Как в UDV Group оценивают зрелость бизнеса в кибербезопасности

За последние два года российский бизнес заметно увеличил расходы на информационную безопасность, однако уровень защищенности компаний по-прежнему остается крайне неоднородным. По данным компании «Бастион», до 80% атак, связанных с ошибками настройки и эксплуатации систем защиты, оказываются успешными. При этом около половины организаций до сих пор не внедряют даже базовые меры безопасности — сегментацию сети, контроль привилегий и регулярные проверки внутренней инфраструктуры.

На этом фоне особенно заметен разрыв между крупными компаниями, которые выстраивают полноценные процессы ИБ под давлением регуляторов и постоянных атак, и сегментом среднего и малого бизнеса, где кибербезопасность часто продолжает восприниматься как второстепенная ИТ-задача. При этом сами атаки становятся сложнее: злоумышленники все чаще используют подрядчиков как точку входа, переходят от кражи данных к их незаметной подмене и смещают фокус на инфраструктуру виртуализации.

О том, почему российский бизнес остается уязвимым, насколько дорого обходится игнорирование процессов ИБ и как изменится характер кибератак в ближайшие годы, рассказала Ольга Луценко, ведущий ИБ-эксперт компании UDV Group.

Ольга, с одной стороны, бизнес стал больше тратить на ИБ, с другой — мы все равно видим много успешных атак из-за базовых ошибок. Если смотреть на рынок в целом, как в UDV Group оценивают зрелость российских компаний с точки зрения кибербезопасности?

Текущий уровень я бы охарактеризовала как поляризованный.

Крупные российские компании — субъекты КИИ, банки, многие промышленные предприятия — за последнее время действительно заметно повысили уровень кибербезопасности. Во многом это связано и с ростом числа атак на российскую инфраструктуру, и с последовательной работой регуляторов, которые усиливают контроль и ответственность за нарушение требований.

Но одновременно остается большая часть компаний, которые продолжают жить по принципу «авось пронесет». Особенно это заметно в сегменте малого и среднего бизнеса.

Вот это «авось пронесет» звучит очень узнаваемо. Получается, проблема уже не столько технологическая, сколько управленческая? То есть в UDV Group чаще видят не отсутствие инструментов, а отсутствие процесса?

Во многом — да. Основная причина уязвимостей в том, что кибербезопасность до сих пор воспринимается как задача ИТ-отдела, а не как полноценный бизнес-процесс.

При этом многие компании недооценивают важность обучения сотрудников. А ведь большинство атак так или иначе строится на социальной инженерии и человеческих ошибках. Даже хорошая инфраструктура не спасает, если сотрудники не понимают базовых принципов безопасности.

И здесь, кажется, появляется неприятный парадокс: компания может вложиться в технологии, но все равно остаться уязвимой из-за людей и процессов. А когда бизнес начинает экономить именно на ИБ, насколько это вообще оправдано?

На практике почти никогда. Здесь очень хорошо работает принцип «1-10-100». Один рубль, вложенный в предотвращение атаки на этапе проектирования, экономит примерно 10 рублей на устранении уязвимости и 100 рублей на ликвидации последствий полноценного инцидента. Мы в UDV Group часто видим, что экономия на превентивных мерах выглядит рациональной только до первого серьезного инцидента. После него стоимость восстановления почти всегда оказывается выше, чем стоимость нормальной подготовки.

То есть дешевле заранее выстроить защиту, чем потом тушить пожар. Но бизнес часто лучше понимает цифры, чем абстрактные риски. Насколько последствия действительно дороже самой защиты?

Абсолютно. И речь не только про штрафы. Да, оборотный штраф по линии Роскомнадзора за утечку персональных данных может достигать полумиллиарда рублей. Но гораздо тяжелее оказываются операционные потери. Например, простой производственной линии в промышленности может стоить от 5 млн рублей в час. В ритейле или логистике остановка отгрузок приводит к потере клиентской лояльности на месяцы вперед.

При этом внедрение базового набора мер — сегментации сети, резервного копирования, MFA — для средней компании обычно сопоставимо по стоимости примерно с двухнедельным простоем одного отдела. Поэтому процессная безопасность всегда дешевле, чем восстановление инфраструктуры, репутации и данных после атаки.

Получается, кибербезопасность уже напрямую связана с непрерывностью бизнеса. И если смотреть вперед, какие угрозы в UDV Group считают ключевыми для российских компаний в ближайшие 3-5 лет?

