Ձեր ուշադրությանն ենք ներկայացնում ՀՀ Կենտրոնական բանկի Կորպորատիվ ծառայությունների եւ զարգացման դեպարտամենտի տնօրենի տեղակալ Կոմիտաս Ստեփանյանի հոդվածը, որը հրապարակվում է Banks.am կայքում բացառիկ հիմունքներով:

Տարիներ առաջ FBI-ի նախկին տնօրեն Ռոբերտ Մյուլերն ասել է․ «Աշխարհում կան երկու տեսակի կազմակերպություններ. առաջինն այն կազմակերպություններն են, որոնք արդեն հաքերային հարձակումների զոհ են դարձել, երկրորդն՝ այն կազմակերպությունները, որոնք ապագայում հաքերային հարձակումների զոհ կդառնան։ Այս միտքը թեեւ ճշմարտությանը բավական մոտ է, սակայն արդեն հնացել է եւ այն կարելի է վերաձեւակերպել այսպես․ «Աշխարհում կան կազմակերպություններ, որոնք արդեն հաքերային հարձակումների զոհ են դարձել եւ կան կազմակերպություններ, որոնք հաքերային հարձակումների զոհ են դարձել, բայց դրա մասին չգիտեն կամ ապագայում զոհ կդառնան ու մինչեւ կբացահայտեն, բավական երկար ժամանակ կանցնի։ Նման դեպքերը բազմաթիվ են (Sony pictures, Bangladesh Bank etc.), երբ կիբեռհանցագործները կոտրել են այս կամ այն կազմակերպության ենթակառուցվածքը եւ գտնվել են այդ ենթակառուցվածքում բավական երկար ժամանակ:

Եթե նայենք վիճակագրությունը, ապա վերջին տարիներին կիբեռհարձակումների բացահայտման ժամանակը 200 օրից ավել է եղել՝ համաձայն IBM-ի տվյալների, մասնավորապես՝ 2019թ․-ին՝ 206 օր, 2020թ․-ին՝ 228 օր, 2021թ․-ին՝ 287 օր։ 2021թ․-ի 287 օրը իր մեջ ներառում է նաեւ բացահայտելուց հետո հետեւանքների վերացումը, որը գնահատվում է մոտ 80 օր։  

Հաշվի առնելով այս տվյալները, եւ նաեւ այն հանգամանքը, որ ֆինանսական համակարգը միշտ հանդիսացել է կիբեռհանցագործների հիմնական թիրախներից մեկը (թեեւ վերջին տարիներին էապես աճել են կիբեռհարձակումները կրիտիկական ենթակառուցվածքների ուղղությամբ` առողջապահություն, կրթություն, էներգետիկա եւ այլն), ապա Կենտրոնական բանկը եւ ֆինանսական հաստատություններն առանձին վերցրած՝ յուրաքանչյուրն իր համար, եւ միասին վերցրած՝ որպես ֆինանսական համակարգ, խնդիր ունեն դիմակայելու ժամանակակից թվային աշխարհի զարգացումներին ու ռիսկերին։ Այստեղ պետք է հաշվի առնել նաեւ բազմաթիվ փոքր, միջին կամ մեծ ֆինտեխ ընկերությունների գոյությունը ֆինանսական հատվածում, որոնցից շատերը ուղղակի պատրաստ չեն դիմակայելու ժամանակակից կիբեռ-ռիսկերին եւ այստեղ է, որ շատ կարեւոր է Կենտրոնական բանկերի դերը «նրանցով ժամանակին զբաղվելու»։

Ինչպես մի անգամ Հոնկոնգի համալսարանի հայտնի պրոֆեսոր Douglas W. Arner -ն է պատկերավոր ասել ֆինտեխ ընկերությունների մասին՝ rapid growth of companies from “too small to care” to “too large to ignore” to, finally, “too big to fail.”, նկատի ունենալով, որ եթե ֆինանսական համակարգի կարգավորող մարմինները սկզբում բավարար կարեւորություն չեն տալիս ֆինտեխ ընկերություններին, ապա երբ նրանք զգալի թափ են հավաքում, ուղղակի չեն կարող անտեսել եւ, ի վերջո, երբ նրանցից որոշները լուրջ ընկերություն են դառնում ու կարող են որոշակի ազդեցություն ունենալ ամբողջ ֆինանսական համակարգի վրա, չեն կարող թույլ տալ, որ ձախողվեն։

