Обычно я намеренно не пишу длинных историй и статей. Но есть одна тема, о которой никто не пишет, но важность которой я считаю запредельной уже 4 года. В США и Британии эта тема уже раскручена, и должности "VP, Supplier Information Risk Management" уже не редкость в многих компаниях Fortune 500. Как уже догадался читатель - речь пойдет о рисках связанных с третьми сторонами (или third party risk).
В российской блогосфере, на конференциях и выставках данная тема поднимается очень-очень узко, разве что в контексте контроля администраторов аутсорсеров. Но сама она гораздо шире и важнее, и поэтому я и обратился к ней. Перед публикацией статьи я обсудил ее с небольшим экспертным советом - по одному представителю от ИБ-индустрии, финансов и нефтегаза, и все они высказали мнение о актуальности как тематики связанных рисков так и предложенных подходов. Считаю, что тематика заслуживает на внимание всех служб ИБ, и поэтому прошу репостить и ретвитить. Прошу, наверное, в первый раз за 5 лет существования блога.
Паутина
рисков третьих сторон
Введение
В российской блогосфере, на конференциях и выставках данная тема поднимается очень-очень узко, разве что в контексте контроля администраторов аутсорсеров. Но сама она гораздо шире и важнее, и поэтому я и обратился к ней. Перед публикацией статьи я обсудил ее с небольшим экспертным советом - по одному представителю от ИБ-индустрии, финансов и нефтегаза, и все они высказали мнение о актуальности как тематики связанных рисков так и предложенных подходов. Считаю, что тематика заслуживает на внимание всех служб ИБ, и поэтому прошу репостить и ретвитить. Прошу, наверное, в первый раз за 5 лет существования блога.
Паутина
рисков третьих сторон
Введение
В 2012 году работая
экспертом по ИБ программы по автоматизации автозаправочных комплексов ТНК-ВР я
не представлял в какую паутину рисков попадает подключающееся к любой третьей
стороне предприятие.
В это время на АЗК
ВР активно продвигалась карта «Карбон», с начислением бонусных баллов «Малина»
от партнера «Лоялти партнерс восток», а значит компрометация сети «Малины»
создавала новый вектор атаки на сеть ТНК-ВР.
Произведем
простенький расчет - допустим, вероятность взлома сети АЗК составляет 50%. Аналогично,
вероятность взлома партнера составляет 50%. Данная оценка применима для крупных
партнеров, ведь небольшие партнеры занимаются
безопасностью гораздо меньше и сломать их гораздо легче. Допуская что
защищенность со стороны партнера аналогичная защищенности периметра (что весьма
оптимистично) и применяя нехитрые познания в статистике дополнительно получаем
вероятность взлома АЗК со стороны партнера = 50%*50%=25%.
Итоговый риск 75%,
т.е. уровень риска АЗК вырос на 50% только из-за подключения одного партнера.
Вспоминания популярную фразу «Существуют три вида лжи: ложь, наглая ложь и
статистика» можно отмахнуться даже от таких понятных расчетов, но тяжело забыть
взлом розничной сети Таргет в 2013. Тогда утекло 130 миллионов клиентских
записей, и уволился генеральный директор сети. А ведь похитивший данные вирус
пришел со стороны обслуживавшего POS партнера.
Но самая проблемная
часть связанного с третьими сторонами риска это его плохая управляемость. Пока
мы совершенствуем процессы и внедряем технологии защиты внутри организации у
партнеров происходит непонятно что. Многие ли службы информационной безопасности
включили в требования ИБ к партнерам необходимость соответствовать стандартам
ИБ организации в данный момент времени?
В 2015 году из
интервью представителя «Инфосистем Джет» я узнал о заключенном еще в 2005 году
долгосрочном аутсорсинговом контракте между «Инфосистемами Джет» и «Малиной». В
первом приближении стоило бы к нашему «МАЛИНА-риску» добавить половину (12,5%),
допуская что у «Инфосистем Джет» с ИБ не лучше чем у других участников цепочки.
