Покупка традиционных решений защиты уже не панацея для бизнеса

ЭкспертHi-Tech

Кибербезопасность становится результативной

Покупка традиционных решений защиты уже не панацея для бизнеса. Им на смену приходит новый подход к информационной безопасности

Анна Королева

Фото: Silas Stein/DPA

Тема защиты от кибератак для многих компаний, к сожалению, становится актуальной лишь тогда, когда они начинают подсчитывать убытки. Так, количество нападений в 2022 году выросло на 80%, причем 25 тыс. атак пришлось на госресурсы. Реалии прошлого года таковы, что сама необходимость использования решений для кибербезопасности сегодня ни у кого не вызывает сомнений и расходы на кибербезопасность растут. По оценкам аналитической компании Canalys, в 2022 году затраты в этом сегменте увеличились на 15,8% по сравнению с предыдущим годом и достигли 71,1 млрд долларов.

Государство уделяет этому вопросу большое внимание. Так, 1 мая 2022 года президент подписал Указ № 250, в котором возложил персональную ответственность за информационную безопасность (ИБ) на первых лиц компаний. В соответствии с документом свыше 500 тыс. российских компаний должны оценить уровень защищенности своих информационных систем. На ближайшие два года они также должны отказаться от иностранных средств киберзащиты и перейти на российские решения в этой области.

Классика vs результат

Практика показывает, что сегодня недостаточно приобрести набор средств защиты, чтобы чувствовать себя в полной безопасности. Хакеры становятся все более изобретательными, число успешных кибератак растет, как и объем убытков, которые бизнес может понести в результате кибератаки. По оценке Positive Technologies, общее число инцидентов, которые привели к негативным последствиям для компаний или частных лиц, в 2022 году увеличилось на 20,8% (см. график 1).

График 1. Количество инцидентов в 2021 и 2022 годах (по кварталам)

Решением проблемы становится переход от классического подхода к кибербезопасности к результативному (РКБ). И в России уже достаточно компаний, в том числе государственных сервисов, которые по этому пути успешно идут и реализуют программы Bug Bounty (выплата вознаграждения тому, кто сможет обнаружить реальную уязвимость в информационных системах компании). В их числе, к примеру, «Госуслуги», VK, «Азбука вкуса» и многие другие. При классическом же подходе компания приобретает необходимое решение, и только практика показывает, насколько оно способно защитить бизнес.

В свою очередь, результативная кибербезопасность дает бизнесу возможность адекватно оценить степень защищенности, а в дальнейшем сделать невозможными недопустимые для него события. После установки полноценной защиты она проверяется при помощи киберучений и Bug Bounty. Причем в любой момент можно увидеть и оценить результат своих инвестиций в информационную безопасность. От того же, какой путь выберет компания, зависит ее будущее и защищенность бизнеса и клиентов.

Человеческий фактор как фактор риска

Разница в классическом и результативном подходе ощущается практически во всех аспектах, касающихся внедрения и работы кибербезопасности в бизнесе. Пожалуй, один из наиболее важных вопросов — автоматическая защита. При классическом подходе к ИБ для обеспечения эффективной защиты необходимо множество высококвалифицированных сотрудников. При этом нужно понимать, что в России нет такого количества кадров, которые могут удовлетворить потребности полноценных центров мониторинга информационной безопасности (SOC, security operation center).

Так, в 2022 году в России открыли более 67 тыс. вакансий для ИТ-специалистов без опыта работы и около 310 тыс. — для сотрудников с опытом работы от одного до трех лет. При этом общее число соискателей в этих категориях составляет 214 тыс. человек, что вдвое ниже спроса, подсчитали в совместном исследовании Skillbox и HeadHunter.

Но даже если компания сможет обеспечить себе необходимый штат ИТ-кадров, это не отменяет потери интереса и выгорания работников. Как показывает практика (и это в первую очередь касается высокопрофессиональных специалистов), такие сотрудники часто вынуждены заниматься рутинными операциями. К тому же даже высокопрофессиональный эксперт не должен работать в режиме 24/7, разбирая огромное количество информации вручную, как это бывает при классическом подходе. Его знания и навыки будут больше полезны при творческих стратегических задачах и процессах.

