Україну знову атакують, і ми несемо втрати. Якщо зміна заглавної сторінки вебсайту виглядає як забава, то переривання сервісів платежів – це вже не забавка, а реальні проблеми як для бізнесу, так й для українців.

16 лютого я не зміг розплатитись картою в жодному з магазинів і кафе, де я був. Якщо для мене це просто незручність, то для бізнесу це реальні втрати, оскільки можливо не всі покупці зроблять свої покупки за готівку. Хто стоїть за цими атаками здогадатись не важко, але є відповідні органи, які мають встановити виконавця і замовника цієї атаки. Я хотів звернути увагу на інше. Business continuity planning. Disaster recovery procedures. Можливо у банків і організацій, які постраждали, наявні «Плани безперервної роботи бізнесу» (BCP), процедури відновлення роботи бізнесу у надзвичайних ситуаціях (DRP), але переривання надання сервісів є, отже є над чим працювати і надалі. Знову ж таки, ми розуміємо, що кібератака була масштабна, добре спланована і якщо за атакувальниками стоять державні ресурси, то протистояти такій атаці дуже складно, але й не можна сказати, що неможливо. Нещодавно Microsoft звітувала, що відбила найбільшу DDoS атаку в своїй історії, і повідомлень щодо суттєвих збоїв у роботі сервісів Microsoft не спостерігалось.

Україну та українські організації атакують вже не вперше, і на жаль, вкотре успішно. Здавалось би, що Petya 2017 року мав би продемонструвати всім компаніям і організаціям в Україні, наскільки важливо приділяти увагу питанням кібербезпеки та питанням безперервної роботи ІТ-систем та бізнесу, але час показує, що ми продовжуємо танцювати на граблях. Можливо більше елегантно, ніж раніше, але цей танець ми полюбили і схоже не плануємо з ним зав’язувати.

Працюючи з різними компаніями у якості ІТ-аудитора та консультанта я можу підтвердити, і мої колеги по цеху певен відмітять також, що в Україні зріс рівень цікавості бізнесу до питань кібербезпеки після 2017 року, але чи багато компаній приділяють час та зусилля для побудови відмовостійких ІТ-інфраструктур – з огляду на поточну ситуацію, працювати є над чим.

Який висновок важливо зробити керівникам бізнесу з поточної ситуації – кожна достатньо велика компанія чи організація, або ключова компанія\ організація для певної галузі економіки, може стати об’єктом атаки, як зі сторони спонсорованих державами-терористами хакерів в рамках гібридної війни, так і комерційно вмотивованими хакерами, які роблять свою роботу для заробітку. Так, розбудова резервної ІТ-архітектури та розгортання резервних ІТ-систем, вибудовування та реорганізація бізнес-процесів, аби вони могли функціонувати у випадку надзвичайної ситуації – це складна робота, і вимагає додаткових ресурсів, як людських, так і фінансових. Але вкотре постає питання – чи не перевищать ці витрати потенційних збитків, які організація може понести у разі настання надзвичайної події. Певен «Ощадбанк», «ПриватБанк», команда «Дії» можуть оцінити наразі це в певних цифрах.

Якщо ж ви у вашій організації ще не займались питаннями відмовостійкості ваших ІТ-систем та бізнесу в цілому, і плануєте до цього підступитись, варто звернути увагу на наступне:

• Існує міжнародний стандарт для побудови відмовостійкої ІТ-інфраструктури ISO 22301:2019 Security and resilience – Business continuity management systems. В ньому достатньо просто описана послідовність дій, які варто виконати, аби вибудовувати ефективну систему безперервної роботи організації (ціна 118 CHF).
• Національний Банк України розробив «Положення про забезпечення безперервного функціонування інформаційних систем НБУ та банків України» 2004 року (Постанова №265 від 17.06.2004). Це загальнодоступний документ, в ньому окрім специфічних положень щодо функціонування банківської системи у випадку надзвичайної ситуації є також загальні вимоги щодо побудови безперервної роботи банків, організації резервного центру, описані методи забезпечення безперебійної діяльності. Ці рекомендації можуть використовувати й звичайні організації, так як це загальні практики щодо організації безперервної роботи компаній.

І ще пару порад щодо Business continuity planning.

• Найпростіше рішення, яке ІТ може запропонувати СЕО щодо побудови резервного ЦОД – продублювати повністю ІТ-інфраструктуру. Це просто, але дуже дорого. В реальності, для виконання ключових бізнес-процесів кожного бізнесу не потрібні абсолютно всі ІТ-системи. Наприклад, без бухгалтерської системи 1С бізнес може продавати товари та послуги, якщо основна фронт-офіс система працює, а бухгалтерські проводки можна буде провести згодом. Так, в не дуже ефективній ІТ-інфраструктурі всі системи будуть хаотично пов’язані між собою, документація по системах може бути відсутня, і головна мантра ІТшників у цій ситуації – «працює, не чіпай». Звісно за такої ситуації ІТ-спеціалісти будуть бачити тільки одне рішення – відтворити такий же самий хаос і безлад у якості резервної ІТ-архітектури. Ефективний і менш затратний підхід у цій ситуації – BIA (Business Impact Analysis), аналіз впливу ІТ-систем на бізнес з метою визначення які системи критичні для виконання основної бізнес-функції компанії, а без яких компанія може працювати певний час. Резервування ключових систем організації дозволить ефективно витратити кошти й заодно може допомогти оптимізувати робочу ІТ-інфраструктуру.
• Щодо реалізації резервного ЦОД, ще одне просте і очевидне рішення, яке може запропонувати ІТ керівництву організації – побудова власного резервного ЦОД (зазвичай разом із пропозицією продублювати всю ІТ-інфраструктуру). Це також просте рішення, але також дороге. На сьогодні ринок ЦОД в Україні та світі доволі розвинений, і комерційні ЦОД пропонують окремі рішення саме для побудови резервних ІТ-систем та ІТ-архітектур. Оплата систем, які перебувають в комерційному ЦОД у режимі standby буде відрізнятись від використання аналогічного ресурсу в робочому режимі, відповідно побудова резервної ІТ-архітектури з використанням ресурсів комерційних ЦОД може бути економічно вигіднішою, аніж побудова власного ЦОД, закупівля власного обладнання і витрати на підтримку всього цього хазяйства. Звісно, все залежить від конкретної ІТ-архітектури конкретної організації, але варто порахувати і такий варіант. Якщо він навіть буде дорожчий, то для організації витрати на використання комерційного ЦОД, це операційні витрати, а побудова власного ЦОД і закупівля обладнання – це капітальні витрати, і для певних організацій це може бути додатковим аргументом у виборі варіанта розбудови резервного центру для безперебійної роботи бізнесу.