Т.е. из-за подключения партнера наш риск вырос с 50% до 87,5%.
Но ведь в том же интервью «Инфосистемы Джет» рассказали
о поддержке Вымпелкома, Лето-банка и других… И тут цепочка превращается в
паутину. Один раз организовав подключение всего одного партнера организация
теряет прозрачность своего профиля риска ИБ. Ведь ни «Инфосистемы Джет», ни
какой-либо другой из ТОП-10 интеграторов не раскрывают публично свои практики
ИБ (в отличие от западных вендоров Google, Microsoft, Amazon).
Учитывая
нарастающую взяимосвязанность организаций любая организация попадет в такую
паутину, и очевидная задача ИБ показать совокупный риск и при этом не запутать бизнес
при принятии решения
Идентификация рисков
Внедрение точек контроля
Увы, не только условная
«Малина» подключается к современной организации. Это были и
ИТ-аутсорсеры\вендоры, и информационные сервисы для руководства (Reuters+), и многие другие
инициативы, отследить которые – отдельная непростая задача.
В идеале необходимо
применять гибридный подход “и сверху и снизу”, а именно “сверху” делать требования
по ИБ приложением любого договора организации (как уже произошло с NDA) и «снизу» делать
невозможным добавление любых сетевых маршрутов или пользователей в системы
организации без согласования с службой ИБ.
Таким образом мы
защитимся от случаев «хотели как лучше а получилось как всегда» когда бизнес
просто не понимает рисков, которые приносит его потенциальная сделка. Рисков,
влияющих на P&L как отдельного
бизнес-юнита так и P&L организации.
Учет рисков
Каждый партнер
может подключаться не только в одном месте и одним способом, равно как и не в
одном регионе присутствия организации.
С ростом количества
подключений, для понимания профиля риска и поиска причин инцидентов ИБ необходим
учет связанных рисков. Для начала это может быть простая электронная таблица,
содержащая минимально необходимую информацию – имя партнера, имя ответственного
офицера безопасности, ответственный от бизнеса, ответственный от
ИТ-инфраструктуры, если принято решение типизировать партнера то его тип, дата
последнего прохождения партнеров аудита безопасности, и ссылка на профиль риска
партнера, ранее заполненного офицером безопасности организации.
Можно использовать
и промышленное ПО, как свободное так и от западных или российских
производителей. В частности существует квадрат Gartner “IT Risk Management”, ведь в многих
других странах тематика управления связанными рисками уже идентифицирована как
важная и внедрена в крупнейших организациях -
JPMorgan, Citigroup, Pepsi и NEC.
Аудит текущих рисков
Наладив процесс
идентификации будущих связанных рисков разумно обратить внимание на
существующие. Ведь организация уже имеет бизнес-партнеров, консультантов,
совместные предприятия, аутсорсеров и других партнеров, профиль риска которых
влияет на профиль риска организации. Все их подключения необходимо определить и
вести их учет, для дальнейшего управления связанными рисками.
Для аудита могут
быть полезны технические системы управления рисками сети, которые покажут какие
подключения извне имеет сеть, и “подсветят” те подключения, использование
которых может привести к эксплуатации реальных уязвимостей организации.
Наиболее продвинутые из них позволяют моделировать новые подключения и
анализировать состояние сети в прошлом интегрируясь с сетевыми устройствами,
сканерами уязвимостей и CMDB.
Так же необходимо
обратить внимание на контракты с консультантами (сидящими в офисе организации)
и пользователей имеющих право пользоваться удаленным доступом.
