Роль кібербезпеки перебільшена і ось чому

Зараз буде спекотно, пристебніться. В цьому пості я розповім вам чому роль кібербезпеки перебільшена, а потім почнеться валилово. Готові? Поїхали.

Роль кібербезпеки перебільшено

З чого все почалося?

В одному зі своїх ранніх інтерв‘ю міністр цифрових трансформаторів та (на хвилиночку) віцепрем’єр Михайло Федоров (он же Фродо, он же Дядя Фьодор) випалив сакраментальну фразу, якою одразу ж завоював увагу усіх українських експертів з кібербезпеки та тих, хто себе таким вважає. Цитую по буквах: 

Я думаю, що роль кібербезпеки трохи перебільшена. Про неї багато говорять, але по факту назвати якісь реальні кейси кіберзагроз мало хто може. Наведу простий приклад. Коли ми прийшли в Офіс президента, ІТ-команда показала дашборди з тисячею атак на день, перевантаженням сайтів і т.д. Через два тижні ми їх звільнили, і нічого не відбувалося впродовж декількох місяців, поки ми збирали нову команду.

Чому це маячня?

Якщо ви трохи знаєтесь на кібербезпеці, ну хоча б на рівні означень, то ви автоматично розумієте, що вище написаний текст, який не несе змістового навантаження. Хоча б тому, що якщо мало хто може назвати «кейси кіберзагроз», то на роль кібербезпеки це не впливає аж нітрохи. Також, тому, що між моніторингом спроб здійснення атак, успішними фактами атак, та обробкою інцидентів, спричинених цими атаками, за допомогою або без звільнених або набраних спеціалістів – концептуальна прірва. І це просто по факту, на момент часу, без темпоральних метрик. Ну тобто дядько видав потік свідомості обивателя, який для спеціаліста звучить відверто образливо.

Чому це правда?

Нічого крім образи в спеціалістів ця заява і не викликала. Ця теза стала своєрідним кредо Федорова і за неї його досі не люблять багато моїх колег. Проте, якщо дивитися на цей текст об‘єктивно, то маячня починається в ньому лише з другого речення. Сама заголовна теза про перебільшеність ролі кібербезпеки – це неспростовний факт, який, щоправда, невідомий багатьом українським кібербезпечникам.

Тому чисто технічно Федоров правий до першої крапки. Судячи з продовження, він поняття не має, про що говорить, і навряд чи розуміє справжні аргументи під цим висновком. Скоріш за все, збіг, просто пощастило. Але до першої крапки – все вірно. Так, роль кібербезпеки перебільшена. Це багатьом не подобається, але це нічого не змінить.

Стиран, ти знову не випив пігулки?

Ти ж сам вроді як спеціаліст з кібербезпеки, CISSP, CISA, OSCP, ISO27kLA та ось це усе. У тебе власна компанія, ти ж з цього живеш. Що ти верзеш взагалі? 

Пояснюю.

Кібербезпека це не просто професія, індустрія чи ринок, це складна екосистема, учасники якої поділяються на категорії. Кожна з категорій має певний порядок денний: постачальники щосили рубають бабло, споживачі як вміють захищаються від кіберзагроз, професійна спільнота розвиває галузь та бухає на конференціях, держава займається регулюванням та корупцією, а академія порається в чомусь геть незрозумілому у своїй башті зі слонової кістки. В кожної групи є власні пріоритети, і якщо ви належите більше ніж до однієї з них (як ваш покірний слуга), то це багато що ускладнює. Але з іншого боку, ви можете поглянути на ситуацію з різних боків, що я зараз і роблю.

man reclining and looking at his laptop
Photo by cottonbro on Pexels.com

Звісно, що найбільше ресурсів в цій екосистемі у бізнесу та держави. Їхні порядки денні суттєво різняться, але й ті, й інші зацікавлені в збільшенні уваги до кібербезпеки. Причини очевидні: на державному рівні це суттєво впливає на розмір бюджету, а на приватному – на виручку і прибуток. Тобто в нормальних країнах і бізнес, і держава з усієї сили хайпують та качають кібербезпеку, бо це в їхніх інтересах. І роблять це дуже ефективно, навіть занадто, бо в результаті кібербезпека перехайпована і екосистемі це шкодить. Але це в нормальних країнах, а що у нас? 

