Как составить и рассчитать бюджет стартапа на кибербезопасность

jeez8uzhx2njpp7oz4c6-daqpq4.png

Бастион не собирает статистику по расходам на ИБ на российском рынке, но мы помогаем заказчикам формировать бюджеты на кибербезопасность, так что нам часто задают вопросы на эту тему. Сразу хочется поделиться ссылкой на толковый ликбез, но вместо грамотных рекомендаций поисковики выдают сотни CEO-оптимизированных заметок. Пришлось писать свою статью.

В этом посте поговорим об общих принципах построения бюджета на ИБ. Расскажем, какие виды затрат выделить и как расставить приоритеты. Покажем простой и быстрый метод расчетов и познакомим с более точной математической моделью для принятия обоснованных решений в условиях неопределенности и посоветуем, куда копать дальше.

Думаю, если вы это читаете, то не нужно рассказывать, что «кибербезопасность — инвестиция в будущее вашей компании» и так далее… сразу перейдем к делу. Правда в том, что компания из 5–7 человек, физически не может контролировать все возможные угрозы. Вместо этого, вы, как стартап, постоянно расставляете и пересматриваете приоритеты и, вероятно, безопасность стоит не на первом месте. Однако, даже транснациональная корпорация не может снизить риски до нуля. Составление бюджета на информационную безопасность всегда поиск баланса между рисками и затратами на борьбу с ними в постоянно изменяющихся условиях.


На старте и без гроша в кармане

Прежде чем начнем тратить деньги, имейте в виду: кое-что для повышения безопасности можно сделать бесплатно, точнее инвестировав только время. Так вы можете сделать совсем немного, но это лучше, чем ничего.


  • Используйте доступные решения.

Во многих цифровых продуктах уже предусмотрены встроенные защитные системы. Не стоит пренебрегать ими. Настройте многофакторную аутентификацию везде, где это возможно, зашифруйте компьютеры. Обратите внимание на настройки Google Cloud, Microsoft Azure или любого другого облака, которым вы пользуетесь. Некоторые IaaS-провайдеры предлагают встроенные брандмауэры, службы шифрования и тому подобное. Изучите их возможности. Подумайте об использовании облачных IDE. Они снимают значительную часть рисков, связанных с безопасностью исходного кода. Не стоит пренебрегать и Open Source-решениями. Свободно распространяемое ПО несет в себе риски, однако при осторожном использовании успешно заменяет многие проприетарные решения.


  • Обновляйте софт.

Все знают, что это нужно делать, но не все делают. Почти на каждом пентесте мы находим несколько уязвимостей, для которых давно есть патчи.


  • Наращивайте объем знаний.

Предупрежден — значит вооружен. Стоит хотя бы время от времени мониторить отраслевые новости: Dark Reading, Threat Post, The Hacker News, записаться на несколько вебинаров Brighttalk или пройти пару бесплатных курсов на Cybrary. Читайте Хабр в конце концов. Материалы из этих и других подобных источников можно добавить в онбординг новых сотрудников, обсуждать на митапах или скидывать в отдельный чат.


  • Продумайте регламенты реагирования и инструкции.

На разработку внутренних политик компании в сфере информационной безопасности уйдет не так уж много времени, но они позволят упорядочить информационную безопасность компании, избежать ненужных трат и снизят вероятность опрометчивых решений во время инцидентов.

Теперь допустим, что из голой идеи стартап превратился в бизнес-проект и нашлись хоть какие-то деньги, которые вы готовы вложить в его развитие. Пора решать сколько и на что тратить. Первая мысль — обратиться к статистике, но вряд ли вам поможет абстрактный совет в стиле: «Потратьте на безопасность от 9 до 25% бюджета IT-отдела». Разве что вы хотите использовать подход, который называют классическим или реактивным (от слова реакция). По сути он заключается в том, чтобы отложить деньги на решение будущих проблем и дожидаться кибератак.

Думается, что такой подход оправдан лишь до тех пор, пока вам нечего терять, то есть максимум до первых серьезных наработок по MVP. С этого момента стоит озаботиться планированием и распределением бюджета на кибербезопасность. Для начала разберемся из каких основных статей он состоит.


