FIS-2026: как CISO держит оборону в новых реалиях

С сокращением бюджетов на информационную безопасность сталкивается немалая часть компаний. Это при 30% росте количества инцедентов, который нам спрогнозировали эксперты Positive Technologies на 2026 год. В ситуации, когда кибератаки эволюцинизируют и усложняются, а ИБ-специалистов по-прежнему не хватает.

Если денег на ИБ выделяется меньше, то может возникать больше рисков для компаний. Так как CISO держат оборону в новых реалиях?

Об этом говорили с экспертами на ежегодной конференции FIS, провел дискуссию Денис Батранков, директор Академии ИБ и ИИ. Поделюсь отдельными интересными моментами. 

Развенчиваем мифы: SIEM — не Mercedes, ИБ — не автопарк

Немалому числу CISO сегодня приходится вести сложные переговоры с бизнесом, наглядно показывая, какую пользу принесет реализация тех или иных проектов: апеллировать к регуляторике (на какие штрафы не попадем, какие риски минимизируем) и реальным деньгам (сколько сэкономим, каких опасностей избежим). Доходчиво объяснять, чем может обернуться мнимая экономия средств на информационную безопасность и развенчивать мифы про ИБ.

Приведу пример: у нас любят проводить аналогии и одну из сложных систем информационной безопасности, допустим, SIEM, могут сравнить с автомобилем высокого класса и потом предложить выбрать более бюджетную модель: «Зачем нам этот Mercedes, мы же можем и на Тойоте покататься?». Но в реальности это так не работает.

Нельзя тот или иной инструмент в ИБ рассматривать как отдельную машину (аналогия с машиной скорее уместна для всей системы информационной защиты компании). Как рассказал один из CISO, можно постараться сэкономить на том или ином инструменте, но тогда надо считать всю совокупную стоимость владения, а это все расходы, связанные с переходом на новую систему: от пилотирования до дальнейшего обслуживания, когда ИБ, возможно, потребуется нанять уже не 1-2 аналитика для работы с более доступной SIEM, а целых пять. И в итоге можем получить мнимую экономию. Поскольку таких тонкостей немало, к сожалению, то все это нам приходится подолгу обстоятельно и не раз объяснять.

Оттачиваем харденинг и практикуем киберучения

Но, как говорится, нет худа без добра: компании из сфер, в меньшей степени подверженных регуляторике, в ситуации оптимизации расходов на ИБ начинают больше внимания уделять харденингу инфраструктуры, тщательнее разбираться с правами и настройками, и стремятся делать все для того, чтобы уменьшать поверхность возможной кибератаки.

В практику входит проведение регулярных киберучений, на которых оттачивается способность быстро восстанавливаться, после чего вопросы из разряда: «Что вы сделаете, если у вас зашифрован компьютер?», — уже не ставят никого в тупик, а пароли от бекапов не оказываются внутри самих бекапов.

Хорошо показывают себя и тренировочные таргетированные фишинговые рассылки, которые отправляются уже не на всю компанию, а выборочно человек на 30. Они результативнее, их легче обрабатывать. В итоге сотрудники держатся в тонусе, а с теми, кто на них попадается — проводится обучение.

На ИИ нет запрета… если он под контролем

Сотрудники так или иначе используют ИИ внутри компании, а раз так, то этот вопрос надо регламентировать, люди должны понимать, как грамотно взаимодействовать с нейросетями. Им стоит объяснять их риски и ответственность, поскольку и по 152-ФЗ можно попасть, и по коммерческой тайне. Уже трудно представить компанию, в которой сотрудники не знакомы с нейросетями. Специалисты по ИБ тоже учатся правильно взаимодействовать с языковыми моделями, чтобы оперативно решать свои повседневные задачи, допустим, те же журналы анализировать быстрее.

Насколько и в чем нейросети помогут сократить наши расходы в ИБ — надо смотреть и тестировать. Где-то это может занять немало времени, и под это порой может потребоваться отдельный штат. Поэтому если речь идет о замене ИИ функционала 4-5 человек, то такой проект, скорее всего, окажется нерентабельным, а вот если мы предполагаем замену функционала 20-30 сотрудников, то об этом, возможно, стоит подумать.

Автоматизация в приоритете

Затронем и вопрос кадров в ИБ, которых на все не хватает: кто и как работает с людьми, повышает их экспертизу, что автоматизирует, кого и на что нанимает. Вопрос, как вы понимаете, при экономии и сокращении бюджетов актуальный.

В условиях, когда задач больше, чем специалистов по ИБ, компании предпочитают растить «своих спецов», а потому стараются вкладываться в молодых, которые действительно хотят развиваться, но у которых еще нет опыта. Берут на практику, смотрят, как человек проявит там себя, и предлагают оффер тем, кто им в большей степени подходит. Оказалось, что немало компаний находят возможности для развития кадров: оплачивают обучение, стараются заинтересовать участием в интересных, нетривиальных проектах. 

Автоматизация, бесспорно, выручает. И здесь я тоже поделился своим кейсом. Когда мы в четвертом квартале 2024 года с ростом запросов на аудит по ИБ вдруг осознали, что ресурсов нашего департамента по консалтингу и аудиту на то, чтобы удовлетворить все запросы наших заказчиков, не хватает, стали думать, как можно автоматизировать эти процессы. Так у нас появился программный продукт для разработки моделей угроз, который разгрузил наше подразделение по аудиту. 

Три выкупа и угроза увольнения: история одного инсайдера

Продолжая тему кейсов, приведу историю одного из CISO про роль человеческого фактора. Одну из компаний стали одолевать шифровальщики: огромный массив данных зашифровали и потребовали выкуп. Руководство один раз заплатило выкуп, другой, а на третий поставило перед ИБ вопрос ребром: «Если в этот раз станем платить, то зарплаты у вас уже не будет. Так что делайте, что хотите, но причину надо искоренить».

И это оказалось решением проблемы. Коллектив каким-то образом нашел того, кто внутри компании этим занимался, тот человек имел какие-то личные счеты с руководством и таким образом старался компенсировать свой негатив.

Этот пример — наглядное свидетельство того, что защите от инсайдеров нельзя не уделять внимание. Проблема может быть и не настолько сложна, но нельзя недооценивать в ИБ роль человеческого фактора.

«Мы просто начали с людьми разговаривать, это несложно»

И в заключении приведу историю проекта, который шел не один месяц и со временем позволил изменить представление сотрудников об информационной безопасности.

Там начали с того, что стали каждую неделю в постах рассказывать истории про то, как защитить себя и близких от разного рода уловок мошенников, какие те используют методы, что сейчас в тренде, на чем те могут поймать, обмануть и так далее, и как всему этому противостоять. С основным посылом: «в любой непонятной ситуации обращайтесь в ИБ, всегда поможем». И это сработало, сотрудникам истории понравились, они стали приходить в подразделение ИБ, советоваться, понимая, что их выручат. Вот такой результат оказался у проекта по повешению киберграмотности в одной из компаний.

Полагаю, что в 2026 году CISO все чаще будут работать не только с угрозами, а еще и с убеждениями. Надо уметь убедить бизнес не экономить на главном, убедить сотрудников не бояться обращаться в ИБ за советом и помощью, убедить себя, что автоматизация — не слабость, а способ выживания при сокращающихся бюджетах.

Дискуссия на FIS мне также показала, что кибербезопасность — это и про искусство диалога. И, судя по приведенным кейсам, тот, кто овладеет им в совершенстве — будет держать оборону.