Киберугрозы становятся не просто обыденностью, а настоящим оружием массового поражения. Говорить о безопасности стало не просто трендом, а необходимостью для выживания. Но пока для большинства организаций это остается не приоритетной задачей.
Реальность такова, что лишь треть (35%) ОЦИБ (Оперативный центр информационной безопасности) обладают критически важным набором инструментов для обнаружения и эффективного реагирования на инциденты информационной безопасности (ИБ).
Для большинства организаций основной угрозой остаются целевые атаки – когда киберпреступники с прицелом на конкретную компанию шифруют данные, требуя выкуп.
Новая реальность и старые ошибки
Наряду с этим всегда существуют «массовые атаки» – когда системы поражаются автоматическими ботнетами, сканирующими все возможные уязвимости. Проблема в том, что многие компании даже не осознают, что обладают забытыми, не обновляемыми элементами инфраструктуры – старые серверы, уязвимые веб-порталы. «Теневое IT» – термин, который становится все актуальнее.
Крупные компании, пусть и оснащенные дорогостоящими средствами защиты, часто оказываются в зоне риска из-за банальной беспечности и игнорирования простых стандартов безопасности.
Когда 15 минут могут спасти компанию
Чем быстрее, тем лучше – таков принцип работы в ИБ. Реагирование на инциденты должно быть молниеносным. Если сервер был скомпрометирован в пятницу, а о взломе стало известно лишь в понедельник, последствия могут быть катастрофическими.
В SOC (Security Operations Center) критический инцидент должен быть выявлен в течение 15 минут, иначе последствия будут необратимыми. Важно понимать: злоумышленники атакуют круглосуточно, и их не останавливают праздники или выходные. Как ни странно, но во время ночных смен, когда администраторы не работают, атаки могут быть наиболее успешными. Важно, чтобы мониторинг был непрерывным, а команда могла мгновенно принять меры.
Признание ошибок – ключ к доверию
Какая реакция компании в случае утечки данных или кибератаки? И скрывать ли инцидент от клиентов? Ответ един – нет. Невозможно скрыть факт взлома. Особенно, если злоумышленники уже обнародовали информацию. Это только усугубит ситуацию. Лучше признать ошибку и предложить план действий, чем скрывать проблему до последнего, рискуя репутацией.
Компания, открыто сообщающая о происшествиях, вызывает доверие у клиентов, даже если ситуация критическая. Напротив, молчание только усиливает стресс пользователей, увеличивая уровень недовольства и опасений.
Как собрать идеальную SOC-команду, если на рынке нет кадров?
Кадровый дефицит в ИБ-секторе остается одной из основных проблем. Несмотря на тот факт, что специалисты есть, часто они просто не подходят для конкретной компании.
Почему? Во-первых, корпоративные структуры редко могут предложить такого же уровня адреналина, как компании, специализирующиеся на безопасности. Во-вторых, работая в крупной организации, специалисты сталкиваются с рутинной задачей, с которой просто не могут вырасти. Вот почему многие уходят в компании с динамичной атмосферой, где всегда есть новые вызовы.
Вместо того чтобы сидеть в офисах и ждать сотрудников с идеально подходящими скиллами, важно замечать и вкладываться в молодых специалистов, которых можно обучить. Такие люди будут более мотивированы и заинтересованы в успехе компании.
Почему идеального ОЦИБа не существует, и что нужно, чтобы им стать?
Идеальных ОЦИБов не существует. Все строится на трех китах: людях, процессах и технологиях. Однако даже самые опытные специалисты не смогут работать эффективно, если не выстроены процессы. Технологии важны, но на втором плане. Именно грамотно распределенные роли, четкие процессы реагирования на инциденты и внимание к потребностям бизнеса делают SOC эффективным.
Кроме того, многие компании идут по пути аутсорсинга ИБ, потому что создание полноценного SOC для малого бизнеса – это дорого и экономически нецелесообразно. Зачем тратить деньги на оплату ночных смен, если за ту же сумму можно привлечь внешних специалистов?
Защита информации – это игра на выживание
Если вы до сих пор думаете, что ваша компания застрахована от угроз, пора пробудиться. Опытные компании уже осознают, что кибератаки – это не вопрос «если», а вопрос «когда». И без должного мониторинга, четкого реагирования на инциденты и, что важнее всего, честности перед клиентами шанс на выживание стремительно тает.
Александр ПУШКИН, руководитель SOC PS Cloud Services