Покупка традиционных решений защиты уже не панацея для бизнеса

ЭкспертHi-Tech

Кибербезопасность становится результативной

Покупка традиционных решений защиты уже не панацея для бизнеса. Им на смену приходит новый подход к информационной безопасности

Анна Королева

Фото: Silas Stein/DPA

Тема защиты от кибератак для многих компаний, к сожалению, становится актуальной лишь тогда, когда они начинают подсчитывать убытки. Так, количество нападений в 2022 году выросло на 80%, причем 25 тыс. атак пришлось на госресурсы. Реалии прошлого года таковы, что сама необходимость использования решений для кибербезопасности сегодня ни у кого не вызывает сомнений и расходы на кибербезопасность растут. По оценкам аналитической компании Canalys, в 2022 году затраты в этом сегменте увеличились на 15,8% по сравнению с предыдущим годом и достигли 71,1 млрд долларов.

Государство уделяет этому вопросу большое внимание. Так, 1 мая 2022 года президент подписал Указ № 250, в котором возложил персональную ответственность за информационную безопасность (ИБ) на первых лиц компаний. В соответствии с документом свыше 500 тыс. российских компаний должны оценить уровень защищенности своих информационных систем. На ближайшие два года они также должны отказаться от иностранных средств киберзащиты и перейти на российские решения в этой области.

Классика vs результат

Практика показывает, что сегодня недостаточно приобрести набор средств защиты, чтобы чувствовать себя в полной безопасности. Хакеры становятся все более изобретательными, число успешных кибератак растет, как и объем убытков, которые бизнес может понести в результате кибератаки. По оценке Positive Technologies, общее число инцидентов, которые привели к негативным последствиям для компаний или частных лиц, в 2022 году увеличилось на 20,8% (см. график 1).

График 1. Количество инцидентов в 2021 и 2022 годах (по кварталам)

Решением проблемы становится переход от классического подхода к кибербезопасности к результативному (РКБ). И в России уже достаточно компаний, в том числе государственных сервисов, которые по этому пути успешно идут и реализуют программы Bug Bounty (выплата вознаграждения тому, кто сможет обнаружить реальную уязвимость в информационных системах компании). В их числе, к примеру, «Госуслуги», VK, «Азбука вкуса» и многие другие. При классическом же подходе компания приобретает необходимое решение, и только практика показывает, насколько оно способно защитить бизнес.

В свою очередь, результативная кибербезопасность дает бизнесу возможность адекватно оценить степень защищенности, а в дальнейшем сделать невозможными недопустимые для него события. После установки полноценной защиты она проверяется при помощи киберучений и Bug Bounty. Причем в любой момент можно увидеть и оценить результат своих инвестиций в информационную безопасность. От того же, какой путь выберет компания, зависит ее будущее и защищенность бизнеса и клиентов.

Человеческий фактор как фактор риска

Разница в классическом и результативном подходе ощущается практически во всех аспектах, касающихся внедрения и работы кибербезопасности в бизнесе. Пожалуй, один из наиболее важных вопросов — автоматическая защита. При классическом подходе к ИБ для обеспечения эффективной защиты необходимо множество высококвалифицированных сотрудников. При этом нужно понимать, что в России нет такого количества кадров, которые могут удовлетворить потребности полноценных центров мониторинга информационной безопасности (SOC, security operation center).

Так, в 2022 году в России открыли более 67 тыс. вакансий для ИТ-специалистов без опыта работы и около 310 тыс. — для сотрудников с опытом работы от одного до трех лет. При этом общее число соискателей в этих категориях составляет 214 тыс. человек, что вдвое ниже спроса, подсчитали в совместном исследовании Skillbox и HeadHunter.

Но даже если компания сможет обеспечить себе необходимый штат ИТ-кадров, это не отменяет потери интереса и выгорания работников. Как показывает практика (и это в первую очередь касается высокопрофессиональных специалистов), такие сотрудники часто вынуждены заниматься рутинными операциями. К тому же даже высокопрофессиональный эксперт не должен работать в режиме 24/7, разбирая огромное количество информации вручную, как это бывает при классическом подходе. Его знания и навыки будут больше полезны при творческих стратегических задачах и процессах.

