Путь к цифровому лидерству. Основы управления непрерывностью бизнеса
Некоторые события способны нарушить бизнес‑процессы и даже остановить их на неопределенный срок.
- Металлургический завод внедрил IT‑платформу для автоматизации производства. Но поставщик платформы покинул рынок, и заводу пришлось спешно переводить процессы на альтернативное решение.
- Интернет‑магазин активно использовал облака, чтобы быстро масштабироваться под изменения спроса. Однако облачного провайдера взломали, и магазин лишился части данных.
- Компания вкладывалась в системы защиты от кибератак, но не учла риск отключения электричества. Авария на подстанции — и процессы встали на полдня.
Поддерживать устойчивость бизнеса к подобным событиям помогают механизмы управления непрерывностью бизнеса — BCM (business continuity management).
Они направлены на выявление критических инцидентов, подготовку антикризисных мер и планов аварийного восстановления работы. Также механизмы BCM позволяют сосредоточиться на конкретных последствиях прерывания процессов. За счет этого у компании появляется возможность принимать более точечные решения, не тратя деньги на избыточные меры.
Реализованы такие механизмы могут быть по‑разному в зависимости от потребностей организации. Например, можно построить полноценную систему управления непрерывностью бизнеса или же внедрить инструменты BCM в текущие процессы IT и кибербезопасности.
Внедрение BCM позволяет компании стать единым организмом, способным обеспечить бесперебойные процессы, предсказать угрозы и с минимальными потерями устранить их последствия.
Перед вами гайд, который поможет быстро разобраться в управлении непрерывностью бизнеса в разрезе повышения киберустойчивости компании.
Вас ждут:
- введение в BCM,
- шаги по обеспечению непрерывных процессов,
- чек‑лист с рекомендациями по внедрению механизмов BCM.
В дополнение к нашим рекомендациям стоит опираться на лучшие практики мирового сообщества, собранные в следующих документах:
- ISO 22301:2019 Security and resilience — Business continuity management systems — Requirements.
- ISO/TS 22317:2021 Security and resilience — Business continuity management systems — Guidelines for business impact analysis.
Роль BCM стала особенно заметной в 2020-е годы.
Когда мир столкнулся с пандемией, далеко не все были готовы к этому. Наше исследование показало, что при переходе на удаленку каждой пятой компании не удалось сохранить качество сервисов на прежнем уровне. У многих организаций на некоторое время проседали бизнес-процессы, в том числе связанные с обеспечением цифровой безопасности. Причинами этого стали высокая нагрузка на профильных специалистов, нехватка времени и технического обеспечения. Сильнее всего эти проблемы повлияли на компании, которые никогда не прогнозировали возможные чрезвычайные ситуации и не имели плана действий на случай их возникновения.
Экстренный уход иностранных IT‑вендоров с российского рынка в 2022 г. еще раз подчеркнул, как важны механизмы BCM. Внимание к контексту работы компании, определение бизнес‑критичных процессов, тестирование альтернативных способов их выполнять — эти части управления непрерывностью вышли на первый план.
События 2020‑х изменили подход к BCM. Хотя пока управление непрерывностью остается на невысоком уровне, в ряде отраслей уже заметны улучшения по сравнению с 2020 г. Мы убеждены, что позитивная тенденция сохранится; в этом случае через несколько лет можно будет наблюдать существенный прогресс.
Тенденции развития BCM по отраслям
Чтобы представить, какие последствия могут наступить, если компания не использует механизмы BCM, взгляните на пару примеров из нашей практики.
Компании А принадлежит крупная онлайн‑платформа для размещения объявлений. Злоумышленники создавали фейковые объявления о продаже товаров на платформе и отправляли покупателей на фишинговые страницы оплаты.
Пользователи считали, что обман происходит на стороне платформы, и грозились подать на ее владельцев в суд.
Принятые меры и последствия. Чтобы остановить атаки на пользователей, компания А запретила на своем сайте обмен неофициальными ссылками. Но мошенники нашли способ обойти ограничения: они переводили диалог в социальные сети и мессенджеры. В результате пострадала репутация компании: пользователи перестали доверять платформе, отток клиентов за этот период вырос в 10 раз.
