Как внедрить в компании blameless-подход к ИБ | Блог Касперского

Что такое разбор инцидентов без обвинений и как сделать его нормой в организации.

Даже компании со зрелой ИБ и достаточными инвестициями в это направление не застрахованы от киберинцидентов. Атакующие могут использовать уязвимости нулевого дня или скомпрометировать цепочку поставок, сотрудники могут стать жертвой сложной мошеннической схемы по проникновению в компанию, сама команда ИБ может допустить ошибку в настройках защитных инструментов или процедуре реагирования. Но каждый такой случай — повод улучшать процессы и системы, делать защиту еще эффективнее. И это не просто мотивационный афоризм, а практический подход, который вполне успешно работает в других сферах, например в авиационной безопасности.

В авиации требования по обмену информацией для предотвращения инцидентов предъявляются ко всем участникам — от производителей самолетов до стюардесс. И речь идет не обязательно об авариях или сбоях, в этой отрасли принято сообщать и о потенциальных проблемах. Сообщения постоянно анализируются и на их основе корректируются меры безопасности. Постоянное внедрение новых мер и технологий привело к снижению числа фатальных инцидентов с 40 на миллион вылетов в 1959 году до 0,1 — в 2015-м.

Но главное — в авиации давно поняли, что такая схема не будет работать, если ее участники боятся сообщать о нарушениях процедур, проблемах качества и других причинах инцидентов. Поэтому авиационные стандарты включают требования non-punitive reporting и just culture — то есть сообщения о проблемах и нарушениях не должны приводить к наказанию. Есть подобный принцип и у инженеров DevOps, они обычно называют это blameless culture и используют при разборе масштабных сбоев. Незаменим такой подход и в кибербезопасности.

У каждой ошибки есть фамилия?

Противоположностью blameless culture является принцип «у каждой ошибки есть фамилия», то есть конкретный виновник, который ее совершил. В рамках этой концепции за каждую ошибку применяют дисциплинарные взыскания вплоть до увольнения. Однако в реальности использование этого принципа вредно и не ведет к повышению защищенности.

• Сотрудники боятся ответственности и искажают факты при расследовании случившихся инцидентов, а то и уничтожают информацию, пытаясь скрыть улики.
• Искаженная или частично уничтоженная информация об инциденте усложняет реагирование и ухудшает общий исход, потому что ИБ не может правильно и быстро оценить масштаб инцидента.
• При разборе инцидентов фокус на конкретном виновнике не позволяет сосредоточиться на том, как надо изменить систему, чтобы подобные инциденты не повторялись впредь.
• Сотрудники боятся сообщать о нарушениях политик и практик ИТ и ИБ, поэтому компания упускает шанс устранить дефекты защиты ДО ТОГО, как они стали причиной критического инцидента.
• Сотрудники не мотивированы обсуждать вопросы кибербезопасности, обучать друг друга, корректировать ошибки коллег.

Чтобы все в компании могли внести вклад в ее защиту, надо действовать иначе.

Основные принципы just culture

Как ни называй эту концепцию, non-punitive reporting или blameless culture, общие принципы едины.

• Ошибки допускают все. На ошибках учатся, а не выдумывают за них наказания. При этом надо различать ошибку и нарушение со злым умыслом.
• При анализе ошибок и нарушений в инцидентах обязательно учитывать контекст, намерения сотрудника и системные причины, которые могли повлиять на ситуацию. Например, из-за большой текучки сезонных сотрудников в магазинах они не успевают получить учетную запись и используют одну и ту же учетную запись при входе в кассовый терминал. Виноват ли в этом администратор магазина? Вряд ли.
• При разборе инцидентов обязательно анализировать не только технические данные и журналы, но и подробно общаться со всеми участниками, создавая продуктивную и безопасную обстановку в обсуждении.
• Рассмотрение инцидентов ведется с фокусом на улучшение поведения, технологий и процессов в будущем. Для серьезных инцидентов нужно вообще разделить два процесса: оперативное реагирование для устранения последствий и итоговый разбор для улучшения процессов и технологий (post-mortem).
• Главное — открытость и прозрачность. Сотрудники должны знать, как рассматриваются сообщения о нарушениях и инцидентах и как по ним принимаются решения. Сотрудникам должно быть понятно, к кому обратиться, если они видят или даже подозревают проблему ИБ. Они должны знать, что их поддержат и прямое руководство, и профильные специалисты.
• Конфиденциальность и защита. Сообщения о проблемах не должны создавать трудности ни для того, кто сообщил о проблеме, ни для того, кто, возможно, был ее причиной, если они оба добросовестные сотрудники.