Кроме того, для компании наличие большого количества кадров означает повышенные операционные затраты, увеличение риска влияния человеческого фактора. Между тем большинство рутинных операций, таких, например, как инвентаризация инфраструктуры, анализ срабатываний от различных средств защиты, сбор дополнительного контекста по инцидентам, поиск ответственных за ИТ-системы, приоритезация инцидентов по уровню угрозы, — вполне можно автоматизировать, используя необходимые ИТ-решения. Поэтому автоматической безопасности при внедрении результативной кибербезопасности придается такое большое значение.

Безопасность должна быть не только на бумаге

Еще одном важным вопросом эксперты называют разорванность целей бизнеса и кибербезопасности. Компания заинтересована максимально быстро вывести минимально жизнеспособный продукт (MVP) на рынок, часто не задумываясь о его безопасности. Более того, бизнесу далеко не всегда понятно, как устроена информационная безопасность, продукты для нее приобретают, но защита живет своей собственной жизнью. Получается, что по документам компания полностью защищена от киберрисков. При этом небезопасный продукт, которым пользуется бизнес, несет риск не только для самой компании-разработчика, но и для ее клиентов.

Топ-менеджмент исправно получает от CISO данные по количеству инцидентов, фишинговых писем, устранению уязвимостей и т. д. Но все эти метрики не дадут ответа, хорошо это или нет для компании. В результате бизнесу непонятно, происходит ли в данный момент какое-то непредвиденное и недопустимое событие, нужно ли предпринимать какие-то действия. При классическом подходе к кибербезопасности каждый продукт покрывает свою модель угроз. В совокупности компания может приобрести десять решений, «закрыть» ими десять векторов угроз, но все же не получить ответ: защищена ли она полноценно?

Но и в целом владельцы компании редко задумываются о проверке на практике уровня защищенности. Часто они не понимают, как проводить киберучения и зачем выходить на Bug Bounty, либо не имеют для этого средств. Кстати, для западных игроков вознаграждение за найденную уязвимость — распространенная практика. Подобные программы анонсировали, в частности, Intel, Yahoo, Snapchat, Dropbox, Apple, Facebook (соцсеть признана в РФ экстремистской и запрещена) и Google.

В нашей стране тоже есть компании, которые пошли по этому пути. Так, VK присоединилась к платформе The Standoff 365 компании Positive Technologies. Такие же программы объявляли «Одноклассники», Mail.ru, «Сбермаркет», Delivery Club, Ozon.

А Минцифры в 2022 году организовало проект по поиску уязвимостей в инфраструктуре электронного правительства на сайте «Госуслуги». За успешную работу багхантеры получат до миллиона рублей. В рамках проекта можно было присоединиться к программе и получить вознаграждение за обнаружение реальной уязвимости.

Путь достижения РКБ

Недопустимого быть не должно

Результативная кибербезопасность — это комплексный подход и технические решения, которые позволяют обеспечивать сквозную защиту всей ИТ-инфраструктуры предприятий, ее корпоративных и технологических сегментов с учетом специфики производственной деятельности и бизнес-процессов. В числе недопустимых такие события, которые в случае их реализации повлияют на жизнеспособность бизнеса: кража активов, срыв контрактных обязательств, который повлек за собой колоссальные штрафы, и т. д. Причем для каждой компании и даже отрасли последствия таких событий бывают разными.

Результативный подход уже сменяет классический, причем тон этому переходу задает государство — например, в уже упомянутом указе № 250, который призван не просто защитить бизнес от кибератак, а исключить такую возможность в принципе.

Внедрение ИБ-концепции недопустимых событий в рамках результативного подхода помогает организациям не распыляться на все задачи и системы, которые у них есть. Эффективнее сразу так выстроить систему ИБ, чтобы недопустимых событий не происходило. Так появляется возможность оптимально использовать существующие ресурсы и направить внимание на самое важное.

Особое место в выстраивании результативной кибербезопасности занимает оценка важности для бизнеса недопустимых событий через уровень ущерба для организации. Существует три ступени недопустимых событии.

Первый — когда в организации случился киберинцидент, но она продолжает функционировать. Второй случай — когда определенный сервис может находиться в простое, но остальные отделы компании работают. Третий, самый сложный вариант, — когда в компании произошло событие, которое полностью остановило ее деятельность. Все эти случаи влекут за собой финансовые или репутационные потери, но в разном масштабе. Использование результативной кибербезопасности позволяет максимально нивелировать эти риски.

