Цена «дыр» в информационной безопасности для бизнеса. Директор по ИБ «Леруа Мерлен» - о том, как её рассчитать и снизить риски
С развитием онлайн-продаж и тотальной цифровизацией все более актуальным для бизнеса становится вопрос информационной безопасности. О том, как крупный ритейл защищает свои данные от взломов и утечек, в статье, подготовленной для TAdviser, рассказал Александр Лимонов, директор по информационной безопасности «Леруа Мерлен». Что представляет собой технический долг, связанный с информационной безопасностью (или долг ИБ), как минимизировать связанные с ним риски — об этом и многом другом читайте в материале.
Содержание |
Кибератаки — издержки цифровизации
Все мы периодически сталкиваемся с кибератаками — начиная от звонков телефонных мошенников, которые представляются сотрудниками банка, до взлома учетной записи в социальной сети с просьбой перекинуть 1000 рублей срочно до зарплаты. Мир меняется, технологии развиваются, и вопрос информационной безопасности встает все более остро. При этом совсем не хочется каждый раз задумываться о том, насколько наши действия безопасны, например, когда делаем онлайн-покупку через маркетплейс или переводим деньги в мобильном банке. Мы хотим доверять системе по умолчанию.
Если посмотреть на истории больших утечек данных, то станет понятно, что бизнесу гораздо дороже потом восстанавливать репутацию и компенсировать финансовые издержки, связанные с этой утечкой, чем изначально вложиться в безопасность продукта.
Откуда берется технический долг?
Любая компания стремится, чтобы ее продукты работали должным образом и были стабильны. В это вкладываются инвестиции, производится наем, приобретаются или разрабатываются технологии. Любой инвестор хочет, чтобы созданные на его деньги продукты были надежными и приносили стабильный доход.
Когда продукт передается клиенту, мы должны быть уверены в том, что он удобен, понятен и, безусловно, безопасен. Если посмотреть на текущие реалии, то практически ни одна крупная компания в мире не рассматривает безопасность как нечто отдельное. Это то, что должно быть по умолчанию зашито в любое создаваемое решение или продукт.Игорь Лейпи, ГК Softline: Объем поставок российских операционных систем в ближайшие годы увеличится как минимум вдвое 
Проблема в том, что крайне редко команда, занимающаяся информационной безопасностью, может реально влиять на то, что происходит в продуктах компании. Безусловно, теоретически мы можем прийти к руководителю и все сделать правильно с точки зрения ИБ. Но для этого, во-первых, нужно много людей, причем с очень разными компетенциями, т. к. продукты и используемые в них технологии довольно разные. Во-вторых, просто взять и внести исправления в продукт извне мы не можем — есть риск вызвать нестабильность и даже поломку. То есть практически невозможно сделать безопасным продукт без участия команды, которая отвечает непосредственно за поддержку и развитие продуктивного решения.
Технический долг выражает несоответствие продуктов компании принципам, подходам и стандартам, которые в ней приняты. Это расхождение между тем, куда мы идем, и тем, что у нас по факту имеется. Если же говорить о долге ИБ, то, например, в продукте могут быть уязвимости, связанные с информационной безопасностью, которые при стечении некоторых обстоятельств будут стоить компании денег и репутации. Сколько денег? Именно этот параметр и определяет наш продукт — во сколько бизнесу обойдутся «дыры» в ИБ. Это и есть долг ИБ, который сокращается по мере устранения проблем, связанных с информационной безопасностью в продукте.
Как мы анимируем технический долг?
Все больше процессов в «Леруа Мерлен» переходит в цифровую среду. И если раньше многое происходило на бумаге и несильно зависело от используемых продуктов, которые мы создаем, то сейчас таких процессов практически не осталось. Самая обычная продажа в офлайн-магазине завязана на цифровые операции. И если не обеспечить их надежность и безопасность, путь клиента может прерваться в любой момент.
Смоделируем ситуацию. Клиент приходит в магазин сделать покупку, идет к консультанту, чтобы выписать товар, а приложение, которое отвечает за формирование заказов, не работает. Или еще хуже — клиент все оформил, нагрузил полную тележку товаров, пошел оплачивать, а ему кассир говорит: «Извините, у нас кассовая система сегодня не работает, вы можете подождать? Или лучше вообще приходите завтра». Очевидно, что подобные ситуации крайне негативно влияют на репутацию магазина и бренда в целом.