Защита сетей и эндпойнтов

К этой категории относится софт для защиты ПК, ноутбуков, мобильных устройств и сетевой инфраструктуры.

Первое время стартап вполне может обходиться обычными антивирусами, но по мере роста числа сотрудников для поддержания защиты понадобятся энтерпрайз-версии с централизованным управлением. В то же время, как только у вас появится мало-мальски сложная сетевая инфраструктура, ее стоит поделить на сегменты под защитой брандмауэров. Обычно первым делом отделяют сетевые активы, хранящие данные компании, от внешних сегментов (веб и прокси-серверов). В перспективе стоит задействовать системы обнаружения (IDS) и предотвращения вторжений (IPS) и, наконец SIEM-системы. Они экономят рабочее время безопасников и таким образом снижают скорость, с которой раздувается штат.


Бэкапы, хранение и передача данных

Задачи резервного копирования данных на старте решаются при помощи облачных решений. Альтернативной выступают селфхостед корпоративные облака, но их сложно советовать стартапу, разве что нужно хранить строго конфиденциальную информацию.


Контроль доступов

Вы точно захотите отозвать доступы, когда сотрудник покинет компанию. Так что первым делом установите процедуры приема и увольнения с работы. Внедрение парольной политики с первых дней работы тоже будет не лишним.

На этапе привлечения первых инвестиций прекратите совместное использование учетных записей. Каждый, кто обращается к ресурсу, должен иметь свою учетку с минимально необходимыми привилегиями.

Если используете ПО, распространяемое SaaS-модели, необходимо сосредоточиться на управлении доступом к приложениям с учетом отделов, в которых работают сотрудники, занимаемой должности и т. д. Какое-то время доступами можно управлять вручную, но, когда размер команды превысит несколько десятков человек, придется перейти на решения для централизованного управления учетными записями.


Обучение сотрудников

По оценке Gartner 85% утечек связаны с человеческим фактором. Наш опыт пентестов показывает, что IT-специалисты в среднем неплохо информированы о киберугрозах и редко поддаются на провокации. Однако, как только у вас в команде появляется нетехнический сотрудник, вы должны рассказать ему, что такое фишинг и преподать основы информационной гигиены. Тут начинаются варианты: писать методички, нанять сторонних инструкторов по безопасности, купить специальное обучающее программное обеспечение.


Расходы на сотрудников ИБ

В компании из 5 человек все занимаются всем. Начиная с 10–20 сотрудников, вам уже нужен конкретный ответственный за безопасность. Это может быть технический директор или некто, кто может дорасти до этой должности.

Примерно между 30 и 100 сотрудниками время подумать о поиске первого специалиста по безопасности на полный рабочий день. Если вы работаете с чувствительными данными, например, занимаетесь телемедициной, нанимайте его ближе к штату в 30 человек. Если же ваш стартап далек от технологического сектора, скажем, продает футболки с принтами через соцсети, то в принципе можно обойтись без привлечения безопасника, пока штат не достигнет 100 человек.

Впрочем, чем раньше вы наймете специалиста по ИБ, тем лучше. Да, скорее всего в этот период вам очень нужен еще один юрист, бухгалтер или HR, но технологическая и бизнес стороны стартапа усложняются очень быстро. Если упустить момент, безопасники столкнутся с гигантским техническим долгом.


Бумажная безопасность

Вряд ли, при слове «кибербезопасность» вам представляются кипы документов, но правильно подготовленная и оформленная документация — важная составная часть защиты компании. Организационное обеспечение — это важный усиливающий фактор для всех технических мер, которые вы предпринимаете. Не говоря уже о том, что, например, штрафы от Роскомнадзора за неправильное хранение и документальное сопровождение ПДН — тоже фактор риска.

Самостоятельно разбираться во всех тонкостях законодательства сложно, так что есть смысл обратиться за консультацией к внешней команды безопасников. Разве что вы схантите специалиста который хорошо разбирается и в практической стороне вопроса, и в законах, но для этого нужна большая удача.