Վերադառնալով կիբեռանվտանգությանը՝ պետք է նշել, որ այն կոմպլեքս խնդիր է, եւ թեեւ աշխարհում կան բազմաթիվ մոդելներ, framework-եր ու ստանդարտներ կիբեռանվտանգության ամբողջական ղեկավարման (governance) եւ կառավարման (management) համար, այնուհանդերձ յուրաքանչյուր կազմակերպություն ինքն է ընտրում՝ որ մոդելով եւ/կամ ստանդարտներով ու framework-երով առաջնորդվել։ Անձամբ ինձ, որպես ՏՏ եւ կիբեռանվտանգության ոլորտի 20-ից ավելի տարիների փորձով պրոֆեսիոնալի, շատ դուր են գալիս NIST Cybersecurity Framework-ը, FFIEC Cybersecurity Assessment Tool-ը, ISO27000 սերիայի փաստաթղթերը եւ Cobit 2019 framework-ը որպես ՏՏ ղեկավարման ընդունված մոտեցումներ ամբողջ աշխարհում։ Հայաստանի ֆինանսական հատվածում արդեն մոտ 10 տարի է կիրառվում է ISO27001 ստանդարտը, որի արդյունավետ աշխատանքը էապես կախված է կազմակերպության բարձրագույն ղեկավարության ընկալումից։ Այն կառավարման մաս է, որին, սակայն, որոշ ղեկավարներ դիտարկում են որպես տեխնիկական ինչ-որ ստանդարտ։

Այժմ փորձենք հասկանալ՝ ի՞նչ ասել է կիբեռանվտանգություն, ինչո՞վ է այն տարբերվում տեղեկատվական անվտանգությունից կամ տարբերվո՞ւմ է, թե՞ ոչ եւ որո՞նք են կիբեռնավտանգության խնդիրները եւ այն ռիսկերը, որոնք կարող են լուրջ բարդություններ առաջացնել ցանկացած կազմակերպության համար՝ անկախ գործունեության ոլորտից։
Թեեւ եւ՛ տեղեկատվական անվտանգության, եւ՛ կիբեռանվտանգության հիմքում ընկած է հայտնի CIA (Confidentiality, Integrity and Availability) կոնցեպտը եւ բազմաթիվ մասնագետներ նախընտրում են օգտագործել «Կիբեռանվտանգություն» տերմինը բոլոր դեպքերում, երբ խոսքը վերաբերում է թե՛ տեղեկատվական անվտանգությանը եւ թե՛ կիբեռանվտանգությանը, քանի որ այն կարծես ավելի «հնչեղ» եւ ավելի ժամանակակից տերմին է, այնուհանդերձ կիբեռանվտանգությունը վերաբերում է այն ռիսկերին, որոնք սպառնում են թվային  ակտիվներին, այդ թվում՝ տվյալներին (data), սպառնում եւ/կամ տարածվում են թվային կապուղիներով՝ հիմնականում ինտերնետով, մինչդեռ տեղեկատվական անվտանգությունը վերաբերում է այն ռիսկերին, որոնք սպառնում են մեր ակտիվներին, այդ թվում՝ տեղեկատվությանը (information)։ Մասնավորապես, կիբեռհանցագործները կարող են գողանալ որոշ տվյալներ, որոնք առանձին վերցրած միտք չեն արտահայտում՝ տեղեկատվություն չեն, եւ առաջին հայացքից օգտակար կամ կիրառելի չեն, այնուհանդերձ կիբեռանվտանգության տեսանկյունից դրանք կարող են օգտագործվել հետագա հարձակումները պլանավորելու եւ/կամ իրականացնելու համար։