Кроме того, для компании наличие большого количества кадров означает повышенные операционные затраты, увеличение риска влияния человеческого фактора. Между тем большинство рутинных операций, таких, например, как инвентаризация инфраструктуры, анализ срабатываний от различных средств защиты, сбор дополнительного контекста по инцидентам, поиск ответственных за ИТ-системы, приоритезация инцидентов по уровню угрозы, — вполне можно автоматизировать, используя необходимые ИТ-решения. Поэтому автоматической безопасности при внедрении результативной кибербезопасности придается такое большое значение.

Безопасность должна быть не только на бумаге

Еще одном важным вопросом эксперты называют разорванность целей бизнеса и кибербезопасности. Компания заинтересована максимально быстро вывести минимально жизнеспособный продукт (MVP) на рынок, часто не задумываясь о его безопасности. Более того, бизнесу далеко не всегда понятно, как устроена информационная безопасность, продукты для нее приобретают, но защита живет своей собственной жизнью. Получается, что по документам компания полностью защищена от киберрисков. При этом небезопасный продукт, которым пользуется бизнес, несет риск не только для самой компании-разработчика, но и для ее клиентов.

Топ-менеджмент исправно получает от CISO данные по количеству инцидентов, фишинговых писем, устранению уязвимостей и т. д. Но все эти метрики не дадут ответа, хорошо это или нет для компании. В результате бизнесу непонятно, происходит ли в данный момент какое-то непредвиденное и недопустимое событие, нужно ли предпринимать какие-то действия. При классическом подходе к кибербезопасности каждый продукт покрывает свою модель угроз. В совокупности компания может приобрести десять решений, «закрыть» ими десять векторов угроз, но все же не получить ответ: защищена ли она полноценно?

Но и в целом владельцы компании редко задумываются о проверке на практике уровня защищенности. Часто они не понимают, как проводить киберучения и зачем выходить на Bug Bounty, либо не имеют для этого средств. Кстати, для западных игроков вознаграждение за найденную уязвимость — распространенная практика. Подобные программы анонсировали, в частности, Intel, Yahoo, Snapchat, Dropbox, Apple, Facebook (соцсеть признана в РФ экстремистской и запрещена) и Google.

В нашей стране тоже есть компании, которые пошли по этому пути. Так, VK присоединилась к платформе The Standoff 365 компании Positive Technologies. Такие же программы объявляли «Одноклассники», Mail.ru, «Сбермаркет», Delivery Club, Ozon.

А Минцифры в 2022 году организовало проект по поиску уязвимостей в инфраструктуре электронного правительства на сайте «Госуслуги». За успешную работу багхантеры получат до миллиона рублей. В рамках проекта можно было присоединиться к программе и получить вознаграждение за обнаружение реальной уязвимости.

Путь достижения РКБ

Недопустимого быть не должно

Результативная кибербезопасность — это комплексный подход и технические решения, которые позволяют обеспечивать сквозную защиту всей ИТ-инфраструктуры предприятий, ее корпоративных и технологических сегментов с учетом специфики производственной деятельности и бизнес-процессов. В числе недопустимых такие события, которые в случае их реализации повлияют на жизнеспособность бизнеса: кража активов, срыв контрактных обязательств, который повлек за собой колоссальные штрафы, и т. д. Причем для каждой компании и даже отрасли последствия таких событий бывают разными.

Результативный подход уже сменяет классический, причем тон этому переходу задает государство — например, в уже упомянутом указе № 250, который призван не просто защитить бизнес от кибератак, а исключить такую возможность в принципе.

Внедрение ИБ-концепции недопустимых событий в рамках результативного подхода помогает организациям не распыляться на все задачи и системы, которые у них есть. Эффективнее сразу так выстроить систему ИБ, чтобы недопустимых событий не происходило. Так появляется возможность оптимально использовать существующие ресурсы и направить внимание на самое важное.

