Управление неизбежностью: что делать до и после кибератаки
В реалиях киберпространства 2024 года разговор о взломе IT-инфраструктуры, утечке данных или DDoS-атаке может зайти даже в высоких кабинетах тех, кто еще совсем недавно посчитал бы подобные вопросы исключительно операционными. Новости о масштабных кибератаках и сбоях в работе веб-сервисов еще несколько лет назад публиковались только на профильных ресурсах и интересовали исключительно директоров по IT и информбезопасности (ИБ). Но наступила новая реальность. Генеральный директор Security Vision Руслан Рахметов рассуждает о том, как подготовиться к киберинциденту и что нужно делать, когда он уже случился.
Кибератаки — примета эпохи
Сегодня масштаб цифровизации и степень зависимости от информтехнологий практически любого крупного бизнеса столь высоки, что киберустойчивость информационной инфраструктуры является ключевым условием для функционирования большинства бизнес-процессов. Значительно возросло количество кибератак, повысилась неоднородность IT-инфраструктур из-за эффекта пандемии, санкционных ограничений, ускорившегося импортозамещения, использования атакующими все более совершенных методов и технологий, включая системы ИИ, а также из-за фактически открытого противостояния между государствами в киберпространстве.
Эти объективные факторы означают: даже самая продвинутая компания, уделяющая значительное внимание кибербезопасности, рано или поздно столкнется с кибератакой и ее последствиями. В ситуации, когда разумнее задавать вопрос не «Взломают ли нас?», а «Когда и как это произойдет?», следует заранее подготовиться к такому исходу и продумать способы реагирования на успешно проведенную кибератаку.
Политика управления киберинцидентами должна учитывать различные сценарии реагирования на релевантные для компании типы киберугроз. В зависимости от типа инцидента необходимо описать действия, например, при DDoS-атаке, утечке данных, заражении вирусом-шифровальщиком, выходе из строя информационной системы из-за аппаратного сбоя или некорректно установленного обновления и т. д. Перечень актуальных киберугроз уникален для каждой организации и зависит от сектора экономики, масштаба бизнеса, специфики деятельности, используемых технологий, риск-аппетита компании. В сценариях реагирования следует описать действия для выявления, анализа, локализации и устранения киберинцидента, восстановления и выполнения постинцидентных действий, включая детальный разбор случившегося, формирование отчетности и актуализацию сценариев реагирования на основе «выученных уроков».
В зависимости от квалификации атакующих и качества выстроенной корпоративной системы ИБ киберинцидент может быть или не выявлен вовсе, или зафиксирован уже постфактум, в том числе когда его последствия стали достоянием общественности. Последствия некоторых типов атак сразу становятся очевидными для большого количества клиентов компании: это касается недоступности сайта и сервисов компании в результате DDoS, взлома или сбоя в инфраструктуре, дефейса (изменения внешнего вида веб-страниц с добавлением посторонних логотипов или лозунгов), распространения в соцсетях или мессенджерах мошеннических или дезинформационных сообщений якобы от имени первого лица компании, создаваемых с помощью технологии дипфейк.