Как пройти путь к результативности

Для того чтобы неприемлемые события стали невозможными, надо поставить цель. На начальном этапе необходимо заручиться поддержкой топ-менеджмента, который должен объяснить всем заинтересованным сторонам в руководстве, какие бонусы эта стратегия принесет. Следующим шагом должен стать всесторонний анализ и определение того, что именно для компании будет недопустимым событием. После этого предстоит отобрать и внедрить необходимые решения. Отбор производится в том числе путем проведения киберучений, когда системы ИБ атакуются «злоумышленниками», действия которых нацелены на возникновение недопустимого события.

Например, в Positive Technologies практика киберучений распространена давно. Так, осенью 2021 года компания дала возможность любому желающему вживую наблюдать за их ходом, впервые в России и мире опробовав такой формат. Этому опыту предшествовали неоднократные киберучения без зрителей. Действующая инфраструктура, в том числе R&D-департамент, где разрабатываются продукты и пишется код, подвергалась реальным атакам белых хакеров. Атакующим противодействовал security operation center, развернутый на базе экспертного центра безопасности Positive Technologies.

По результатам киберучений, компания или идет по пути усиления защищенности систем и занимается усложнением инфраструктуры, или использует метапродукты для автоматической информационной безопасности. Как показывает практика, классический подход к кибербезопасности не обеспечивает защиту бизнеса компании и ее клиентов. Только результативный подход сегодня способен создать реальную защиту и автоматически обнаруживать кибератаки.

Хочешь стать одним из более 100 000 пользователей, кто регулярно использует kiozk для получения новых знаний?
Не упусти главного с нашим telegram-каналом: https://kiozk.ru/s/voyrl

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Композиты: из космоса — на стройку Композиты: из космоса — на стройку

Форум «Композиты без границ» показал рыночные перспективы в строительном бизнесе

Эксперт
«Потребителю нужно больше, чем просто товар или услуга». Марина Геворкян и Анна Погосян — о вдохновении и преодолении в бизнесе «Потребителю нужно больше, чем просто товар или услуга». Марина Геворкян и Анна Погосян — о вдохновении и преодолении в бизнесе

Теперь в центре внимания не «герой нашего времени», а героиня

СНОБ
Просто о сложном. Что такое ШРУС Просто о сложном. Что такое ШРУС

Эти шарниры медленно завоевывали мир

4x4 Club
Как был сделан «Евгений Онегин» Как был сделан «Евгений Онегин»

Как «Евгений Онегин» повлиял на русскую поэзию и филологию?

Полка
Не загораживай мне солнце Не загораживай мне солнце

Разговор с удаленщиком-экстремалом

Цифровой океан
Узнайте 4 пищевые добавки для здоровой старости. Совет эксперта Узнайте 4 пищевые добавки для здоровой старости. Совет эксперта

Могут ли пищевые добавки продлить нашу молодость?

ТехИнсайдер
«Буржуа всегда знает, где находится “партия порядка”» «Буржуа всегда знает, где находится “партия порядка”»

Франсуа Бегодо: «Классовая борьба никогда не прекращается»

Эксперт
Невеста была в черном такси Невеста была в черном такси

«Мерзлая земля»: Светлана Ходченкова в детективе Оксаны Карас

Weekend
От Эйнштейна до Елизаветы II: знаменитости, которые вступали в брак со своими родственниками От Эйнштейна до Елизаветы II: знаменитости, которые вступали в брак со своими родственниками

Оказывается, родственные браки среди известных личностей не такая уж и редкость

VOICE
Светлана Колпакова: «После «Оттепели» я отказывалась от многих предложений в кино. Не хотелось понижать планку» Светлана Колпакова: «После «Оттепели» я отказывалась от многих предложений в кино. Не хотелось понижать планку»

Главное для меня — понимание роли

Коллекция. Караван историй
«Все чувствуют себя в безопасности»: 5 принципов здоровой семьи — простой чек-лист «Все чувствуют себя в безопасности»: 5 принципов здоровой семьи — простой чек-лист