Управление рисками
Снижение рисков
Различающийся
профиль рисков связанных сторон приводит к необходимости в первую очередь
снижать риски. Ведь инцидент безопасности может произойти не у самой
организации, а у ее связанной стороны, и эти убытки организация не всегда
сможет покрыть в принципе. Кроме приведенного ранее примера с Таргет приведу
гипотетическую ситуацию. На АЗК условной нефтегазовой компании через партнера
пробрался вирус. Вирус распространился по сети, и добрался в головную компанию
холдинга, а через нее в газотранспортный дивизион холдинга. В итоге вирус
изменил режим работы газоперекачивающего агрегата, вследствие чего поломалась
турбина агрегата, стоимость замены агрегата 4m USD.
Дело было в зимний пик поставок газа, а значит страна-потребитель предъявила
холдингу иск на 10m USD неустойки. Ни одна АЗК
в принципе не стоит 14m USD.
Пример из
финансовой индустрии – каждую неделю банки видят как через взломанные клиент
банк контрагента перегоняются деньги для затруднения возврата. Каждый такой
случай несет юридические и финансовые риски для взломанного «прокси» контрагента.
Если все же бизнес
готов принять “все риски” и “безотлагательно” необходимо зафиксировать это
письменно (неплохая форма есть в стандарте ISO 13569), и тогда в будущем будет понятно – это
безопасность перестраховывалась или бизнес недостаточно ответственно относился
к создаваемой его деятельностью рискам. Иногда после предъявления такой формы
риск-аппетит бизнеса стремительно падает. Особенно если бизнес-модель уже
устоялась (традиционные индустрии –ТЭК, ГМК и т.п.)
Контроль рисков
Контроль связанных
рисков подразумевает соблюдение трех принципов
·
«что бы было не хуже чем у нас»
·
«соответствие требованиям в
текущий момент времени»
·
«переносимость требований на
партнеров партнера»
Увы, применять для
контроля связанных рисков типовую политику ИБ не получится, ведь и бизнес и ИТ
знают что из нее выполняется в лучшем случае 60%. Поэтому необходимо разработка
каталога требований, желательно с разбиением по типам партнеров в зависимости
от их типа доступа и количества данных под их влиянием\доступом– понятно, что
требования для подключения через защищенный шлюз должны быть гораздо мягче
прямого соединения сетей. Конечно, политика должна распространяться и на
персонал партнера, т.е. если в организации положено предоставлять доступ к
информационным ресурсам после прохождения обучения правилам ИБ и сдачи
экзамена, то то же самое нужно делать и для персонала партнера. Если существует
правило по ежегодной переаттестации знаний ИБ – то и оно, ведь каждое
исключение порождает новое «слабое» место, причем в отличие от внутреннего
персонала дисциплинарные взыскания к персоналу партнера уже не применить.
Отдельно подчеркну необходимость
проверки прошлого сотрудников партнера (background check) - что получают доступ к сети организации. Внешние атаки актуальности
не теряют, но печальный опыт потерь в миллионы и сотни миллионов долларов UBS, KIA и мошенничества в
процессинге Альфа-банка из-за злоупотреблений администраторов повторять ни к
чему. Как альтернатива – предварительный аудит практик проверки прошлого
сотрудников партнера его службой безопасности.
Аналогично стоит
подумать и о физической безопасности активов партнера.
Для организаций с
серьезной службой ИБ разумно подумать о предъявлении требований к квалификации
службы ИБ партнера, что бы ее квалификация было того же порядка что и у службы
ИБ организации.
Интересной
альтернативой тщательному контролю выполнения требований является прописанная в
контракте финансовая ответственность за инциденты ИБ. Понятно, что партнер в
этом случае должен иметь заведомо лучшие практики ИБ и стабильное финансовое
положение. Например, это может быть один из ИТ-гигантов. Хотя после 2-ух лет
проведенных в переговорах с самыми разными организациями я обнаружил что в
ТНК-ВР была лучшая служба ИБ среди нефтегазовых компаний России, ее PaaS-инфраструктура от
одного из ИТ-гигантов в швейцарском ЦОДе подвергалась аудитам безопасности
службой ИБ ИТ-гиганта в разы чаще чем внутренняя сеть ТНК-ВР.
