопаснее. И перед тем, как к нему приступить, следует выполнить предварительную оценку риска. Для этого потребуется ответить на несколько ключевых вопросов:

  • какая конфиденциальная информация хранится внутри компании?
  • насколько высока степень её конфиденциальности и каковы будут последствия её раскрытия?
  • во сколько компании обойдутся штрафы и издержки в случае утечки данных?

Недавно CIS® (Center for Internet Security) опубликовал методологию CIS Risk Assessment Method (RAM). Это набор конкретных инструкций для оценки информационного риска, а также критериев «должной осторожности» (due care) и «целесообразного» (reasonable). CIS RAM соответствует стандартам оценки риска информационной безопасности (ISO 27005, NIST SP 800-30, OCTAVE и RISK IT). Подобное руководство поможет на данном этапе.

По завершению оценки можно приступать к разработке плана смягчения рисков и определить приоритетность усилий по борьбе с ними. Тут пригодятся лучшие отраслевые практики. К слову, в судебной практике в случае отсутствия в корпоративной политике компаний тех самых «duty of care» и «reasonable efforts» суд может определить их самостоятельно.

Приемлемый риск – ответственность каждого

Предполагается, что все сотрудники компании будут заинтересованы в защите корпоративной сети и данных. Поэтому разработка стратегии киберзащиты – обязанность не только IT-отдела. В процесс следует вовлечь:

  • исполнительного спонсора
  • совет директоров
  • юридический отдел
  • IT-команду

Это обеспечит согласованность действий и их прозрачность, а также создаст базу для необходимой документации.

Стоит помнить, что подотчётность – это не то же самое, что возложение вины. Руководство компании несёт ответственность за возникший в результате утечки ущерб, но комбинация инструментов, обучения и корпоративной культуры удержит Дамоклов меч от падения на чью-то шею.

Ключевым моментом для компании является согласованность приемлемого риска и выбранной стратегии киберзащиты.