Կիբեռ-ռիսկեր

Այս մասում փորձենք հասկանալ՝ որոնք են ներկայիս կիբեռ-ռիսկերը, որոնց մասին պետք է մտածել 24/7 ռեժիմով։

Ժամանակակից ընկերություններն ու կազմակերպությունները ակամայից օգտագործում են տարատեսակ թվային սարքեր (համակարգիչներ, թաբլեթներ, հեռախոսներ, սմարթսարքեր, IOT սարքեր եւ այլն) եւ միաժամանակ օգտագործում եւ/կամ տրամադրում են բազմաթիվ թվային ծառայություններ։ Կարելի է ասել՝ «մենք ապրում ենք թվային աշխարհում»։ Տարբեր հետազոտություններ նշում են, որ աշխարհում ինտերնետին կան միացված միլիարդավոր սարքեր։

Համաձայն https://www.statista.com/-ի տվյալների, ինչը պատկերված է գրաֆիկում, մինչեւ 2025 թվականն ինտերնետին միացված սարքերի թիվը կգերազանցի 15 միլիարդը, իսկ 2030-ին՝ 25 միլիարդը։ Հաշվի առնելով նաեւ այն հանգամանքը, որ թվային աշխարհը կատարյալ չէ, եւ նույնիսկ ամենահեղինակավոր արտադրողների սարքերում ու ծրագրերում ամեն օր ի հայտ են գալիս տարբեր խոցելիություններ, ակնհայտ է դառնում խնդրի բարդությունը եւ, որ այն պարզ լուծում չունի։

Մի հանգամանք եւս, որը թերեւս աշխարհի մի շարք երկրներում ու կազմակերպություններում արդեն վաղուց կիրառվում էր, այնուհանդերձ Հայաստանում եւ բազմաթիվ այլ երկրներում ի հայտ եկավ COVID-19 -ից հետո։ Խոսքը հեռավար աշխատանքի մասին է։

Եթե մինչեւ COVID-19-ը, Հայաստանում եւ շատ այլ երկրներում, կազմակերպություններն աշխատում էին իրենց համապատասխան շենքերում, որտեղ առկա են բազմաթիվ ապարատածրագրային լուծումներ կիբեռանվտանգության ռիսկերի զսպման համար եւ որոնք մինչեւ 99% կանխարգելում են հաքերային հարձակումները (նկար 1), ապա COVID-19-ից հետո մեր աշխատակիցներն ամենուր են (նկար 2). ոմանք աշխատում են տանից, ոմանք, միգուցե, հենց հիվանդանոցից։ Ավելին, շատ կազմակերպություններ, չունենալով բավարար ռեսուրսներ, թույլ են տալիս իրենց աշխատակիցներին աշխատել սեփական սարքերով՝ չունենալով արդյունավետ BYOD (bring your own device) քաղաքականություն եւ գործուն մեխանիզմներ դրանցով պայմանավորված ռիսկերը զսպելու համար։

Այս հանգամանքն ամբողջությամբ փոխում է անվտանգության պարադիգման, քանի որ ինչպես նշվեց, այժմ մենք պետք է ի վիճակի լինենք ապահովել մեր աշխատակիցների ԱՆՎՏԱՆԳ աշխատանքը, երբ նրանք մեր «տեսադաշտում» չեն, աշխատում են սեփական սարքերով եւ, բնականաբար, օգտագործում են տարատեսակ ամպային լուծումներ, օրինակ՝ zoom:

Եվ եթե անվտանգության այս նոր պարադիգմը իրական լուրջ դժվարություններ է առաջացրել ցանկացած կազմակերպության ՏՏ եւ տեղեկատվական ու կիբեռանվտանգության աշխատակիցների համար, ապա այն նաեւ լայն հնարավորություններ է բացել կիբեռհանցագործների համար, մասնավորապես, մի քանի անգամ շատացել են ֆիշինգային (phishing) եւ թիրախավորված ֆիշինգային (spear- phishing) նամակները․ համաձայն FBI-ի տվյալների դրանք աճել են շուրջ 4 անգամ։

