Блог старшего вице-президента Cisco, главного директора компании по вопросам информационной безопасности Джона Стюарта (John Stewart)
В США октябрь по традиции объявлен месяцем информационной безопасности (National Cyber Security Awareness Month). В этом году основной темой соответствующих мероприятий станет то, насколько важно воспринимать информационную безопасность (ИБ) не как абстрактную идею, а как часть планируемой бизнес-стратегии, ответственность за которую разделяют все руководители.
Мы в компании Cisco считаем, что в настоящее время для сферы ИБ важнее всего изменить отношение к двум аспектам. Во-первых, необходимо признать, что для каждой организации область ИБ имеет стратегическую важность, поэтому она должна быть подконтрольна и подответственна высшему руководству. Во-вторых, поставщики ИТ-решений (как и вендоры, включающие информационные технологии в свою продукцию) должны предоставлять такие товары, услуги и решения, которым заказчики смогут безусловно доверять.
Благодаря своему глобальному присутствию в сфере обеспечения ИБ компания Cisco обладает огромным количеством данных об интернет-атаках, зараженных сайтах, вредоносном ПО и киберпреступной активности. Это дает уникальную возможность хорошо понимать факторы ИБ, оказывающие значительное влияние на бизнес. Кроме того, последние годы компания Cisco принимает непосредственное участие в анализе и нейтрализации каждого крупного инцидента ИБ.
Благодаря этому удалось существенно усовершенствовать знание современного ландшафта киберугроз и понять, насколько в последнее время усложнились методы, применяемые киберпреступниками. Недавние отчеты Cisco по информационной безопасности содержат детальную информацию о том, сколь значительно продвинулись киберпреступники в области теневой экономики и как непросто специалистам сферы ИБ успевать за злоумышленниками.
Наибольшее беспокойство вызывает то, что возможности киберпреступников непрерывно растут, особенно в том, что касается компрометации систем безопасности и уклонения от обнаружения. В первой половине 2015 года визитной карточкой злоумышленников стало настойчивое стремление разрабатывать новые и совершенствовать старые стратегии по уклонению от систем обнаружения. Благодаря таким, например, тактикам как обфускация (запутывание) кода, киберпреступникам часто удается преодолеть системы защиты и долгое время незаметно осуществлять вредоносную активность.
Два фактора, способные улучшить защиту
В нынешнее время организации уже не могут позволить себе рассматривать риски ИБ наравне с прочими бизнес-рисками. Поэтому первое, что необходимо изменить, — это отношение к информационной безопасности. Важно, чтобы ИБ и сопутствующие риски находились под особым контролем высшего руководства (советов директоров, генеральных и исполнительных директоров): в современных реалиях необходим именно такой уровень внимания.
Поскольку сама по себе сфера ИБ обычно высшему руководству плохо понятна, нужны инвестиции в надежные источники информации. Такими источниками могут стать, например, соответствующие правоохранительные органы или частные эксперты. Очень важно начать рассматривать риски ИБ отдельно ото всех прочих рисков, учитываемых в организации. Нужно отказаться от привычных сценариев: те способы, которыми ИБ реализовывалась на протяжении последних 20–30 лет, стали неадекватны перед лицом современных киберугроз.
Высшее руководство организаций нуждается в расширении своих представлений об информационной безопасности, и для начала следует ответить на следующие вопросы:
• какие угрозы имеют непосредственное отношение к деятельности организации?
• Какая часть рабочих процессов организации подключена к Интернету, каким образом осуществляется подключение, какие сервисы имеют критически важное значение и кто отвечает за все это?
• Существует ли специальная стратегия для сферы информационных технологий, и если да, то кто ее контролирует?
• Имеются ли официально утвержденные процедуры реагирования на инциденты ИБ?
• Имеются ли процедуры раскрытия информации?
• Каковы отношения с органами государственного управления и правоохранительными органами?
• Насколько имеющиеся системы контроля соответствуют рискам?
• Что еще нужно выяснить?
Руководство организаций должно понимать риски ИБ примерно так же, как понимаются финансовые или другие бизнес-риски в контексте деловых операций. Руководители ИТ-направлений, в свою очередь, должны уметь доходчиво излагать все эти соображения, то есть объяснять, какие средства применяются для достижения поставленных целей и почему были выбраны именно эти средства.
Надежность ИТ-поставщиков
Огромное значение имеет доказанная и поддающаяся проверке надежность ИТ-поставщиков. Именно поэтому компания Cisco создала концепцию жизненного цикла безопасной разработки Cisco Secure Development Lifecycle (Cisco SDL), который позволяет гарантировать, что безопасность играет центральную роль в процессе разработки продукта. Cisco SDL — это воспроизводимый и измеримый процесс, разработанный для того, чтобы производитель мог обеспечить отказоустойчивость и надежность своей продукции, а заказчики могли быть уверены, что внедряют высококачественные и надежные решения. Все чаще организации по всему миру требуют, чтобы безопасность была интегрирована во все стадии жизненного цикла продукции. При этом большое значение имеет прозрачная, открытая культура компании-поставщика, позволяющая включить политики, процессы, деятельность и партнерские отношения. Это — второй фактор, который может значительно улучшить защищенность организаций.
Прошли времена, когда можно было полагаться на подразумеваемую, но не гарантированную явным образом безопасность. Поскольку современный цифровой мир отличается стремительной изменчивостью и несет значительные риски киберугроз, организациям необходимы проверяемые, надежные сетевые архитектуры, основанные на безопасном ПО и оборудовании и подкрепленные тщательно рассчитанными практиками защиты бизнес-деятельности.
Не все из вышеперечисленного легко реализовать на практике, но это — необходимые шаги к повышению безопасности. Будучи привержена идее защиты своих заказчиков и их данных, компания Cisco предпринимает активные меры по обеспечению безопасности и надежности вычислительных сетей, а также строго придерживается принципов жизненного цикла безопасной разработки (SDL) при создании продукции и услуг. Cisco делает все возможное для того, чтобы обеспечить безопасность своей производственной деятельности. Это — необходимое условие, позволяющее создавать и предоставлять по-настоящему надежную продукцию. Цифровая эпоха диктует свои условия: вопросы безопасности и надежности становятся критически важной частью любого решения о закупке.
Взгляд в будущее
К сожалению, в настоящее время «доверие» — едва ли не последнее слово, ассоциируемое с Интернетом. Столь безотрадная ситуация нуждается в изменении. Информационная и сетевая безопасность должна стать основой любой деятельности, для этого ее необходимо обеспечивать на всем протяжении жизненного цикла продукции. Руководители должны принимать в этом активное участие и брать на себя ответственность за обеспечение ИБ. Месяц информационной безопасности —подходящее время для того, чтобы начать движение в этом направлении. Очень важно уже сегодня убедиться, что имеющиеся инфраструктуры, процессы, политики, продукты и услуги в достаточной степени гибки, открыты и безопасны для того, чтобы соответствовать вызовам завтрашнего дня.
Более подробную информацию о том, как Cisco обеспечивает безопасность и открытость, необходимые заказчикам для управления рисками, можно получить на сайте нашего Центра доверия и открытости (Trust and Transparency Center).