Как инструменты BCM помогли бы избежать таких последствий. Компания смогла бы предусмотреть возможность создания злоумышленниками фишинговых ресурсов, прописать сценарий действий на случай наступления такой угрозы. Однако компания A не отслеживала фишинг, который прикрывали ее брендом.
На этапе реагирования недостаточно внимания уделялось защите пользователей — из‑за этого мошенники быстро нашли лазейку для продолжения успешных атак. Избегая таких ошибок, компания могла бы снизить отток клиентов.
Чем раньше обращаются к инструментам BCM, тем большую пользу они приносят. Например, если бы сценарии ущерба третьим сторонам проанализировали до старта разработки, платформу изначально могли бы строить по‑другому — например, заложить в ее основу механизмы надежных сделок и гарантированных транзакций.
Сотрудники компании B обнаружили подозрительную активность в своей сети. Вскоре выяснилось, что злоумышленники получили доступ к привилегированной учетной записи на компьютере, администрирующем всю сеть компании. Атакующие могли потенциально остановить все бизнес‑процессы организации, а также похитить средства с ее счетов.
Расследование показало, что за атакой стояла известная группировка Silence. Проникнуть в критическую систему взломщикам удалось благодаря тому, что работавший в ней сотрудник открыл Word‑документ с вредоносным содержимым. Со взломанной машины злоумышленники заразили всю сеть организации несколькими программами для удаленного управления.
Принятые меры и последствия. В ходе реагирования на инцидент удалось закрыть злоумышленникам доступ к сети организации и зачистить ее от вредоносных программ. Кроме того, компания получила подробные рекомендации о необходимости выстроить процессы кибербезопасности, собрать отдел из специалистов в этой области и организовать регулярный аудит защищенности.
Несколько месяцев спустя в компании сообщили о повторной атаке на системы и хищении 43 тыс. евро. Расследование показало, что злоумышленниками оказалась та же группировка Silence, а причиной стали неустраненные огрехи в безопасности, обнаруженные ранее. Ни одна из рекомендаций при этом выполнена не была.
Как инструменты BCM помогли бы избежать таких последствий. Вместо того чтобы фокусироваться на построении стен на периметре и закупке дорогих средств защиты, компания могла бы:
- первоначально позаботиться об организации мониторинга;
- привлечь квалифицированных специалистов, которые смогли бы поддерживать системы кибербезопасности;
- внедрить меры защиты от кибератак по рекомендации экспертов.
Это позволило бы сэкономить деньги и избежать повторения инцидента.
Злоумышленники разместили в СМИ фейковый пресс‑релиз от имени компании C, в котором сообщалось об отставке финансового директора. Компания слишком поздно узнала об этом материале и не смогла своевременно отреагировать.
Принятые меры и последствия. Бездействие привело к тому, что акции компании C упали почти на четверть. Финансовый ущерб из‑за инцидента оценивается в несколько миллиардов долларов.
Как инструменты BCM помогли бы избежать таких последствий.
Главная проблема информационных атак в том, что их крайне сложно предсказать. Ситуацию усугубляют трудности при отслеживании информационного поля бренда — нехватка инструментов мониторинга, людей и времени.
Ошибкой при этом становится то, что в системе антикризисного менеджмента не учитывается риск черного PR.
Внедрение механизмов BCM, в том числе с привлечением внешних экспертов, позволило бы детально оценить внешнюю среду. Например, если бы удалось определить критичность ущерба из‑за падения акций, то компания B своевременно оценила бы последствия негативных инфоповодов и даже инсайдерских утечек.
Это еще один пример инцидента, предсказать который так же трудно, как и информационную атаку. На главной странице сайта компании D появилась информация, которая порочила ее репутацию. Событие могло привести к санкциям со стороны регуляторов.
Расследование показало, что нелегитимный контент загружался с помощью Google Tag Manager (GTM) — инструмента для маркетинговых активностей. А за саботажем стоял сотрудник агентства, которое оказывало маркетинговые услуги компании D.
Принятые меры и последствия. Компания D привлекла внешних исследователей, а также обратилась к юристам, чтобы те выяснили, возможно ли выставить агентству неустойку.
Исследователи отключили GTM на пострадавшем сайте, чтобы убрать нерелевантный контент. Затем нашли зараженный тег и, удалив его, переподключили систему.
На будущее исследователи ограничили права сторонних исполнителей в панели администрирования GTM.