Особое место в выстраивании результативной кибербезопасности занимает оценка важности для бизнеса недопустимых событий через уровень ущерба для организации. Существует три ступени недопустимых событии.

Первый — когда в организации случился киберинцидент, но она продолжает функционировать. Второй случай — когда определенный сервис может находиться в простое, но остальные отделы компании работают. Третий, самый сложный вариант, — когда в компании произошло событие, которое полностью остановило ее деятельность. Все эти случаи влекут за собой финансовые или репутационные потери, но в разном масштабе. Использование результативной кибербезопасности позволяет максимально нивелировать эти риски.

Как пройти путь к результативности

Для того чтобы неприемлемые события стали невозможными, надо поставить цель. На начальном этапе необходимо заручиться поддержкой топ-менеджмента, который должен объяснить всем заинтересованным сторонам в руководстве, какие бонусы эта стратегия принесет. Следующим шагом должен стать всесторонний анализ и определение того, что именно для компании будет недопустимым событием. После этого предстоит отобрать и внедрить необходимые решения. Отбор производится в том числе путем проведения киберучений, когда системы ИБ атакуются «злоумышленниками», действия которых нацелены на возникновение недопустимого события.

Например, в Positive Technologies практика киберучений распространена давно. Так, осенью 2021 года компания дала возможность любому желающему вживую наблюдать за их ходом, впервые в России и мире опробовав такой формат. Этому опыту предшествовали неоднократные киберучения без зрителей. Действующая инфраструктура, в том числе R&D-департамент, где разрабатываются продукты и пишется код, подвергалась реальным атакам белых хакеров. Атакующим противодействовал security operation center, развернутый на базе экспертного центра безопасности Positive Technologies.

По результатам киберучений, компания или идет по пути усиления защищенности систем и занимается усложнением инфраструктуры, или использует метапродукты для автоматической информационной безопасности. Как показывает практика, классический подход к кибербезопасности не обеспечивает защиту бизнеса компании и ее клиентов. Только результативный подход сегодня способен создать реальную защиту и автоматически обнаруживать кибератаки.

Хочешь стать одним из более 100 000 пользователей, кто регулярно использует kiozk для получения новых знаний?
Не упусти главного с нашим telegram-каналом: https://kiozk.ru/s/voyrl

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Пожар в тоннеле Пожар в тоннеле

Срочно покиньте опасный участок!

4x4 Club
12 вопросов врачу, которые помогут предупредить или выявить онкозаболевание 12 вопросов врачу, которые помогут предупредить или выявить онкозаболевание

Что такое онконастороженность?

Psychologies
Большая кампания для небольших компаний Большая кампания для небольших компаний

Промышленная ипотека: все нюансы и тонкости

Эксперт
«Нева это вообще для меня — кармическая история» «Нева это вообще для меня — кармическая история»

Алиса Лобанова даже в трудных обстоятельствах находит новые возможности

OK!
Жизнь после апокалипсиса Жизнь после апокалипсиса

Мировые газовые рынки демонстрируют признаки выхода из отраслевого кризиса

Эксперт
Логинов Логинов

Самый востребованный и титулованный российский предметный дизайнер Дима Логинов

Собака.ru
Почему мы боимся одиночества и что делать, если вы одиноки? Почему мы боимся одиночества и что делать, если вы одиноки?

Почему одиночество гильотиной нависает над людьми?

Правила жизни
Голливудская «Аллея славы» Forbes: самые богатые знаменитости в истории Голливудская «Аллея славы» Forbes: самые богатые знаменитости в истории

Собственная голливудская «Аллея славы» Forbes

Forbes
Инна Лосюк: «Сегодня женщины создают историю промышленности» Инна Лосюк: «Сегодня женщины создают историю промышленности»

Интервью с Инной Лосюк, управляющим директором компании «Эльгауголь»

РБК
Лучшие безалкогольные вина: выбор сомелье Лучшие безалкогольные вина: выбор сомелье

Чем интересны безалкогольные вина, и как выбрать самые интересные из них

СНОБ
Безопасность в любви: как помочь дочери избежать абьюзивных отношений — 7 советов родителям Безопасность в любви: как помочь дочери избежать абьюзивных отношений — 7 советов родителям

Вот советы родителям девочек-подростков о выстраивании здоровых отношений

Psychologies
Пальчики оближешь! 5 оригинальных и очень вкусных маринадов для шашлыка Пальчики оближешь! 5 оригинальных и очень вкусных маринадов для шашлыка

Мы собрали подборку лучших маринадов для шашлыка — выбирайте любой!

