Полная версия
Цифровая системная архитектура
Как отмечалось выше, SEC должна отказаться от предъявления обвинений в тех случаях, когда CISO предпринял добросовестные усилия по разработке программы информационной безопасности или реагированию на инцидент. При оценке того, добросовестно ли действовал CISO при реализации основных функций программы информационной безопасности, SEC следует обратить внимание на основы упреждающего соблюдения требований, недавно изложенные директором по правоприменению Гревалом: обучение, вовлечение и исполнение.
Образование особенно важно для директоров по информационной безопасности, которые сталкиваются не только с меняющимися нормативными требованиями, но и с постоянно меняющимся ландшафтом угроз, исходящих как от частных лиц, так и от государственных структур. Директора по информационной безопасности могут принимать меры для информирования себя и своих сотрудников об этих изменениях, например, посещая конференции по кибербезопасности, чтобы общаться с другими специалистами отрасли и государственными служащими, а также подписываясь на информационные рассылки и бюллетени по безопасности. Если взаимодействие с CCO – это попытка «по-настоящему взаимодействовать с персоналом в различных подразделениях [своей] компании и узнавать об их деятельности» и рисках, то директор по информационной безопасности может «взаимодействовать», например, внедряя программу оценки рисков и отчетности, разработанную для выявления и эскалации рисков кибербезопасности на предприятии, но в конечном счете взаимодействие директора по информационной безопасности должно основываться на отраслевых стандартах и передовых методах работы, которые постоянно развиваются. Реализация предполагает, что директор по информационной безопасности будет стремиться внедрять хорошо продуманные политики, лежащие в основе программы кибербезопасности, но реализация должна рассматриваться в свете того факта, что внедрение программы кибербезопасности – это межфункциональная задача, в которой участвуют многие заинтересованные стороны, а также необходимо учитывать баланс рисков и потребностей бизнеса.
Для ясности: вопрос о том, прилагал ли директор по информационной безопасности добросовестные усилия для выполнения своих обязанностей, не может основываться на ретроспективном анализе того, насколько хорошо директор по информационной безопасности оценивал риски и тревожные сигналы в сравнении с функционированием бизнеса. Как заявила Комиссия по ценным бумагам и биржам, злоумышленникам удалось атаковать «самые надёжные организации», включая саму Комиссию. Это связано с тем, что даже самые надёжные организации никогда не смогут создать идеальную программу кибербезопасности. Ни одна организация никогда не будет застрахована от рисков, а для их снижения, устранения или управления ими требуются решения на уровне всего предприятия, основанные, помимо прочего, на оценке бизнес-рисков с учётом «различных угроз, уязвимостей и допустимых рисков» организации.
Был ли предполагаемый сбой связан с фундаментальным или ключевым аспектом хорошо продуманной программы кибербезопасности в компании?
Даже если утверждается, что CISO не действовал добросовестно, такой сбой все равно не следует считать «массовым сбоем», достаточным для того, чтобы Комиссия рассмотрела вопрос о целесообразности личной ответственности, если только это не относится к фундаментальному или центральному аспекту программы кибербезопасности компании. Например, CISO, как правило, должен быть в курсе значительных изменений в ландшафте угроз, и невыполнение этого требования может, в зависимости от обстоятельств, указывать на массовый сбой, поскольку оно относится к центральному аспекту программы кибербезопасности.
Однако прежде чем какая-либо проблема с безопасностью приведёт к эскалации в рамках плана реагирования на инциденты, ИТ-специалистам и сотрудникам службы безопасности необходимо изучить проблему, о которой могло быть сообщено из любого источника, в том числе в результате внутренних тестов на проникновение, «белых» хакеров, которые исследуют системы контроля компаний и сообщают им о результатах в надежде на вознаграждение, а также из-за жалоб клиентов. Эти сотрудники должны изучать сложные проблемы и устранять новые атаки; тщательное расследование инцидента с безопасностью не всегда приводит к выявлению первопричины или решению проблемы. В этом контексте, в то время как отсутствие какого-либо процесса сортировки и расследования может указывать на полный провал, отсутствие возможности выявить первопричину или решение проблемы безопасности после добросовестного расследования или выявление того, что проблема может быть более серьёзной, чем показывает расследование, само по себе не может рассматриваться как полный провал.
Сохранялся ли предполагаемый сбой в течение какого-то времени, и было ли у директора по информационной безопасности несколько возможностей устранить предполагаемый сбой (сбои)?
