Презентация по практике проведения киберучения для топ-менеджмента предприятия, которую я прочитал на IT & Security Forum в Казани. Это укороченная версия. Полная занимает около 4 часов, промежуточный вариант длится 1 час, а эта была рассчитана на 30 минут

1. Бизнес-консультант по безопасности
Проведение киберучений
для топ-менеджмента
предприятия
Алексей Лукацкий

2. Зачем нужны тренировки?
Время
Ущерб
Без тренировок
С тренировками
Ущерб (финансовый,
репутационный и т.п.)
Потери времени / продуктивности

3. Что мы обычно понимаем под
киберучениями?

4. Киберучения для топ-менеджмента
• В отличие от технических учений (Cyber
Range, CTF и т.п.), на учениях для топ-
менеджмента главным является проверка и
выработка правильных коммуникаций
между всеми участниками, а также
устранение слабых мест в существующих
процессах и процедурах
!

5. Что такое киберучения?
• Мероприятие, которое позволяет быть уверенным
в том, что топ-менеджмент понимает роль (не
обязательно важность) кибербезопасности в
деятельности предприятия и свою роль в
обеспечении кибербезопасности на предприятии, а
также шаги, которые надо предпринимать для
обеспечения кибербезопасности, включая и
действия в нештатных ситуациях
• Киберучения – это не обучение и не тренинг
!

6. Почему не постеры, не лекции,
не ролики?
• Из прочитанного усваивается только
10%, из услышанного – только 20%,
из увиденного – 30%, из
проработанного в упражнениях – 90%
!

7. Типы киберучений

8. Типы киберучений
• Дискуссионные (только общение)
Семинар – инструкция + обсуждение
Workshop – теоретический сценарий +
обсуждение (процедуры, ограничения,
взаимосвязи, решения)
Штабные учения (TTX) – разворачивание
сценария и существующих пошаговых процедур
реагирования с фасилитацией
Игры – аналогично штабным учениям, но с
разделением на две и более команд (создание
конкуренции)
!

9. Типы киберучений
• Операционные (тестирование процедур и
готовности к ним)
Drill
Функциональные
Полномасштабные
!

10. Организация киберучений

11. Определение необходимости учений
• Что мы хотим добиться учениями?
Новые знания или изменение навыков?
Чего не хватает сейчас?
• Оценка ограничивающих факторов
(бюджет, ресурсы, время, опыт
проведения учений, вовлеченность
руководства, умение говорить)
!

12. Встреча №1: разработка концепции
• Проект сценария
• Тип киберучений
• Цели киберучений
• Планируемые результаты
• Необходимость привлечения внешних лиц
• Идентификация нужных ресурсов
• План мероприятий (чеклист), сроки,
ответственные
!

13. Выбор идеи для сценария
киберучений

14. В чем у вас проблема?
• Проблема коммуникаций
• Неэффективные процессы и
процедуры
• Нехватка знаний
❓

15. Выбор идеи для сценария
• Сценарий должен быть реалистичным
Инопланетный вирус – это реальный сценарий,
если вы работаете в NASA или ЦУПе J
Реалистичность ≠ полное совпадение с бизнесом
конкретной организации
• Сценарий должен быть релевантным
Проверять способность CEO отражать WannaCry
будет выглядеть забавной, но бесполезной
• Сценарий должен быть гибким
!

16. Пример: Zombie Cyber Attack Tabletop
Exercise
Для МЧС вполне релевантная тема

17. Обратите внимание
• Не допускайте ситуаций, когда участники
начинают протестовать и заявлять «это
нереально», «это фантастика» - это убьет
всю концепцию
• Для разработки реалистичного сценария
надо четко понимать как функционирует
бизнес. Это ключевой момент!
• Имейте несколько альтернативных
сценариев (на всякий случай)
• Используйте «вбросы» новой информации
(вводных)
!

18. Типы сценариев
• Одноходовые сценарии
Проще и короче
• Многоходовые операции
Более реалистичны
Требуют больше усилий
⛳
⛳
⛳⛳
⛳
⛳

19. Некоторые идеи для сценариев
• Утечка важной для бизнеса информации
• Нарушение контрактных обязательств
• Инициация конкурентами проверки
регулятора
• Шантаж со стороны мошенников / хакеров
• Санкционная тематика
• Публикация в СМИ информации об
инциденте
• Массовое заражение шифровальщиком
☝

20. Сценарий «Злой айтишник»
1. Знающий об увольнении сисадмин
устанавливает закладки во все критические
системы
2. После увольнения бывший сисадмин входит в
ИТ-системы бывшего работодателя и крадет
информацию, нарушая целостность всех БД и
резервных копий
3. Сисадмин находит на черном рынке покупателя
на украденную информацию и продает ее
4. Покупатель требует выкуп. СМИ узнают об
инциденте и публикуют об этом новости
!

