Темная комната «Проблема CISO»

Давайте начнем с того, что такое «проблема CISO»?

Не буду долго объяснять, что представляет из себя «идеальный CISO в вакууме»: чем он должен заниматься, какие процессы нужно на нем замыкать и т. д. Если сильно упростить, это человек, который отвечает за безопасность компании. Само собой, точки ответственности есть и в топ-менеджменте, и на уровне рядовых ИБ-специалистов, но все нити в конечном счете сводятся к CISO.

«Проблема CISO» касается не только конкретной должности, но и рынка в целом. Суть в том, что люди не хотят признавать факты ИБ-инцидентов, открыто о них говорить и нести ответственность за ошибки. Мотивы, как правило, личные: одни боятся наказания, другие просто не понимают, что открытость принесет пользу отрасли.

Если проблема системная, почему мы говорим о ней именно в контексте CISO?

Потому что CISO — лицо кибербезопасности компании. Раз все ИБ-процессы замыкаются на нем, именно он и должен отвечать за инциденты, но на практике этого, как правило, не происходит. В каком-то смысле мы будем использовать CISO как собирательный образ человека, который должен нести ответственность.

Справедливости ради: у проблем с безопасностью могут быть разные корни — от нехватки специалистов до отсутствия финансирования. Зачастую дело в самой ИБ-политике компании. Некоторые действительно считают, что проще «полежать» денек из-за DDoS или слить данные пользователей, чем вкладываться в кибербезопасность.

Подобное целеполагание (а точнее, его отсутствие) напрямую влияет на эффективность ИБ в компании. Раз руководство не хочет брать на себя ответственность, зачем это рядовым сотрудникам? Часто информация от них идет наверх, когда инцидент уже произошел: «Нас взломали, данные утекли, оказывается, была дыра в системе». При этом технари давят компетенциями и пытаются скрыть свои недоработки за непонятными бизнесу терминами: «Это вообще невозможно исправить, потому что производитель не поддерживает софт с 2022 г., к тому же железо не тянет, а еще у нас сложные интеграции…».

В идеальном мире технари должны вовремя рассказывать руководству о проблемах. Руководство, в свою очередь, должно принимать меры для устранения недочетов. В реальности же мы получаем болезненные инциденты, потому что ответственность не настигает и не обременяет вообще никого. Кто виноват? В первую очередь CISO, потому что он — центральное звено в цепи кибербезопасности.

Можете привести примеры?

Начнем со всем известной энергетической компании :) Если инцидент не связан с функционированием объектов (к примеру, из-за атаки временно упала БД) и газ продолжает бежать по трубам, личной материальной ответственности никто не понесет. Штраф для компании если и будет, то весьма незначительный — вспомните, сколько заплатил Яндекс за огромную утечку данных пользователей Яндекс.Еды. Зато личные репутационные потери вполне возможны, вплоть до объяснений с кем-то из правительства. Чем резонанснее история, тем выше риски, поэтому никто не стремится рассказывать о своих просчетах.

Далее — кейс Мосбиржи. Они так ничего и не объяснили, просто отключились на полдня, а потом вернулись со словами: «Здраствуйте, все ОК, мы снова с вами». Очевидно, что-то случилось, но публично рассказывать об этом и брать ответственность за простой никто не стал.

Но есть и обратные примеры. Когда злоумышленники атаковали систему регистрации Ростеха, коллеги практически в реальном времени комментировали происходящее в своем телеграм-канале. Представить, что корпорация такого уровня будет так себя вести, еще пару лет назад было бы очень сложно.

К счастью, на рынке становится все больше людей, которые понимают, что открытая позиция и честный диалог вызывают уважение, а не упрек. Чем больше скрываешь, тем больше обсуждают, и в конечном счете репутационные потери только возрастают. Когда в январе атаковали Bi.Zone, они честно обозначили проблему и рассказали, какие меры предпринимают. Рынок действительно отнесся к этому с уважением, никто не сказал: «У-у-у-у-у, Bi.Zone сломали — так себе ИБ-компания. Не будем с ними больше работать!».

Как видите, отраслевой специфики здесь нет — все зависит от людей на местах. Возвращаясь к вопросу CISO: он должен быть одним из первых, кто возьмет на себя смелость честно говорить о проблемах, как минимум, внутри компании. Продвигать концепцию открытости непросто, и поначалу, пока это не станет привычкой, коллег придется убеждать. Но иначе ситуация не изменится.

Что должно произойти, чтобы рынок пришел к открытости?

Все начинается с вопроса «зачем?». Предположим, мы столкнулись с инцидентом. Зачем о нем рассказывать? Потому что, если промолчим, нас ждут последствия: грубо говоря, станет только хуже. Этот процесс можно сравнить с построением системы ИБ. Мы понимаем, что компании нужна защита, потому что есть риски № 1, № 2, № 3 и т. д. Без четкого осознания всех угроз эффективную систему построить невозможно. Аналогично с публичным обсуждением инцидентов: чтобы до этого дойти, нужно понимать все риски и последствия молчания.