Как инструменты BCM помогли бы избежать таких последствий. Подобные атаки сложно предугадать, но это не значит, что к ним не нужно готовиться. Механизмы BCM помогли бы прописать сценарии, когда инциденты случаются по вине сотрудников или подрядчиков. На основе этого можно разработать эффективные меры реагирования, позволяющие восстановить процессы с минимальными потерями.
BCM — цикличный процесс, компоненты которого можно условно разделить на две группы: разработка инструментов и действия при возникновении инцидентов.
Разработка инструментов BCM
- Изучение контекста, в котором развивается бизнес: анализ внутренней и внешней среды, инвентаризация активов, исследование рынка.
- Business impact analysis (BIA) — метод, с помощью которого анализируют воздействие негативных факторов на основные бизнес‑процессы, определяют возможные последствия и ущерб для деятельности компании при наступлении инцидентов.
- Планирование, задача которого — выработать экономически оправданные меры реагирования на инциденты и восстановления деятельности после сбоев.
- Внедрение и тестирование разработанных мер.
Действия при возникновении инцидентов
- Обнаружение инцидента и оповещение ответственных сторон.
- Устранение сбоев, ликвидация последствий и восстановление нормального режима работы.
- Извлечение уроков из инцидента и пересмотр текущих инструментов.
Связи между компонентами BCM представлены на схеме.
Компоненты BCM
Расскажем в деталях, что нужно предпринять на этапах разработки инструментов BCM, и рассмотрим порядок действий при инциденте.
Цель этапа — cформировать полную картину условий, в которых работает и развивается компания. Это помогает лучше адаптироваться к изменениям на рынке, в цифровой среде, в законодательстве.
На этом этапе:
- Соберите информацию о состоянии рынка или передайте эту задачу на аутсорсинг. Это нужно, чтобы оценить внешнюю среду, понаблюдать за тем, какие риски сильнее всего влияют на конкурентов в вашем сегменте. Возможно, придется пересмотреть маркетинговую стратегию в разрезе защиты репутации. Иногда внешние эксперты справляются с этим даже лучше за счет более широкого взгляда на рынок.
- Визуализируйте бизнес‑процессы вашей компании, смоделируйте связи между отделами, определите роль каждого из них.
- Если у вас уже есть документы, которые закрепляют порядок действий в случае непредвиденных ситуаций, составьте их перечень и опишите краткое содержание. Зафиксируйте правила, которые работают в вашей компании, но нигде не прописаны.
- Проведите детальную инвентаризацию активов. Кроме бухгалтерского и управленческого учета уделите внимание цифровым активам: информации, сетевым хранилищам, проектам. Это поможет на следующем этапе выделить наиболее значимые ресурсы, требующие защиты в первую очередь, и понять, на чем фокусировать бюджеты при планировании мер по обеспечению непрерывности.
Цель этапа — подготовить почву для внедрения BCM, сделать выводы о возможных последствиях нарушения того или иного процесса.
В ходе BIA потребуется:
- определить критичные процессы и информационные системы;
- идентифицировать взаимосвязи с ключевыми внешними и внутренними стейкхолдерами;
- оценить, достаточно ли у компании ресурсов, чтобы обеспечить непрерывную работу в нештатной ситуации;
- проанализировать альтернативные способы выполнения критических процессов.
При проведении BIA стоит руководствоваться стандартом ISO/TS 22317:2021 Security and resilience — Business continuity management systems — Guidelines for business impact analysis.
Цель этапа — разработать технические и организационные меры для обеспечения бесперебойности процессов.
Вот пример, который подчеркивает, что последствия угрозы могут стать опаснее из‑за хаотичных действий.
Несколько лет назад онлайн‑сервис такси пострадал от утечки из‑за того, что сотрудники оставили на GitHub реквизиты для авторизации. Злоумышленники нашли исходники и смогли попасть в хранилище, где обнаружились данные 57 млн клиентов. В результате компании пришлось заплатить 100 тыс. долл. преступникам за неразглашение информации. Однако история все равно получила огласку и нанесла ущерб еще и репутации сервиса. Помимо выкупа компания заплатила штраф в 400 тыс. евро.
В ходе планирования:
- разработайте или актуализируйте план обеспечения требуемого уровня непрерывности деятельности (ПОН), план реагирования на инциденты и восстановления деятельности (ПРиВ), инструкции по реагированию на типичные инциденты кибербезопасности (в зарубежных источниках — playbook);
- создайте команду по реагированию на инциденты;
- сформируйте бюджет на внедрение механизмов BCM.