В ситуациях, когда предполагается недобросовестное поведение, связанное с основополагающим аспектом программы кибербезопасности, Комиссия по ценным бумагам и биржам должна учитывать, в какой степени это недобросовестное поведение сохранялось с течением времени и были ли у директора по информационной безопасности возможности устранить его.
Например, многие компании полагаются на поставщиков программного обеспечения, которые, в свою очередь, должны постоянно выпускать исправления ошибок и обновления безопасности для устранения уязвимостей в собственном программном обеспечении. Эти поставщики выпускают обновления и пояснения к ним, и компания должна решить, устанавливать ли обновление, учитывая, что в свете представленного профиля рисков это может быть особенно ресурсозатратно или негативно сказаться на работе. Если директор по информационной безопасности неоднократно получает предупреждения об уязвимости в программном обеспечении поставщика, которая не была устранена и активно используется, и игнорирует возможности ее устранения, когда профиль рисков указывает на необходимость устранения уязвимости и когда это можно сделать без значительных сбоев в работе, то это может – в зависимости от более широкого контекста – указывать на то, что директор по информационной безопасности не устранил уязвимость, несмотря на возможность сделать это.
Однако не все риски можно или нужно устранять, и добросовестные решения о принятии постоянного риска не должны служить основанием для ответственности, даже если этот риск проявится позже. Поскольку ресурсы для обеспечения кибербезопасности всегда ограничены, угрозы постоянно развиваются, а кибербезопасность обязательно должна быть сбалансирована с другими законными интересами и требовать межфункциональной координации и согласованности, целью программы обеспечения кибербезопасности является «постоянное совершенствование», а не достижение идеала. Таким образом, «недостаточные» действия сами по себе никогда не должны служить основанием для индивидуальной ответственности – т. е. принятие мер, даже если в ретроспективе они кажутся «недостаточными», не является «полным провалом».
Выпустила ли SEC четкие правила или рекомендации, касающиеся предполагаемого сбоя, заблаговременно до того, как произошел предполагаемый сбой?
Если существуют рекомендации относительно предполагаемого полного провала какого-либо фундаментального аспекта программы кибербезопасности, например, правила и положения, которые чётко определяют требования регулирующих органов и то, что может считаться нарушением, наличие таких рекомендаций может свидетельствовать в пользу ответственности. Но если директора по информационной безопасности и их партнёры по корпоративным вопросам работают над толкованием соответствующих законов или стандартов, «в отношении которых мнения могут расходиться, или законов или правил, по которым нет или почти нет соответствующих рекомендаций регулирующих органов», индивидуальная ответственность не должна основываться на мнении о том, что интерпретация директора по информационной безопасности была «неверной с учётом ретроспективного взгляда». Применяя принципы CCO Ассоциации юристов Нью-Йорка к CISO, мы предлагаем, чтобы «индивидуальная ответственность не использовалась в принудительных действиях или мировых соглашениях, направленных на введение нового правила или разъяснение толкования предыдущих правил».
Помогает ли взимание платы с CISO достижению нормативных целей SEC?
Обвинение SEC, особенно в отношении физического лица, всегда должно соответствовать регулятивной миссии SEC по защите инвесторов. Оглядываясь назад, можно сказать, что недостатки в сфере кибербезопасности, которые привели к пересмотру решений, принятых квалифицированными специалистами по кибербезопасности, – особенно с учётом того, что для успешной реализации программы кибербезопасности требуется подход всей компании и участие руководства на уровне совета директоров, – могут привести к наказанию добросовестных специалистов и потенциально навредить инвесторам (и национальной безопасности) в долгосрочной перспективе, поскольку квалифицированные специалисты по кибербезопасности будут уходить с должностей директоров по информационной безопасности, а необходимая внутренняя коммуникация между директорами по информационной безопасности и их командами по обеспечению безопасности, а также между директорами по информационной безопасности и более широкими функциями управления компанией будет нарушена.
