Играть в защите
Почему создание киберустойчивого бизнеса будет приоритетом компаний в 2025 году
Построение кибербезопасности уже не воспринимается рынком только как закупка наиболее эффективных решений или создание профильного подразделения. Однако пока не все организации, даже попадающие под строгое регулирование ИБ и импортозамещения, перешли на модель построения именно киберустойчивого бизнеса. “Ъ” выяснил у лидеров мнений, как компании разных отраслей видят этот процесс и как планируют его развивать в 2025 году.
Фото: Александр Миридонов, Коммерсантъ
Фото: Александр Миридонов, Коммерсантъ
В 2024 году количество кибератак на бизнес-организации в России и СНГ значительно выросло относительно 2023 года, и, по данным Positive Technologies, за первые три квартала показатель уже превысил на 30% число инцидентов за весь 2023 год. Наибольшее количество успешных атак в 2023 и 2024 годах в СНГ пришлось на отрасли промышленности, телекоммуникаций, финансовые и IT-организации. При этом, отмечают в компании, за последний год фокус внимания киберпреступников сместился с промышленности на телекоммуникации (см. инфографику).
«Телекоммуникационные компании не только хранят и обрабатывают большие объемы конфиденциальной информации, но и привлекают политически мотивированных злоумышленников, которые стремятся вызвать перебои связи»,— объясняют в компании.
В целом эксперты выделяют два ключевых фактора, влияющих на усиление кибербезопасности в России. Первым является ужесточение регулирования как госструктур, так и компаний, входящих в критическую информационную инфраструктуру (КИИ). Речь об исполнении указа 250 от 1 мая 2022 года: с 1 января в госсекторе и на объектах КИИ должны перестать использоваться иностранные средства защиты. Второй, не менее значимый фактор — это общий рост киберугроз для бизнеса, в том числе с возможными недопустимыми событиями.
Киберустойчивость — это способность организации продолжать свою штатную деятельность в условиях кибератак, не дающая возможности реализации злоумышленникам неприемлемого для компании ущерба.
Руководитель департамента по повышению защищенности IT-инфраструктуры Positive Technologies Марат Чураков объясняет, что как для компаний, попадающих под указ президента, так и для других крупных и средних предприятий под недопустимыми событиями понимаются невозможность реализации хакерами изменения режима работы предприятия, например остановка литейно-прокатного комплекса, если инцидент происходит на сталелитейном заводе, а также кража или уничтожение критически значимых или персональных данных (конструкторской документации или объектов интеллектуальной собственности).
Как отмечает Марат Чураков, организации, подчиняющиеся жесткому регулированию и регулируемые в меньшей степени, к 2025 году осознают необходимость результативной защиты в равной степени. По его оценке, с точки зрения импортозамещения ИБ-решений интенсивнее продвинулись компании-КИИ и госорганы, начавшие переход на отечественные решения еще до 2022 года или сразу после ухода из России иностранных поставщиков решений. Крупный и средний бизнес тоже делает значительные шаги в этом направлении, однако пока выбирает стратегию построения защиты исходя из общего вектора развития.
Защищай и властвуй: как подходят к защите регулируемые отрасли
В настоящее время происходит изменение парадигмы отношения организаций к своей кибербезопасности, считают эксперты отрасли. Переход от необходимости выполнения требований нормативно-правовых актов к реальному вкладу в обеспечение непрерывности бизнес-процессов компании, то есть киберустойчивости.
Наиболее оптимальным вариантом финансовых и кадровых затрат является подключение ИБ на максимально ранних этапах цифровизации: на этапе проработки и проектирования решения, считает руководитель практики развития метапродуктов Positive Technologies Анастасия Важенина. Проработка аспектов обеспечения киберустойчивости на данном этапе позволит реализовать необходимые требования на уровне архитектуры самого решения, а не «наложенными» средствами. По ее мнению, бюджет на обеспечение киберустойчивости должен быть интегрирован как в IT-бюджет (так как этот процесс реализуется руками службы по IT) так и, в целом, в финансовое планирование организации.
С этим согласен Марат Чураков, который при этом отмечает, что доля ИБ-бюджета в IT в 2023–2024 годах у компаний, которые подпадают под регулирование в импортозамещении снижалась. «Такие компании уже сделали очень многое для ускоренного импортозамещения, и в следующем году, завершив основные процессы, могут инвестировать в повышение киберустойчивости, а также в другие передовые направления. В частности, в искусственный интеллект (ИИ)»,— поделился он.