21. Три реальных примера для составления
сценария
Snapchat - CEO Seagate - CEO
Джон Подеста, глава избирательной кампании
Хиллари Клинтон

22. Жизнь сама преподносит нам идеи

23. Пример: FEMA NLE 2012
• Сценарий 1. В новостях на ТВ
говорят о кибератаках,
готовящихся против США и
некоторых отчетах ИБ-фирм,
подтверждающих это
Как мы получаем информацию об
угрозах?
Как отличаются хакеры и хактивисты?
Какие инструменты мы используем
для предотвращения?
Должны ли мы взаимодействовать с
правоохранительными органами?

24. Примеры сценариев

25. Примеры сценариев

26. Организация киберучений
(продолжение)

27. Цели киберучений
• Получение обратной связи
• Определение ответственности
• Идентификация ролей
• Расширение навыков и знаний
• Оценка возможностей
• Оценка тонких и слабых мест
• Оценка требуемых ресурсов
• Мотивация сотрудников
• Вовлечение топ-менеджмента
!

28. Встреча №4: финальный план
• Финальный сценарий и брифинг
руководства/организаторов
• Финальные и утвержденные правила
проведения киберучений
• Финальный план логистики (место
проведения, даты, бронь, трансфер,
переводчик, оборудование, питание,
безопасность…)
• Финальные материалов для учений
• План мероприятий (чеклист), сроки,
ответственные
!

29. Несколько лайфхаков
• Необходимо встретиться с руководством
лично (как минимум, с executive sponsor) и
понять их чаяния
• Проводить учения надо вне офиса (лучше
на выезде) - чтобы не отвлекались
• Не начинайте сразу с больших учений –
начните с малого
✌

30. Длительность киберучений
• Длительность зависит от
Размера и сложность киберучений
Предпочтений
Занятости участников
Объема ресурсов
• Планирование киберучений занимает 1-2
месяца
• Проведение киберучений для руководства
может занимать от 2.5-3 часов до 1-3 дней
⏰

31. Планирование учений
• Проверьте заранее наличие нужных
инструментов и материалов (мониторы,
флипчарты, бумага, канцтовары,
руководства участников и т.п.)
• При проведении больших учений найдите и
научите помощников
✍

32. Несколько неприятных моментов из
практики
• Участники могут бояться показать свою
некомпетентность в недружественном или
неизвестном окружении
Обстановка дружественная в компании или нет?
Участники знают друг друга или нет?
• Участники (особенно высокопоставленные)
не любят признавать, что сейчас действуют
неэффективно или не так эффективно, как
могли бы
!

33. Правила проведения учений
• Мы не на экзамене - не бывает правильных
и неправильных ответов. Все идеи
приветствуются и будут использованы по
мере необходимости
• Безстрессовая, открытая, дружелюбная
среда
• Сценарий дает направление, но не
ограничивает идеи и мысли
• Не ограничивайтесь только официальной
позицией или политикой. Не бойтесь
выходить за их рамки
!

34. Оценка результатов учений
• Обязательно проведите оценку результатов
учений, чтобы составить эффективный
план действий по результатам
• Избегайте обвинять участников в чем-либо
• Обобщите выводы и рекомендации в целях
обеспечения сотрудничества и готовности
участвовать в будущих учениях
• План мероприятий по результатам учений
может быть составлен не сразу, а после
осмысления и нахождения консенсуса
⚖

35. Возможные результаты учений
• Ситуационная осведомленность
• Элементы плана непрерывности бизнеса
• Соблюдение планов
• Скорость реагирования
• Процесс принятия решений
• Обмен информацией
• Взаимодействие
• Координация ресурсов, логистики, поддержки
• Устойчивость окружения
• И др.
!

36. Follow-Up
• Варианты завершения учений
Составление списка мероприятий для улучшения
Следующие учения
Индивидуальные встречи с участниками
Высокоуровневая презентация для топ-
менеджмента с ключевыми выводами
• Учения - не самоцель. После оценки
результатов составьте список задач для
улучшения
• Вы извлекли уроки из учений?
!Не забудьте сказать
всем спасибо!

37. Ошибки при проведении учений
• Сценарий нечеткий
• Правила проведения учений не
определены
• Топ-менеджмент не вовлечен в учения
• Апатия участников и отсутствие реакции на
«вбросы»
• Участники борются со сценарием, а не с
проблемой
• Фасилитатор не умеет вести учения
!

38. Выводы

39. Выводы
• Киберучения – это инструмент повышения
готовности компании к нештатным ситуациям и
обнаружения слабых мест в защите компании
• Киберучения - это не обучение и не тренинги;
они требуют более серьезной подготовки
• Вовлечение топ-менеджмента в киберучения
позволяет поднять ИБ на новый уровень в
компании
• Киберучения – это не реальная жизнь, но ее
имитация
• Проводите киберучения регулярно
!

40. Спасибо!
alukatsk@cisco.com