Но – стоп! Так ли это? Не устарел ли мой взгляд за те несколько лет, что занимаюсь анализом и консалтингом, не отвечая за эксплуатацию конкретных объектов? Мало ли что там показывают мировой и российский опыт, best/good practices.

Да и единственный ли это риск, который сбылся – риск массовых кибератак от нарушителей ИБ всех уровней? И почему, при реализации компьютерных атак и санкций в ИТ-сфере 2022 года мы не увидели массового применения возможностей по отключению и блокировке ПО, «зашитых» на уровне вендоров? (Специально применил иностранное слово.) Конечно, отключение обновлений не отечественного ПО в кризис - мера нужная, но больше формальная, скорее для массовых приложений, чем для системного и прикладного софта, предназначенного для использования в промышленности, управлении, обучении.

Обратился к друзьям, которые работают ИТ или ИБ-директорами. Знаете, нашлись те, у которых с готовностью к кибератакам так и оказалось – «только списки загрузить», а кто-то посетовал, что руки не доходили всем лишний функционал закрыть («честно говоря, ссориться не хотели»), кто-то, придя на новое место, «не успел, но отразил».

И вот тут я вспомнил список, содержащий перечень систем и приложений (по сферам применения), заблокировав которые, можно было бы добиться значительного негативного эффекта как для страны, так и для каждого отдельного гражданина, который я набросал в первых числах марта. Причём многие из таких систем не могут быть отнесены к объектам КИИ по формальным признакам. Статью я тогда писать не стал, список показывать тоже, чтобы не получить негативный эффект лично для себя. Позже мы ряд подобных мер увидели, например, блокировку иностранных платёжных систем (Google/Apple Pay и т.п.), трансграничных платежей по банковским картам и т.п. Кстати, представляете, что было бы без НСПК, созданной и запущенной в 2014?

Вторая часть списка представляла собой риски ИБ, которые, по моему мнению, также стали реализовываться с февраля-марта этого года. Некоторые из них прямо связаны с возможностью отражения кибератак здесь и сейчас, некоторые – со среднесрочной перспективой в 3-12 месяцев, а также есть стратегические – с полной заменой софта на значимых объектах КИИ на российский (горизонт планирования от трёх лет).

А что на эту тему говорит экспертное сообщество?

Немного позже, 12 апреля, эксперты отрасли защиты информации собрались на ежегодный CISO-Forum, где также немало времени обсуждали риски ИБ (киберриски) и свою готовность (реже – неготовность) к ним, о том, как решали навалившиеся проблемы.

Сведу всё, что писал сам, а потом сопоставил с тем, что услышал и как продолжение частных бесед, и как тезисы на мероприятиях за эти два неполных месяца.

1. Реализован риск массовых кибератак от нарушителей всех уровней.

Комментарии (цитаты):

То есть, мы видим как текущие риски, так и перспективу реализации документированных (например, «окирпичивание» оборудования Apple) и недокументированных возможностей со стороны зарубежных разработчиков и производителей ПО, оборудования, СЗИ под давлением правительств их стран.

2. Уход зарубежных вендоров ПО, оборудования, СЗИ. В плане безопасности, в том числе в связке с риском №1, – их СЗИ или сразу прекратили работу, или фактически прекратят в течении трёх месяцев, отключено обновление сигнатур.

Комментарии (цитаты):

Мы видим, как реализацию рисков здесь и сейчас (отказали СЗИ, хорошо если есть второй эшелон из российских или иностранных, но не «санкционных»), так и перспективу, связанную с поддержанием квалификации персонала, созданием и поддержанием в актуальном состоянии собственных баз сигнатур, заменой иностранных СЗИ и оценкой соответствия внедренных на их место средств и систем.

Впрочем, прозвучала фраза, что «для коммерческой организации странно ставить риск ухода иностранных вендоров». Действительно, из тех, кто говорил о готовности к санкционным рискам (рискам срочного импортозамещения) или о том, что он предупреждал руководство, были, в основном, безопасники государственных структур и корпораций, некоторые из которых давно под санкциями.

Отмечу, что пока не встречалось фактов, когда кибератаки привели к серьезным последствиям: остановкам производств, затруднению или прекращению управления страной или отраслями, объектами, к массовым утечкам данных или денег со счетов. Основные примеры - замедление работы ряда сайтов органов государственного управления и СМИ.

3. Риск невозможности оперативной замены средств и систем защиты информации, техподдержка которых прекращена, действие сертификатов приостановлено, или которые просто перестали работать (или такой риск высок).

Кто-то попытался срочно купить новые, но из продажи в тот момент, например, исчезли серверы или их цена в разы подскочила, а кто-то оперативно заключил договор с SOC. Но такая оперативность в первом квартале говорит еще о том, что бюджеты у них были сформированы в прошлом году, не факт, что для подобных ситуаций, но они были.

4. Риск отсутствия необходимого функционала в СЗИ, которые запланировано внедрять взамен импортных.
5. Риск отсутствия совместимости внедряемых СЗИ с другими СЗИ и основным прикладным ПО.

Комментарии (цитаты) по этим рискам:

Считаю, что ключевой момент здесь – отсутствие экосистем, сюда укладывается совместимость, функционал, нагрузка, то есть ситуация, когда подсистема защиты информации – это не просто набор автономно функционирующих СЗИ, а часть автоматизированной системы, для обеспечения безопасности которой она была создана.

Можно сказать, что риски 3-5 – «риски срочного импортозамещения».

Открытым текстом от коллег по отрасли не раз слышал

А надолго ли? И все ли риски этого уровня идентифицированы? Сформулированы меры по их обработке? Не все, конечно.

Коллеги, и не будем забывать, что все названные здесь риски защиты информации масштабируются выше – как на возможность эффективного и гарантированного функционирования автоматизированных систем (сетей) в новых условиях и на новых программных и аппаратных платформах, так и на саму возможность их создания и запуска в эксплуатацию в необходимые сроки. Также никто почему-то не называет и не обсуждает риск общения с различными контролирующими органами по поводу попыток получить бюджеты с целью повторных закупок того, что было уже закуплено, внедрено и сроки эксплуатации еще не истекли. Особенно горько заплачут те, кто работает по 44-ФЗ, если, конечно, не выйдут новые меры поддержки.

Кстати, о чём говорили эксперты на закрытой сессии BISA? Каким мероприятиям для минимизации рисков в текущей ситуации они поставили приоритеты? Об этом в следующей статье на этой неделе.