Я бы выделила три основных тренда.

Первый — атаки через подрядчиков и партнеров. Взламывать напрямую крупную хорошо защищенную компанию становится слишком дорого и долго. Поэтому злоумышленники все чаще будут компрометировать небольших ИТ-интеграторов, аутсорсинговые бухгалтерии, разработчиков ПО.

Через обновления легитимного софта можно получить доступ сразу к сотням клиентов.

Это, пожалуй, один из самых тревожных сценариев: компания может укреплять собственный периметр, но получить атаку через партнера. В UDV Group уже рассматривают подрядчиков как одно из слабых звеньев всей цепочки?

Именно. И регуляторы это тоже понимают. Например, ФСТЭК уже планирует ограничивать возможность прямого удаленного подключения подрядчиков к инфраструктуре субъектов КИИ.

Для бизнеса это означает, что управление доступом подрядчиков перестает быть формальностью. Нужно понимать, кто, куда, зачем и на каких правах подключается, а также как контролируется этот доступ.

То есть доверие к подрядчику уже не может быть безусловным. Хорошо, а второй тренд — это уже не про вход в инфраструктуру, а про работу с данными?

Да. Второй тренд — манипуляция данными вместо их кражи. Если раньше основной задачей было зашифровать данные и потребовать выкуп, то теперь злоумышленники могут незаметно изменять информацию внутри систем. Например, подменять банковские реквизиты в бухгалтерии или искажать показатели датчиков на производстве — температуру, давление и другие параметры. Опасность здесь в том, что последствия могут проявиться не сразу. Иногда подобные изменения обнаруживаются только через месяцы.

Это уже выглядит гораздо опаснее обычной утечки: данные вроде бы есть, системы работают, но решения принимаются на искаженной информации. В UDV Group считают такие атаки особенно опасными именно из-за отложенного эффекта?

Да, именно поэтому такие атаки становятся особенно опасными. Когда данные украли, компания может достаточно быстро понять сам факт инцидента. А когда данные незаметно изменили, проблема может долго оставаться внутри бизнес-процессов. В промышленности, финансах, логистике или ритейле это может приводить не просто к ИБ-инциденту, а к ошибочным управленческим и технологическим решениям.

И третий тренд связан с виртуализацией. Почему именно она становится такой привлекательной целью для злоумышленников?

В условиях импортозамещения и перехода на российские ОС и гипервизоры инфраструктура виртуальных рабочих столов и среды виртуализации становятся одной из приоритетных целей.

Компрометация сервера виртуализации позволяет фактически одномоментно отключить сотни рабочих мест. Для бизнеса это уже не локальный инцидент, а потенциальный паралич значительной части инфраструктуры.

То есть если раньше «поставить антивирус» еще могло восприниматься как минимальная защита, то сейчас такой подход уже явно не выдерживает реальности. Как в UDV Group формулируют минимально зрелый подход к ИБ сегодня?

Совершенно недостаточно просто поставить антивирус и считать, что вопрос закрыт. Сегодня кибербезопасность — это непрерывный процесс, который требует системного подхода.

Компания должна понимать свои критичные активы, контролировать доступы, обучать сотрудников, сегментировать сеть, проверять инфраструктуру, делать резервные копии, отслеживать действия подрядчиков и готовиться к инцидентам заранее. И чем раньше компания начинает выстраивать эти процессы — пусть даже пошагово, — тем ниже будут и риски, и стоимость последующих изменений.

Если подытожить, получается, что главный сдвиг даже не в отдельных технологиях, а в отношении бизнеса к безопасности. Не «задача ИТ», а часть управления рисками. Это та логика, которую UDV Group считает ключевой для ближайших лет?

Да, именно так. Пока кибербезопасность воспринимается как второстепенная ИТ-задача, компания почти неизбежно будет реагировать на проблемы постфактум. Но атаки уже затрагивают не только серверы и рабочие станции. Они влияют на производство, финансы, логистику, клиентский сервис, репутацию и устойчивость бизнеса в целом. Поэтому зрелый подход начинается с признания простой вещи: информационная безопасность — это бизнес-процесс. В UDV Group мы считаем, что именно компании, которые перейдут к такой модели раньше, смогут устойчивее проходить через усложнение ландшафта угроз в ближайшие годы.