Инфополе развивается куда быстрее, чем человеческий мозг. Многим сложно принять, что теперь мы можем пострадать от публикации в Telegram, а любой инцидент быстро становится достоянием общественности. Когда у Сбера утекли данные клиентов «Спасибо», они сказали: «Ничего не пострадало, это просто тестовые данные». Конечно, почти 60 млн строк тестовых данных, когда для решения тестовых задач в среднем требуется около 500 тыс. :) Само собой, в итоге им прилетело по репутационной линии. Но если говорить честно и не держать людей за дураков, реакция сообщества, как правило, будет положительной. «Да, мы допустили ошибку, но уже ее исправляем», — придраться не к чему, остается только поддержать.

К слову, в подобных вопросах стоит прислушиваться к пиарщикам. Они хорошо знают медийное поле и понимают, как правильно доносить информацию до общественности. На одном из PHDays я наблюдал за тем, как участники полушуточной секции вместе с пиарщиками рассказывали о ИБ-инцидентах. С одной стороны, это было развлечение, с другой — коллеги подняли важный вопрос и наглядно показали, о чем и как можно говорить.

Что портит безопасников

На PHDays Денис Баранов, наш генеральный директор, высказал мысль, что нужно выдавать безопасникам индульгенцию. Вы с этим согласны?

Это разумно, если люди не спят ночами, работают в дичайшем стрессе и страшно всего боятся. На самом деле, если компания столкнется с инцидентом, безопасникам, скорее всего, ничего не будет. Когда все хорошо, они спокойно сидят, просят повысить зарплату и грозятся уйти к соседям. Когда плохо, мы сразу слышим что-то из серии: «Видимо, это иностранная разведка! Совершенно уникальный инцидент, никто не смог бы от такого защититься!». Причем действительно сложные, уникальные кейсы — это примерно 0,5% от общей массы, все остальное — классический периметр. Само собой, я говорю не обо всех безопасниках, но какая может быть индульгенция, если человек не способен качественно выстроить базовую защиту и его ловят на детских ошибках?

Когда ты выполняешь важные задачи и получаешь за это солидное вознаграждение, но не оправдываешь доверия, логично нести за это ответственность. Вопрос в том, какой она будет. Вернемся к кейсу Яндекс.Еды. Утекли данные огромного числа людей, у половины страны есть претензии не к конкретному безопаснику, а к компании в целом. По европейскому GDPR Яндекс.Еде светил бы штраф не в 60 тыс. руб., а в 4% годового оборота. В этом случае сразу прилетело бы всем — от CISO до рядовых специалистов. Возможно, это еще одна причина сквозной безответственности, которая процветает в российских компаниях. Без серьезной материальной ответственности на уровне компании ее не будет и на личном уровне.

Я не хочу сказать, что нужно наказывать того же CISO публично, «чтоб другим неповадно было». Существует репутация в сообществе, мы друг за другом присматриваем и понимаем, с чем могут быть связаны переходы между компаниями. Хотя сейчас на рынке сложилась такая ситуация, что серьезные инциденты в портфолио почти не влияют на востребованность специалиста. Компании расширяются, выделенные ИБ-службы нужны всем. Спрос растет, поэтому, даже если человек справляется плохо, совсем не факт, что это помешает ему уйти на большую зарплату. Это развращает, потому что люди успокаиваются и перестают развиваться. А в нашей сфере нужно быть в курсе всех новшеств и лучших практик, не пропускать свежие разработки, анализировать громкие кейсы и следить за трендами. Все как у врачей: насколько я знаю, у них бывают годовые нормативы по изучению публикаций о передовом опыте коллег.

Хотите сказать, что безопасников испортил не квартирный, а зарплатный вопрос? :)

В том числе. Если тебе на все хватает, и ты понимаешь, что мест, где можно получать такие деньги, достаточно много, ты вряд ли станешь пахать. Только за счет личной вовлеченности, но таких людей мало.

Зачастую топы просто не понимают, чем именно занимается CISO. Как в таком случае распределять ответственность?

Если рассматривать CISO как непознаваемую вещь в себе, логично спрашивать с него по принципу черного ящика. Неважно, что он делает, главное — результат. Либо справился, либо нет — оправданий быть не может. Согласен на предложенные условия и задачи? Отлично, отвечай за результат! Это утрированная черно-белая логика, но по такому пути тоже можно идти. 

Как, на ваш взгляд, можно изменить сложившуюся на рынке ситуацию?

Попробуйте примерить все вышесказанное на себя. Когда вы последний раз ныряли к технарям? А когда заходили к руководству? Нет ли у вас железа, про которое пару лет никто не вспоминал? Или ПО, которое давно стоит без поддержки и свежих патчей? Если случится инцидент, вы возьмете на себя ответственность? А что насчет развития в целом? Относится ли этот материал лично к вам?

Составить универсальный чек-лист здесь невозможно — ситуации и задачи у всех разные. Но суть и не в том, что именно вы делаете, а в том, как вы это делаете.