Кібербезпека, ІБ, безпека ІТ – у чому різниця?

Люди часто плутають або змішують три не зовсім подібних поняття: 1) інформаційна безпека (ІБ), 2) комп’ютерна безпека, тобто, безпека інформаційних технологій (ІТ) та 3) кібербезпека. Кілька визначень і порівняльних аналізів опубліковано в Інтернеті. Деякі з них не зовсім коректні. Тому ми вирішили розібратися в цьому питанні та продемонструвати наше бачення цих понять із ретроспективи нашого 20-річного досвіду роботи у сфері ІБ та ІТ-безпеки.

Галузі безпеки бурхливо розвиваються, тому термінологія змінюється з роками. Наприклад, візьмемо поняття аудиту. Воно має багато різних значень і відтінків. Від налаштування протоколювання подій та їх аналізу до тестування безпеки та співбесід персоналу на предмет виконання вимог безпеки. Коли ми маємо справу з живими об’єктами, що розвиваються, на зразок мов спілкування або ІТ, неоднозначність у термінології нормальна. І все ж, є сенс розставити деякі акценти.

1. Інформаційна безпека

Інформаційна безпека, за великим рахунком, – це безпека будь-якої інформації, включаючи паперові документи, голосову інформацію, інформацію в мізках людей тощо. Ця дисципліна з’явилася кілька тисяч років тому. Тобто, умовно, з появою перших алгоритмів шифрування, якщо не раніше.

Сюди ж за традицією часто відносять питання державної безпеки, пропаганди, цензури, соціальних маніпуляцій тощо. Є навіть державні закони про ІБ, які мають мало спільного з сучасною ІТ-безпекою.

Також до ІБ часто відносяться деякі сусідні галузі безпеки, особливо для організацій, які активно використовують ІТ. Мова про фізичну безпеку, безпеку персоналу, безпеку відносин із третіми сторонами, безперервність бізнесу тощо. Для авторитетного прикладу наведемо міжнародний стандарт із управління безпекою організацій ISO 27001. Ключові два слова з назви цього стандарту – “інформаційна безпека”, хоча сам стандарт містить деякі матеріали за межами суто інформаційної безпеки.

Три “кити”, на яких базується ІБ, – цілісність, доступність і конфіденційність. Ці вимоги застосовні не тільки до електронної інформації, але й до “паперової”, усної тощо.

Таким чином, ІБ – це класична назва дисципліни, що охоплює широкий набір питань безпеки інформації та суміжних питань.

2. Безпека інформаційних технологій

Безпека ІТ (комп’ютерна безпека, цифрова безпека, ІТ-безпека) – тут начебто все зрозуміло. Захист від хакерів, вірусів, спаму, фішингу та безлічі інших загроз, що виникають, головним чином, з Інтернету. Цей захист найчастіше реалізується зниженням тих чи інших організаційних або технічних вразливостей безпеки.

Говорячи більш формальною мовою, безпека ІТ – це забезпечення цілісності, доступності, конфіденційності та інших вимог безпеки, що пред’являються до обчислювальної та комунікаційної техніки та інформації, яку вона зберігає, обробляє та передає.

Однак, як тільки ми починаємо розбиратися в ІТ-безпеці трохи глибше, виникає безліч суміжних завдань на зразок захисту від соціальної інженерії, управління ефективністю безпеки, надання гарантій безпеки, відповідності нормативним вимогам безпеки, страхування інформаційних ризиків, забезпечення безперервності бізнесу та десятки подібних завдань.

Ці завдання вже не вкладаються лише в ІТ-безпеку, і вимагають компетенцій економістів, менеджерів, юристів, фінансистів, психологів, викладачів і деяких інших професій. Комусь може здатися, що ці професії не настільки технологічні, і начебто вторинні у безпеці. Але, якщо розібратися, у безпеці все зводиться до управління ризиками. А що робити з ризиками вирішує, зрештою, економіка та математика.