А у нас на сцену виходить цілий віцепрем’єр і каже, що роль кібербезпеки трохи перебільшена. Зверніть увагу, не що роль онкології трохи перебільшена. Не що роль соціальних програм трохи перебільшена. Не що роль публічної освіти трохи перебільшена. А що роль кібербезпеки, і за щасливим збігом, каже правду. Можливо, почув щось таке від розумних людей, не знаю. Або сам вигадав, або наснилося. Або, ну а що, пофантазуймо, в нього зараз просто трохи недержавний порядок денний: йому б держпослуги швиденько зацифрувати. А тут ваші спеціалісти з кібербезпеки заважають, кажуть і аудит пройди, і результати покаж, і CISSP здай, і потім ще тихо сиди й не відсвічуй, коли дорослі дяді балакають.

Так чому ж це правда?

Але повернімося до початку, чому ж Федорову так пощастило навмання попасти в яблучко? Що свідчить про перебільшену важливість кібербезпеки і як в цьому переконатися?

Насправді усі ці дебати в західній кібербезпековій тусовці ведуться давно, і холівор фанбоїв кібербезпеки та розсудливих професіоналів точаться роками. Проте, на стан справ це аж ніяк не впливає: постачальники рішень та послуг своїми маркетинговими бюджетами ефективно раз у раз вбивають будь-яке раціо, що виростає з професійної спільноти та академії. Держава ж спирається на політичні віяння, а вони зараз явно дують в бік збільшення бюджетів на кіберзахист та напад. Тому, попри наявність досліджень та фактів, широкий загал та навіть кіберексперти можуть про них просто не знати.

Фондовий ринок і кібербезпека

Я наведу одну, на мою думку, найочевиднішу модель, на якій все одразу стане зрозуміло. Найкращим індикатором стану будь-якого відкритого ринку є фондова біржа. Цей індикатор не ідеальний, але він найкращий. Він лагає, місцями дуже, але більшість часу та на великих числах показує правильну середню температуру по лікарні. Коли назрівають якісь системні кризи, може не одразу, але зрештою фондовий ринок обвалюється, викликаючи глобальні, подекуди катастрофічні наслідки.

blue and yellow graph on stock market monitor
Photo by energepic.com on Pexels.com

Але у вужчому контексті настрої на біржі добре відбивають стан та найближчу перспективу тієї чи іншої компанії. Коли стається щось негативне, акції компанії обвалюються, бо інвестори втрачають оптимізм щодо перспектив цього бізнесу. Якщо ж відбувається щось позитивне, то й акції лізуть вгору. Звісно цей позитив та негатив стосуються суто компанії в фокусі уваги: дике зростання акцій ZOOM на початку пандемії COVID-19 означає, що на фоні загального негативу, ефект на окремий бізнес був дуже позитивний.

Отже, якщо вірити продавцям на ринку кібербезпеки, то вона дуже і дуже важлива, і якщо не витрачати на неї колосальні суми, то вашому бізнесу загрожують страшні наслідки. Матеріальні – ви втратите гроші та активи, і репутаційні – ви втратите довіру, оптимізм ринку, і ваші акції різко здешевшають. Це дієва тактика: лякати треба тим, чого бояться, а засновники та топменеджери бояться саме цього. Проте, чи все насправді так, як говорять продавці?

Приклади

Ні, це не так. Дані свідчать про протилежне. Тотальні катастрофічні кіберінциденти не просто не призводять до руйнівних наслідків, вони не шкодять компаніям навіть в короткостроковій перспективі. Різко обвалені акції відскакують ще до кінця тижня, а втрата репутації через масові витоки даних – це взагалі казкова тварина, яку ніхто ніколи не бачив. Факти збанкрутіння або виходу компаній із бізнесу внаслідок кіберінцидентів можна перерахувати на пальцях. І у більшості цих випадків у результаті витоку даних виявилося, що компанія веде незаконну або заборонену санкціями діяльність.

