Аудит кибербезопасности

Автор: Эльдар Мусин, заместитель начальника управления, внутренний аудит ПАО «ФосАгро»,
член Ассоциации «Институт внутренних аудиторов»

Тематика угроз кибербезопасности сейчас чрезвычайно актуальна. Практически ежедневно в СМИ появляются новости о взломе хакерами очередной системы и утечке конфиденциальной информации. Это связано с непрерывной цифровизацией бизнеса и государственных учреждений, а также увеличением количества угроз со стороны киберпреступников. Опасность подстерегает пользователей на каждом шагу. Сейчас для заражения компьютера вирусом достаточно кликнуть, например, по баннеру на официальном сайте широкоизвестного СМИ – вы автоматически перейдете на зараженный сайт, и на ваш компьютер будет скачан так называемый «exploit kit», который тут же начнет анализировать установленное у вас программное обеспечение на наличие уязвимостей.

Вопросы кибербезопасности стали чаще обсуждаться в компаниях на всех уровнях управления. Служба внутреннего аудита в свою очередь при формировании годового плана должна основываться в первую очередь на оценку рисков, при этом также необходимо учитывать мнение менеджмента и совета директоров.

При оценке рисков в области кибербезопасности необходимо рассмотреть следующие вопросы:

Как сильно бизнес компании связан с ИТ? Если это банк, то любая атака и нарушение работы ИТ-сервисов будет напрямую влиять на удовлетворенность клиентов и репутацию банка. Если это сельскохозяйственная компания, то взлом сервера не сильно повлияет на процессы внесения удобрений или сбора урожая.

Какие информационные системы (далее – ИС) и ресурсы используются? Насколько они критичны? Для это необходимо понимать, какой ущерб будет нанесен компании, если нарушится одна из характеристик информационных ресурсов: конфиденциальность, доступность и целостность:

• Нарушение конфиденциальности. Утечка конфиденциальной информации (например, информация о поставщиках, покупателях, персональные данные сотрудников, клиентов, результаты исследований и разработок) в открытый доступ или конкурентам может привести к оттоку клиентов, либо потере конкурентного преимущества.

• Нарушение доступности. Недоступность ИС может привести к приостановке бизнес-процесса. При этом необходимо определить реальную зависимость от данной ИС, т.к. очень часто ключевые бизнес-процессы компании, такие как обслуживание клиентов или отгрузка продукции могут работать какое-то время без средств автоматизации, с оформлением всех документов вручную на бумаге. Это приведет к временным сложностям, но не заблокирует работу компании. Информацию с бумажных носителей в ИС можно внести позднее, после восстановления ее работоспособности.

• Нарушение целостности. Пример несанкционированного внесения изменений в информацию – корректировка реквизитов контрагента с целью получения платежей, предназначенных для данного контрагента. При этом система внутреннего контроля в области платежей в компаниях обычно развита достаточно хорошо.

Предположим, что риски в области кибербезопасности достаточно высоки и вы приняли решение о проведении аудита. Возникает вопрос о квалификации и достаточности ресурсов службы внутреннего аудита. Если в подразделении есть сотрудник с опытом работы в ИТ или аудитов ИТ, этого может быть достаточно для проведения аудита кибербезопасности. Для такого сотрудника необходимо будет провести дополнительное обучение, при этом его необязательно направлять на платные очные курсы, которые стоят достаточно дорого, проводятся только в определенное время и читаются иногда сомнительными преподавателями. Гораздо удобнее и полезнее будет пройти онлайн-обучение, прослушав видео-уроки от преподавателей ведущих университетов мира и лучших практиков. По теме кибербезопасности очень много материала на таких сайтах, как coursera.com, udemy.com, udacity.com, lynda.com. Естественно, все курсы на английском языке. Так как область кибербезопасности постоянно развивается – как со стороны злоумышленников, так и со стороны защиты от них – необходимо изучить актуальные аналитические документы и обзоры, такие как ENISA Threat Landscape, Symantec Internet Security Threat Report. В них описываются современные угрозы, векторы атак, способы защиты и т.д. Также необходимо ознакомиться с основными международными стандартами в области информационной безопасности – серия ISO 27000, набор документов NIST.

Если в службе внутреннего аудита нет специалистов в области ИТ или ИБ, следует рассмотреть вопрос о привлечении внешних экспертов.

После распределения ресурсов, начинается планирование и предварительное обследование. На данных этапах необходимо определить, какие ИС/юридические лица/физические площадки войдут в границы аудита, какие области будут рассматриваться. Обычно в подобных проектах не затрагиваются вопросы соответствия законодательству (ФЗ-152, ФЗ-187 и т.д.), т.к. они анализируются либо в отдельном комплаенс-проекте, или в аудите информационной безопасности (это более широкое понятие по сравнению с кибербезопасностью). Также нельзя забывать о других службах и внешних компаниях, которые проводят проверки в данной области, например, внешние аудиторы в рамках аудита финансовой отчетности оценивают эффективность ИТ-контролей систем, которые формируют финансовую отчетность. Частично границы этих проектов могут пересекаться.

После предварительного обследования наступает этап детального тестирования. Несколько советов по данному этапу:

Желательно не запрашивать данные удаленно, а делать выгрузки из ИС самостоятельно, предварительно получив необходимые полномочия, либо делать скриншоты и выгрузки находясь непосредственно рядом с ИТ-специалистом. Дело в том, что любые настройки в ИС можно легко изменить, а выгрузки скорректировать. Если ИТ-специалист догадается о цели проводимого теста, он всегда может изменить в свою пользу предоставляемую вам информацию.

Большое внимание необходимо уделять вопросам реальной безопасности, например:

• Проводится ли тест на проникновение? Кем? Какая цель ставится для исполнителя? Что входит в границы такого проекта? Какие результаты? Исправляются ли выявленные недостатки?

• Как показывает практика, пользователи являются самым слабым звеном в системе безопасности. Поэтому необходимо понять, как обучают пользователей вопросам кибербезопасности? Оценивается ли их уровень знаний? Проводится ли в рамках теста на проникновение атака на пользователей методом социальной инженерии?

• Какие инциденты ИБ были зафиксированы за аудируемый период? Как реагировали ИБ-специалисты? Проводилось ли расследование? Какие мероприятия предпринимались по предотвращению данных инцидентов в будущем?

Если в вашей компании присутствуют системы управления производством (АСУТП), то как правило, такая система является наиболее критичной, поэтому ей стоит уделить особое внимание. Для подобных систем наибольшую угрозу представляет ее недоступность, так как это может привести к приостановке производства. Количество атак на АСУТП постоянно растет, а последствия таких атак достаточно ощутимы. Например, вирусом BlackEnergy в 2015 году была атакована украинская компания «ПрикарпатьеОблЭнерго». В результате без электричества осталась часть западной Украины.

По результатам аудита желательно формировать два отчета. Один будет предназначаться для ИТ-специалистов, он будет содержать детальное описание недостатков с использованием специфических ИТ терминов. Второй отчет или презентация для топ-менеджмента и аудиторского комитета будет содержать описание ключевых моментов на «языке бизнеса».

Как мы видим, аудит кибербезопасности не сильно отличается от классических аудитов закупок или инвестиций. Если раньше аудит кибербезопасности считался узкоспециализированным и специфическим, то сейчас данные проекты проводятся все чаще, а их результаты помогают компаниям повысить защищенность бизнеса от киберугроз и снизить расходы в данной области.