Введение

Для кого это Пособие?

Данное пособие написано с одной простой целью: помочь организации гражданского общества разработать понятный и осуществимый план кибербезопасности. Мир все больше переходит в онлайн, и «кибербезопасность» – это уже не просто модное слово, а важнейшее условие успешности организации и безопасности команды. Обеспечение безопасности информации (как онлайн, так и офлайн) – это задача, требующая особого внимания, инвестиций и бдительности от организаций гражданского общества, деятельность которых направлена на поддержку демократии, защиту общественных интересов, обеспечение подотчетности и защиту прав человека.

Скорее всего, ваша организация окажется – если уже не оказывалась – объектом кибератаки. Это не попытка посеять панику; это реальность – даже для тех организаций, которые не относят себя к потенциальным объектам хакерских атак.

В среднем Center for Strategic and International Studies, ведущий список так называемых «значимых киберинцидентов», за год фиксирует сотни серьезных хакерских атак, причем многие из них бывают одновременно нацелены на десятки, а то и сотни организаций. Помимо фиксируемых атак, ежегодно происходят сотни других, более мелких, которые остаются незамеченными или не вносятся в список, и многие из них нацелены на организации гражданского общества, деятельность которых направлена на поддержку демократии, обеспечение подотчетности и защиту прав человека. Объектами атак нередко становятся организации, представляющие интересы женщин и других маргинализированных групп.

Такие кибератаки имеют серьезные последствия. И к подобным угрозам следует относиться серьезно, какие бы цели ни преследовали злоумышленники: завладеть вашими деньгами, заглушить ваш голос, подорвать деятельность вашей организации, навредить вашей репутации или даже украсть информацию, разглашение которой может причинить психологический или физический ущерб вашим партнерам или сотрудникам.

Радует то, что защитить себя и свою организацию от наиболее распространенных угроз можно и не будучи программистом или техническим специалистом. Однако будьте готовы потратить немало усилий, энергии и времени на разработку и внедрение надежного плана обеспечения безопасности организации. 

Если вы никогда не задумывались о кибербезопасности организации, или у вас не было времени сфокусироваться на этом вопросе, или вы знакомы с основами, но считаете нелишним повысить уровень кибербезопасности своей организации, тогда это Пособие для вас. Цель данного Пособия – предоставить вашей организации информацию, необходимую для разработки надежного плана обеспечения безопасности, независимо от вашего географического местоположения. И этот план будет существовать не только на бумаге, а даст вам возможность применять передовые практики на деле.


Что такое «план обеспечения безопасности» и зачем он нужен организации?

План обеспечения безопасности – это комплекс правил, процедур и инструкций, изложенных в письменном виде и согласованных вашей организацией с целью достижения уровня безопасности, который вы и ваша команда считаете достаточным для защиты сотрудников, партнеров и информации.

Хорошо продуманный и регулярно обновляемый план обеспечения безопасности организации может защитить и повысить эффективность деятельности организации, обеспечив душевное спокойствие, позволяющее сосредоточиться на выполнении важных повседневных задач организации. Без комплексного плана очень легко не заметить угрозы определенного типа, слишком сильно сфокусировавшись на какой-то конкретной угрозе или игнорируя вопросы кибербезопасности вплоть до наступления кризиса.

В процессе разработки плана обеспечения безопасности потребуется задать себе ряд важных вопросов. Это называется оценка рисков. Ответы на эти вопросы помогут вашей организации выявить уникальные угрозы, с которыми вы сталкиваетесь, а также позволят отойти на шаг назад и хорошенько подумать, что именно и от кого именно нужно защитить. Квалифицированные аналитики, использующие системы аудита типа SAFETAG от Internews, могут помочь вашей организации справиться с этой задачей. Доступ к такому уровню профессионального опыта однозначно стоит затраченных усилий, но даже при отсутствии возможности пройти полную оценку рекомендуем вам встретиться с членами своей организации и детально обсудить ключевые вопросы:

1

Какими активами располагает ваша организация и что именно вы хотите защитить? 

Вы можете начать отвечать на эти вопросы, создав каталог всех активов вашей организации. К активам относится, например, такая информация, как сообщения, электронная почта, контакты, документы, календари и местоположения. К активам можно отнести телефоны, компьютеры и другие устройства. Кроме того, люди, связи и отношения также могут считаться активами. Составьте список своих активов и постарайтесь их каталогизировать по степени важности для организации, месту хранения (возможно, какие-то из них хранятся как на цифровых, так и на физических носителях) и защите от потенциального доступа, повреждения или нарушения функциональности сторонними лицами. Имейте в виду, что не все активы одинаково важны. Если какая-то информация об организации является общедоступной или вы уже опубликовали ее, она больше не является конфиденциальной и ее не нужно защищать. 

