Кибербез на минималках: с чего начать создание системы ИБ в небольших компаниях

СМБ в период кибершторма

Начавшийся в ковидном 2020 году всплеск кибератак не думает заканчиваться. От действий хакеров страдают и крупные, и небольшие компании. Вытащить бизнес-критичные данные, украсть со счетов деньги или заработать на выкупе за зашифрованную информацию, а то и вовсе "развалить" функционирование ИТ-инфраструктуры — набор угроз актуален для организаций любого масштаба.

Небольшие предприятия — желанная добыча для хакеров еще и потому, что через них возможна реализация так называемых атак на цепочку поставок. Она же — атака третьей стороны. Пользуясь несовершенством киберзащиты небольших организаций, злоумышленники пытаются пробраться внутрь периметра их более крупных контрагентов и создать таким образом задел на будущие атаки.

Подтвержденный взлом через атаку третьей стороны для стартапа — черная метка. Компания, допустившая инцидент, рискует потерять действующие контракты. Для небольшой организации, у которой на счету каждый клиент, это почти приговор. Вот почему основателям важно не допускать подобного развития событий. Ниже пять рекомендаций, которые сведут к минимуму большую часть ИБ-рисков. Они достаточно универсальны, поэтому мы советуем их к рассмотрению стартапами самых разных отраслей.

Что предпринять

Начните прямо сейчас

"Выживают только параноики" — заголовок книги основателя Intel Эндрю Гроува вполне можно перенести на сложившуюся реальность российского кибербеза. Массовые взломы, громкие утечки, нарушение работоспособности целых предприятий — наступило время, когда для спасения от подобных инцидентов хороши все средства. И чем раньше эти средства применить, тем лучше.

Недавно основанным компаниям мы рекомендуем сосредоточиться на самых базовых вещах — на настройках учетных записей, на парольных правах, на аутентификации в разных контурах. Недавний случай с FreeBSD указал на баг в безопасности операционной системы. Ошибка уходит своими корнями к самым первым версиям ОС, когда свои изменения в код мог вносить любой из многочисленных создателей продукта. В итоге для FreeBSD выпустили огромный патч, в котором разработчики "перепахали" часть логики, связанной с получением доступа. Уязвимость в конечном итоге закрыли. Рынок получил запоминающийся урок, чем грозит легкомысленное отношение к вопросам безопасности на раннем этапе развития продукта.

Подход "мы займемся ИБ, когда реализуем основную бизнес-функциональность" может стоить очень дорого в будущем. Во-первых, это типичный пример самообмана. Современные ИТ-продукты начинают свою жизнь на рынке со стадии минимальной жизнеспособной версии — то есть в моменте, когда основная бизнес-функциональность (за которую, собственно, можно брать деньги) уже реализована. Поэтому идеально обеспечивать защищенность даже не с первой версии продукта, а еще до момента, когда будет написана первая строка кода. Поверьте, так будет проще в первую очередь вам.

Используйте аутсорсинг

Снимать офис вместо того, чтобы его покупать. Арендовать облачные ресурсы, а не вкладываться в создание собственного ЦОДа или серверной. В конце концов, приглашать два раза в неделю клинера для поддержания чистоты в рабочем помещении, а не нанимать уборщицу в штат. Всё это — нормальные и привычные бизнес-практики, к которым следует присовокупить практику аренды услуг кибербезопасности.

Получить SecaaS быстрее, чем разворачивать даже минимальные средства ИБ внутри компании. Да и пользоваться им на начальном этапе жизненного цикла стартапа дешевле. Быстро и доступно, или дорого и медленно? При всей очевидности выбора стартапы нередко принимают неверное решение.

Обращайтесь за внешней экспертизой

Водите машину? С вероятностью 99% вы доверяете ее обслуживание специализированной мастерской. Даже если вы неплохо представляете себе внутреннее устройство автомобиля, вы вряд ли решитесь, например, на ремонт автоматической коробки передач. Для этого нужны знания, опыт и специнструмент.

Перенесите эту житейскую практику в кибербез. Основателю или директору по разработке вряд ли по силам закрыть проработку ИБ-составляющей своего продукта. Изучение ключевым сотрудником новых технологических стеков, составление карты угроз и написание "дорожной карты" развития защищенности решения скорее всего пойдут во вред развитию продукта в целом и вряд ли возможны по туториалам с Хабра. А вот привлечение внешней экспертизы обещает существенно более убедительный результат. Так что, если возвращаться к автомобильной аналогии в ИБ, лучше сдавайте машину в сервис.

Не будьте снобами

Open source и/или вендоры второго эшелона — выбор молодой компании. Опять же, очевидная истина — не брать самое дорогое, а предпочесть подходящее — очевидна не всем. Мне известен случай, когда ИТ-команда сильно обожглась на желании взять в аренду для разработки функционирования продукта самый топовый облачный сервис. Они переплатили на этапе покупки, понесли дополнительные издержки при эксплуатации, использовали максимум 20% от возможностей облачной платформы, и при этом так и не смогли ответить на вопрос: какие же киллер-фичи брендового облака они применили.

Намного уместнее в этой ситуации выглядит lean-подход. Применяйте принципы "бережливого производства" для ИБ и не будьте снобами в отношении open source — пусть даже на рынке в данный момент царит пренебрежение к продуктам на основе открытого кода. Решения, вокруг которых сформировалось мощное сообщество, быстро развиваются и регулярно обновляются. Так что положить их в основу того или иного блока функциональности вашего продукта совсем не зазорно.

Развивайте ИБ вместе с бизнесом и продуктом

Ваши усилия не прошли даром: продукт востребован и "приземляется" в большом количестве новых заказчиков. Рыночный успех — вообще не повод игнорировать ИБ-составляющую. Развивайте кибербезопасность наравне с бизнесом — это поможет противостоять вызовам, которые меняются вместе с траекторией развития компании. Причина для изменений может быть явная. Например, ваша компания переходит на постоянное внедрение новой функциональности вашего продукта, чтобы быть в глазах клиентов лучше конкурента. Для этого имеет смысл внедрить методологию DevSecOps. Также причина может быть неочевидная. Скажем, даже если компания просто растет экстенсивно, сама специфика ИБ тоже меняется: защитить компанию, в команде которой 200 сотрудников — совсем не то же самое, когда сотрудников пятеро. Функция кибербеза требует постоянной и соответствующей реалиям пересборки.

Информационная безопасность окажется аргументом даже в ситуации, когда вы намереваетесь заинтересовать стартапом инвесторов. Фонды и компании с большим интересом посмотрят в вашу сторону и будут более сговорчивы, если убедятся: ваши цифровые активы и репутация находятся под соответствующей защитой. Ваша ИБ — это их сниженные риски потери денег, если ваша компания в один не столь уж прекрасный момент окажется под прицелом хакеров. Помните об этом.

Чего ждать

Внимательный читатель заметит: практически все базовые рекомендации, которые мы привели в этой заметке, так или иначе касаются совокупности мероприятий, из которой вырастает, если хотите, культура кибербезопасности в отдельно взятой организации. И хоть в российском бизнес-обиходе про организационную культуру в положительном контексте говорить как-то не принято, похоже, ничего другого просто не остается.

Как стремительно ни совершенствовались бы способы противодействия атакам, надеяться только на технические средства не приходится. Есть данные, что человеческий фактор заложен в природе 85% киберинцидентов. А раз так, то и работать предстоит не только с технологиями, но и с людьми. Не за горами насаждение правильного подхода к кибербезу через включение оценки ИБ-грамотности в перечень ключевых показателей эффективности сотрудников. Но это, как говорится, совсем другая история.