Побудова ефективної ІТ інфраструктури – складне завдання. Вибудова відмовостійкої ІТ-інфраструктури, завдання ще складніше. Але можливе. Удачі нам всім і стійкості в цей нелегкий час. Keep calm and build BCP.

16 січня цього року «Національний банк України» прийняв постанову №4 «Про затвердження Положення про здійснення контролю за дотриманням банками вимог законодавства з питань інформаційної безпеки, кіберзахисту та електронних довірчих послуг» (PDF, UA), якою формалізується підхід Нацбанку до перевірки банків щодо дотримання вимог із забезпечення інформаційної безпеки банків та кібербезпеки із відповідними потенційними наслідками для банків. І почалося.

Всім банкам в Україні, консалтинговим та аудиторським компаніям терміново знадобились ІТ-аудитори. Одночасно. І виявилось, що їх в Україні обмаль. Згідно інформації від «Київського відділення ISACA» американської «Асоціації аудиту і контролю інформаційних систем» в Україні на поточний момент сертифіковано 39 ІТ-аудиторів CISA (Certified Information Systems Auditor). Ще є ІТ-аудитори, які здавали екзамен, отримували сертифікацію, але наразі вона не є активною. В українському сегменті LinkedIn таких спеціалістів наявно більше 100. Згідно інформації від PECB Ukraine, з 2013 р. було сертифіковано 83 ISO 27001 Lead Auditor. Дехто із ІТ-аудиторів має обидві сертифікації, CISA та ISO 27001 Lead Auditor. Тому загальна кількість сертифікованих ІТ-аудиторів в країні звісно не 183, а дещо інша. Але в цілому загальний порядок кількості сертифікованих спеціалістів є таким.

Але ж де ж взятися великій кількості ІТ-аудиторів, якщо донедавна освітні установи в Україні не готували ІТ-аудиторів взагалі? В українських інститутах та університетах були відсутні навчальні програми щодо аудиту інформаційних технологій. Добра новина, часи змінились, і вже в деяких вузах України є окремі факультети, де викладають цю дисципліну, наприклад в КНЕУ. Але чи вистачить випускників українських вишів на всіх бажаючих і чи прийнятно для українського банку взяти на роботу випускника та очікувати від нього якісного аудиту вже в перший рік роботи? Риторичне запитання. Як і в будь-якій іншій професії, саме навчання – це лише підґрунтя для подальшого розвитку професіонала.

Власне курс з підготовки до здачі сертифікаційного екзамену ІТ-аудитора CISA від ISACA займає 5 повних днів навчання (PDF, RU). Тренінг по програмі ISO 27001 Lead Auditor від європейської PECB (Professional Evaluation and Certification Board) триває 4 дні. Після цього навчання кожен може здати сертифікаційний екзамен і отримати офіційне підтвердження, що він має достатні знання для проведення аудиту інформаційних систем. Це добрий початок. Здається, що 5 днів це зовсім небагато. Але для якісного аудиту ІТ-систем та ІТ-процесів, зваженої оцінки ризиків потрібні знання не тільки щодо того, як правильно проводити аудиторські процедури та робити статистичні вибірки. Аби зрозуміти, що не так в ІТ-системі чи в ІТ-процесі потрібно мати знання, а як саме правильно має бути. Відповідно ІТ-аудитору потрібно накопичувати також технічні знання щодо різних ІТ-систем, мережі, хмарних технологій. І якщо системні адміністратори мають привілей досконально вивчати тільки ті системи, які вони адмініструють, то ІТ-аудитор змушений вивчати всі види і типи ІТ-систем, які йому доводиться аудиювати. Звісно, ІТ-аудитор не буде знати краще певну ІТ-систему чи технологію ніж системний адміністратор, який займається цим постійно. Але для якісного аналізу певної системи потрібно розуміти як вона влаштована, які має налаштування, де вона зберігає логи і як їх потрібно читати. Без такого розуміння, аудит може звестися до діалогу:

• Ви маєте проблеми в системі?
• Ні
• Добре, так і запишемо.

Для того, аби виявити відхилення у функціонуванні ІТ-процесів ІТ-аудитору потрібно вивчати ITIL та COBIT, аби мати можливість співвідносити найкращі світові практики, підтверджені досвідом сотень і тисяч компаній у світі із тим, як ці процеси налагоджені і функціонують в компанії.

Для аудиту процесів інформаційної безпеки варто вивчити стандарти серії ISO 27001 Information Security Management, та їх українську адаптацію ДСТУ ISO/IEC 27001:2015 Інформаційні технології. Методи захисту cистеми управління інформаційною безпекою та ДСТУ ISO/IEC 27002:2015 Інформаційні технології. Методи захисту. Звід практик щодо заходів інформаційної безпеки.

Для якісного аналізу оцінки ризиків, які проводяться в компанії важливо розуміти процес оцінки ризиків згідно стандарту ISO 3100 Risk Management.

Для адекватної оцінки процесів, документів та процедур щодо забезпечення відмовостійкості в роботі ІТ-систем та забезпечення неперервності бізнесу варто знати стандарт ISO 22301 Security and resilience – Business continuity management systems.

Для ефективної оцінки системи внутрішніх контролів компанії добре б розуміти COSO frameworks, з управління ризиками та по внутрішнім контролям.

Для компаній, які торгують своїм акціями на американських фондових біржах будуть актуальними також вимоги The Sarbanes-Oxley Act of 2002, і ІТ-аудитори цих компаній також будуть стикатись із цими вимогами і проводити свої процедури для аналізу того, як вони виконуються в компанії.

Для українських компаній, які працюють на іноземних ринках Європи та Америки будуть актуальними вимоги, прописані в нових стандартах American Institute of Certified Public Accountants (AICPA) щодо побудови внутрішніх контролів в сервісних організаціях SSAE, ISAE3402 та ISAE3000 та проходження зовнішнього аудиту згідно цих стандартів.