Наша команда отвечает за информационную безопасность компании — то есть перед нами в том числе стоит задача по снижению любых потенциальных рисков, связанных с информационной безопасностью наших продуктов. Полтора года назад у нас появилось понимание, что для достижения результата хорошо бы анимировать продуктовым командам ситуацию, связанную с проблемами информационной безопасности на разных этапах эксплуатации продукта.
Мы начали с базовых и очень простых вещей, подсвечивая эту информацию. Сначала это были просто цифры — что вот в таком продукте, к примеру, три критические проблемы. Мы демонстрировали их продуктовым лидерам, но те не понимали, что с этим делать. Тогда мы осознали, что гораздо более конструктивно это дело монетизировать, т.е. представить проблемы (потенциальные угрозы) в виде некоторой суммы денег, которую бизнес потеряет на восстановительные процессы в случае возникновения реального кейса.
Мы взяли мировую статистику по тому, сколько примерно стоит компании та или иная «дыра» в ИБ. В результате математического анализа были добавлены коэффициенты, от которых зависит конкретный долг. Таким образом определился следующий подход. Мы говорим, что у продукта есть долг, например, в 10 млн рублей. Это потенциальные потери для компании. Это не значит, что завтра мы потеряем 10 млн рублей, но и не значит, что мы их не потеряем прямо сегодня. Неизвестно, когда произойдет событие, которое повлечет за собой потерю. При этом мы понимаем, что это теоретические убытки, которые компания почти наверняка понесет в случае эксплуатации злоумышленником тех или иных проблем.
Благодаря такому подходу состояние информационной безопасности продуктов для каждого продуктового лидера стало гораздо прозрачнее. И теперь, когда выбор стоит между внедрением несрочной фичи, которая принесет профит только через год, и доработкой фрагмента скрипта, чтобы устранить уязвимость и снизить технический долг, предпочтение зачастую отдается второму.
Мы получили выражение долга ИБ в виде денежного эквивалента по каждому из продуктов. Затем начали создавать дополнительные контроли, которые позволяют углублять видение того, какие еще есть проблемы или несоответствия нашим принципам и стандартам.
Как выглядит продукт сейчас?
Сейчас продукт сильно отличается от того, с чего мы начинали. Это дашборд, где отображается информация для каждого направления (домена). Продуктовый лидер домена может в любой момент зайти, посмотреть ситуацию и в реальном времени понять, какой у него долг, что на него влияет, из чего этот долг состоит и что сделать, чтобы его снизить/устранить.
Есть визуализация для каждой продуктовой команды, т. е. лидер может зайти и увидеть картину по своей команде. Так же происходит и с другими уровнями — в любой момент стейкхолдеры могут посмотреть на ситуацию и проследить динамику по компании в целом.
Для наглядности приведу реальный пример. Мы начали год с долга в 10 млрд рублей (видно на графике). В течение года эта цифра доходила до 15 млрд, потому что появлялись новые продукты, а с ними неизбежно и новые уязвимости. Сейчас мы остановились на 8 млрд, т. е. удалось снизить совокупный долг на 20%. И это уже довольно заметный результат, учитывая, что мы не только справились с появлением новых несоответствий, но и смогли сократить долг относительно того, с чего начинали.
Развитие и перспективы
За год мы добавили порядка 10 новых контролей. Если смотреть с точки зрения продукта, то это 10 новых интеграций, которые поставляют нам данные о потенциальных проблемах в различных сферах деятельности компании. Они могут быть связаны с продуктом, с разработкой или с операционными системами. С 1 января 2022 года новые контроли также будут монетизированы, и сумма общего долга увеличится. Далее планируем продолжать добавлять новые контроли, исходя из новых потенциальных угроз и наших возможностей.
С точки зрения управления продуктом есть три составляющих в работе над ним:
- новый функционал (реализация потребностей бизнеса),
- операционная деятельность (инциденты, запросы пользователей, которые касаются работоспособности),
- работа по уменьшению долга.
Все три элемента одинаково важны. Просто есть сиюминутная выгода, когда нужно быстро внедрить новую фичу, чтобы получить профит, а есть долгосрочные потребности, о которых тоже не стоит забывать. Потому что если не уделять внимания технологическому долгу, то в какой-то момент это становится снежным комом и продукт перестает быть управляемым. Если в команде есть правильная, сбалансированная система ценностей, то для нее этот подход очевиден.
Продукт может быть полезен практически любой компании, отрасль здесь совершенно не важна, имеет значение только сам подход. Меняются процессы, появляются новые продукты, а вместе с ними — новые уязвимости и бреши в ИБ. Поэтому любое решение, которое помогает эту проблему хоть в какой-то степени снять, уже очень полезно.