Страхование рисков
При накоплении
неразрешимых противоречий между экспертами ИБ и бизнеса можно привлечь
третейского судью – страховую компанию.
Страховые компании
довольно неплохо осведомлены о профилях риска организаций разного размера и
секторов экономики и за счет своей информированности могут предложить более
дешевое решение задачи обработки конкретного риска.
Оптимизация рисков
Капитализация рисков
Понятно, что
попытка реализовать, например, службой ИБ Сбербанка принципы контроля рисков
могут встретить ожесточенное сопротивление партнеров – ведь как какой-то мелкий
партнер сможет выделить на безопасность сопоставимые с Сбербанком средства?
Эффект масштаба позволяет крупным компаниям достигать уровней безопасности,
невообразимых для “малышей”.
Для таких случаев в
дело вступает “капитализация” рисков, когда бизнес вместо того что бы постоянно
платить за повышенный уровень безопасности в партнере – выбирать более дорогих
партнеров (OPEX), один раз платит за внедрение технических точек контроля (CAPEX).
Техническими
точками контроля могут быть – NAC-технологии, шлюз безопасного удаленного доступа, шлюз контроля доступа
администраторов, IPS, двухфакторная аутентификация, технологии адаптивного доступа.
Внедрение
технических точек контроля потенциально позволяет закрыть возможные вектора
атаки - принципиально снизить уязвимость сети организации перед подключением
партнера, и таким образом снизить необходимость в применении 100% требований ИБ
организации к партнерам.
Мониторинг рисков
Новые технологии и
бизнес-тренды меняют не только профиль риска организации но и профили риска ее
партнеров. Необходим мониторинг связанных рисков, что бы понимать насколько
связанные риски влияют на профиль рисков организации, насколько служба ИБ
операционной эффективна
Соответственно для мониторинга связанных
рисков необходимо контролировать 3 основных домена
·
Эффективность процесса управления
связанными рисками организации.
·
Профиль
риска партнера.
·
Профиль
связанных рисков организации.
Примеры метрик для
измерения эффективности процесса управления связанными рисками:
·
% подключений партнеров прошедших
оценку ИБ среди всех партнеров.
·
% принятых рисков с наличием подписей
бизнеса.
·
Медианное время подготовки профиля
риска офицером безопасности.
Примеры метрик для профиля
риска партнера:
·
Количество инцидентов ИБ за
последний год.
·
Дата последнего аудита ИБ партнера
организацией.
·
Количество
найденных несоответствий.
·
%
устраненных в оговоренный период несоответствия
·
Количество принятых рисков для
этого партнера.
·
% принципиально совпавших
результатов проверок прошлого персонала партнера организацией с результатами
проверок службой безопасности партнера.
Примеры метрик для
профиля связанных рисков организации
·
Медианное значение количества
невыполненных требований (принятых рисков) на одного партнера.
·
Среднее отклонение количества
инцидентов ИБ по партнерам.
·
Среднее отклонение количества
несоответствия требованиям по партнерам.
·
Количество инцидентов ИБ вызванных
соединением с партнером.
·
% контрактов с партнерами
включающих требования по ИБ.
Для запуска
мониторинга необходимо выстраивание коммуникаций. В частности необходимо
определить контактные лица по ИБ со стороны организации и партнера, контактные
лица для обработки инцидентов, контактные лица для отчетности по устранению
несоответствий. Желательно предусмотреть резервные контактные лица на случай
болезней, увольнений или отпусков основных.
Кроме контактных
лиц необходимо определить базовые правила классификации и обработки инцидентов
ИБ, формы и периодичность стандартной отчетности партнера (например, уровень
обновлений, отчетность антивирусной системы в периметре PaaS-инфраструктуры
предоставляемой клиенту).