ТехИнсайдер
Мое личное тело Мое личное тело

Самые актуальные методы, чтобы привести тело в тонус

Лиза
Оливия Мэннинг: «Друзья и герои. Балканская трилогия». Жизнь на фоне катастрофы Оливия Мэннинг: «Друзья и герои. Балканская трилогия». Жизнь на фоне катастрофы

Продолжение истории молодой пары Гарриет и Гая на фоне Второй мировой войны

СНОБ
Новые Новые

Ученые выявили соединения, эффективные против устойчивым к антибиотикам бактерии

ТехИнсайдер
«Полезно для психики»: 5 причин составлять списки «Полезно для психики»: 5 причин составлять списки

Ведение списков — отличная терапевтическая практика

Psychologies
Рыбное дело Рыбное дело

Художница из поселка Ноглики на севере Сахалина владеет уникальным мастерством

Вокруг света
На каком масле жарить и еще 5 вопросов о жирах, полезных и не очень На каком масле жарить и еще 5 вопросов о жирах, полезных и не очень

Полезные жиры — залог стройного тела, но какие жиры считать полезными?

Правила жизни
17 cамых смешных комедийных сериалов 2010–2023 годов 17 cамых смешных комедийных сериалов 2010–2023 годов

Если какая-то из данных комедий не рассмешит, это не повод впадать в отчаяние

Maxim
Скрытое пограничное расстройство личности: что это такое — 10 симптомов Скрытое пограничное расстройство личности: что это такое — 10 симптомов

Чем вызваны неожиданные приступы паники? Откуда берется беспричинный страх?

Psychologies
Как быстро худеть весной и летом: секрет успеха от голливудского диетолога Как быстро худеть весной и летом: секрет успеха от голливудского диетолога

Американский диетолог раскрыл самую простую формулу похудения

VOICE
Буккальный массаж лица: инструкция, противопоказания и советы экспертов Буккальный массаж лица: инструкция, противопоказания и советы экспертов

Буккальный массаж лица: как он работает?

РБК
Шпинат: полезные свойства популярного и вкусного растения Шпинат: полезные свойства популярного и вкусного растения

Шпинат влияет на здоровье глаз, кровяное давление и многое другое

ТехИнсайдер
По правилам инстинкта: 7 стойких бойцов из мира животных По правилам инстинкта: 7 стойких бойцов из мира животных

Агрессия — обычное явление в животном царстве. И она не возникает просто так

Вокруг света
Каникулы в джунглях Каникулы в джунглях

О странствиях в тропических дебрях, начавшихся при необычных обстоятельствах

Вокруг света
Какое минимальное количество органов необходимо человеческому организму, чтобы жить? Какое минимальное количество органов необходимо человеческому организму, чтобы жить?

Без аппендикса можно жить, но есть другие органы, без которых можно обойтись

ТехИнсайдер
5 продуктов для правильного ухода за кожей весной, на первом солнце 5 продуктов для правильного ухода за кожей весной, на первом солнце

Как поддержать свою кожу весной?

Psychologies
Аксионы могут объяснить гравитационное линзирование Аксионы могут объяснить гравитационное линзирование

WIMP и аксионы: что это такое?

ТехИнсайдер
Эксперты рассказали о ловушках с реверсивным движением: как ездить Эксперты рассказали о ловушках с реверсивным движением: как ездить

Как ездить по дорогам с реверсивным движением и какие ошибки допускают водители?

РБК
Странная терапия. 7 вещей, которые нельзя игнорировать Странная терапия. 7 вещей, которые нельзя игнорировать

Как понять, что психолог тебе только вредит

Лиза
Открыть в приложении