Руслан Рахметов, Security Vision
Исторически сложилось так, что ИТ-департаменты, службы информационной безопасности (ИБ) и топ-менеджмент существуют в параллельных вселенных и говорят на принципиально разных языках. Когда системный администратор сообщает об «отказе ноды в кластере серверов», а специалист по безопасности рапортует об «эксплуатации критической уязвимости CVE-2023-XXXX в базе данных», генеральный директор или инвестор слышит лишь белый шум. Для бизнеса имеют значение совершенно другие метрики: непрерывность процессов, чистая прибыль, репутация бренда и отток клиентов.
Пропасть между техническими логами и бизнес-показателями часто приводит к недофинансированию безопасности. Мостом через эту пропасть выступает управление бизнес-услугами, Business Service Management. Этот подход позволяет перевести гигабайты технических метрик в понятную управленческую и финансовую плоскость.
Оглавление
1. Архитектура прозрачности, как работают ресурсно-сервисные модели
3. Оценка рисков и выделение бюджетов
4. Обоснование инвестиций в автоматизацию и Искусственный Интеллект
5. Практические шаги: С чего начать связку ИТ, ИБ и Бизнеса
Архитектура прозрачности, как работают ресурсно-сервисные модели
В основе концепции управления бизнес-услугами лежит ресурсно-сервисная модель (РСМ), такая иерархическая карта, наглядно связывающая каждый мельчайший винтик ИТ-системы с глобальным бизнес-процессом. Представьте себе дерево, корни которого – физические серверы, системы хранения данных, маршрутизаторы, ствол и толстые ветви – операционные системы, базы данных, промежуточное программное обеспечение (middleware), а листья и плоды – конечные бизнес-услуги, которые приносят компании деньги (например, «Оформление корзины в интернет-магазине», «Выдача кредита в банковском приложении»).
Когда BSM-решение глубоко интегрируется с ИБ-платформами, происходит настоящая магия трансляции технического языка в управленческий. Давайте рассмотрим пример: хакеры проводят DDoS-атаку или пытаются подобрать пароли к конкретному IP-адресу, платформа безопасности (SIEM) фиксирует шквал аномального трафика и перегрузку определенного узла сети, а система BSM мгновенно сверяет этот узел с ресурсно-сервисной моделью (используя данные CMDB) и понимает, что атакованный сервер обслуживает шлюз для проведения онлайн-платежей.
На дашборде генерального директора или руководителя ИБ загорается не техническое уведомление High CPU Load on Node 42, а понятный алерт: «Критический риск: под угрозой остановки прием платежей от розничных клиентов». Такая прозрачность радикально меняет подход к защите инфраструктуры. Специалисты больше не спасают «железо», они спасают бизнес.
О методологии в целом
Методология, при которой вся ИТ-инфраструктура и системы защиты рассматриваются не как набор железа и софта, а как фундамент для предоставления конкретных бизнес-услуг. Представьте, например, что вы не видите, как именно впрыскивается топливо в цилиндры или какое давление в тормозной магистрали, но видите понятный и важный для вас результат: спидометр, остаток хода в километрах и лампочку «Check Engine». BSM – это такая же панель, транслирующая суть процессов, но для бизнеса «процессинг платежей» или «работа колл-центра с точки зрения управления услугами.
Ресурсно-сервисная модель этой панели работает так, что другие специалисты увидят важные для себя детали: сроки и статусы для инженеров группы реагирования, детали по уязвимостям и инцидентам для сотрудников службы кибербезопасности и т.д.
CMDB-систему, которую мы упомянули выше по тексту можно представить как подробный план электропроводки в доме: если выбило пробки на кухне, вы по плану точно знаете, что этот автомат отвечает за холодильник и микроволновку, а не за свет в детской. Этот план и будет выполнять задачи базы данных для ИТ.
Но в работе с процессами участвует не одна единственная служба, представьте себе договор с няней: вы четко договариваетесь, что она забирает ребенка из школы ровно в 15:00, кормит обедом в 15:30 и помогает с уроками до 18:00. Если няня опаздывает на час – это нарушение, за которым следуют санкции (штраф или расторжение договора). В управлении процессами за подобный договор со сроками отвечает SLA (Service Level Agreement) или соглашение об уровне обслуживания. Этот строгий контракт (внутренний или внешний), описывающий качество сервиса: доступность системы в процентах (например, 99.9%), время реакции на сбой и время полного восстановления.
С точки зрения безопасности процессы строятся вокруг определенных действий и последствий. Прорыв трубы с горячей водой или момент, когда в ваше открытое окно уже лезет злоумышленник – это примеры критических ситуаций, требующих немедленного реагирования, а вот ржавый или слишком дешевый замок на входной двери или привычка оставлять окно на первом этаже приоткрытым, еще не означают, что вас обокрали, но она создает идеальные условия для вора.
Так и на практике, ошибка в коде программы или архитектуре сети, позволяющая злоумышленнику проникнуть в систему – выполняет роль замка на двери (является уязвимостью), а вот событие, нарушающее конфиденциальность, целостность или доступность данных (инцидент) – требуют вмешательства специалистов в приоритете.