Как внедрять эти принципы в общую культуру безопасности

Получите поддержку руководства. Культура безопасности не требует значительных прямых инвестиций, но нужна систематическая поддержка по линиям HR, ИБ, внутренних коммуникаций, а также видимое сотрудникам благословение со стороны топ-менеджмента.

Зафиксируйте подход в документах компании. Это должно быть описано как в подробных регламентах ИБ, так и в простом коротком документе, который дочитает и поймет каждый сотрудник. В нем нужно четко описать позицию компании о различии между ошибкой и нарушением, зафиксировать формально, что ответственность за «честные ошибки» — не персональная и общим приоритетом является повышение защищенности компании и избежание повторов ошибок в будущем.

Создайте каналы для сообщения о проблемах. Их должно быть несколько: специальный подраздел внутреннего сайта для сотрудников или специальный адрес e-mail, возможность прямо сообщить руководству, а в идеале также нужен условный «телефон доверия» — канал для анонимных сообщений.

Обучайте сотрудников. Это поможет им распознавать небезопасные, с точки зрения ИБ, процессы или поведение. В тренингах нужны примеры конкретных проблем, о которых нужно сообщать, и разбор разных сценариев, по которым может разворачиваться инцидент. Организовать тренинги по повышению осведомленности о современных киберугрозах можно, например, при помощи нашей онлайн-платформы. Мотивируйте сотрудников не только сообщать об инцидентах, но и предлагать улучшения, думать о предотвращении проблем ИБ в своей повседневной работе.

Обучите руководство. Каждому начальнику важно понимать, как реагировать на сообщения подчиненных, куда и как передавать сообщение, как не создавать «островки обвинительной культуры» в общем океане «культуры без обвинений». Научите лидеров отвечать так, чтобы коллеги чувствовали их поддержку и защиту. Реакция на инциденты и сообщения об ошибках должна быть конструктивной. Также лидеры должны поддерживать обсуждения проблем ИБ на внутренних встречах и совещаниях, чтобы все понимали, что это — норма и уместная тема для обсуждения.

Разработайте процедуру справедливого разбора инцидентов и сообщений о проблемах. Потребуется группа сотрудников из нескольких отделов, которые войдут в «группу разбора без обвинений» и будут оперативно обрабатывать все сообщения, чтобы принимать решения и планы действий по каждому случаю.

Награждайте проактивность. Хвалите и публично награждайте сотрудников, которые сообщают о попытках целевого фишинга, обнаруженных дефектах политик и настроек, просто проходят тренинги осведомленности быстрее и лучше всех в отделе. Упоминайте «активистов» в регулярных коммуникациях, связанных с ИТ и ИБ (новостные рассылки и тому подобное).

Интегрируйте результаты разбора в общие процессы управления ИБ. Выводы и конкретные предложения, сделанные «комитетом разбора», нужно с определенным приоритетом вносить в план повышения киберустойчивости компании. Некоторые выводы могут просто влиять на оценку рисков, тогда как другие непосредственно ведут к изменению регламентов компании, внедрению или перенастройке технических средств ИБ.

Используйте ошибки для обучения. Программа повышения осведомленности ИБ будет лучше и эффективнее, если примеры в ней взяты из жизни вашей собственной организации. В обучении не нужно упоминать конкретных участников, но можно называть отделы, системы, приводить примеры атак.

Измеряйте эффективность. Чтобы понять, что весь этот процесс работает и приносит конкретные результаты, нужно использовать одновременно метрики ИБ и метрики HR и коммуникаций: следует контролировать MTTR для выявленных проблем; общий процент проблем, выявленных благодаря сообщениям сотрудников; уровень удовлетворенности сотрудников; количество и характер выявленных проблем ИБ; количество сотрудников, вовлеченных в улучшения.

Важные исключения

«Культура безопасности» и «культура без обвинений» не означают, что никто и никогда не несет ответственности за проблемы. В тех же авиационных документах про non-punitive reporting есть важные исключения: защита не распространяется на те случаи, когда нарушитель осознанно и злонамеренно отступил от регламентов. Это исключение не позволит инсайдеру, сливающему данные конкурентам, пойти и повиниться, наслаждаясь полной безнаказанностью.

Второе исключение. Бывает, что регуляторные требования страны или индустрии требуют персональной ответственности сотрудников за инциденты и нарушения. Даже в условиях такого регулирования важно сохранять баланс: фокус должен оставаться на улучшении процессов и предотвращении повторений инцидента, а не на поиске виновных. Формирование культуры доверия возможно, если расследование проводится объективно, а меры применяются только там, где это действительно необходимо и обосновано.

11.08.2025