І це ми говоримо тільки про hard skills, а ще ж ефективний аудитор має мати добре розвинені soft skills – для ефективного проведення інтерв’ю, аналізу інформації, підготовки звітів, аби подати керівництву проаналізовану інформацію добре структуровану, не перевантажену зайвими деталями та у зрозумілій для вищого керівництва формі.

Накопичення всіх цих знань та skills, займає набагато більше часу, ніж 4-5 днів тренінгу. Та й за 5-6 років навчання в інституті чи університеті, всіх цих знань студенту отримати буде непросто. Тому найефективнішим методом підготовки ІТ-аудиторів, яким користуються вже багато років аудиторські компанії «великої четвірки», це підготовка власних кадрів. Випускники, які приходять в аудиторську компанію, мають можливість в інтенсивному форматі проходити навчання як методології проведення аудиторських процедур, так і практичному застосуванню отриманих знань, і за 3-4 роки мати достатню кваліфікацію, аби виконувати задачі з аудиту ІТ-систем та процесів самостійно. І зазвичай, це найбільш жаданий ресурс для бізнесу, який регулярно вимивається із аудиторських компаній, відкриваючи можливість отримати знання і досвід для нового покоління випускників.

Щодо заробітної плати, на яку може розраховувати ІТ-аудитор, то відкритої інформації щодо цього мало. Державна служба пропонує 5500 грн для аудитора і 11 тис. грн для начальника відділу аудиту. Комерційні компанії та банки не публікують рівень компенсації, які вони пропонують, але згідно проведених співбесід, молодші аудитори можуть претендувати на заробіток від 10 тис. грн на місяць. Досвідчені ІТ-аудитори із досвідом в декілька років можуть претендувати на заробітну плату в 60 тис. грн, а у певних випадках і до 100 тис. грн. Цей рівень компенсації зрівняний із заробітними платами в індустрії розробки ПЗ, де бізнес-аналітик з досвідом також може розраховувати на аналогічну компенсацію, згідно останнього дослідження DOU, так і з ринком спеціалістів з інформаційної безпеки та кібербезпеки.

Ринок все відрегулює. Термінова потреба в певних спеціалістах тимчасово збільшить рівень оплати, яку компанії змушені будуть платити за умови дефіциту кадрів. Збільшений рівень компенсації збільшить попит на навчання по дефіцитній професії, що призведе до збільшення пропозиції щодо навчання. А з появою достатньої кількості відповідних спеціалістів компанії знову зможуть вибирати, кому і скільки платити. Єдине що може вплинути на цей процес, це попит на ІТ-аудиторів в інших країнах. Так як ця професія є міжнародною, то дефіцит аудиторів ІТ є не тільки в Україні, але й в інших країнах світу. І з поступовим розвитком ІТ в інших країнах, які ще не досягли того рівня розвитку, які мають США, Європа та інші розвинуті країни, попит на ІТ-аудиторів буде тільки збільшуватись. Тому українським компаніям прийдеться конкурувати за цей ресурс не тільки з іншими українськими компаніями, але і з компаніями зі всього світу, як це вже відбувається на ринку розробки ПЗ та ІТ-аутсорсингу.

Знову у медіа вирує інформація, що персональні дані українців продають. Гучний кіберскандал, в якому звинувачують державу, набирає обертів. У Мінінформації такі закиди спростовують, зазначаючи, що витоку із додатку «Дія» не було. Хоча справа ще розслідується, одне можна сказати напевно – проблема із захищеністю даних існує, а система захисту державних IT-систем шляхом побудови КСЗІ не є ефективною.

Українське ноу хау у вигляді КСЗІ себе не виправдовує і давно вже потребує заміни, але роки йдуть, на Prozorro регулярно проходять тендери на мільйони гривень, Комплексні Системи Захисту Інформації «будуються», але життя показує, що це не захищає дані громадян.

За прикладом ефективної побудови захисту інформації не треба далеко ходити. Ми вже маємо в країні ефективну систему управління інформаційною безпекою, яка вибудована Національним банком України. Можливо, варто взяти її за приклад і розповсюдити на всі державні й навіть приватні підприємства.

В Україні є затверджені стандарти інформаційної безпеки, розроблені за допомогою НБУ: ДСТУ ISO/ IEC 27001:2015 та ДСТУ ISO/ IEC 27002:2015. Це адаптовані європейські стандарти з інформаційної безпеки, яких зобов'язані дотримуватись українські банки задля захисту інформації.

НБУ регулярно перевіряє банки на дотримання вимог даних ДСТУ, і такий підхід демонструє свою ефективність. Тому державі варто розглянути можливість відмовитись від неефективних КСЗІ та зобов'язати державні компанії відповідати вимогам ДСТУ 27001 та 27002 і регулярно перевірятись на відповідність цим вимогам кожній компанії.

Звісно, у держави немає необхідної кількості спеціалістів відповідної кваліфікації, аби щорічно проводити аудит всіх державних підприємств. Але це й не потрібно. Є ефективна практика, коли фінансову звітність державних компаній перевіряє і підтверджує приватна компанія, яка має кваліфікованих спеціалістів. Так само варто зробити для аудиту компаній на якість побудови інформаційної безпеки і проведення тестів на стійкість до зламу.

В Україні є багато організацій, які можуть виконувати таку роботу. Почати можна з компаній критичної інфраструктури, а далі поступово розширювати кількість підприємств, які підлягають обов'язковому зовнішньому аудиту. До речі, НБУ також було б варто перекласти цю роботу на приватні компанії. Тоді ми могли б розраховувати на те, що в державних компаніях вибудовуються реальні процеси для захисту нашої інформації, а не просто будуть зберігатися стоси паперів з грифом КСЗІ.

Ще однією вдалою практикою для держави може бути використання досвіду США. Там для всіх державних компаній та об'єктів критичної інфраструктури виписані чіткі документи з описом контролів, які мають бути імплементовані в організації для захисту інформації. Україна може адаптувати стандарти NIST та зобов'язати державні компанії їх виконувати. Переконаний, що США, витрачаючи по всьому світу великі кошти на підвищення рівня кібербезпеки, зможуть допомогти у цьому процесі.

