«Брешуть собачки, кошки і ти трошки» - пригадалася стара дитяча приказка після прочитання допису бюро Веритас

«Брешуть собачки, кошки і ти трошки» – пригадалася стара дитяча приказка після прочитання допису бюро Веритас

«Брешуть собачки, кошки і ти трошки» – пригадалася стара дитяча приказка після прочитання допису бюро Веритас.

Бо я йому не веритас.
Мова йде ось про цей чудовий допис, який мені люб’язно показала нещодавно Мордокнижка: https://tinyurl.com/y4udynuk
Побачив знайомі слова у незнайомому поєднанні і прочитав усе. Потім ще раз. Потім приклав palm до face. І вирішив, що так залишати цього не можна.
У двох словах: аудиторська компанія похваляється як успішно пройшов у них аудит на відповідність міжнародному стандарту їх клієнт Укргазбанк.
Але трошечки збрехали.
Справа у тому, що факт успішного проходження аудиту на відповідність стандарту ISO/IEC 27001:2013 ще ніяк не доводить, що «компанія надійно захищає дані від спроби несанкціонованого доступу».
Це не так, панове. Щонайменше це – сильне перебільшення.
Факт успішного аудиту доводить лише те, що у компанії точно знають як це робити правильно і у компанії працює СУІБ, який побудований відповідно за вимог досить загального міжнародного стандарту.
Тобто диплом лікаря (навіть з відзнакою) не гарантує повної медичної безпеки будь-якому пацієнтові.
Набагато важливіше яким чином на практиці застосовуються ті знання, наявність яких засвідчується дипломом.
Тим більше, що ми знаємо як в Україні видають дипломи лікарям.

Ще одна цікава теза:
«Як незалежна міжнародна аудиторська компанія ми засвідчили, що банк надає гарантію безпеки даних для замовників, інвесторів, спонсорів, ділових партнерів, розробляє умови для повного контролю за управлінням інформаційних ресурсів та підвищує ефективність роботи бізнес-структури».
По-перше, що значить «надає гарантію»? У чому ця гарантія полягатиме? Банк зобов’язується виплатити мільйон доларів у разі витоку даних клієнтів?
Ризикну припустити, що це «гарантія» просто на словах, як у нас в країні часто трапляється.
І по-друге: жодна серйозна кібербезпекова компанія ніколи нікому не дасть гарантій безпеки даних.
І знаєте чому?
Тому що це неможливо. Зламати можна кожного, це лише питання часу, ресурсів та мотивації. Ламали найбагатші та найпідготовленіші до кібератак компанії. А тут якийсь державний український банк.
Чи не єдиний на сьогодні розумний шлях зменшити втрати від цілком можливого витоку даних клієнтів – страхування кібер-ризиків, але ця тема досі не дуже популярна в Україні. Чомусь. Незважаючи на Прикарпаттяобленерго, НотПетю, WannaCry, вотетовсьо.
Хоча все одно необхідно будувати СУІБ (SIEM) у відповідності до міжнародних стандартів ISO2700x, обробляти дані згідно GDPR, наймати фахівців з міжнародними сертифікатами – усе це обов’язково. У питаннях кібербезпеки треба дуже швидко бігти, щоб хоча б залишатися на місці.

Але що хочу сказати.
Замовчення, перебільшення, маніпуляції з даними – усе це є видами введення потенційних клієнтів в оману.
Навіть маленька брехня породжує недовіру, а недовіра знищує бізнеси, засновані на довірі: банкінг, адвокатська діяльність, страхування, бухгалтерські послуги, аудит, безпека.
Тому для компаній, які займаються такою діяльністю, брехати не можна ніколи і ні в чому. І дуже обережно коментувати діяльність клієнта, якому надав послуги.

Я розумію, що вартість імплементації та проходження аудиту на відповідність міжнародному стандарту ISO/IEC 27001:2013 становить 40-60 тисяч доларів, плюс-мінус.
Можливо, банк ще доплатив за рекламування самого факту успішного проходження аудиту.
Але ж це не єдиний і не останній клієнт аудиторської компанії?

І ще кілька слів про обізнаність аудиторських компаній у питаннях кібербезпеки.
Аудиторська компанія перевіряє на відповідність певним формальним стандартам. На відповідність тому, що десь чітко прописано, буквочки на папері. Що кожен може прочитати, розібратися і вивчити. Те саме і по ISO/IEC 27001:2013: вимоги стандарту відомі, покажіть що виконано по кожному пункту. Не треба бути особливим фахівцем з кібербезпеки, щоб перевірити формальне виконання пунктів стандарту, достатньо бути аудитором.
Фахівцем з кібербезпеки треба бути щоб оцінити практичну ефективність запроваджених процедур і чи взагалі вони працюють та чи приносять комусь користь. А з цим біда. Справжні фахівці коштують дорого, а витрачати гроші на “таку фігню” не хочеться. Хоча це біда не тільки аудиторських компаній.
І якби в бюро Верітас були фахівці з кібербезпеки, вони б не дозволили написати таку відверту підставу у прес-релізі.

Та і загалом якось дивно виглядає, коли студент і професор після успішно зданого іспиту знімають спільне фото/відео, де професор обіймає, цілує та вітає студента з успішно складеним іспитом. А ще професор «гарантує» високу кваліфікацію студента, а також його всеохопні знання з усіх-усіх предметів.
Підозріло це якось.
Максимум, що може дозволити собі нормальний аудитор – нейтрально згадати сам факт успішного проходження клієнтом аудиту. Всьо. Та і то, коли спитають.

Особисто я не маю нічого проти згаданої компанії та банку.
Особисто я сильно проти брехні та непрофесіоналізму. І ще коли хто попало видає себе за експерта з кібербезпеки, завдяки чому чудове англійське слово expert стало геть скомпрометованим в Україні. Але це вже трохи інша історія.

З огляду на дивні зникнення деяких постів (разом з репостами), одразу викладаю скріншоти та архів (https://archive.is/EInFY)

Міжнародні стандарти – це штука, яку я радо вітаю.
Але не можна відповідність стандартам видавати за «надійну захищеність» та «гарантію безпеки». Це не зовсім уріноофтальмологія, але трохи нагадує.

Бережімося.


Костянтин Корсун

Голова Ради Громадської організації Українська група інформаційної безпеки, директор компанії з кібербезпеки Berezha Security.