2

Кто ваши противники и каковы их возможности и мотивы?

«Противник» – это термин, широко используемый в области обеспечения безопасности организации. Попросту говоря, противники – это деятели (отдельные лица или группы), которые нацеливаются на вашу организацию, чтобы сорвать ее работу, получить доступ к вашей информации или уничтожить ее, – то есть «плохие парни». В качестве примеров потенциальных противников можно назвать финансовых мошенников, конкурентов, представителей местных или центральных органов власти либо правительств, а также хакеров, действующих по идеологическим или политическим мотивам. Важно составить список своих противников и проанализировать, кто из них может захотеть навредить вашей организации и сотрудникам. В качестве противников легко представить внешних субъектов (например, иностранное правительство или определенную политическую группу), однако следует помнить, что противниками могут оказаться и люди, которых вы знаете, например недовольные сотрудники, бывшие работники, а также члены семьи или партнеры, не поддерживающие текущую деятельность организации. Разные противники несут разные угрозы и обладают разными ресурсами и возможностями, направленными на подрыв деятельности вашей организации и получение доступа к вашей информации или ее уничтожение. Например, правительства часто располагают большими финансовыми средствами и властными полномочиями, позволяющими, например, отключать Интернет или использовать дорогостоящие технологии наблюдения; у мобильных операторов и интернет-провайдеров, вероятно, есть доступ к записям вызовов и истории браузера; опытные хакеры могут перехватывать плохо защищенные сообщения или финансовые транзакции в общедоступных сетях Wi-Fi. Более того, вы сами можете стать своим противником, к примеру, случайно удалив важные файлы или отправив личные сообщения не тому человеку.

Мотивы противников могут отличаться в зависимости от их возможностей, интересов и стратегий. Заинтересованы ли они в дискредитации вашей организации? Быть может, они стремятся заглушить голос вашей организации? А может, они видят в вашей организации конкурента и хотят получить преимущество? Важно понять мотивацию противника, поскольку именно это поможет вашей организации лучше оценить возможные угрозы.

3

С какими угрозами сталкивается ваша организация? Какова их вероятность и серьезность последствий?

В процессе выявления потенциальных угроз вы, вероятно, получите длинный список, который вас ошеломит. Вам может показаться, что все усилия бесполезны, или вы просто не будете знать, с чего начать. Чтобы помочь организации наметить эффективные шаги, рекомендуется проанализировать каждую угрозу, исходя из следующих двух факторов: вероятность возникновения и степень влияния.

Чтобы определить вероятность возникновения угрозы (как потенциально «низкую», «среднюю» или «высокую» в зависимости от того, является ли ее возникновение маловероятным, возможно ли в принципе или случается часто), вы можете использовать известную вам информацию о возможностях и мотивации ваших противников, анализ прошлых инцидентов в области безопасности, опыт других схожих организаций и, конечно же, любые имеющиеся стратегии смягчения последствий, внедренные вашей организацией.

Чтобы определить степень влияния угрозы, подумайте о том, как выглядел бы ваш мир, если бы эта угроза действительно возникла. Задайте следующие вопросы: «Каким образом данная угроза навредила нам – как организации и как отдельным людям – физически и морально?», «Насколько продолжительны ее последствия?», «Создаст ли она другие опасные ситуации?» и «Каким образом она может затруднить процесс достижения настоящих и будущих целей нашей организации?». Отвечая на эти вопросы, подумайте, какова степень влияния этой угрозы: низкая, средняя или высокая.

Чтобы упростить данный процесс управления рисками, рассмотрите возможность использования рабочего листа, например вот этого , например вот этого, разработанного Electronic Frontier Foundation. Имейте в виду, что информация, полученная в рамках этого процесса (например, список ваших противников и тех угроз, которые они представляют), может сама по себе быть конфиденциальной, поэтому важно обеспечить ее безопасность.

Классифицировав угрозы по вероятности возникновения и степени влияния, можно приступить к составлению более обоснованного плана действий. Сосредоточив внимание на угрозах, возникновение которых является наиболее вероятным и которые будут иметь значительные негативные последствия, вы сумеете распорядиться ограниченными ресурсами наиболее эффективно и действенно. Ваша цель всегда заключается в минимизации рисков, но никто – даже правительства или компании, располагающие лучшими в мире ресурсами – не способен полностью устранить риски. И это нормально: вы можете немало сделать для защиты себя, своих коллег и своей организации, позаботившись о наиболее серьезных угрозах.

Создать план обеспечения безопасности