В одном из ИБ-чатов Беларуси завязался разговор о процессе аттестации информационных систем, и один из участников задал вопрос:
“Какой смысл проходить весь путь построения системы защиты информации (СЗИ), аттестации, а затем не использовать все это на практике?”
На мой взгляд, причина —
страх за ответственность перед регулятором, который оказывается сильнее, чем угроза внешних и внутренних нарушений. В Беларуси все знают, кто такой ОАЦ и понимают, что несоблюдение требований может повлечь наказания. Эта угроза кажется более реальной, чем опасность утечки данных, шифровальщиков, стиллеров, коммерческого шпионажа и кражи информации.
Второй вопрос — насколько прохождение сертификации или аттестации по требованиям ИБ реально защищает от атак? Примеры говорят сами за себя:
DHL и IKEA (2021) — компании, сертифицированные по ISO 27001 и PCI DSS, стали жертвами кибератак с применением фишинга и социальной инженерии, направленных на взлом внутренних коммуникационных систем. IKEA пострадала от цепочки фишинговых писем, через которые в их систему проникали вирусы и собирали данные. У DHL также произошла утечка данных клиентов, несмотря на усиленные меры безопасности.
Equifax (2017) — соответствие требованиям NIST, ISO 27001 и PCI DSS не уберегло компанию от одной из самых крупных утечек данных, причиной которой стали уязвимости серверов, не устраненные своевременно. Атака затронула данные 147 миллионов клиентов.
Marriott (2014-2018) — даже меры безопасности, соответствующие PCI DSS и ISO 27001, не уберегли Marriott от атаки. Хакеры получили доступ к системе после приобретения Marriott другой сети отелей — Starwood. Уязвимости в Starwood оставались незамеченными, и злоумышленники на протяжении нескольких лет получали доступ к данным 500 миллионов гостей до того, как утечка была обнаружена.
В Беларуси таких случаев достаточно, но все они покрыты занавесом тайны поэтому не будем совать свой нос 🙈🙉🙊
На бумаге выполненные требования выглядят внушительно (и то стараются индивиды наеб*ть систему), но пока не будет выстроен риск-ориентированный подход, учитывающий важность безопасности не только собственных активов, но и их влияние на состояние безопасности других, безопасность остается формальностью.Соблюдение требований регулятора должно стать началом проактивного подхода. Однако после аттестации информационная безопасность в 90%* организаций “замораживается” на следующие пять лет.
Зато есть документ: и регулятор не тронет, и, как надеются некоторые, хакер обойдет инфраструктуру стороной.
*моя субъективная оценка