Оценка рисков и выделение бюджетов
Но у информационной безопасности в глазах бизнеса есть одна проблема, ее неосязаемость. Безопасность часто воспринимается как черная дыра, поглощающая бюджеты. Связка SLA и BSM позволяет оцифровать риски и показать ущерб в твердой валюте.
Финансовые риски делятся на две категории:
а) Прямые убытки, т.е. недополученная выручка за время простоя, штрафы за нарушение внешних SLA перед клиентами, оплата сверхурочных инженерам за восстановление систем.
б) Косвенные убытки, например, отток лояльных клиентов к конкурентам, падение стоимости акций, репутационный ущерб.
Благодаря ресурсно-сервисной модели бизнес знает, что сервис «Маршрутизация фур» генерирует 1 500 000 рублей выручки в час. ИБ-отдел обнаруживает критическую уязвимость в базе данных логистики. Применение TI показывает, что вероятность успешной атаки на такую уязвимость составляет примерно 2 раза в год, а статистика из SOAR или цифры по внутреннему SLA указывают среднее время восстановления базы данных после шифровальщика, например, в 6 часов.
Считаем потери от одного инцидента: 1 500 000 рублей на 6 часов дают 9 000 000 рублей прямых убытков, а годовой риск (2 инцидента) даст уже 18 000 000 рублей в год. Теперь ИБ-директор приходит к руководству не с просьбой «купить антивирус нового поколения за 3 миллиона», а с обоснованием: «У нас есть уязвимый бизнес-процесс, риск простоя которого стоит нам 18 миллионов рублей в год. Установка защитного ПО за 3 миллиона снизит вероятность инцидента до нуля. ROI (окупаемость инвестиций) составит 500% в первый же год». Это язык, который понимает любой финансовый директор.
Обоснование инвестиций в автоматизацию и Искусственный Интеллект
Имея на руках оцифрованные бизнес-модели, доказать необходимость внедрения продвинутых систем защиты, таких как SOAR (платформы оркестрации, автоматизации и реагирования на инциденты ИБ) или ИИ-решений, становится делом чистой математики. Зачем бизнесу тратить миллионы на искусственный интеллект в безопасности?
С одной стороны, человеку-оператору нужно около 15–30 минут, чтобы проанализировать нестандартный лог, и еще час, чтобы вручную изолировать зараженный сегмент сети. Искусственный интеллект способен выявить аномалию (например, нетипичное для бухгалтера скачивание гигабайтов клиентской базы в 2 часа ночи) за миллисекунды. Скрипты автоматизации заблокируют учетную запись пользователя и закроют порт на коммутаторе еще до того, как данные покинут контур компании. Если час простоя стоит миллион, автоматизация экономит бизнесу огромные суммы на каждом инциденте.
В крупной корпорации в день могут происходить тысячи мелких аномалий и встает новый вопрос: на что ИБ-отделу реагировать в первую очередь? ИИ, интегрированный с BSM, действует как умный сортировщик в отделении скорой помощи. Он видит, что атака на второстепенный внутренний портал для заказа канцелярии может подождать, а вот подозрительная активность на сервере транзакций требует немедленного вмешательства всей команды, так как там зашиты наивысшие финансовые риски и самые строгие SLA.
Если нагрузка на сервисы постепенно растет, или появляются мелкие, не заметные глазу предвестники целевой хакерской атаки (APT), ИИ системы машинного обучения могут анализировать тренды и сигнализирует об этом до того, как SLA будет нарушен. Это переход от реактивного тушения пожаров к проактивному управлению.
Практические шаги: С чего начать связку ИТ, ИБ и Бизнеса
Построение полноценной системы Business Service Management – это путь, который невозможно пройти за одну неделю. Однако, чтобы начать переводить ИТ в бизнес-плоскость, нужно сделать несколько базовых шагов:
1) Инвентаризация активов. Вы не можете защищать то, чего не знаете, поэтому необходимо создать актуальную базу CMDB или Asset Management.
2) Выделение критичных услуг. Совместно с топ-менеджерами нужно определить 3-5 самых важных бизнес-сервисов, остановка которых смертельна для компании.
3) Маппинг. Технические специалисты должны составить схему: какие конкретно серверы, программы и каналы связи обеспечивают работу этих выделенных на предыдущем этапе сервисов.
4) Настройка мониторинга. Системы ИБ (антивирусы, SIEM, межсетевые экраны, средства электронной почты и коммуникации в общем) должны быть настроены так, чтобы привязывать свои оповещения к узлам из построенной схемы.
5) Финансовая оценка. Совместно с финансовым отделом необходимо посчитать стоимость часа простоя для каждого критичного сервиса.
Глубокая интеграция Business Service Management в контур ИТ и кибербезопасности – это признак зрелости компании. Перевод технических инцидентов и уязвимостей на язык бизнес-сервисов, SLA и финансовых рисков разрушает стену непонимания между технарями и руководством. ИТ- и ИБ-подразделения перестают быть «центрами затрат» и становятся равноправными партнерами по бизнесу. Когда компания точно знает, сколько стоит безопасность её процессов, инвестиции в современные технологии, автоматизацию и искусственный интеллект становятся не слепым следованием трендам, а выверенным и математически обоснованным шагом для защиты капитала.