До речі, NIST Cybersecurity Framework вже перекладено українською за допомогою спільноти фахівців з кібербезпеки та компанії Cisco. Також українські фахівці та київське відділення ISACA переклали четверту версію COBIT та третє видання керівництва з проведення аудиту ІТ систем ITAF, і наразі ці документи доступні для використання всіма компаніями.

Інструменти для побудови якісного захисту наших даних є, потрібна лише мотивація державних компаній використовувати їх, створити яку може тільки сама держава. Малоймовірно, що керівники держпідприємств будуть приділяти захисту даних увагу, якщо це не буде обов'язково.

Зараз, коли навіть державні підприємства змушені були перейти у віддалений режим роботи і цифровізуватися, питання кібербезпеки ІТ-систем держави стає ще більш актуальним. Відкладати це питання далі вже нікуди. Більше того, вирішувати його потрібно не завтра, а терміново.

У 2011 році Американський Інститут Сертифікованих Публічних Бухгалтерів (American Institute of Certified Public Accountants, AICPA) затвердив Service Organization Control report framework (фреймворк звітів щодо Контролів Сервісних Організацій, SOC). Згідно зі фреймворком, Certified Public Accountants (CPA) можуть випускати звіти щодо якості певних внутрішніх контролів Сервісних Організацій у вигляді звітів трьох типів – SOC 1, SOC 2 та SOC 3. – SOC 1, SOC 2 та SOC 3.

Про що ці звіти

SOC 1 – звіт, призначений для оцінки внутрішніх контролів, що стосуються процесу формування фінансової звітності компаній. Обмежений для розповсюдження.

SOC 2 призначений для оцінки внутрішніх контролів компаній стосовно Безпеки, Доступності, Цілісності, Конфіденційності, Приватності (Security, Availability, Processing Integrity, Confidentiality, Privacy). Також обмежений для розповсюдження.

SOC 3 є аналогом SOC 2, але призначений для широкого загалу і розповсюдження для будь-кого. В 2017 році принципи, закладені в Service Organization Control report framework, були гармонізовані з фреймворком внутрішніх контролів The Committee of Sponsoring Organizations of the Treadway Commission (COSO) і наразі отримання SOC-звіту рівноцінне отриманню звіту незалежного аудитора стосовно системи внутрішніх контролів компаніях у відповідності до COSO Internal Control Integrated Framework

Кому можуть бути цікаві SOC-звіти

Компаніям, які надають сервісні послуги іншим організаціям і хочуть надати своїм наявним чи потенційним клієнтам підтвердження від незалежної сторони щодо високої якості своїх внутрішніх процесів.

Клієнтам аутсорсингових ІТ-компаній корисно буде знати, наскільки у їхнього партнера все гаразд із Security, Confidentiality та Privacy.

Клієнтам інтернет-сервісів, окрім ситуації в компанії стосовно Confidentiality та Privacy, важливо розуміти, що рівень доступності сервісів (Availability), на який вони розраховують, сервісна компанія загалом спроможна надавати.

Клієнтам компаній, які надають послуги в сфері охорони здоров’я важливо розуміти, що їх персональна інформація добре захищена (Privacy).

Виробникам продовольчої, фармацевтичної чи високотехнологічної продукції важливо продемонструвати клієнтам та партнерам, що компанія забезпечує високу якість виробництва на кожному етапі (Processing Integrity).

Для банків та фінансових компаній буде додатковою перевагою підтвердження стороннім аудитором якості обробки персональних даних клієнтів та захисту даних загалом (Security, Confidentiality та Privacy).

Чим SOC-звіти відрізняються від сертифікації компанії за міжнародними стандартами?

SOC-звіти, як і будь-які інші звіти аудиторів, відображають ситуацію на момент випуску звіту та за певний період, за який проводився аудит, зазвичай 1 рік, на відміну від програм з сертифікації, які передбачають окрім отримання самого сертифікату, регулярне підтвердження, що організація відповідає умовам сертифікації (ресертифікація).

Альтернативні сертифікації

Security/ Confidentiality

Компанії можуть підтвердити якість своєї системи управління інформаційною безпекою завдяки сертифікації за стандартом ISO/IEC 27001. Сертифікація за ISO 27001 підтверджує, що компанія має всю необхідну документацію, яка покриває всі аспекти управління інформаційною безпекою в компанії, має вибудовані процеси, ефективна робота яких може бути оцінена за період між сертифікацією/ресертифікацією. На відміну від сертифікації за ISO 27001, звіт SOC щодо Security оцінює вичерпний перелік визначених контролів, які допомагають отримати обгрунтовану впевненність, що ІТ-системи сервісної організації захищені від неавторизованого доступу, використання чи модифікації інформації в ІТ-системах компанії.

Availability/Processing integrity

SOC-звіт щодо Availability підтверджує, що Сервісна Організація спроможна надавати послуги згідно заявленого рівня. Альтернативою для організацій є сертифікація на відповідність вимогам стандартів ISO/IEC 22301 Societal Security – Business Continuity Management Systems для підтвердження, що в компанії існує ефективна Система Управління Неперервністю Діяльності. Сертифікація за ISO/IEC 9001 Quality Management підтверджує, що процеси в компанії побудовані та працюють у відповідності до загальноприйнятих стандартів якості. Сертифікація за ISO/IEC 20000 IT Service Management підтверджує, що ІТ процеси в компанії побудовані і функціонують згідно вимог міжнародних стандартів.

Privacy

Оцінка відповідності компанії вимогам європейського General Data Protection Regulation 2016/679 (GDPR) дозволяє впевнитись, що компанія відповідає вимогам Європейського Союзу щодо захисту персональних даних. Звіт SOC щодо Privacy фокусується на контролях для безпечного збору, обробки використання, зберігання та видалення персональної інформації. В GDPR окрім вимог щодо обробки персональних даних також містяться вимоги щодо обов’язкового повідомлення Data Protection Authority про витоки персональних даних чи інші пов’язані інциденти щодо персональних даних та правила взаємодії організацій, які обробляють персональні дані жителів Євросоюзу та Data Protection Authority, права та правила взаємодії громадян, організацій та державних установ щодо персональних даних.