В ПОН закрепите ключевые параметры непрерывности бизнес‑процессов:
- Recovery time objective (RTO). Время, в течение которого должно происходить восстановление бизнес‑функции или ресурса при инциденте.
- Recovery point objective (RPO). Объем допустимых потерь данных.
- Service delivery objective (SDO). Уровень сервиса, который необходимо обеспечить до полного восстановления. Например, в случае неблагоприятного события бизнес будет функционировать со сниженным качеством сервисов.
- Maximum tolerable downtime (MTD). Максимально допустимый период недоступности системы или процесса, при превышении которого компании будет нанесен серьезный ущерб.
ПОН помогает найти баланс, достигая оптимальных значений каждого из перечисленных параметров. За счет этого обеспечение непрерывности бизнес‑процессов превращается в измеримую и управляемую задачу — оно становится доступным большинству служб и подразделений компании, от логистики и бухгалтерии до IT-отдела и службы кибербезопасности.
В ПРиВ опишите целевые сценарии и порядок действий, которые позволят компании минимизировать ущерб от инцидента и сократить время на ликвидацию последствий.
ПРиВ учитывает следующие потребности управления инцидентами:
- скоординированность действий и управление коммуникациями;
- осведомленность персонала и готовность оперативно действовать по выстроенному процессу.
При разработке планов лучше отказаться от бюрократии в пользу удобства и простоты изложения — это позволит действовать эффективнее при наступлении инцидента. Например, всю документацию объедините в доступный гайд, к которому можно будет обратиться в любой момент.
Цель этапа — постепенно создать систему BCM, в которой будут задействованы почти все отделы. Тогда на разных этапах ликвидации последствий инцидента кибербезопасности смогут подключаться юристы, пиарщики и другие специалисты.
На этом этапе:
- закупите инструменты;
- определитесь с сервис‑провайдерами;
- запустите работу команды по реагированию на инциденты;
- организуйте мероприятия по повышению киберграмотности персонала;
- посмотрите, как работают готовые меры на практике, оцените их слабые места и внесите коррективы.
Для тестирования мер моделируйте инциденты. Например, при переносе площадки в облако можно отключить основную площадку и посмотреть, как справляется сервис‑провайдер. Это позволит заблаговременно сменить подрядчика, если качество вас не устроит, и избежать остановки процессов при инциденте.
Привлекайте внешних экспертов для проведения учебных атак на IT‑инфраструктуру. Важно применять все возможные инструменты взлома, чтобы выявить и устранить бреши в безопасности компании. Сделать обучение эффективнее помогут сервисы класса security awareness.
Не забудьте о регулярном тестировании команды по реагированию на инциденты: в экстренной ситуации не будет времени изучать планы, порядок действий важно отработать заранее. Для тренировки подходят специальные платформы — киберполигоны, а оценить готовность команды можно с помощью услуг red teaming.
Цель этапа — принять решение о дальнейших действиях на основе информации об инциденте и его последствиях.
Вот какие шаги следует выполнить:
- Собрать как можно больше деталей, которые пригодятся при анализе инцидента: что произошло, кто обнаружил, какие меры предприняли.
- Сообщить об инциденте внутренней команде по реагированию или специалистам на аутсорсинге. При некритическом инциденте достаточно, чтобы в курсе были безопасник и IT‑специалист.
- Письменно зафиксировать информацию об инциденте.
- Оценить масштаб компрометации: выяснить, к чему может привести инцидент, какие бизнес‑процессы остановлены, сколько времени и средств потребуется на нейтрализацию.
Результатом этапа обнаружения может стать и бездействие. Не каждый инцидент ведет к достаточно серьезным финансовым потерям, чтобы требовалось запускать процедуру реагирования. Пример таких инцидентов — единичные сбои при входе сотрудника в систему. Их стоит фиксировать и контролировать, но проходить все этапы реагирования не нужно.
Цель этапа — минимизировать последствия инцидента.
Для начала нужно:
- Оценить принятые меры.
- Постараться изолировать системы, которые могут быть заражены. Если это невозможно, усилить мониторинг. На этом шаге можно запускать процедуры расследования.