При этом для развития существующих IT-инфраструктур, готовых к внедрению передовых российских продуктов, также есть решения для обеспечения оптимального уровня киберустойчивости и его контроля. «Таким организациям необходимо сконцентрировать усилия на наиболее значимых, ключевых активах». И для решения задачи уже существуют методики, основанные на математическом моделировании времени кибератак, такие как ХардкорИТ, и автоматизированные системы, например MaxPatrol Carbon»,— говорит Анастасия Важенина. По мнению экспертов, киберустойчивость — это не результат, которого можно достичь один раз и надолго, это непрерывный процесс, так как IT-инфраструктура постоянно изменяется. Важно понимать, сколько времени требуется злоумышленнику на причинение недопустимого ущерба, и создать все необходимое, чтобы обнаружить и нейтрализовать атаку за меньшее время, например замедлить и сделать более заметным для службы ИБ продвижение атакующего в инфраструктуре.
В «АльфаСтраховании» разделяют этот подход: «Мы понимаем киберустойчивость как состояние, при котором невозможно возникновение недопустимых событий и причинение компании ущерба посредством кибератаки»,— говорит IT-директор «АльфаСтрахования» Владимир Муравьев. Чтобы достичь реальной киберустойчивости, необходимо оптимальное сочетание как внутренних, так и внешних инструментов и ресурсов. В «АльфаСтраховании» служба информационной безопасности функционирует в составе департамента IT, поэтому взаимодействие между IT и ИБ слаженное и оперативное, рассказал Владимир Муравьев.
Долгосрочное планирование: чем руководствуется бизнес
Коммерческим компаниям, представителям крупного, малого и среднего бизнеса, необходимо подходить к построению кибербезопасности избирательно и поэтапно, глубоко анализируя рынок и планируя инвестиции на несколько лет вперед, а не на один год, говорят эксперты.
В Positive Technologies предлагают следующий подход к обеспечению киберустойчивости бизнеса независимо от масштаба компании:
- ·определение недопустимых для бизнеса событий и сценариев их наступления;
- определение целевых и ключевых IT-систем, получив доступ к которым злоумышленник может реализовать недопустимые события;
- сбор информации о существующей IT -инфраструктуре;
- анализ собранной информации по методологии ХардкорИТ силами специалистов и автоматизированно с помощью MaxPatrol Carbon;
- определение инициатив, направленных на модернизацию инфраструктуры, составление программы повышения киберустойчивости, внедрение постоянного мониторинга и оценка реального уровня защищенности в формате кибериспытаний на платформе APT Bug Bounty.
В «К2 Кибербезопасность» соглашаются, напоминая, что статистика и усложнение киберинцидентов продемонстрировали: противостоять угрозам можно только комплексным подходом. Во-первых, это выстраивание эффективной защиты с учетом самых разных направлений: инфраструктуры в целом, сетевой среды, приложений, модернизация ИТ-ландшафта для повышения общего уровня защиты (hardening) и т. д. Во-вторых, результативная кибербезопасность давно уже не про простую установку средств защиты, говорит директор по развитию бизнеса в «К2 Кибербезопасность» Андрей Заикин. Кроме технологического стека необходимы соответствующие специалисты и налаженные процессы по управлению ИБ: «Поэтому рынок смотрит в сторону центров мониторинга кибербезопасности, где реализованы все три этих обязательных компонента».
В связи с возросшим количеством краж аккаунтов в мессенджерах и атак с использованием социальной инженерии, напоминает директор по кибербезопасности (CISO) Rambler & Co Евгений Руденко, особое внимание необходимо уделить вопросам повышения цифровой грамотности сотрудников, защите почтовых сервисов и противодействию фишинговым атакам. Однако в целом сфера кибербезопасности развивается во всех направлениях, и исключать что-то из стратегии защиты нельзя. По прогнозу Евгения Руденко, постепенно тренд на импортозамещение будет распространяться на весь рынок. «Переезд на новые решения — процесс сложный, долгий, но, учитывая тенденции, начинать его надо как можно быстрее».
По прогнозу «К2 Кибербезопасность», в следующем году ожидаются еще большие вложения в кибербезопасность на аутсорсе от компаний самых разных размеров и отраслей. «Бизнес понял, что затраты на результативную информационную защиту уже не привилегия крупных организаций, а необходимый инструмент для устойчивости всех процессов вне зависимости от уровня зрелости ИБ и размера компании». Согласно опросу «К2 Кибербезопасность», компаниям реальная киберзащита важнее простого выполнения требований регуляторов.