Я наведу один приклад, який ви всі чудово знаєте. Це найбільш руйнівна на цей час кібератака з глобальними наслідками. Звісно, мова про кібератаку Росії на Україну у 2017 році під назвою неПетя. Коли сотні тисяч чи навіть мільйони систем по всьому світі були зруйновані вайпером, що незграбно маскувався під криптоздирника. Атака розпочалася з компрометації ланцюга постачання популярної в Україні бухгалтерської програми M.E.Doc. Потім в оновлення цієї програми вбудували шкідливий код, який поширився на майже усіх її користувачів. Наступним етапом атаки було захоплення через інтернет та з’єднання VPN корпоративних мереж по всьому світу. Збитки від кібератаки за різними оцінками: від 8 до 10 мільярдів доларів. Лише в одній з найбільших світових логістичних компаній Maersk втрати сягнули 300 мільйонів. Страшна, моторошна картина, найгірше, що відбувалося з кібербезпекою за всю історію. Всі пам‘ятаєте? Добре.

Тепер я вас спитаю, а що ж там з Медком? Напевно, не оговтався від такого удару по репутації, збанкрутів та вийшов з ринку? Та ні, нормально себе почуває. Чогось навчився, найняв безпечників, організував процеси, працює далі. Добре, бог з тим Медком, він на біржі не торгується, в нього акцій немає; що ж там з Maersk? Напевно ж втратили купу грошей, здешевшали та скоротили бізнес? Відповідь на це питання я проілюструю графіком котирувань акцій компанії й попрошу вас неозброєним оком знайти на ньому момент кібератаки неПетя.

Добре, а що ж сталося з іншими цілями кібератаки? З Україною, наприклад? Вона зникла з карти, втратила життя громадян або половину ІТ-сектору? Та ніби не було такого, нормально все пройшло. Навчилися нарешті бекапи робити, на пару днів згадали, що таке готівка, та й по тому.

Де дані?

Але це все анекдоти з життя, а де докази, Стиран, де докази? Точно, майже забув, ось вони.

Перше дослідження, презентоване на цьогорічному воркшопі з економіки кібербезпеки WEIS – тобто воно пройшло горнило програмного комітету, в складі якого в тому числі Брюс Шнаєр та Росс Андерсон. Дослідження показує зв’язок між компрометацією конфіденційних даних – інтелектуальної власності компаній, в тому числі в наслідок кібератак, та подальшу долю компанії на фондовому ринку. Для тих, кому ліньки читати наукові статті, tl;dr: зв‘язок дуже незначний. Ось висновок: 

The lack of an overall statistically significant abnormal return to stock market prices suggests the theft of trade secrets has become a routine cost of doing business for large firms, and while it is in contrast to much of the IP litigation literature, it aligns with emerging thought in the cybercrime literature.

Перекладаю: всі вже звикли, вважають це нормальним явищем і знайшли способи компенсувати наслідки. Юристи ще в шоці, а експерти змирилися. Але не в Україні, бо у нас за посягання на роль кібербезпеки можна отримати в обличчя.

Друга публікація, теж з WEIS, вивчає зв’язок між публічними витоками даних з компаній та їхнім курсом акцій, та теж встановлює, що цього зв‘язку майже немає. Мені подобається фраза:

Therefore, justification for cyber security investment purely based on the market value effect of a data breach disclosure would be challenging.

Бо з одного боку вона означає, що інвестувати в кібербезпеку з огляду на ринкові наслідки – безглуздо, а з іншого ніби натякає, що шукати оту роль кібербезпеки, той святий Грааль ображеної Федоровим професійної спільноти, треба десь в іншому місці.

Цього року WEIS був безплатний та відбувався онлайн, і будь-хто міг взяти в ньому участь. Якщо не вийшло, можна було ознайомитися хоча б з абстрактами публікацій або відгуками учасників воркшопу. Цілий Росс Андерсон наживо коментував подію в своєму блозі. Але навіщо це українським експертам з кібербезпеки, яким головне не суть помилки Федорова, а посягання на священну корову індустрії?

У мене майже все. Наостанок одне прохання: тільки по пальцях не бийте, я ними працюю.

Залишити коментар