Пентесты

Перед запуском MVP необходим по крайней мере один тест на проникновение. В дальнейшем стоит повторять их не менее раза в год. Даже чаще, если вы ведете активную разработку. И кстати, не стесняйтесь время от времени менять поставщиков тестов. Свежий взгляд в этом деле очень важен.

Когда стартап встанет на ноги, имеет смысл открыть программу баг-баунти. Если вас все-таки взломают, пускай лучше придут к вам за наградой, а не вываливают добытые данные на продажу в даркнет. Однако, имейте в виду, что такая программа требует серьезного подхода к менеджменту и устранению выявленных уязвимостей. И в первое время может стать настоящим стресс-тестом для вашей команды. Поэтому начинайте с малого — приватной баг-баунти программы, в которой может участвовать ограниченное число исследователей. Подробнее о том, как запустить баг-баунти программу мы уже рассказывали в другом посте.


Реакция на атаки: расследование и устранение

Для начала хватит базовых протоколов реагирования на инциденты внутри команды. Однако, если вы работаете в области с высокими рисками кибератак, например, в финтехе, необходимо как можно раньше выбрать аутсорсинговую команду, которую можно вызвать в случае серьезной атаки.

По мере роста инфраструктуры стоит потратиться на систему реагирования на инциденты в режиме реального времени. Такие решения помогают избежать ситуаций типа «понятия не имеем, что произошло» и «оно просто взялось и сломалось».


Киберстрахование

Эта статья расходов на ИБ только набирает популярность у российских компаний. Киберстрахование работает по всем знакомой схеме: оценка рисков, покупка полиса, регулярные платежи. В случае атаки компания получает компенсацию. Такая страховая подушка вполне может спасти начинающий бизнес, но тут сложно что-то советовать. Условия страховщиков постоянно меняются, но рассмотреть такую возможность и узнать условия страхования точно не помешает.

Итак, мы выделили основные статьи расходов, которые можно дополнять и детализировать, но так и не ответили на вопрос сколько тратить. Существуют отдельные подходы к распределению средств.


Эталонный подход

Некоторые аналитики рекомендуют ориентироваться на затраты схожих компаний из вашего сектора. Однако, реально такой подход работает, только если за вашими плечами есть опыт работы в этой сфере или грамотный ментор. Конкуренты не раскроют свою стратегию, статистика поверхностна, а опыт компаний из смежных секторов ограниченно полезен. Безопасность не то, что можно организовать по общему шаблону, одинаково подходящему для любой компании. Здесь задействовано слишком много переменных:


  • занимаетесь электронной коммерцией — придется озаботиться надежной защитой от DDoS-атак;
  • храните и обрабатываете персональные, медицинские, финансовые и другие чувствительные данные — это влечет массу обязательств, в том числе и перед законом;
  • разрабатываете сервисы и цифровые продукты для других компаний — учитывайте, что можете стать звеном в атаке на цепочку поставок клиента.

Существует почти столько же моделей угроз, сколько и типов бизнеса. Набор рисков в рамках каждой из них постоянно меняется, поэтому при расчете бюджета необходимо ориентироваться именно на риски.


Классический риск-ориентированный подход

Как правило, для базовой оценки рисков используют специальные матрицы. По сути, это сложный способ составления списка того, что может пойти не так.

Необходимо:


  1. Выписать как можно более широкий список угроз, с которыми может столкнуться ваш стартап.
  2. Прикинуть вероятность возникновения каждой из этих проблем и потери, которые вы понесете.
  3. Распределить проблемы по ячейкам таблицы с учетом проведенной оценки.

pb_kcfxmlqro1t6amzis7pnddlg.png
Источник: What is Risk Assessment Matrix? | VComply

В результате получится матрица, которая дает наглядное представление об угрозах, помогает выделить наиболее опасные и сосредоточиться на их предотвращении.


Вычисляем ALE

Чтобы уточнить матрицу, стоит провести хотя бы базовые расчеты. Для этого используют показатель Annualized loss expectancy (ALE) — годовой убыток, который принесет угроза, если с ней ничего не делать. Для наглядности возьмем упрощенную формулу ALE из официального руководства CISSP-ISSMP:

ALE равно: ARO (количество происшествий в год) умножить на AV (потенциальные потери от одного происшествия).

