На нещодавній панельній дискусії, організованій Dark Reading, п'ять керівників вищої ланки (C-suite) обговорили гостру проблему вимірювання успіху в кібербезпеці та причини, чому ці вимірювання часто не призводять до покращення реальних результатів. Експерти зійшлися на думці, що попри зростаючі бюджети та впровадження новітніх технологій, загальний рівень кіберстійкості багатьох організацій залишається незмінним або навіть погіршується. Це створює парадоксальну ситуацію, коли звіти показують "прогрес", тоді як реальні ризики продовжують зростати, а інциденти стають все більш руйнівними.
Основна причина полягає в тому, що багато традиційних метрик зосереджені на кількісних показниках, які легко виміряти, але які не завжди відображають ефективність захисту або реальне зниження ризиків. Такий підхід може призвести до хибного відчуття безпеки та неефективного розподілу ресурсів, що є особливо небезпечним в умовах постійних та складних кібератак.
Проблема з метриками кібербезпеки полягає в їхній частоті зосередженості на "метриках марнославства" (vanity metrics), які виглядають добре на папері, але не дають дієвих інсайтів. До типових недоліків належать:
- Фокус на кількості, а не на якості: Наприклад, кількість виявлених вразливостей або встановлених патчів. Сама по собі велика кількість знайдених вразливостей може свідчити як про ефективність сканування, так і про низький рівень безпеки. Важливо, чи були усунені критичні вразливості, що становлять найбільший ризик.
- Відсутність контексту: Метрики часто не пов'язані з бізнес-цілями або реальним впливом на діяльність організації. Вони не показують, наскільки ефективно знижується бізнес-ризик.
- Залежність від відстаючих індикаторів: Багато метрик є реактивними (наприклад, кількість інцидентів після їх виникнення), а не проактивними (прогнозними). Вони показують, що сталося, а не допомагають запобігти майбутнім подіям.
- Плутанина між відповідністю та безпекою: Дотримання нормативних вимог (compliance) не завжди дорівнює реальній кібербезпеці. Організація може бути повністю відповідною стандартам, але все ще вразливою до складних атак.
- Недостатня дієвість: Метрики можуть вказувати на проблему, але не пропонують чітких шляхів її вирішення або конкретних дій для покращення.
Ефективні метрики повинні бути орієнтовані на результат та на основі ризиків, відображаючи реальний стан кіберстійкості та її вплив на бізнес.
Ця проблема стосується абсолютно всіх організацій, які прагнуть ефективно захищатися від кіберзагроз. Особливо вразливими є:
- Керівництво та ради директорів: Вони приймають стратегічні рішення та розподіляють бюджети на основі наданих їм метрик. Хибні дані можуть призвести до неправильних пріоритетів, недооцінки ризиків та неефективного використання ресурсів.
- Команди кібербезпеки: Неможливість чітко продемонструвати цінність своєї роботи та реальне покращення безпеки може призвести до фрустрації, вигорання та труднощів з обґрунтуванням необхідних інвестицій.
- Українські організації: В умовах повномасштабної кібервійни, коли загрози є постійними та надзвичайно складними, точне вимірювання кіберстійкості є критично важливим. Недооцінка реальних ризиків через неадекватні метрики може мати катастрофічні наслідки для національної безпеки, критичної інфраструктури та економіки країни.
Неправильні метрики створюють ілюзію безпеки, яка може бути розвіяна лише після успішної атаки.
Для побудови ефективної системи вимірювання кібербезпеки Cyber Index UA рекомендує:
- Перехід до метрик, орієнтованих на результат: Замість підрахунку кількості дій, фокусуйтеся на реальному зниженні ризиків та підвищенні стійкості. Наприклад, замість "кількість проведених тренінгів" – "відсоток успішних спроб фішингу після тренінгу".
- Використання проактивних (провідних) індикаторів: Зосередьтеся на метриках, які можуть передбачити майбутні проблеми або успіхи. Приклади: Mean Time To Detect (MTTD) – середній час виявлення загрози, Mean Time To Respond (MTTR) – середній час реагування, Mean Time To Recover (MTTR) – середній час відновлення після інциденту.
- Прив'язка до бізнес-ризиків: Кожна метрика повинна чітко демонструвати, як вона впливає на зниження конкретних бізнес-ризиків. Визначте найцінніші активи та зосередьтеся на їхньому захисті.
- Контекстуалізація даних: Представляйте метрики у зрозумілому для керівництва форматі, пояснюючи їхнє значення та потенційний вплив на бізнес.
- Регулярний перегляд та адаптація: Метрики не є статичними. Вони повинні переглядатися та адаптуватися відповідно до змін у ландшафті загроз, бізнес-процесах та технологіях.
- Фокус на дієвості: Метрики повинні надавати чіткі вказівки щодо того, які дії необхідно вжити для покращення ситуації.
Для українських організацій це означає критичну необхідність переосмислення підходів до вимірювання кібербезпеки, щоб забезпечити максимальну ефективність у протистоянні агресору.