Экономическое моделирование угроз поможет связать киберриски с выручкой компаний
Подход economic threat modeling – экономического моделирования угроз – предполагает сосредоточить защиту на бизнес-процессах, которые приносят компании доход, и оценивать риски по тому, как они могут повлиять на эту выручку. Подход представлен в статье отдела по работе с директорами по безопасности Google Cloud (Office of the CISO). С основными идеями статьи знакомит материал SecPost.
Пересмотр роли кибербезопасности. Экономическое моделирование угроз поможет компаниям связать безопасность с ключевыми потоками доходов, так считают специалисты Google Cloud. Эксперты указывают, что традиционный подход, основанный на комплаенсе и наборе обязательных контролей, нередко превращает безопасность в затратную функцию без четкой привязки к бизнес-результату.
Анализ того, что приносит доход. В статье отмечается, что начинать предлагается с простого вопроса: что именно приносит деньги компании. После этого — разобрать, какие процессы и сервисы обеспечивают эти доходы, и построить схему их работы. Такой разбор напоминает диаграмму потоков данных, только в центре внимания — не приложение, а бизнес-механика.
Какие угрозы мешают зарабатывать. Далее авторы предлагают определить, какие угрозы могут нарушить работу этих механизмов. Это могут быть прямые атаки на критичные сервисы, проблемы у поставщиков или уязвимости в цепочке предоставления услуг. В материале приводится пример здравоохранения: приостановить работу больницы может не только сбой IT-систем, но и проблемы у стороннего поставщика, от которого зависит лечение пациентов.
Выбор мер и связь с финансовыми рисками. После выявления угроз следует этап выбора мер защиты. Речь идет не только о привычных технических инструментах, но и о диверсификации поставщиков, создании резервных контуров, планах непрерывности бизнеса, тренировках команд. Авторы подчеркивают, что такие решения становятся понятнее бизнесу, когда прямо описано, какие финансовые риски они закрывают.
Какую роль играет комплаенс. Команда Google Cloud также предлагает рассматривать требования соответствия через призму влияния на доходы. В статье приводится пример контрактов, где соблюдение стандартов — обязательное условие доступа к рынку. В этом случае комплаенс становится элементом защиты выручки, а не формальной процедурой.
Пример применения: здравоохранение. Отдельный раздел посвящен применению подхода в медицине, где бюджеты на ИБ обычно ограничены. Авторы предлагают начинать с анализа систем, которые непосредственно связаны с поступлением средств от пациентов: диагностическое оборудование, лаборатории, расписание, биллинг. Такие схемы рекомендуется строить совместно — с участием финансовых, клинических и технических руководителей.
Регулярная практика и автоматизация. Регулярное моделирование угроз помогает организациям точнее определять нужные меры и отказываться от затратных, но малополезных решений, подчеркивается в статье. При этом важно закреплять результат в виде стандартных архитектур и и автоматизировать безопасность через подходы security-as-code — когда правила и настройки безопасности описываются в виде кода и применяются автоматически, например с помощью инструментов вроде Terraform.
Учет облачных и AI-рисков. Авторы также отмечают, что современные облачные и AI-системы требуют учета новых типов рисков: атак на данные, их подмену, а также особенностей распределенной ответственности в облаках.
В итоге — привязка ИБ к бизнесу. В заключение Google Cloud подчеркивает, что экономическое моделирование угроз — это способ привязать безопасность к тому, ради чего существует бизнес. Такой подход помогает CISO объяснять затраты и выстраивать защиту вокруг процессов, которые обеспечивают устойчивость и выручку организации.
Полный текст статьи доступен по ссылке.
Читайте также