Більш простою і дешевшою альтернативою для компаній по підтвердженню якості внутрішніх процесів є отримання Звітів від аудиторських чи консалтингових компаній на відповідність процесів компанії загальноприйнятим практикам, фреймворкам чи стандартам. У цьому випадку компанія отримує не сертифікат відповідності, а Звіт незалежної сторони щодо поточного стану в компанії конкретного процесу чи функції. Наприклад, будь-яка компанія може отримати Звіт щодо якості своїх ІТ-процесів відносно ITIL, COBIT, стандартів ISO 27001 чи по методології ISO 33001.

Як це відбувається?

Процес отримання звіту SOC нічим не відрізняється від звичайної роботи аудиторів чи консультантів при проведенні оцінки будь-якого з процесів компанії. Аудитор проводить зустрічі з персоналом компанії, збирає докази дизайну та функціонування певних контролів, які будуть покриватись SOC-звітом, формує Звіт і надає його замовнику. Різниця в тому, що перелік контролів, які потрібно проаналізувати та оцінити чітко визначений Service Organization Control report framework і із Замовником погоджується тільки тип звіту (SOC 1, SOC 2 чи SOC 3) та перелік доменів, які будуть покриті даним звітом (Security, Availability, Processing integrity, Confidentiality, Privacy).

В результаті роботи аудитора Замовник отримує SOC-звіт у погодженому форматі (друкований, електронний).

Джон МакМайкл, менеджер з  нформаційної безпеки уряду округу Колумбія опублікував коротку статтю в Linkedin, де привів 13 питань, які на його думку мають задати керівники організацій своїм ІТ-менеджерам та менеджерам з ІБ. Спільнота доповнила його перелік ще декількома, і наразі маємо 16 вельми точних запитань, які не всім ІТ-директорам і CISO в Україні сподобаються. Але кожен CIO\CISO має мати відповіді на них, аби його організація почувала себе захищеною.

1. Чи знаємо ми і чи задокументовані кордони мереж, з якими ми з’єднані, включаючи топологію мережі, бездротової мережі, віддалених з’єднань і хмарних ресурсів?
2. Чи проінвентаризовані акуратно всі наші ІТ активи? Чи оновлюємо ми цей список коли оновлюємо активи і чи підтримуємо ми специфікацію наших пристроїв? Чи знаємо ми хто має адміністративний доступ в нашій ІТ-інфраструктурі?
3. Чи знаємо ми хто отримує доступ до наших пристроїв\систем і що вони роблять в них?
4. Чи маємо ми життєвий цикл программ та обладнання? Чи можете показати мені результати останнього циклу управління оновленнями?
5. Чи маємо ми ефективний Процес Розробки ПЗ? Чи використовуємо ми Модель Загроз, якщо ні, то як ми впевнюємось у безпеці рішень? Чи можете показати мені останню оцінку ризиків для одного з наших активів?
6. Як ми обліковуємо наші критичні активи з чутливими даними і як відрізняється захист цих активів від активів з менш критичними даними для організації?
7. Як ми визначаємо незвичайних користувачів або нетипову мережеву активність в нашій ІТ-інфраструктурі? Чи стосується це нашого хмарного ресурсу?
8. Який механізм ми маємо аби впевнитись, що незахищені важливі дані не покидають межі організації? Чи стосується це нашого хмарного ресурсу?
9. На які індикатори компрометації нашої мережі ми розраховуємо? Чи можете ви запевнити керівництво що нас наразі не зламали?
10. Чи маємо ми достатні, детальні та адекватні Політики та Документи і коли ми робили останній перегляд цих документів? Які стандарти ми використовуємо для побудови Системи Управління Інформаційною Безпекою і чому?
11. Чи маємо ми Комітет з Управління Ризиками (який би включав не тільки ІТ та ІБ)? Чи працюють члени цього Комітету з керівниками бізнес-підрозділів над визначенням цілей?
12. Який інцидент кібербезпеки був найважливішим за минулий квартал? Яка була наша реакція?
13. Наскільки реальний наш План Реагування На Проникнення? Коли він тестувався останній раз і хто приймав участь у його тестуванні?
14. Як ми отримуємо, оцінюємо та використовуємо Розслідування інцидентів від інших організацій? Чи маємо ми достатньо експертизи і ресурсів для самостійного проведення розслідування інцидентів ІБ?
15. Чи маємо ми перелік партнерів\клієнтів з якими об’єднана наша мережа і чи знаємо ми чим саме ми ділимось з ними?
16. Чи маємо ми оцінку втрат (фінансових\репутаційних), які ми понесемо при настанні критичних інцидентів, наприклад Проникнення?

Час від часу бачу як журналісти, різні ІТ спеціалісти чи маркетологи плутають поняття Кібербезпеки та Інформаційної безпеки, підміняючи поняття та вводячи людей в оману, чи то навмисно, чи то по нерозумінню різниці. Спробував розкласти мухи і котлети окремо.

Матчасть

Кібербезпека – це безпека ІТ систем (обладнання та програм).

Інформаційна безпека – це безпека інформації, зазвичай організації чи компанії, у тому числі в ІТ системах. Кібербезпека є частиною Інформаційної безпеки будь-якої організації.

Приклади

Наскільки захищений ваш домашній комп’ютер чи ваш веб-сайт від зламу хакерами – це питання кібербезпеки. Але чи кріпите ви стікер із записаним паролем від комп’ютера чи профайлу у соцмережі на екран свого монітору – це вже питання вашої Інформаційної безпеки.

На сайтах пошуку роботи часто можна зустріти об’яви на кшталт «потрібен спеціаліст з інформаційної безпеки», де в описі задач вказано «адміністрування системи моніторингу», «адміністрування антивірусу», «аналіз наявності вразливостей в системах (пентестер)» – це все вузькі задачі спеціалістів з кібербезпеки. Спеціаліст з інформаційної безпеки має вміти набагато більше, це і організація навчання працівників з питань ІБ, і впровадження проектів ІБ, аналіз ризиків, аналіз компанії на відповідність регуляторним чи законодавчим вимогам і т.п.

Часто продавці різного ІТ обладнання та ІТ продуктів пропонують «рішення з інформаційної безпеки», хоча по факту вони пропонують рішення для кібербезпеки – антивіруси, фаєрволи, мережеві екрани і т.п. Якщо ви купуєте дорогий маршрутизатор з розширеними функціями безпеки чи дорогий програмний продукт, який виявляє та нейтралізує віруси, ви закриваєте одну із задач міжнародного стандарту з інформаційної безпеки ISO 27001 по захисту від зловмисного коду, а в цілому в даному стандарті з ІБ десятки різних задач, які потрібно вирішувати кожній організації, аби її інформація була захищеною.