Теперь, когда SEC возбудила свое первое дело против CISO, CISO, естественно, начнут взвешивать свою собственную потенциальную ответственность в соответствии с федеральными законами о ценных бумагах при принятии любого решения, которое они принимают в рамках своей функции кибербезопасности. В сфере, которая требует постоянного совершенствования для защиты от меняющихся и растущих угроз, директора по информационной безопасности могут не решаться поручать своим командам документировать или сообщать о внутренних процессах, которые можно улучшить, или откровенно говорить о слабых местах или областях, требующих улучшения, опасаясь, что регулирующие органы в ретроспективе могут утверждать, что выявленные проблемы свидетельствуют о том, что директор по информационной безопасности знал о недостатках и/или что выявленные слабые места способствовали последующим атакам на кибербезопасность. Директора по информационной безопасности могут решить, что единственная безопасная позиция – рассматривать каждый риск, каким бы отдалённым он ни был, как критический, что ставит директоров по информационной безопасности в невыгодное положение по сравнению с другими заинтересованными сторонами в постоянной и бессмысленной борьбе за ресурсы и приводит к необоснованному усилению каждого риска.
Учитывая эти опасения, SEC должна учитывать конечные последствия, которые расследование CISO и взимание с них платы могут иметь для интересов инвесторов. Например, ожидается, что эмитенты будут раскрывать «любую информацию, необходимую, исходя из их фактов и обстоятельств, для того, чтобы разумный инвестор мог понять их процессы кибербезопасности». Компании уже сталкиваются со сложной задачей при принятии решения о том, что раскрывать о состоянии своих программ кибербезопасности: слишком много деталей может послужить дорожной картой для злоумышленников, стремящихся извлечь выгоду из недостатков в кибербезопасности. Угроза личной ответственности может подтолкнуть директоров по информационной безопасности к чрезмерному раскрытию информации, независимо от рисков. Правоприменительные меры, которые приводят к обратному эффекту, делая компании менее безопасными из-за чрезмерного раскрытия информации, будут препятствовать достижению целей Комиссии в области регулирования.
Взятые вместе, вышеприведенные факторы потребовали бы от SEC отказа в возбуждении правоприменительных действий против CISO, если CISO прилагал добросовестные усилия для выполнения своих обязанностей. Однако, если утверждается, что CISO не прилагал добросовестных усилий для выполнения своих обязанностей, ответственность может быть оправдана, если: (i) предполагаемый сбой связан с фундаментальным или центральным аспектом хорошо отлаженной программы кибербезопасности в компании; (ii) предполагаемый сбой сохранялся с течением времени; (iii) SEC издала четкие правила или рекомендации, касающиеся предполагаемого сбоя, до того, как произошел предполагаемый сбой; и (iv) взимание платы с CISO поможет достичь нормативных целей SEC.
Смягчающие факторы
Даже при наличии достаточных подтверждающих факторов, оправдывающих рассмотрение SEC вопроса о том, взимать ли плату с CISO, SEC следует затем рассмотреть смягчающие факторы.
Своевременно ли и прозрачно ли директор по информационной безопасности доводит проблему до сведения других заинтересованных сторон?
Комиссия должна рассмотреть вопрос о том, своевременно ли и прозрачно ли директор по информационной безопасности сообщал о выявленных проблемах другим заинтересованным сторонам. Если будет установлено, что риск был выявлен или произошло нарушение, то тот факт, что директор по информационной безопасности активно поднимал этот вопрос перед заинтересованными сторонами в сфере безопасности, такими как высшее руководство и/или совет директоров, должен учитываться при определении личной ответственности, даже если директор по информационной безопасности ранее продемонстрировал «осознанную неспособность» действовать, как описано выше. Сотрудничество и обмен информацией после взлома критически важны для соблюдения компанией федеральных законов о ценных бумагах, а также для коллективной защиты кибербезопасности в целях национальной безопасности и для повышения осведомлённости о других потенциальных целях. Внутренняя эскалация известных проблем имеет решающее значение для успеха такого сотрудничества и должна поощряться как смягчающий фактор личной ответственности директора по информационной безопасности.
Препятствуют ли работе CISO структурные или ресурсные проблемы?
SEC также следует рассмотреть среди потенциальных смягчающих факторов вопрос о том, действовал ли CISO в условиях структурных или ресурсных проблем, которые могли помешать ее или его работе. Как отмечалось выше, надежная программа информационной безопасности требует общекорпоративного подхода. Нельзя ожидать, что CISO будет оценивать, обучать и выполнять функционирующую программу в одиночку. CISO требуют ресурсов, сотрудничества со стороны внутренних заинтересованных сторон и полномочий по принятию решений, и SEC следует рассмотреть вопрос о том, влияет ли организационная структура компании на эту координацию или на расширение прав и возможностей CISO и каким образом.
