Цена вопроса
CEO центра инноваций МТС Future Crew Евгений Черешнев о проблемах кибербезопасности
Если верить отчету ДРТ и Yandex Cloud, в 2023 году больше половины российских компаний в среднем на 20% нарастили расходы на развитие информбезопасности. Звучит круто, но вводит в опасное заблуждение: складывается ощущение, что все компании улучшают кибербезопасность примерно в равной мере. На деле одна часть компаний вложила на 200–300% больше, другая не меняла бюджет, а третья и вовсе сократила затраты. Среднее арифметическое может колебаться вокруг 20%, но связи с реальной защищенностью эта цифра не имеет.
Это подтверждается как нашими наблюдениями — за 2023 год мы выявили утечку более 140 млн записей учетных данных организаций,— так и публичной статистикой. За первые месяцы 2024 года утекли данные 170 компаний, это 40% от числа всех утечек 2023 года. Как же так: бюджеты растут, а защищенность вроде бы нет? Основных причин три.
Первая — сотрудники компаний остаются самым слабым звеном. Люди часто не обладают даже базовыми знаниями в области кибербезопасности, а работодатели не стремятся это исправлять. Поэтому причиной многих инцидентов становятся некорректные политики доступа к данным, социальный инжиниринг, при котором хакеры вытягивают из сотрудников нужную информацию, шантаж работников и т. д. Классические программные продукты против всех перечисленных проблем помогают мало, защищенность обеспечивается только на уровне культуры компании.
Вторая — проблемы до сих пор пытаются решать деньгами. Даже если каждая компания в стране даст своему CISO (директор по кибербезопасности) бесконечный бюджет на покупку самого дорогого набора решений (часто не столько эффективного, сколько выгодного для конкретного CISO: элемент коррупции никто не отменял), это не сделает инфраструктуру неуязвимой.
Кибербезопасность — это постоянное противоборство брони и снаряда. Пока хакеры ищут новые способы атаковать, защитники адаптируются, разрабатывая новые классы продуктов. Побеждают обладатели не самых дорогих решений, а лучшей экспертизы и умения трезво оценивать риски. Проблема в том, что СЕО часто предпочитают нанимать «хоть кого-нибудь», вместо того чтобы купить кибербезопасность как сервис у опытной компании. Это и приводит к взломам и утечкам.
Третья — потемкинские пентесты. Тестирование на проникновение — надежный инструмент аудита кибербезопасности. Но есть проблема: по закону вендор обязан получить разрешение от клиента на взлом. А CISO при выдаче таких разрешений требуют согласовать с ними все действия и даже проводить атаку в «песочнице». Поэтому поставщик вынужден проводить постановочный пентест, который имеет мало общего с реальностью. В итоге руководству рапортуют «у нас все прекрасно», пока не приходят реальные хакеры и не выносят все, что им хочется, а потом еще и шифруют инфраструктуру ради выкупа. Настоящие хакеры ломают в неудобное время, без предупреждения и бьют в самое слабое место, причем часто заходят через контрагента жертвы, а не напрямую.
Хорошая новость в том, что у наиболее продвинутых компаний появляется понимание того, что «как раньше» не работает. И что лучший способ защищаться — это пентестить свой бизнес 24/7, по-настоящему, а результаты аудита отправлять на стол СЕО. Это не панацея. Но прозрачность — первый шаг в нужном направлении. И идти надо быстрее, ибо ценой ошибки скоро станут не только репутационные, но и реально крупные финансовые потери: не 30 тыс. руб. штрафа, а до 3% от годовой выручки.