- Проверить все системы и убедиться, что инцидент не распространился на всю инфраструктуру.
- Устранить причину инцидента.
- Выяснить, возможно ли восстановить затронутые инцидентом системы. Если нет — построить план дальнейших действий с учетом утраты компонентов инфраструктуры или важных данных.
По итогам у вас должна появиться почва для безопасного восстановления бизнес‑процессов.
В ходе восстановления следует:
- Выяснить, когда можно будет возобновить бизнес‑процессы, затронутые инцидентом. Стоит исходить из потребностей расследования: иногда специалистам нужно лучше изучить систему, в которой произошел сбой, и на это время ее могут оставить изолированной.
- Вернуть скомпрометированные системы к исходному состоянию при помощи бэкапов.
- Проверить, что все затронутые системы получили обновления и исправления.
Цель этапа — найти ошибки, которые привели к инциденту, и исправить их.
При пересмотре мер помогут следующие шаги:
-
Проанализировать:
- Все ли сотрудники были готовы к киберинциденту?
- Какие ошибки затормозили процесс реагирования?
- Понимали ли вы и ваши сотрудники алгоритм действий? Следовали ли ему?
- Достаточно ли у ваших сотрудников знаний, чтобы эффективно отражать киберинциденты?
- Проверить внутреннюю документацию:
- Нет ли ошибок в описании алгоритмов?
- Понятен ли текст документов всем сотрудникам, нет ли в нем сложных пунктов, написанных бюрократическим языком?
- Предусмотрены ли в документации проблемы, которые возникали в ходе работы над инцидентом?
- Провести повторную инвентаризацию цифровых активов и отследить изменения во внешней и внутренней инфраструктуре, произошедшие за время инцидента.
- Определить, за счет каких мер и инструментов можно снизить вероятность повторения подобных инцидентов.
- Разобраться, что стоит изменить в обучении сотрудников. Возможно, имеет смысл направить профильных специалистов на тренировочные киберполигоны, а для всех сотрудников внедрить образовательные мероприятия по повышению киберграмотности.
Первые шаги к BCM поможет сделать наш чек‑лист.
- Определите, когда вы последний раз анализировали тренды в цифровой среде. Если это было больше 6 месяцев назад — пора обновить исследование. Анализ трендов поможет спрогнозировать события, способные повлиять на бизнес в краткосрочной и долгосрочной перспективе.
- Проведите инвентаризацию цифровых активов. С полной картиной будет удобнее принимать решения о замене какого‑либо ПО, видеть слабые места в IT‑инфраструктуре и определять следующие шаги по усилению защиты.
- Создайте команду по реагированию на киберинциденты. Идентифицируйте основных стейкхолдеров (PR, юридическая служба, HR, IT, руководство компании, клиентская поддержка), которых необходимо информировать и привлекать в случае инцидента.
- Убедитесь, что технические средства защиты информации подходят вашей компании и в полной мере выполняют свои функции.
- Проверьте состояние технических средств защиты: все они должны быть настроены верно и обновлены до последней версии.
- Удостоверьтесь, что документация, в которой закреплен процесс реагирования на киберинциденты, написана простым и понятным языком.
- Подберите мероприятия по повышению квалификации внутренних специалистов по кибербезопасности.
- Составьте план развития киберграмотности линейного персонала и руководителей.
- Подумайте, какие задачи по цифровой трансформации и кибербезопасности можно было бы передать на аутсорсинг. Внешние эксперты постоянно работают с организациями разного масштаба из разных отраслей, поэтому они могут шире взглянуть на ваши задачи. С их помощью вы сэкономите самый ценный ресурс — время.
BCM — непрерывный цикл мероприятий по предотвращению инцидентов в онлайне и в офлайне, принятию антикризисных мер и аварийному восстановлению работы. Цель BCM — помочь построить бизнес, устойчивый к непредвиденным ситуациям.
При внедрении BCM компании получают возможность:
- представить непрерывность бизнес‑процессов в виде измеримой и управляемой задачи;
- лучше адаптироваться к изменениям на рынке, в цифровой среде и законодательстве;
- проработать сценарии возможных угроз;
- подготовить экономически оправданные меры реагирования и ликвидации последствий;
- минимизировать ущерб в случае возникновения инцидента;
- определить бреши в системе безопасности до того, как это сделают киберпреступники.