Опять же, личная ответственность никогда не должна наступать в том случае, если директор по информационной безопасности действовал добросовестно, но даже если есть основания полагать, что он действовал недобросовестно в связи с основополагающим аспектом программы кибербезопасности, Комиссия по ценным бумагам и биржам должна учитывать, в какой степени директор по информационной безопасности имел доступ к достаточным ресурсам и бюджету для решения проблем безопасности или был обременён конкурирующими функциями и обязательствами, будь то из-за недостаточного финансирования, кадрового состава или плохо определённых или закреплённых обязанностей, или в результате преднамеренного решения руководства принять относительно высокий уровень допустимого риска.
Подобно тому, как Министерство юстиции оценивает степень, в которой корпоративные программы соблюдения требований обеспечены достаточными ресурсами и полномочиями для эффективного функционирования, SEC следует учитывать структуру поддержки CISO и степень риска компании при рассмотрении вопроса о взимании платы с CISO за массовый сбой.
Руководство CISO по созданию современной системы кибербезопасности
По мере роста масштабов и сложности киберугроз организации не могут довольствоваться устаревшими или неполноценными системами кибербезопасности. Директорам по информационной безопасности и руководителям служб безопасности необходимо создать по-настоящему надёжную современную систему кибербезопасности.
Ключевые аспекты обеспечения безопасности организации без ущерба для развития бизнеса:
Использование Архитектур с Нулевым Доверием
Принцип нулевого доверия гласит, что ни одному пользователю или устройству нельзя безоговорочно доверять. Некоторые шаги включают:
– Проверка личности и предоставление доступа с наименьшими привилегиями.
– Проверяет весь трафик, а не только на границах сети.
– Внедрение контекстно-зависимых средств контроля, которые адаптируются на основе профилей рисков.
– Предполагая нарушение и разрабатывая разделенную систему безопасности.
– Принципы нулевого доверия повышают степень защиты и прозрачности в локальных и облачных средах.
Фокус на безопасности в облаке
Поскольку рабочие нагрузки всё чаще переносятся в облако, безопасность должна быть интегрирована без проблем. К приоритетным задачам относятся:
– Автоматизация политик безопасности, контроля соответствия требованиям и мониторинга конфигурации.
– Использование собственных инструментов облачного провайдера для защиты данных, контроля доступа, шифрования.
– Комплексная защита данных, включая хранение, передачу и доступ.
– Инструменты для предотвращения неправильной настройки – причины №1 инцидентов облачной безопасности.
– «Облачный» и платформо-ориентированный подход к безопасности крайне важен.
Внедрение надежных систем безопасности конечных точек
Поскольку пользователи подключаются отовсюду, безопасность конечной точки имеет решающее значение с помощью следующих опций:
– Многофакторная аутентификация и единый вход для доступа.
– Программное обеспечение для обнаружения конечных точек и реагирования (EDR) на устройствах.
– Полное шифрование диска и носителя для защиты данных в случае потери/кражи устройств.
– Управление мобильными устройствами (MDM) для обеспечения безопасности и контроля парка мобильных устройств.
– Расширьте защиту до предела благодаря надежным возможностям обеспечения безопасности устройства.
Автоматизируйте Мониторинг безопасности и реагирование
Круглосуточная бдительность возможна благодаря :
– Инструментам SIEM для подключения и корреляции оповещений системы безопасности.
– Автоматизированному сбору и развертыванию разведданных об угрозах.
– Системы SOAR используют учебные пособия для сортировки угроз и реагирования на них.
– Красные / синие командные упражнения для проверки контроля и готовности.
– Автоматизация значительно снижает нагрузку на команды ИТ-безопасности.
Внедрение Механизмов соблюдения требований
Соответствие требованиям обеспечивает структурированные рекомендации по безопасности, такие как:
– Стандарт ISO 27001 для оценки уязвимости и управления рисками.
– PCI DSS для защиты данных о держателях карт.
– HIPAA для защиты медицинской информации пациента.
– NIST CSF как независимая от отрасли структура кибербезопасности.
Принципы соблюдения требований должны лежать в основе дорожных карт безопасности.
Заключение
Модернизация системы кибербезопасности требует ресурсов и времени. Методично работая над этими основополагающими принципами, директора по информационной безопасности могут добиться улучшения системы безопасности. При работе с правильными партнёрами можно составить чёткую дорожную карту трансформации системы безопасности.
Директор по информационной безопасности (CISO) в современной организации находится на уникальном и критически важном перекрестке технологических, регуляторных и бизнес-императивов. Как продемонстрировано в данной статье, его роль давно переросла рамки технического специалиста, превратившись в стратегического лидера, несущего ответственность за киберустойчивость компании, защиту активов и соблюдение растущего массива нормативных требований. Однако текущая операционная и регуляторная парадигма создает для CISO ряд фундаментальных противоречий.