Хороший приклад правильного використання термінів маємо в назві проекту Закону України «Про основні засади забезпечення кібербезпеки України». Хоча по самому проекту закону є багато зауважень, які детально виклали мої колеги з київського відділення всесвітньої асоціації з розроблення методологій та стандартів у галузі управління, аудиту і безпеки інформаційних технологій ISACA (Information Systems Audit and Control Association), але по своїй суті цей документ якраз і покриває питання саме кібербезпеки.

З іншого боку, маємо не зовсім вдалий приклад використання словосполучення «інформаційна безпека» в документі «Доктрина інформаційної безпеки України». Даний документ описує в основному цілі та дії, які має застосовувати держава щодо протидії Росії в інформаційному полі (телебачення, радіо, інтернет). В документі згадується Державна служба спеціального зв'язку та захисту інформації України (ДССЗІ), але тільки в контексті захисту спеціального зв'язку, захисту інформації, телекомунікацій та користування радіочастотним ресурсом України. Більш вдалою назвою для цього документу була б «Доктрина інформаційної політики України», як на мене. Бо для того, аби цей документ покривав всі питання інформаційної безпеки держави, потрібно також врегулювати не тільки питання забезпечення безпеки інформаційних систем в державі, але також і проведення аналізу цих систем на відповідність (аудит ІТ систем), врегулювати питання освітницької діяльності щодо підвищення і підтримки на належному рівні знань громадян щодо питань інформаційної безпеки, врегулювати питання аналізу та реагування на інциденти ІБ (тим чим займається CERT-UA), питання безперервності роботи державних ІТ систем. Цього всього в поточній «Доктрині інформаційної безпеки» немає, і в цілому ці питання залишаються неврегульованими на державному рівні, тому і по інформаційній безпеці України залишається багато відкритих питань.

Хакери, вони хто?

Всім відомі хакери – це, в основному, спеціалісти з кібербезпеки. Вони вивчають як побудовані різні ІТ системи, щоб знайти в них слабкі місця і використати їх для отримання вигоди, чи то фінансової, чи для інших цілей. Хакерам протидіють не тільки Білі Хакери (White Hats), які також знаходять вразливі місця в наших ІТ системах, але роблять це відкрито, аби допомогти нам закрити наявні проблемні місця, але й спеціалісти з інформаційної безпеки, тому що для проникнення в ту чи іншу організацію можуть використовуватись не тільки прямі методи зламу тієї чи іншої системи, але також і прості людські слабкості – збережені паролі у відкритих місцях, зайва балакучість співробітників, фішинг, спам, прийоми соціальної інженерії по телефону, емейл і т.п.

Як відрізнити спеціаліста кібербезпеки від спеціаліста з ІБ?

Найпростіший і найочевидніший спосіб – по сертифікації. Сертифікацій на тему кібербезпеки та ІБ у світі величезна кількість, але є декілька найпоширеніших та найбільш популярних.

Спеціалісти з Кібер-безпеки:

• CEH (Certified Ethical Hacker);
• CISSP (Certified Information System Security Professional);
• CCSP (Cisco Certified Security Professional).

Спеціалісти з Інформаційної безпеки:

• CISM (Certified Information Security Manager);
• CISA (Certified Information Systems Auditor);
• ISO 27001 Lead Implementer;
• ISO 27001 Lead Auditor.

З ІТ аудиторами також часто виникає плутанина. Класичний ІТ аудитор чітко знає набір процедур і методологічних практик, які потрібно пройти, аби проаналізувати будь-які ІТ систему згідно поставлених цілей. Також є Пентестери, які інколи позиціонують себе як ІТ аудитори, але виконують зовсім інші задачі. Задача Пентестера – зламати систему, у той час як задача ІТ аудитора проаналізувати систему, наприклад, на відповідність налаштувань до рекомендацій постачальника.

Якщо вам потрібно перевірити вашу систему на міцність – тут в нагоді стане Пентестер, CEH, White Hat. Якщо потрібно просто проаналізувати, наскільки адекватні налаштування ІТ системи, чи порядок з правами користувачів в системі – допоможе ІТ Аудитор, CISA.

Корпорация Microsoft продолжает удивлять. Притом приятно и не очень одновременно. С тех пор, как я стал «счастливым» обладателем нового ноутбука с предустановленной Windows 8, мне пришлось немало поудивляться. Я привыкаю к «особенностям» новой Windows уже 10 месяцев. К одним приспособился, другие фичи претерпели изменения за это время (после выхода обновлений), с третьими мы мирно сосуществуем, – я не трогаю их, они не мучают меня. Так и живем.

Одним из новшеств, которыми я заинтересовался стал бесплатный онлайн офис. Не то, чтобы мне это нужно было позарез – Google Docs мне хватает за глаза – просто решил потестировать аналогичный инструмент от Microsoft, чтобы быть в курсе последних веяний. Избалованный google-овской простотой, я открыл SkyDrive (еще на то время так назывался OneDrive), создал файл Excel и начал им пользоваться.

Тестирование проходило хорошо. Возможности онлайн версии табличного редактора, как и обещал Microsoft, оказался урезанным. Но для ведения простой таблицы с историей, накоплением помесячной информации, суммированием колонок и столбцов, построения простых графиков и диаграмм, Excel online справлялся на отлично. Временами, правда, он зависал, радуя смешной фразой «мы все еще работаем над этим».

Все было замечательно в течение полугода до того момента, когда я привычно открыл OneDrive и обнаружил «0» своих файлов. Их не было. Ни одного. Как с опытом в ИТ, я не стал сразу впадать в панику, а выполнил весь набор обязательных ритуалов в таких случаях. Как говориться, и капот поднимал и по колесу стучал и вокруг машины ходил. Перекладывая бородатый анекдот на язык ИТшников, – кэш интернета на ноутбуке почистил, зашел на OneDrive не только из Chrome, но также из канонического Internet Explorer, даже ноутбук перегрузил для чистоты эксперимента. Все тщетно. Файлы не появились. К счастью, ничего важного я там не хранил, в основном это были копии рабочих файлов, с которыми я экспериментировал в онлайн версиях Word, Excel и PowerPoint. Но было любопытно, это разовый сбой или что-то глобальное произошло в Microsoft, и файлы пропали не только у меня.

