КОД ИБ: 10 действий CISO в текущей ситуации

Ландшафт информационной безопасности, еще недавно казавшийся совершенно понятным и привычным, начал стремительно меняться. За последнее время из России ушли множество IT- и ИБ-вендоров.

Большое количество других компаний тоже или временно закрываются в РФ, или прекратили поставки оборудования и поддержку пользователей.

Это приводит к проблемам в ИБ, поскольку перестает работать функционал обновлений и исправлений, отключаются подписки.

Следует отметить, что часто компании объявляют об уходе, чтобы не попасть под удар самим, при этом они не закрывают контракты и не прекращают оказание услуг, но CISO надо планировать свои действия на шаг вперед, чтобы быть готовыми к внезапному изменению условий или неожиданным последствиям.

Что же предпринять CISO в первую очередь в складывающейся ситуации?

Успокаивать менеджеров и «гасить» попытки совершать необдуманные действия. Каждый день начальникам служб ИБ приходится отвечать на вопросы менеджмента по поводу последних слухов и новостей, связанных с санкциями или уходом технологических компаний из России. Покажите, что у вас есть план действий и все под контролем. Бизнесу сейчас нужна поддержка.

Не паниковать самим. ИБшники тоже люди, и им свойственны сомнения и тревога. Сейчас важно действовать спокойно и обдуманно, не провоцируя и не поддерживая панику в компании.

Оценить риски. Составить перечень используемых средств защиты, определить страну происхождения и оценить вероятность прекращения работы. В качестве основных рисков можно рассмотреть следующие:

- Поставщик объявит об уходе, и будет невозможно продлить лицензии и подписки, когда их срок закончится;

- Отключение обновлений сигнатур, вирусных баз, контента для IDS/IPS, сетевых экранов, SIEM;

- Немедленное отключение подписки, блокирующие обновления, превращение СЗИ в «кирпич»;

- Использование работающих в инфраструктуре СЗИ как средств для несанкционированного доступа и атак (пока о таких случаях не сообщалось, но исключать такую возможность нельзя).

- Выстроить приоритет действий на основе оцениваемого ущерба и вероятности наступления рискового события. Даже если производитель еще не ушел или не объявил об уходе (и даже если объявил о том, что не уйдет), необходимо подстраховаться и подготовить запасной вариант: развернуть демо-стенды или пилотные версии аналогичных систем российских производителей, чтобы обеспечить восстановление основных функций даже при самом негативном сценарии.

- Обратить внимание на IT. Помочь коллегам продублировать системы, поддерживающие основные бизнес-процессы – к примеру, операционные системы и офисные пакеты.

- Начать обучение и тренировку персонала и поддержки на тестовых версиях продуктов.

- Максимально ограничить каналы доступа в нашу инфраструктуру и из нее (к примеру, google DNS, блокировка по referrer, использование TeamViewer и т. п.). Это мелочи, которые в нынешней ситуации могут стоить многого, поэтому важно начать уже сейчас.

- По возможности отказаться от закупки и внедрения иностранных СЗИ, чтобы не добавлять новые риски в свой список.

- Обратить внимание на атаки на цепочки поставок! Этот момент часто выпадает из поля зрения, но сейчас слабозащищенные поставщики услуг могут быть использованы для атак на корпоративную инфраструктуру крупных компаний.

Но конечно, это не всё! Приходите на конференцию Код ИБ в Перми 14 апреля, чтобы получить еще больше руководств к действию.

Программа постоянно наполняется, следить за ее обновлением можно на сайте:

https://codeib.ru/event/kod-ib-perm-2022-04-14-199/page/vvedenie-perm-2022

Советуем не затягивать с регистрацией и сделать это заранее, пока места еще есть.

14 апреля 202210:00

Контакты для связи:

Цвариани Мария

E-mail: pr@expolink-company.ru