Задачи имитационной безопасности в России⁠⁠

Для лиги лени: Ит-шники неправильно понимают бизнес задачи имитационной безопасности

Поскольку я по своему текущему месту работы занимаюсь и аудитом в части информационной безопасности, и продолжаю общаться с бывшими коллегами и заказчиками и онлайн, и (когда они прилетают) офлайн, то не мог не обратить внимание на появление в их жизни "театра безопасности", или "имитации безопасности".

Откуда это пошло.
В крупном бизнесе, действительно крупном и работающим с живыми деньгами – то есть банки, продажи, биржи – всегда были отделы физической безопасности и отделы информационной безопасности. Потому что деньги любят тишину, потому что простой стоит реальных денег и штрафов, итд. В этих местах всегда работали серьезные люди, с интересным жизненным опытом.
Года 3-4 назад по гос.структурам, и смежным с ними, началась волна «обязательного выделения специалиста по информационной безопасности».  Приведшая к бюрократии в виде введения должности CISO (Chief Information Security Officer), и чтобы этот человек следил за безопасностью.

Причин такого внезапного внимания к ИБ, как мне кажется, было несколько.

Первая причина, достаточно очевидная. У работающих в «тяжелом» корпоративном секторе, энтерпрайзе, есть когнитивное искажение «мы ставим патчи, читаем всякие книжки по секурной секурности, и везде ставят, и читают, потому что как еще».
Потому что:
CIH, also known as Chernobyl or Spacefiller. 1998.
Conficker, also known as Downup, Downadup and Kido. 2008.
Кража $81 млн у ЦБ Бангладеш. 2016.
WannaCry ransomware attack. 2017.
SUNBURST – SolarWinds Orion. 2020
В Бразилии расследуется одна из крупнейших кибератак последних лет — из шести финансовых организаций было похищено около $140 млн. – 2025 год.

И сотни менее известных случаев, начиная от «все зашифровало»,  заканчивая «утекли данные, которые не стоило отдавать наружу».

Но в среднем и малом бизнесе до сих пор есть идеология «работает – не трогай», и обновления не ставятся годами. Точно так же, как есть идеология «кому мы нужны, мы же маленькие и незаметные».

Вторая причина менее очевидна. Это создание рабочих мест и продажа курсов «500 часов по ИБ».

500 часов – 12 недель – курсы на три месяца с выдачей грамоты. Что можно изучить за три месяца госкурсов ? Размазанные знания «обо всем» ?
Список тем:
Организационно-правовые основы технической защиты конфиденциальной информации. Средства и системы обработки информации.
(и так далее, кому надо – сами найдете).

Как итог, сотрудники «айти» неправильно понимают задачи отдела имитационной безопасности и отличия отдела имитации от отделов информационной безопасности.
С традиционной точки зрения, отдел информационной безопасности занимается чем-то, схожим с работой ИТ, то есть настройкой средств информационной безопасности, выявлением проблемных мест, итд. То есть работой со специализированными информационными системами.

Отдел же имитационной безопасности занимается задачами, сходными с задачами инженера по технике безопасности.
Это, если кто-то не в курсе:
Написание регламентов «не влезай – убьет» и «не стой под стрелой».
Обучением всех «не влезать под нагрузкой», подписями в журналах инструктажа, пожарной безопасности, электробезопасности, журналов допусков, и прочих «сам виноват».
Штрафами за не ношение перчаток, каски, очков, работ без выставления ограждений итд.
Инженер по технике безопасности сам не крутит гайку где-то на кране. Его задача проследить, чтобы на рубильнике крана висела табличка «не включать», сотрудник был в каске, итд.
Задача важная, каждый год находятся десятки людей, забывающих что ТБ написан не просто так.

Аналогично, отдел имитационной безопасности занимается:
Написанием регламентов «делай хорошее, плохое не делай». Не важно, можно ли делать хорошее, или нельзя – регламент должен быть. Не для работника, а для того, чтобы показывать регламент работнику, и контролирующим органам.
Обучением всех «не запускать неизвестное ПО с флешки», подписями в журналах инструктажа «я не буду запускать ПО из архивов», и прочими журналами «я знаю, что надо делать хорошо».
Сбором статистики нарушений «вот тут не сделано хорошо». При этом у сотрудника такого отдела имитации нет представления «что такое хорошо» за пределами регламента. Сказано – пароль не должен быть Pa$$word, значит Pa$$word нельзя. Не сказано, что Pa$$word1Pa$$word1 нельзя – значит, можно. Красная лампочка, зеленая лампочка.
Здравый смысл? Международные методики и мнение вендора? Аще па незначимо.
Задачи отдела имитационной безопасности сводятся не к устранению проблем, а в поиске виноватых в том, что настройки не проведены согласно регламента.

Наверное, но это не точно, можно предположить, что задачи этого отдела – перекладывание ответственности от не очень компетентного менеджмента на отдел ИТ. Не поставили обновления, не важно почему (нет людей, нет согласований, нет подписки на обновления, нет лицензий) – не важно. Вот регламент, вот ваши подписи по ознакомлению с регламентом, будьте добры выполнять.
Не установили какое-то ПО для имитации безопасности, например «Хрюканина 21 для рабочих групп», потому что Хрюканина 21 не работает на операционной системе «Aspera Нижние Васюки» - не важно. Вот регламент. Должны были поставить.

Хорошим индикатором отличия информационной безопасности от имитационной безопасности является публичный разбор причин, и обмен опытом.
Проверяем.
Взлом и простой облака МТС. Взлом был, простой был, обмена опытом не было.
Взлом и простой СДЭК. Взлом был, простой был, обмена опытом не было.
Взлом и простой Аэрофлот. Взлом был, простой был, обмена опытом не было.
Сбой CrowdStrike и Azure – инцидент был, меры приняты, виновные названы (хотя и не поименно). Некоторые критики считают, что это был самый жалкий разбор инцидента, о котором они слышали.

Заключение
Если на клетке слона прочтешь надпись: буйвол, — не верь глазам своим.
Имитационная безопасность, как и многое, не является тем, что на ней написано. Это не про безопасность и не про информацию. Это отдел по перекладыванию ответственности от бизнеса к исполнителям. Его задачи – это административные задачи, и такие задачи не могут быть решены техническими средствами.

Для тех, кто дочитал.
Существует, и иногда даже внедряется, процедура no-blame postmortem. Она не имеет отношения к размыванию ответственности в виде «никто конкретно не виноват», но позволяет вносить изменения в процедурах и процессах.
Тут сложно сравнивать Запад с РФ, потому что в РФ есть и внешняя имитация процессов, и внутреннее воспроизведение процессов. И на Западе имитацией обмазывались и обмазываются.
Много зависит от конкретных исполнителей и расстановки приоритетов. Достаточно много где (в РФ) есть рабочие процедуры и процессы, местами даже есть работающий надзор. Много где при этом ограничиваются не устранением причин, а переваливанием ответственности.  Схожая ситуация «на западе», с размазыванием причин вместо устранения, напрямую зависит от числа Кумаров в коллективе.
Кто не в курсе, как это бывает у Кумаров, может загуглить "Бхопал".