Безопасность: вы заслуживаете того, к чему терпимы

Компаниям, не способным соблюдать политики безопасности, надо быть готовым к последствиям.

Ознакомившись с содержанием ряда блогов и стратегических статей на тему безопасности, я понял, что из него можно вывести одну общую мысль — обеспечение безопасности терпит неудачу.

Факт, что это имеет место, вполне понятен, но если мы хотим быть честными с самим собой, я думаю, его причиной является коллективное приятие того, что приблизительность — это уже достаточно хорошо. Любому из нас так хочется освободиться от груза ответственности, когда масса вещей нам не подконтрольна, и мы зачастую из-за этого ощущаем свое бессилие. Почти в каждом примере, про которые я читал, начальство и технические специалисты по безопасности указывали пальцем на всевозможные проблемы, но я почти ни разу видел, чтобы кто-то взял их решение на себя или хотя бы признал, что провалы в безопасности вполне закономерны. Неприятности никогда не объясняются односторонней причиной, и не бывает просто так, что некий злой хакер волшебным образом проник в вашу сеть. Провалы происходят от ряда плохих решений, плохой стратегии и игнорирования хорошо известных практик обеспечения безопасности.

Вы заслуживаете последствий того, к чему терпимы. Задумайтесь про это на секунду. Что означает эта мысль в контексте кибербезопасности и операций по обеспечению безопасности?

Если компании коллективно закрывают глаза на невнятность политик безопасности и не беспокоятся о соблюдении стандартов, выработанных единственно для защиты их же сетей, то они заслуживают тех бед, которые неминуемо произойдут вследствие таких решений. Если компании не хотят культивировать пользовательскую политику, потому что она раздражает пользователей, они опять-таки заслуживают той напряженной работы, которая на них свалится после неизбежного взлома систем. Если компании терпят вендоров, продающих им технологию, в которой по умолчанию жестко закодированы потайные лазейки и отсутствуют способы технического контроля устройства или установки патчей, пусть они не удивляются, когда приходит IoT-угроза для их сети или любой другой сети, подключенной к серверу.

Вот первая половина тяжелого вопроса о бедах, проистекающих от терпимости к проблемам безопасности. Его решение требует ответственности и силы воли:

• Терпимость к переоцениваемой технологии означает, что мы не получим желанных результатов (или того, за что мы заплатили).
• Если мы не проводим в жизнь наши политики, мы подводим своих пользователей, свое руководство и своих акционеров.
• Если мы не согласуем нашу стратегию с бизнесом, нам не стоит удивляться, когда нас не вовлекают в принятие решений и наши инициативы игнорируются.
• Мы должны принять меры, которые нам помогут перестать попадать в беды и мириться с далеко не победными результатами. Для этого требуется только одна вещь — поднять планку ожиданий.

А вот что необходимо сделать, чтобы организация могла решить этот тяжелый вопрос. Здесь не нужен никакой искусственный интеллект:

• Если компании имеют пользовательскую политику, которая гласит, что «мы отслеживаем вашу активность и наблюдаем за вашими действиями в нашей сети», ее нужно реально проводить жизнь.
• Не подключайте в сети «умные» устройства, не имея плана по их техническому сопровождению и установке патчей.
• Внушите своему руководству C-уровня, что безопасность является не только частью бизнеса — она критически важна для успеха в современном мире. Не отсиживайтесь на задней скамейке.
• Анализируйте и вникайте в нюансы, технические нужды и контекст любой технологии, которую предполагает использовать ваша команда. Не принимайте решений лишь на основе проверки концепции, рассчитывая, что все заведомо будет хорошо (так не получится).

Ваши дела могут пойти и хорошо, и плохо. И выбор зависит от нас самих и от того, сколько неприятностей мы готовы переварить, прежде чем мы изменим ситуацию и решительно покончим с терпимостью.