Как вам понять, что ваша организация или стартап нуждаются в диагностике? Как не упустить нужные моменты? Как распознать самые ранние симптомы? Вот ситуации, требующие кибердиагностики:
Авторам идей, архитекторам и разработчикам программного обеспечения не надо ждать, пока они станут «беременными» планами разработки своих продуктов. Безопасность в продуктах надо продумывать еще до их «зачатия».
Провести техническую оценку безопасности продукта на этапе PoC (Proof of Concept), MVP (Minimum Viable Product) и бета-версии – это то же самое, что УЗИ плода на 13-й, 22-й и 33-й неделях беременности. Обязательно.
Низкая безопасность вашего детища может подорвать его успех так же, как плохое здоровье ребенка может испортить ему жизнь или даже отнять ее. Насколько часто водить дитя на диагностику, каждый родитель решает для себя в меру своей компетентности, тревожности или беспечности.
Но есть и внешние требования, без выполнения которых не получится отдать ребенка в детский сад, школу, бассейн, летний лагерь. И об этом отдельный пункт.
Точно так же, как в некоторых случаях (поступление в образовательное учреждение, на работу, регулярные осмотры) от нас требуют ту или иную медицинскую справку (например, о флюорографии), существуют требования государственных органов, регуляторов и партнеров, предписывающие проходить регулярные аудиты безопасности.
В том числе техническую оценку и тестирование на проникновение. В развитых странах (США, ЕС) для важных отраслей (энергетика, платежные системы, то же здравоохранение) эти требования закреплены законодательно.
Так же, как в случае вирусной эпидемии определенные регионы становятся опасными, так и в определенных индустриях или типах организаций есть повышенные угрозы определенных видов кибератак.
Например, практически все современные государственные конфликты, споры и соперничества (Израиль и Палестина, Северная Корея и США, Китай и США, США и Россия, Великобритания и Россия, Украина и Россия, и так далее) не обходятся без кибервойн. Если ваши пользователи находятся в одной из этих стран или ваш продукт некоторым образом связан с такими конфликтами, есть повышенная опасность вашего вовлечения в кибервойну.
В отличие от традиционных войн, кибервойны происходят незаметно, но при этом стороны наносят друг другу миллиардный ущерб. Похожие войны, хотя и в меньшем масштабе, происходят в высококонкурентных коммерческих средах.
Если вы часто болели какой-то легкой болезнью или хотя бы один раз тяжелой, вы будете уделять внимание диагностике именно этих заболеваний. Точно так же, если вы ранее сталкивались с инцидентами безопасности, вызванными определенными уязвимостями (слабые пароли, отсутствие резервирования и тому подобное) или угрозами (взлом веб-сайта, взлом учетной записи социальной сети, кража ноутбука и другое), вы будете уделять внимание и отслеживать именно эти негативные факторы.
Хотя и есть общее правило «нельзя вступить в одну воду дважды», поэт-сатирик добавляет, что при этом вполне можно вступать «в одну грязь многократно». И об этом следующий пункт.
Так же, как полезно наблюдать, чем болели ваши родители, друзья, знакомые и окружение, и принимать меры предосторожности, полезно отслеживать, с какими проблемами безопасности сталкиваются другие организации. Всегда выгоднее учиться на чужих ошибках, чем на своих.
Так же, как образованный и мудрый человек проходит регулярные медицинские обследования, глотает витамины зимой или делает прививки перед путешествием в Африку, нужно принимать меры безопасности и диагностировать технические уязвимости в нужные моменты.
Например, когда создается проект новой системы; когда планируется крупное изменение в сетевой инфраструктуре; когда увольняется сотрудник, который имел доступ администратора; когда вы понимаете, что халатность персонала повысилась; когда накапливаются мелкие проблемы безопасности (до того, как они перерастают в крупные); когда планируется IPO, ICO, слияние и поглощение компаний. Для безопасности крайне важно не упускать подобные моменты. В информационной безопасности есть удачный термин security hardening (киберзакаливание), который хорошо отражает идею профилактики.
В конце концов безопасность, как и здоровье, – это не только состояние, но и ощущение. Иными словами, кроме объективной безопасности, существует ее субъективная составляющая.
Совершенно естественно, когда вы не уверены в своем физическом или эмоциональном здоровье, вы проходите медицинскую диагностику или идете к психологу. Точно так же, когда вы не уверены в ваших системах или персонале, вы проводите аудит или тестирование на проникновение, чтобы найти технические и социотехнические уязвимости.
Открыть успешный бизнес в Америке довольно просто. Это ежегодно делают сотни тысяч иммигрантов. В этой…
Если бы вы спросили об оценке кампаний в социальных медиа несколько лет назад, то, вероятно,…
В начале 2023 года на Etsy было зарегистрировано более 55 тыс. предпринимателей из Украины. Но,…
Сейчас моя компания делает бриллиантовые украшения для более ста магазинов по Украине. У нас есть…
Привлекательность Китая падает, а мировые фонды избегают Поднебесной во всех классах активов – об этом…
Вера Ворон, соосновательница MC.today, сейчас развивает агентство Creators Agency по продуктовому маркетингу для IT и…