Например, если вероятность отказа в обслуживании у базы данных один раз в три года, а убыток от такого происшествия оценивается в 100 000 долларов:

ALE = 100 000 x ⅓ = 33 тысячи долларов в год.

Такие нехитрые вычисления помогают расставить приоритеты и понять, сколько тратить на конкретную проблему — не более того, что вы можете потерять, если риск реализуется.


Моделируем поведение нарушителя

Еще один несложный способ уточнить матрицу — взять детальный список угроз и составить из них вектор, цепочку атак на ваши активы. Так, например, модель Unified Kill Chain (UKC) выделяет 18 фаз, через которые проходит атака, прежде чем нанести серьезный ущерб.

Смоделировав UKC, вы сможете направить усилия на разрыв цепочки в тех местах, где это можно сделать с наибольшей эффективностью и меньшими затратами. Например, вложиться в систему мониторинга обращений к базам данных, вместо того, чтобы пытаться отслеживать утечки информации, досматривая сотрудников на выходе из здания.


Критикуем ALE

При всей ее простоте, с формулой расчета годового убытка связан ряд проблем. В случае с риском отказа сервера можно опираться на спецификации производителя, но оценить ARO и AV, например, для атак на веб-сайт финансовой компании сложнее. Для этого потребуется статистика. Так, по данным Лаборатории Касперского средний убыток от хакерских атак, понесенный малым и средним бизнесом в 2021 году составил 105 тысяч долларов. Предположим, что частота серьезных атак составляет хотя бы 1 в месяц и получим ARO равное 1 260 000 долларов. Многовато для стартапа.

Проблема в том, что точной детальной статистики очень мало. Модели угроз меняются так быстро, что мы не успеваем накапливать данные. Другая сложность заключается в том, что расчеты теряют смысл, когда речь идет о редких и масштабных событиях. Во что обойдется вашей компании очередной черный лебедь?

100 миллионов долларов? 1 миллиард долларов? 10 миллиардов долларов? А шансы: 1 на сто тысяч, 1 на миллион, 1 на 10 миллионов? В зависимости от того, как вы ответите на эти вопросы, а любой ответ на самом деле является всего лишь предположением, — вы сможете оправдать расходы от 10 до 100 000 долларов в год.

Поэтому большинство моделей на базе ALE неточны и, зачастую связаны с завышенными расходами. Это не означает, что эта формула бесполезна, просто результаты подобных расчетов стоит использовать в качестве ориентира, а не четкого руководства к действию.


Продвинутый риск-ориентированный подход

Вы могли заметить, что в традиционном анализе рисков ALE рассчитывается исходя из максимально возможных денежных потерь. Однако, в реальности нежелательное событие не всегда наносит максимальный ущерб. Например, пожар в центре обработки данных обычно быстро локализуют. ЦОД вряд ли сгорит дотла, но в формуле риск пожара рассчитывался бы по наихудшему сценарию.

Чтобы уточнить расчеты и, вероятно, сократить затраты на кибербезопасность, необходимо учитывать возможную силу воздействия.

Для этого в формулу ALE вводят поправочный коэффициент EF (exposure factor):

ALE равно: ARO (количество происшествий в год) умножить на AV (потенциальные потери от одного происшествия) умножить на EF (вероятные потери в случае реализации конкретной угрозы).

Так, если мы думаем, что пожар уничтожит две трети серверов, значение коэффициента составит 0,66. Если ожидается, что актив будет полностью потерян, коэффициент риска устанавливается на уровне 1,0.

Однако даже после модификации формулы точность расчетов оставляет желать лучшего, ведь не учитывается то, что более мягкие сценарии, несущие значительно меньший ущерб, являются более реалистичными. Одним из способов решения этой проблемы является предположение, что размер ущерба соответствует нормальному распределению.