Таким чином, ІТ-безпека, переходячи на рівень грамотного системного управління, рано чи пізно, знову-таки зводиться до інформаційної безпеки в розумінні стандарту ISO 27001 (див. п. 1 вище).

3. Кібербезпека

Кібер-безпека або кібербезпека (без дефіса) – найбільш неоднозначний термін. Багато хто вважає, що кібербезпека означає те ж саме, що ІТ-безпека. Типу сучасного синоніма та модного слова. Хтось вважає, що кібер-безпека – це новий рівень ІТ-безпеки, пов’язуючи його появу з якимись великими інцидентами або іншими подіями. Хтось думає, що кібербезпека – те ж саме, що ІБ. Так все-таки, що ж таке кібербезпека – ІТ-безпека, ІБ або щось третє? Розберемося.

Все почалося з терміну “кібернетика”. Він був придуманий Андре-Марі Ампером у 1834 році та розвинений Норбертом Вінером у 1948 році. Кібернетика в сучасному розумінні – це дисципліна про інформацію в складних керуючих системах. Наприклад, у комп’ютері, людині чи суспільстві.

У сучасному контексті приставка «кібер-» набула широкого поширення та переосмислення завдяки канадсько-американському письменнику-фантасту Вільяму Гібсону. У 1984 році у своєму романі «Нейромант» він запровадив та популяризував термін «кіберпростір» (cyberspace) для опису віртуальної реальності та глобальних комунікаційних мереж. Його роботи вплинули на масову культуру і сформували сучасне розуміння цифрового світу.

Вільям Гібсон використав приставку «кібер-» саме через її позитивний, організуючий сенс, щоб підкреслити контраст між ідеалами управління і тими антиутопічними реаліями, які можуть виникнути при неконтрольованому розвитку технологій. Його роботи послужили нагадуванням про подвійну природу прогресу: технології мають потенціал як для поліпшення життя, так і для створення нових форм ризику та нерівності. Вибір приставки “кібер” був усвідомленим художнім прийомом, що дозволяє глибше дослідити теми контролю, свободи та людської сутності в епоху стрімкого технологічного розвитку.

В результаті приставка «кібер-» почала асоціюватися з цифровими технологіями, комп’ютерами та Інтернетом.

Кібербезпека в сучасному розумінні – це захист цифрових систем, мереж та даних від кіберзагроз, що виходять із кіберпростору. Вона фокусується на запобіганні кібератакам, несанкціонованому доступу, крадіжці даних та іншим цифровим загрозам.

Суто технічно, коли в поєднанні зі словом “безпека” ми вживаємо слово “кібер”, що означає по-грецьки “кермовий на судні” або “уряд”, ми за фактом говоримо про “руління”, тобто про управління безпекою.

Повертаючись до кібернетики, що подарувала нам приставку “кібер”, під кібербезпекою можна мати на увазі безпеку інформації в складних системах управління. У той же час, така безпека сама по собі є складною підсистемою управління. Тому у будь-якому випадку справа зводиться до управління безпекою.

Виходить, якщо розібратися у витоках, кібер-безпека – це управління інформаційною безпекою в розумінні все того ж стандарту ISO 27001. Тобто, це набір процесів і засобів управління інформаційною безпекою.

Висновок

Таким чином, ми спробували неупереджено розібратися у відмінностях інформаційної безпеки, ІТ-безпеки та кібербезпеки. Не дарма кожне з цих понять пов’язане з управлінням безпекою. Саме грамотне управління надає безпеці цінність. Найпоширенішим стандартом такого управління є ISO 27001. Його значення в сучасній інформаційній безпеці важко переоцінити. Цей стандарт є основою багатьох інших державних і галузевих стандартів інформаційної безпеки. Якщо нашим читачам буде цікаво, в одній із наступних публікацій ми розповімо, як ми брали участь у доробці цього стандарту спільно з центральним офісом ISO у Швейцарії.