Հաջորդ ռիսկը, որի առիթով այս տարի ԱՄՆ նախագահ Ջո Բայդենը մի քանի անգամ արդեն դիմել է ինչպես Ամերիկայի, այնպես էլ ամբողջ աշխարհի հանրությանը՝ ransomware-ն է։ Թեեւ ransomware-ը նոր, անհայտ ուղղություն չէ եւ դեռեւս տարիներ առաջ WannaCry-ը լուրջ խնդիրներ առաջացրեց աշխարհում, այնուհանդերձ 2021թ․ աշխարհում արդեն արձանագրվել են ransomware-ի տարածման մի քանի դեպքեր, որոնք զգոնության կոչ պետք է դիտարկվեն ցանկացած կազմակերպության համար։ Մասնավորապես, 2021թ․ մայիսի 7-ին կիբեռհանցագործներին հաջողվել էր ransomware տարածել Colonial Pipeline-ի ենթակառուցվածքում՝ ամբողջությամբ խաթարելով կազմակերպության աշխատանքը եւ պահանջելով $4.4 մլն՝ ծածկագրված տեղեկատվությունը վերադարձնելու համար։ Սա թերեւս ամենախոշոր դեպքերից է, երբ կիբեռհանցագործներին հաջողվում է խաթարել կրիտիկական ենթակառուցվածքի աշխատանքը, ինչը, միգուցե, մի քանի տարի առաջ կարող էինք միայն ֆիլմերում դիտել։

Ինչպես լուծել այս խնդիրը

Ընդունելով, որ CIA կոնցեպտի ապահովումը հանդիսանում է եւ՛ տեղեկատվական, եւ՛ կիբեռանվտանգության հիմնական խնդիրը, փորձենք հասկանալ՝ ինչպե՞ս կարող ենք ապահովել դրա իրականացումը։ Դրա համար հիշենք եւս մեկ` PPT (people-process-technology) մոդել եւ փորձենք ինտեգրել այն CIA կոնցեպտի հետ։

Շատ ղեկավարներ կարծում են, որ կիբեռանվտանգությունը միայն տեխնիկական խնդիր է, եւ այն կարելի է լուծել՝ լավ սարքավորումներ, տեխնոլոգիաներ գնելով եւ ներդնելով։ Սա նման է այն դեպքին, երբ մարդը ունի լավ մեքենա, բաց չունի ո՛չ վարորդական իրավունքի վկայական եւ ո՛չ էլ մեքենա վարելու փորձ։

Հանդիպում են նաեւ դեպքեր, երբ կազմակերպության ղեկավարները նշում են․ «Դե մենք ամեն տարի ներթափանցման թեստ ենք (Penetration test) պատվիրում։ Իրականում, ներթափանցման թեստը կիբեռանվտանգության փազլի ընդամենը մեկ կտորն է։ Օգտվելով NIST Cybersecurity Framework-ը՝ կիբեռանվտանգության ապահովման ամբողջ կենսացիկլը պատկերավոր կարող ենք ներկայացնել այսպես․

Բերված նկարից երկում է, որ կիբեռանվտանգությունը սկսվում է կազմակերպության ակտիվների բացահայտում/գույքագրումով (Identify), եւ եթե այն պատշաճ արված չէ, ապա հաջորդ քայլում հնարավոր չէ դրանք պաշտպանել (Protect), ապա գրանցել դրանց սպառնացող ռիսկերը (Detect), որից հետո արձագանքել (Respond), եթե այդ ռիսկերը խախտել են կազմակերպության ակտիվների CIA կոնցեպտը, եւ եթե խախտել են, ապա վերականգնել (Recover)՝ ապահովելով կազմակերպության աշխատանքների անընդհատությունը։ Եվ եթե այս հայտնի քայլերի հետ միավորենք “Testing and Continuous Learning” կտորը, դրանից հետո նոր միայն կունենանք կիբեռանվտանգության կուռ համակարգ։