Пять основных характеристик семьи, которую можно назвать счастливой

Psychologies
Возмущенные женщины исследуют мир: кто создал первый в истории клуб путешественниц Возмущенные женщины исследуют мир: кто создал первый в истории клуб путешественниц

Женщины, которые отправлялись на поиски приключений и боролись со стереотипами

Forbes
Свободная от льда Антарктида позволяла динозаврам мигрировать с континента на континент Свободная от льда Антарктида позволяла динозаврам мигрировать с континента на континент

Динозавры путешествовали через Антарктиду из Южной Америки в Австралию

ТехИнсайдер
15 лучших сериалов с черным юмором 15 лучших сериалов с черным юмором

В этих сериалах есть все, что мы любим: циничные шутки и кощунственные сюжеты

Maxim
В Чатал-Хююке нашли фрагменты веревок и текстиля из волокон луба В Чатал-Хююке нашли фрагменты веревок и текстиля из волокон луба

Артефакты из Чатал-Хююка датируются VII тысячелетием до нашей эры

N+1
Кризисный лидер: почему бизнес привлекает «темную триаду» Кризисный лидер: почему бизнес привлекает «темную триаду»

Почему именно нарциссы и макиавеллисты встречаются на лидерских позициях?

Forbes
Второе рождение Рокфеллеров: как легендарным миллиардерам удалось спасти свою репутацию Второе рождение Рокфеллеров: как легендарным миллиардерам удалось спасти свою репутацию

Как в бизнесе утвердилось новое явление — PR, или связи с общественностью

Вокруг света
Если тебе больно — это не норма! Что нужно проверить при проблемах с менструальным циклом Если тебе больно — это не норма! Что нужно проверить при проблемах с менструальным циклом

Как «работает» наш цикл, какие проблемы отражает, почему нарушается?

VOICE
У тихоходок нашли еще одну суперспособность — их белок может сохранять лекарства без заморозки У тихоходок нашли еще одну суперспособность — их белок может сохранять лекарства без заморозки

У всеми любимого микроскопического существа нашлась еще одна сверхспособность

ТехИнсайдер
Древнеегипетское сопротивление Древнеегипетское сопротивление

Что нового раскопали археологи о восстании египтян против власти Птолемеев

N+1
Без вины невиновный Без вины невиновный

«По правилам и без»: лучшая режиссерская работа Луи Гарреля

Weekend
«Сто лет без одиночества» в Аргентине: как переплетаются истории женщины и страны «Сто лет без одиночества» в Аргентине: как переплетаются истории женщины и страны

Отрывок из романа аргентинской писательницы Исабель Альенде «Виолета»

Forbes
Сквозь эпохи: 7 книг о том, как жили женщины в России Сквозь эпохи: 7 книг о том, как жили женщины в России

Семь книг о сложных судьбах женщин в России

Правила жизни
Досчитай до 10 Досчитай до 10

Учимся успокаиваться и управлять гневом

Лиза
Алексей Ботян: легенды и быль майора Вихря Алексей Ботян: легенды и быль майора Вихря

Когда заходит речь о Алексее Ботяне, его называют «спасителем Кракова»

Дилетант
Совместное творчество Совместное творчество

О точках соприкосновения мира искусства и индустрии красоты

Правила жизни
Мужчина потерял память после автокатастрофы, но вспомнил все благодаря песне из 80-х Мужчина потерял память после автокатастрофы, но вспомнил все благодаря песне из 80-х

Волшебная и лечебная сила музыки поражает!

ТехИнсайдер
5 продуктов, которые заставят ваш кишечник работать как часы 5 продуктов, которые заставят ваш кишечник работать как часы

Продукты, которые необходимо включить в рацион, чтобы запустить работу кишечника

ТехИнсайдер
Безусловное принятие: как (не) вырастить монстра Безусловное принятие: как (не) вырастить монстра

Что случится с ребенком, если ему все позволять и ни в чем не ограничивать?

Psychologies
Классический выбор. Toyota Land Cruiser 80, 100 и 105 в качестве тюнинг-донора Классический выбор. Toyota Land Cruiser 80, 100 и 105 в качестве тюнинг-донора

Для каждой конкретной задачи требуется свой внедорожник

4x4 Club
Открыть в приложении