Порыскал по Интернету. Новостей в стиле «Microsoft потеряла данные нескольких миллионов пользователей» обнаружено не было. Соответственно появилось подозрение, что инцидент случился почему-то конкретно со мной.

Поскольку, как известно, за спрос не бьют в нос, решился написать в службу поддержки Microsoft. Хотя реакции на запрос по пользованию бесплатного инструмента я, честно говоря, особо не ожидал. Поэтому ответ, полученный спустя два дня (!), искренне и приятно удивил. Общение, правда, в итоге растянулось почти на целый месяц. Мне отвечали раз в несколько дней, я выполнял то что просили, писал «не помогло», и ожидал следующего совета.

Решение оказалось достаточно необычным. SkyDrive, еще в самом начале моей работы с онлайн офисом, принял меня не по учетной записи [email protected], под которой я работаю в Windows, что было бы логично. А по другому адресу [email protected], которым я также пользуюсь на базе outlook.com. Все это время файлы сохранялись под учетной записью [email protected]. И на одном из этапов трансформаций OneDrive почему-то все-таки решил работать со мной по учетной записи Windows. Что привело к трудностям совмещения нескольких учетных записей outlook.com на одном компьютере. По факту – файлы нашлись, но, как говорится, осадок-то остался.

В FAQ по онлайновому офису прямо написано, «если вы используете несколько адресов электронной почты для входа в службы Microsoft (например, если вы используете один адрес электронной почты для Hotmail и OneDrive и другой для Xbox Live), мы рекомендуем выбрать один из них». Как видно, в Microsoft и сами понимают опасности доступа к разным облачным сервисам под разными учетными записями. Но по каким-то причинам оставили такую техническую возможность сознательно. Или она образовалась естественным программистским путем: работает – не трогай.

Поразмыслив над возможными аргументами относительно полезности такой возможности, пришел к выводу, что если рассматривать ноутбук, планшет, смартфон как персональные устройства, то возможность открывать доступ к облачным сервисам под другими учетными записями не должна быть широко востребована. Если кто-то захочет поделиться со мной скажем фотографиями, то человек со своего устройства (ноутбука, планшета, телефона) расшарит их в облачном сервисе. А я со своего устройства получу доступ к ним. Я себе слабо представляю ситуацию, когда кому-то будет удобно ввести логин и пароль для OneDrive на моем телефоне, чтобы расшарить мне же свой файл с OneDrive. Смартфон уже стал неотъемлемой частью повседневной экипировки, и поделиться информацией проще с личного устройства.

Если же рассматривать ПК, ноутбук или планшет, как коллективное устройство, на котором работает несколько человек. Тогда теоретически возможна ситуация, при которой доступ к информации одного человека нужно будет получить во время использования на устройстве учетной записи другого сотрудника. Но, исходя из практики доступа к сетевым ресурсам в корпоративной сети, такой возможностью пренебрегали и ранее. Технически, и на уровне LAN можно было substом или другими инструментами подключать жесткие диски разных пользователей друг к другу для обмена информацией. Однако в большинстве случаев для этого используется общая папка на файловом сервере.

Исходя из того, что сегодня компьютерные устройства все чаще личные, смещение ПО в сторону персонализации более логично на мой взгляд. Я сам сторонник открытых возможностей. Но отрицать общемировой тренд в сторону унификации доступа к облачным ресурсам невозможно. Похоже, что в ближайшем будущем диктовать моду в ИТ индустрии будут не те, чей софт установлен на большинстве компьютеров. А те, под чьими учетными записями будут авторизоваться пользователи для доступа к данным. И варианты здесь не сводятся только к паре Google\Microsoft. Не прочь откусить от этого пирога Facebook, Yahoo, Twitter и другие.

Что ж, посмотрим, чем эта борьба закончится. И будем внимательными, чтобы не растерять свои файлы на разных серверах в Редмонде, Амстердаме или Дублине.

Вслед за Google, Microsoft также прикрывает лавочку бесплатных почтовых доменов. С 10 апреля прекратилась регистрация новых частных доменов, а теперь, после 31 июля больше не будет возможности создавать новые учетные записи в существующих доменах.

Все это делается для того, чтобы мотивировать людей переходить на платный почтовый сервис Office 365. Для многих это название ассоциируется с онлайн-офисом. Но кроме самих офисных приложений через сервис доступны и электронная почта, и виртуальные корпоративные сети, и бизнес-аналитика, и корпоративные базы данных… В общем, теперь Microsoft Office 365 – это корпоративный сервис для ИТ-зации бизнеса без лишних усилий. Заплатил – и пользуйся. Пакеты есть на любой вкус, в том числе можно оплачивать только электронную почту (50 грн за пользователя в месяц), или пользоваться онлайн-офисом и электронной почтой, стартуя от 60 грн за пользователя в месяц.

У Google организовать свою корпоративную почту с собственным доменом стоит 5$ в месяц на пользователя. При этом сумма включает весь пакет Google Apps for Business, куда кроме почты входят Google Docs, Maps, Drive, Hangouts, Quickoffice, Sites, Picasa и т.д. В общем все, что есть у Google на текущий момент.

Кроме Google и Microsoft, почту можно хостить в тысяче мест. Если говорить только об онлайн сервисах, то Yahoo, например, берет 35$ в год за один почтовый ящик, это всего 3$ в месяц.

В общем, когда речь заходит о деньгах, каждый может сделать свой выбор, исходя из личных предпочтений. Сравнений Google Apps с Microsoft Office 365 в Сети море.

Что же делать тем, кто пользуется Microsoft Custom Domains?

Пока Microsoft не угрожает принудительным переводом на платное пользование своим сервисом. Но судя по тому, что предлагают воспользоваться до 15 июля 90-дневной пробной подпиской на Office 365 Small Business Premium на пять пользователей, потенциально стоит готовиться и к такому шагу. А пока можно продолжать пользоваться своей почтой бесплатно. Но стоит пожалуй насоздавать пустые учетные записи впрок.

