25 марта 2017 г.

Беда не приходит одна ("вредные" гипотезы ИБ)

Вступление. Негативный прогноз давать легко. Если что-то может случиться – оно, как правило, случается. Людские "страхи" нуждаются в подтверждении. Негативный прогноз давать выгодно. Если не сбудется, никто не осудит, а если хоть что-то сбудется – вы гуру. Негативный прогноз имеет большой резонанс в обществе. Его охотно подхватывают СМИ, его обсуждают пенсионеры на скамейках, его быстро распространяют соц.сети, а соц.сети работают эффективнее, чем любые другие медиа.

Ниже популярные, “вредные” гипотезы из сферы информационной безопасности.


Если вас ещё не взломали, то это не ваша заслуга

Нет средств защиты от всех угроз, но всегда находится угроза, которая преодолевает все средства защиты

Каждая новая ИТ-технология порождает новые уязвимости и векторы атак

Любой ЦОД рано или поздно упадет

Любое устройство, имеющее доступ в Интернет, обязательно будет взломано

Уязвим каждый тип аппаратного обеспечения

В любом программном коде есть ошибки

Не существует универсального способа предотвратить утечку данных

Корпоративная безопасность зачастую не может эффективно противостоять целевым атакам – профессионалам должны противостоять профессионалы

Современные кибератаки большая часть компаний выдержать не сможет, так как кибератаки, как правило, автоматизированы, защита вручную не способна противостоять таким атакам

Ваши инвестиции в проактивную безопасность - это всего лишь повышение стоимости взлома, взломать можно все, ломать/не ломать - это вопрос затрат и ресурсов. В мире появились организации с бесконечными ресурсами для взлома

Для защиты от современных кибератак требуется уже не индивидуальный, а "индустриальный" (отраслевой) ответ

Использование зарубежных ИТ-технологий означает возможность незадекларированной функциональности

Основная защитная мера от киберугроз – “молиться”

Любопытство сильнее безопасности - от фишинга не спасёт ничто

Высокая степень неопределенности в сфере информационной безопасности стала доминирующей, и это точно не остаточный риск

Разумный риск — это когда вы хотели рискнуть, но не рискнули

Наличие отчета об аудите ИБ компании от того или иного гос.органа или аудиторской компании, это информация о стремлении аудируемой компании к требуемому соответствию, подтвержденное соответствующим документом, – и только

Общественность никогда не узнает степень нанесенного ущерба от кибератак, потому что:
а) подавляющее большинство случаев взломов умалчивается компаниями;
б) компании не знают, что их взломали

Любое ТЗ постоянно меняется и зафиксировать его в неизменном виде с момента выставления требований и до момента сдачи работы невозможно

Если вопрос находится на стыке интересов подразделений ИТ и ИБ, требует от этих подразделений значительных трудозатрат, но при этом не дает для них значительных выгод, то для решения вопроса необходимо заручиться поддержкой топ-менеджмента компании

Всё, что для бизнеса возможности, для безопасности – угрозы

Все модели угроз похожи друг на друга. Каждая отдельно взятая взломанная компания уникальна по-своему





Вступление было, значит должно быть и заключение: вместо интеллектуальных околоибэшных дебатов я предлагаю выдвигать и проверять гипотезы по ИБ.

"Выигрывают те компании, которые в единицу времени проверяют больше гипотез" (Джефф Безос)

2 комментария:

  1. Валерий, так что делать с этими негативными гипотезами?

    ОтветитьУдалить
  2. Гипотезы могут помочь в выработке критического мышления при оценке рисков ИБ. Ну, и всегда помнить девиз маркетологов от ИБ: "Не напугаешь, не продашь!"

    ОтветитьУдалить