С одной стороны, от CISO ожидают построения комплексной, «идеальной» программы безопасности, основанной на выбранных фреймворках (NIST, ISO 27001, CIS и др.) и направленной на достижение максимальных уровней зрелости. С другой – эффективная кибербезопасность по своей сути является не конечным состоянием, а непрерывным процессом управления рисками, требующим постоянных компромиссов между безопасностью, бизнес-агентностью, инновациями и ресурсными ограничениями. Акцент на механическое «закрашивание в зеленый цвет» максимального числа контролей может привести к подмене качества количеством, когда тактические победы в реализации простых мер отвлекают внимание от стратегических, но сложных уязвимостей.
Наиболее острое противоречие заключается в сфере персональной ответственности. Растущие ожидания регуляторов, в частности Комиссии по ценным бумагам и биржам США (SEC), и прецедент обвинений против CISO SolarWinds создают ситуацию, когда директор по безопасности может нести личную ответственность за недостатки в программе, успех которой объективно зависит от вовлеченности всего руководства, совета директоров и выделения адекватных ресурсов. Такой подход рискует подорвать саму основу эффективной кибербезопасности – открытое обсуждение слабых мест, добросовестное принятие решений в условиях неполной информации и готовность профессионалов занимать эти ключевые позиции.
В качестве конструктивного решения предлагается внедрение четкой и сбалансированной системы ответственности CISO, аналогичной устоявшимся принципам для руководителей по соблюдению требований (CCO). Ядром этой системы должен стать анализ добросовестности усилий, прилагаемых CISO для выполнения своих обязанностей, оцениваемый через призму образования, вовлеченности и исполнения. Персональные обвинения должны быть исключительной мерой, уместной лишь в случаях прямого участия в мошенничестве, введения регуляторов в заблуждение или документально подтвержденного полного провала в выполнении базовых, центральных функций, при условии наличия четких регуляторных ориентиров и возможности для исправления.
Параллельно с формированием предсказуемой регуляторной среды, CISO должны эволюционировать в своей практической деятельности, выходя за пределы фреймворков соответствия. Будущее лежит в построении современной системы кибербезопасности, основанной на архитектурах нулевого доверия (Zero Trust), глубокой интеграции безопасности в облачные среды, автоматизации мониторинга и реагирования (SOAR, SIEM), а также надежной защите конечных точек. Эта система должна быть динамичной, адаптивной и встроенной в бизнес-процессы, а не существовать параллельно с ними.
Таким образом, успешная роль CISO сегодня и далее требует двойного подхода. Во-первых, это активное участие в формировании правового поля, которое защищает добросовестных руководителей и признает коллективную природу ответственности за киберустойчивость. Во-вторых, это непрерывная техническая и управленческая трансформация, направленная на создание не просто формально «соответствующей» требованиям, а по-настоящему устойчивой, интеллектуальной и бизнес-ориентированной системы защиты. Только на этом пути CISO смогут выполнить свою миссию: не останавливая инновации, защитить организацию, ее клиентов и акционеров в цифровую эпоху.
@@@@@@@@@@@@@@@@@@@@@@@@@@@
– DSPM
Традиционные стратегии безопасности были направлены на защиту периметров для обеспечения безопасности внутренних сетей. Эта тактика, которую часто называют подходом «замок и ров», была направлена на создание защитных сооружений (рвов) для предотвращения внешнего доступа (в замок или центры обработки данных) при сохранении доверия к внутренним источникам.
Перенесёмся в эпоху мультиоблачных сред и размытых границ с распределёнными средами, удалённой работой и мобильным доступом. Мы живём в эпоху общей ответственности и нулевого доверия. Управление состоянием безопасности данных, сокращённо DSPM, – это очевидная реакция на внедрение облачных технологий.
Учитывая, что 94% предприятий среди компаний, в которых работает более 1000 сотрудников, используют облачные технологии, комплексные стратегии безопасности, такие как DSPM, являются обязательным условием. В целом, решение DSPM помогает защитить различные компоненты данных в облачных средах и является надёжным подходом к защите от меняющихся угроз.
В настоящей главе представлена аналитика, как работают DSPM, в каких случаях их можно использовать для обеспечения безопасности облачных данных и чем они отличаются от других решений, таких как CSPM и CIEM.