Если вы используете Custom Domains в личных целях, возможно стоит создать такие почтовые ящики как admin, root, brat, sestra, mama, spam и т.п. Если частный домен используется для малого бизнеса, то есть смысл создать почтовые ящики marketing, office, sales, it, admin, hr, finance и пр. Всего можно создать до 50 учетных записей. Как вариант, можно поиграть в Man in Black. Всем «будущим» сотрудникам назначить псевдонимы по английскому алфавиту, от «агента» А до «агента» Z – 26 почтовых ящиков на все случаи жизни.

Если у вас по этой теме есть свои идеи – поделитесь, может кому сгодится.

Облака, облака, облака, облака… Примерно так выглядят сегодня выступления большого количества вендоров и технических, и софтверных, на конференциях, которые проходят в последние месяцы в Украине. Говорят ли про построение ЦОД, развертывание CRM, или даже оснащение рабочих мест – слово «облако» обязательно будет упомянуто. Кто включает российский телеканал «Дождь», может обратить внимание, что даже там реклама предлагает воспользоваться электронным облаком.

Облака – это хорошо, выгодно и т.п. Но есть одно НО. Интересно, только меня это вводит в ступор или может еще кого-то? Только мне кажется, что словосочетание «частное облако», которое подразумевает развертывание собственной инфраструктуры на чужом ЦОД, не совсем есть облако? И почему вендоры с таким упорством продолжают запутывать людей, особенно не ИТ-шников, разными типами облаков, выдавая горы несущественной с точки зрения бизнеса информации на проходящих конференциях? Почему нельзя принять по умолчанию, что облаком считается только public cloud – сервис, предоставляемый подрядчиком заказчику за определенную плату? Тогда бы все было просто и понятно. Можем пользоваться Microsoft Office в онлайне с оплатой не лицензий, а количества подключенных учетных записей – облако. Можем пользоваться онлайн CRM-системой salesforce.com – облако. Пользуемся всей фирмой электронной почтой со своим доменом на базе gmail – облако.

Какие бизнес-преимущества у облака?

• Меньшая головная боль (так как все заботы о работе сервиса ложатся на плечи того, кто его продает).
• Меньшая стоимость (конечно, если это действительно меньше стоит, чем обычные серверы).
• Перенос затрат в балансе из капитальных в операционные (так как платим помесячно, а не закладываем косты на следующие пять лет вперед).
• Лучшая безопасность (кто-то может и возразить, но если учесть, что у провайдера безопасностью занимаются профессионалы, а в обычной фирме в лучшем случае сисадмин, а реально никто, то ответ очевиден).

С другой стороны, какие бизнес-преимущества имеем, когда используем «частное облако»? Кроме защиты от маски-шоу, так как физически сервера находятся не в офисе компании, а непонятно где, то в общем-то больше и ничего. Проблемы с ИТ-шниками как были, так и остаются. При развертывании собственной архитектуры нужно содержать такой же штат ИТ-шников, как и при использовании обычных серверов. А то еще и придется нанять парочку спецов по виртуализации. Капитальные затраты как были капитальными, так и остаются, так как закупать сервера все равно нужно, физический или виртуальные. Лицензии на ПО все также нужно закупать. На все это накладывается еще и необходимость обеспечения стабильности и непрерывности работы телекоммуникационных каналов. Так как при сбоях в работе сети все серверы компании окажутся вне зоны доступа, что остановит работу всей компании. Безопасность, физическая – да, увеличивается, а вот информационная остается как минимум на том же уровне, а то и снижается, так как появляются новые риски – падение каналов, утечка информации через сотрудников ЦОД, через виртуальную среду.

Понятно, что владельцам ЦОД нужно продавать простаивающие мощности в любом виде, как сервисным компаниям, которые разворачивают свои public cloud, так и клиентам, которые используют мощности ЦОД по своему усмотрению, разворачивая там свои сервера. Ну так давайте называть вещи своими именами – не «частное облако», а «аренда ЦОД, с возможностью динамически изменять нагрузку на инфраструктуру». А слово «облако» оставим только для того, что действительно им является – public cloud. Уверен, это пойдет на пользу всем, и вендорам, которым проще будет объяснять потребителям, что же собственно они продают, и самим потенциальным пользователям этих сервисов, так как под «облаком» все будут понимать одно и то же – заплатил и пользуйся.

Рынок ИТ пережил суровое потрясение. Сначала нас всех обрадовали, что ИТ-услуги большей частью освобождаются от НДС, и казалось, что вот сейчас наша индустрия ИТ догонит и перегонит все Венгрии вместе с Ирландиями. Но тут как гром среди ясного неба – с 1 июля «счастье» отменяется. Инжиниринговые, консультационные, услуги по разработке, поставке и тестированию программного обеспечения и ряд других услуг снова будут облагаться НДС на общих основаниях.

О целесообразности отмены, а также об осмысленности обратного введения налога, притом посреди налогооблагаемого периода, сказано уже немало. Для конечных потребителей услуг возвращение НДС сулит повышение стоимости заказываемых работ на 20%. Для поставщиков услуг это не так уж и плохо, так как возвращается возможность относить НДС на налоговый кредит.

Хотелось бы отметить другое. Как бы нам ни хотелось, чтобы ИТ-услуги имели привилегированный статус в отечественной экономике, но в целом, в мире, они не имеют особого статуса относительно других отраслей экономики. Согласно недавнему исследованию, проведенному нашей компанией, ИТ услуги в странах Евросоюза, в Африке и Америке облагаются такими же налогами, как и остальные отрасли экономики. Другое дело, что некоторые страны, ослабив налоговое давление, как, например, недавно это сделала Ирландия, смогли добиться существенного роста предпринимательства в государстве, увеличения прямых иностранных инвестиций, общего увеличения ВВП страны. Но ослабление было дано на ограниченный период времени, всего на 20 лет.

Рецептом экономического чуда той же Ирландии эксперты называют не только снижение налогов, но также реформу образования, позволившую стране пополниться высококвалифицированными кадрами, а также устранение бюрократических барьеров для ведения бизнеса.

Украина имеет все шансы повторить путь Ирландии, Венгрии и других успешных государств, которые за короткое время из экономически слабых государств превратились в богатые страны, экспортирующие высокотехнологичную, высокоприбыльную продукцию,– главное воспользоваться возможностями. Но «изменение правил во время игры» – это не самый оптимальный путь развития индустрии ИТ.