Доска Гальтона не только забавная кинетическая игрушка, но и наглядная демонстрация нормального распределения

Чтобы применить этот принцип к расчетам рисков в информационной безопасности:


  1. Выберите риск (например, «Произойдет утечка данных из приложения X»).
  2. Определите конкретный период времени, в течение которого риск может реализоваться (например, «Утечка данных произойдет в следующие 12 месяцев»).
  3. Субъективно назначьте вероятность (от 0% до 100%), что заявленное событие произойдет в указанное время (например, «Есть 10% вероятность того, что в течение следующих 12 месяцев произойдет утечка данных в системе X»).
  4. Субъективно назначьте диапазон денежных потерь с доверительным интервалом в 90% (например, «Если есть утечка данных приложения X, то с вероятностью 90% будет убыток, равный где-то между 1 миллион долларов и 10 миллионов долларов»).
  5. Если возможно, получите оценки от нескольких независимых экспертов. Затем усредните их ответы. Должно получиться два числа: для нижней границы диапазона и для верхней.

Теперь мы можем взять случайные данные в рамках этого диапазона и рассчитать вероятность того, что ущерб будет нанесен. Если раз за разом брать новые случайные значения из выбранного диапазона, повторять расчеты и записывать результат, то со временем получится достаточно точно предсказать вероятный ущерб. Главное сделать порядка 10 тыс. подходов, чтобы собрать достаточный массив данных. Этот метод называется анализом Монте-Карло. Звучит сложно, но на деле с расчетами без проблем справляется Excel.

Если нанести результаты на график, получится так называемая кривая повышения потерь.

3udrom2yytr7cn2v3kme2sichy4.jpeg

Такую кривую можно построить для конкретной уязвимости, системы, бизнес-единицы или даже всего предприятия. В этом примере из книги How to Measure Anything in Cybersecurity Risk приведен расчет рисков кибербезопасности для довольно крупной организации. Как видите, существует 40% вероятность ежегодной потери 10 миллионов долларов или более. Вероятность потерять 100 миллионов долларов или более составляет 15%. Крупные потери менее вероятны, чем мелкие.

С такой иллюстрацией проще оценить, с каким уровнем рисков вы имеете дело, и какой риск готовы принять. Можно ориентироваться на средневзвешенное значение или нанести еще несколько точек на график и построить кривую толерантности к риску.

f_2b2c9xfg52qslrc2lnw-jvgh8.jpeg

Это сравнительно просто — нужно задать себе вопросы типа: готовы ли вы смириться с 10% вероятностью потери более 5 миллионов долларов в год из-за риска кибербезопасности? А как насчет 20% вероятности потери более 5 миллионов долларов в год? И так далее…

Выбрав таким образом три-четыре точки, вы сможете интерполировать недостающие значения и дополнить график. Так вы поймете, к каким показателям стоит стремиться, смягчая риск. Выбрав СЗИ или другой способ борьбы с конкретной опасностью, вы можете повторить моделирование и посмотреть, как изменится кривая. В дальнейшем эти данные помогут оценить эффективность вложений в безопасность.

Подробнее с методом Монте-Карло применительно к кибербезопасности можно познакомиться в работе How to Measure Anything in Cybersecurity Risk за авторством Дагласа Хаббарда (Douglas W. Hubbard) и Ричарда Зайерсена (Richard Seiersen). Сейчас на Amazon можно бесплатно скачать аудиоверсию этой книги, а текст доступен в онлайн-библиотеке одного из вузов. Кроме того, на сайте авторов можно скачать Excel-таблицы с примерами калькуляторов рисков, чтобы приспособить для своих нужд.

Хаббард и Зайерсен описывают и более продвинутые методы расчетов, но, думается, не стоит спешить осваивать их на этапе стартапа. Рассмотренная методика дает неплохой баланс между точностью, сложностью и необходимой информацией.

Напоследок стоит оговориться, что порой, для некоторых особо опасных рисков, которые могут разом погубить всю компанию, имеет проводить расчеты с учетом максимальных потерь, моделируя ситуацию, в которой все пошло наихудшим образом.

Да, информационная безопасность заимствует все больше инструментов из статистики и страховой индустрии, но во многом это все еще формирующаяся практика. Пока IT-индустрия бурно развивается и меняется, безопасность будет оставаться искусством, а не точной наукой. Мы лишь пытаемся сделать ее более строгим и обоснованным искусством.

© Habrahabr.ru