Чему CISO могут научиться у мускусных быков

Управление рисками сторонних поставщиков является серьезной проблемой для CISO и лиц, принимающих решения в области безопасности. Если ею не заниматься (должным образом), могут наступить далеко идущие деловые последствия — вплоть до остановки производства.

Это было подчеркнуто в ходе недавних кибератак на сторонних поставщиков. Например, когда в июне 2024 года российская хакерская группировка APT29 (также известная как «Cozy Bear») нацелилась на широко распространенное в корпоративной среде бесплатное программное обеспечение для удаленного доступа TeamViewer. Даже если вы не используете TeamViewer — аналогичные инструменты существуют и у множества других поставщиков. Например, Perimeter81, AnyDesk, GoToMyPC или LogMeIn.

Ключевые вопросы здесь:

• Какой сторонний поставщик станет следующей мишенью?
• И можете ли вы позволить себе пойти на этот риск?

Сторонние поставщики — ваше самое слабое звено

К сожалению, практически все компании в чрезмерной степени полагаются на слишком большое количество различных сторонних поставщиков, встроенных в их цепочки поставок программного обеспечения и бизнес-процессы. Речь идет не о двух или трех партнерах, а при взгляде на популярные предложения Software-as-a-Service скорее о сотнях или тысячах, на которые компании полагаются ежедневно.

Риск, присущий сотрудничеству со сторонними поставщиками, соответственно, резко возрастает — и не только когда их число становится чрезмерным. Другие факторы риска в этой области включают, например:

• Ограниченная прозрачность. Практически все поставщики предоставляют потенциальным клиентам различные данные для рекламы своих возможностей. Однако в некоторых случаях используется информация, которая не является актуальной и, следовательно, неадекватно отражает текущую ситуацию с рисками.
• Повышенная сложность. Различные сторонние поставщики сами работают с субподрядчиками и субагентами, о которых вы можете не знать.
• Недостаточно развитые процессы. Многие сторонние поставщики работают с политиками и стандартами кибербезопасности, которые менее проработаны, чем ваши собственные.
• Меньшие инвестиции. Последний пункт часто связан с тем, что многие сторонние поставщики имеют ограниченный бюджет на кибербезопасность. Это может сказаться на уровне безопасности их инструментов и услуг.

Хотя был разработан ряд передовых практик и сценариев для устранения этих пробелов — на практике они во многом не оправдали себя:

• Оценки поставщиков регулярно превращаются в бумажные «упражнения по проставлению галочек», которые только отнимают время, но не способствуют минимизации рисков.
• Попытки обеспечить более строгие требования безопасности для сторонних поставщиков в рамках договорных переговоров во многих случаях также ни к чему не привели.
• Некоторые компании полагаются на непрерывный мониторинг, чтобы получить обзор и более глубокое понимание уровня безопасности сторонних поставщиков на основе данных.
• Другие внедряют планы реагирования на инциденты в отношении партнеров для разработки и отработки стратегий на случай возникновения инцидента безопасности у них.

Особенно последние два пункта могут быть полезны для компаний. Однако даже эти меры не решают проблему риска, связанного со сторонними поставщиками, в полной мере. Скорее, они являются средством мониторинга и реагирования в случае кибератаки.

Стратегия мускусного быка

Я являюсь гордым членом «Информационно-аналитического центра по финансовым услугам» (FS-ISAC) и председательствую в стратегическом комитете в Азиатско-Тихоокеанском регионе вместе с другими CISO из индустрии финансовых услуг. Этот консорциум предоставляет поставщикам финансовых услуг по всему миру комплексную сеть киберразведки для обмена информацией о потенциально надвигающихся или уже идущих атакующих кампаниях.

Поскольку в отрасли участвуют многие компании с разным уровнем знаний и ресурсов, участники могут получить всестороннюю перспективу, которую они не смогли бы достичь в одиночку. Таким образом, FS-ISAC является превосходным примером того, как мы, лица, принимающие решения в области безопасности, можем сотрудничать, чтобы лучше защищаться от рисков.

В этом и заключается суть того, что я называю «стратегией мускусного быка». Предыстория: когда на мускусных быков нападают волки, стадо образует круг, в центре которого находятся более слабые особи. Рога «передовых» животных направлены наружу. Для нападающих эта коллективная линия обороны становится практически непреодолимой. Я твердо убежден, что эту стратегию можно применить и к управлению рисками сторонних поставщиков.

Подобно телятам у мускусных быков, сторонние поставщики, на которых мы полагаемся, являются самыми слабыми членами стада. Если они пострадают, это скажется на наших критически важных бизнес-процессах. Разница с мускусными быками в том, что мы не образуем круг, в центре которого находятся сторонние поставщики. Вместо этого было бы уместно коллективно обсуждать, если есть опасения, что меры кибербезопасности у стороннего поставщика оставляют желать лучшего и должны быть усилены.

Однако еще важнее было бы достичь общего согласия о поддержке стороннего поставщика в его усилиях. Это потенциально потребует координационной работы и, возможно, пересмотра контрактов — но имело бы то преимущество, что мы смогли бы лучше обезопасить эту уязвимость, затрагивающую всех нас.

От теории к практике

Такое взаимодействие может вызвать опасения у юристов — вспомним антимонопольное законодательство. Тем не менее, подход мускусного быка имеет потенциал существенно улучшить ситуацию с рисками сторонних поставщиков и помочь компаниям лучше управлять этими рисками.

Это может выглядеть, например, следующим образом:

1. Определите сторонних поставщиков, которые вызывают у вас наибольшее беспокойство, и составьте «горячий список».
2. Обсудите с другими компаниями, чтобы сопоставить этот список и выявить общих кандидатов.
3. Проведите переговоры о создании коллективного «защитного щита» для этих поставщиков.

Мы обсуждали этот подход в FS-ISAC как возможный путь для будущего. Первые два шага относительно просты в реализации — третий же требует значительно больших усилий, но и обеспечивает решающее различие. Практический подход к его реализации может заключаться в том, что крупнейшие компании возьмут на себя руководящую роль и возьмут под свое крыло более мелких.

Не следует забывать, что у стратегии мускусного быка тоже есть свои пределы: когда нападает медведь, мускусные быки тоже разбегаются — тогда каждый сам за себя. Это применимо и к кибербезопасности: чем могущественнее враг, тем вероятнее, что атака перерастет в борьбу за выживание. Но даже если эта стратегия применима не ко всем сценариям, она может значительно минимизировать наш коллективный риск. (fm)