Բերված նկարից ակնհայտ է դառնում, որ եթե կազմակերպության միակ հույսը այս ամբողջ կենսացիկլում ներթափանցման թեստն է՝ այն էլ առանց “ continuous learning”-ի, ապա այդպիսի կազմակերպությունները դատապարտված են կամ, ինչպես նշվեց հոդվածի սկզբում, այդ կազմակերպություններն արդեն կիբեռհանցագործների զոհ են, բայց դրա մասին չգիտեն։

Իրականում կիբեռանվտանգությունը նախ եւ առաջ առաջնորդություն է (leadership), որի արդյունավետությունն էապես պայմանավորված է կազմակերպության մշակույթով, ղեկավարության առաջնորդության կարողություններով, որն էլ իր հերթին մեծ ազդեցություն ունի կազմակերպության մշակույթի վրա։

Եթե փորձենք գլխիվայր շուռ տալ վերեւում ներկայացված People-Process-Technologies մոդելը եւ People կոմպոնենտը հանենք վերեւ, ապա ակնհայտ կդառնա, որ մեկ կետի վրա հենված բուրգի կայունությունը պայմանավորված է People հարթությունում մարդկանց վարքագծով։ Մեկ աշխատակցի ընդամենը մե՛կ անզգույշ քայլ կարող է ամբողջությամբ խաթարել բուրգի կայունությունը, որն էլ հենց կիբեռանվտանգության ապահովման ամենաբարդ խնդիրն է։ Եթե հայտնի տեխնիկական լուծումներով հնարավոր է լուծել հայտնի խնդիրներ, ապա կազմակերպության կիբեռդիմացկուն մշակույթ ստեղծելը եւ պահպանելը տեխնիկական խնդիր չէ եւ լուրջ առաջնորդություն է ենթադրում։ Մյուս կողմից, մարդկանց ֆիշինգային նամակներով խաբելը շատ ավելի հեշտ է, քան ապարատածրագրային բարդ տեխնիկական լուծումները շրջանցելը։ Ուստի, վաղ թե ուշ, ցանկացած կազմակերպություն կարող է կիբեռհանցագործների զոհը դառնալ, կարեւոր է պատրաստ եւ ունակ լինել պատշաճ վերականգնել կազմակերպության գործունեությունը հնարավոր նվազագույն կորուստներով։

Կիբեռդիմացկուն կազմակերպություն ունենալու համար կարեւոր է «կիբեռանվտանգությունը յուրաքանչյուրի պատասխանատվություն» կոնցեպտի ընդունումը, քանզի այլ հավասար պայմաններում, երբ կազմակերպությունը ներդրել է բավարար ապարատածրագրային լուծումներ կիբեռանվտանգության ռիսկերի կառավարման համար, յուրաքանչյուր աշխատակցի գիտակցությունից, զգոնությունից, գործողություններից ու, առավելապես, վարքագծից է կախված կազմակերպության կիբեռպաշտպանվածությունը։ Այստեղ է, որ էական կարեւորություն ունի աշխատակիցների շարունակական ուսուցումը կիբեռանվտանգության ռիսկերի վերաբերյալ, նոր ռիսկերի ի հայտ գալու դեպքում՝ ժամանակին ծանուցումը, ինչպես նաեւ տարբեր հարցումների (quiz) միջոցով աշխատակիցների գիտելիքների ստուգման մեխանիզմների իրականացումը։

Ի վերջո, կիբեռանվտանգությունը ճանապարհ է, որն ունի սկիզբ եւ չունի վերջ։ Ճանապարհի սկիզբը ժամանակի այն կետն է, երբ կազմակերպությունը որոշում է պաշտպանել իր ակտիվները կիբեռ-ռիսկերից։ Իսկ ճանապարհը չունի վերջ, քանի որ փոխվում են եւ՛ մեր տեխնոլոգիաները, եւ՛ գործընթացները, եւ, իհարկե՝ մարդիկ։ Այսինքն` այն մոդելը, որի միջոցով մենք ցանկանում ենք ապահովել կիբեռանվտանգության CIA կոնցեպտը, անընդհատ փոփոխության մեջ է, այնպես, ինչպես աշխարհում ամեն ինչ․․․