Информирование о рисках (Risk
Intelligence)
Эффективное
управление связанными рисками возможно только на основе достоверной информации,
и традиционным первым шагом является предварительный аудит партнера перед
подписанием договора. Понятно, что такой аудит нужно проводить только при
прямом сетевом подключении, предоставлении доступа к чувствительной информации
или другом серьезном изменении, желательно используя ранее разработанные
критерии типизации партнеров с точки зрения ИБ.
Аудит должен быть
направлен на оценку способности службы ИБ – специалистов ИБ партнера грамотно и
эффективно управлять профилем риска партнера. Какие угрозы они считают
актуальными? Какие меры предпринимает организация? Считает ли бизнес партнера
ИБ важной функцией?
При серьезных
изменениях (например, закупке резервных мощностей у партнера) рационально
заказать тест на проникновение партнера у специализированной информации. Для
снижения сопротивления бизнеса желательно забюджетировать пентест на самых
ранних стадиях формирования бюджета проекта.
Отдельно
предостерегу от доверия наличию сертификации риск-ориентированных стандартов ИБ
(таким как ISO 27001), которая сама по себе не гарантирует применения ни одной меры
безопасности. В моей практике сертификат
выданный одной из ТОП-30 компаний страны
охватывал всего несколько рабочих мест SOC партнера, тогда как предлагались услуги
контактного центра. Сравнение же положения о применимости (SoA) с требованиями ИБ
организации довольно трудоемко и плохо масштабируемо.
По итогам аудита
безопасности важно не только предварительно понять профиль риска партнера, но и
установить рабочие отношения, которые будут необходимы для предоставления
отчетности, выборочных проверок персонала партнера и налаживания двухстороннего
обмена информацией о угрозах.
Аудиты ИБ партнера
дают возможность расширить профессиональную сеть контактов и наладить
двухсторонний обмен о новых угрозах. Ввиду того, что партнеры обычно работают в
других секторах экономики у них другой «сектор обзора» и от них можно получить
информацию о угрозах, от которых организация еще не пострадала..
Для стимулирования
партнера к совершенствованию системы ИБ рационально предусмотреть в договоре
штрафы за нарушения требований ИБ организации (естественно, как и классическое
право на аудит ИБ). Конечно, в реальной жизни применять штрафы вряд ли кто
будет, но само их наличие изрядно облегчит коммуникацию с службой ИБ партнера и
даст ей аргументацию для обсуждения с руководством партнера почему нужно
исправлять обнаруженные в ходе аудита несоответствия.
Заключение
Разумная и
эффективная система управления связанными рисками позволяет не только снизить
влияние профилей рисков партнеров и партнеров партнеров на профиль риска
организации, но и снизить профиль риска национальной экономики в целом. Ведь
упомянутая в начале рассказа «Малина» имеет соединения с десятками компаний,
каждая из которых может пострадать от небрежностей руководства «Малины» при
построении системы ИБ.
Аналогичная
ответственность лежит и на тех организациях, которые сами создают много
подключений к сетям других партнеров. Укрепляя собственную безопасность они
укрепляют собственный бренд, защищают рыночную долю, не допуская таких
инцидентов как взлом Таргет или утечки Сноудена, получившего доступ к
чувствительным данным работая в подрядчике Booz Allen Hamilton. Учитывая высокий
потенциал ущерба от внутренних нарушителей, и целый ряд кейсов злоупотребления
полномочиями - не хотелось бы добавлять к внутренним нарушителям организации еще
и внутренних нарушителей партнеров.
P.S. В формате DOC статью можно скачать здесь - https://drive.google.com/file/d/0BxipESX4g-2AbmZrNk9FNU9SQ0E/view?usp=sharing
P.S. В формате DOC статью можно скачать здесь - https://drive.google.com/file/d/0BxipESX4g-2AbmZrNk9FNU9SQ0E/view?usp=sharing
Комментариев нет:
Отправить комментарий