«Баг-баунти придет к вам»: более трети российских компаний не проводили киберучения

Более трети российских компаний ни разу не проводили киберучения — этому мешают высокая стоимость тренировок и отсутствие времени у ключевых сотрудников организаций, следует из опроса Positive Technologies, результаты которого компания предоставила SecPost. Эксперты отмечают, что рынок киберучений в России пока находится только в стадии формирования, а российских ИБ-специалистов нежелательно отвлекать на «тренировки», когда им приходится регулярно отражать реальные атаки.

Positive Technologies провела опрос среди более чем 100 представителей российских компаний. Большинство из опрошенных (61%) работали в крупных и средних организациях. Как следует из результатов опроса, в 14% компаний не проводили и не собираются проводить киберучения. Еще 28% опрошенных пока только планируют такие тренировки. При этом 42% респондентов назвали главным барьером нехватку средств, столько же заявили об отсутствии времени у ключевых сотрудников компаний. Большинство (51%) респондентов беспокоятся о возможных сбоях в работе ИТ-систем, которые могут произойти из-за киберучений.

В Positive Technologies отмечают, что российский рынок киберучений развивается быстрее, чем в среднем по миру, но темпы пока остаются догоняющими. Многие российские компании, считают в Positive Technologies, «только переходят от формального соблюдения требований к осознанной отработке практических навыков». Также отмечается, что геополитическая обстановка и рост количества атак привели к созданию «уникального контекста». Спрос на учения в РФ одновременно формируется регуляторным давлением и необходимостью проверять готовность к инцидентам. В ответ на этот спрос Positive Technologies запускает однодневную программу киберучений на собственной площадке Standoff.

Технический директор MD Audit (SL Soft FabricaONE.AI, акционер — ГК Softline) Юрий Тюрин соглашается с оценкой: российский рынок находится пока в стадии активного формирования. Уже есть ядро зрелых игроков, но полной консолидации пока нет. В нише базовых тренировок, вроде фишинг-симуляции, тренингов и программ обучения сотрудников, остается высокая конкуренция.

«Основные игроки — это разработчики платформ, ИБ-интеграторы и консалтинговые компании, предлагающие сценарии «под ключ». При этом значительная часть рынка — это услуги, а не продукты: компании покупают экспертизу и сценарии, а не только ПО», — отметил Тюрин.

Более скептично к заявленным темпам роста отнесся руководитель отдела информационной безопасности, технологическая компания Getmobit Сергей Щеглов. По его мнению, в условиях медленного роста бизнеса в России выделять средства для проведения киберучений будут организации, чья деятельность зависит от непрерывности бизнеса и имеющие на это деньги.

«В первую очередь, это банки и другие финансовые организации. Поэтому существенного увеличения числа компаний, проводящих киберучения, ожидать сложно», — считает Щеглов.

Ведущий инженер по автоматизированным системам управления производством в ICL Services Руслан Шарипов, прогнозируя дальнейшее развитие рынка, отмечает: атак не становится меньше, а сценарии становятся только сложнее. Параллельно с этим у бизнеса приходит понимание, что одних лишь средств защиты недостаточно, если в команде не умеют отрабатывать инцидент.

«Скорее всего, будет расти спрос не только у крупного бизнеса, но и у среднего сегмента. При этом сами учения будут становиться более прикладными: не общие тренировки, а сценарии под фишинг, компрометацию учетных записей, шифровальщиков, атаки на подрядчиков, почту и критичные сервисы», — считает Шарипов.

За хорошими киберучениями всегда стоит большая практическая экспертиза, считает главный эксперт UserGate uFactor Ильдар Садыков: сильные специалисты и отдельные команды, которые умеют не только атаковать и защищать, но и грамотно собирать учебный сценарий, контент и методологию.

«Поэтому подготовка специалистов становится уже не просто полезной практикой, а необходимым элементом киберустойчивости. Но сама по себе она не решает всё. Нужен комплексный подход: и выстроенная инфраструктура безопасности, и специалисты, которые умеют ею пользоваться не только в штатной работе, но и в кризисной ситуации», — подчеркивает Садыков.

По мнению Садыкова, киберучения стоит рассматривать в рамках всей системы подготовки специалистов компании — это проверка того, насколько команда готова к реальному инциденту. Если же киберучений нет, то у компании возникает опасная иллюзия готовности. На бумаге может казаться, что процессы выстроены, средства защиты внедрены, люди назначены. Но при настоящей атаке может оказаться, что команда не умеет быстро реагировать.

«Риск здесь очень понятный: неподготовленные специалисты могут упустить критический момент, а последствия уже будут намного серьезнее — от длительного простоя и потери данных до фактической потери значимой части инфраструктуры», — отмечает Садыков.

Директор дивизиона информационной безопасности ИТ-холдинга Т1 Алексей Трипкош отмечает, что нежелание участвовать в кибериспытаниях и киберучениях может привести к серьезному риску для компаний. Если компания не прибегает к проверке уровня защищенности усилиями белых хакеров, то с высокой вероятностью эту «проверку» проведут уже черные хакеры — через реальный инцидент. «Здесь действует правило: «если вы не идете на баг-баунти, баг-баунти придет к вам»», — резюмирует эксперт».

Обратной стороной является то, что любые киберучения требуют отвлечения штата от операционной работы. Как отмечает директор департамента «Информационная безопасность» компании «Рексофт» Сергей Бабкин, в зависимости от регламентов реагирования в киберучениях одновременно могут участвовать сотрудники из ИБ и ИТ, производственных и административных подразделений.

«Так что можно сказать, что это трудоемкий процесс, если иметь в виду качественную проработку сценариев реагирования на инциденты ИБ в рамках таких учений», — считает Бабкин.

Садыков отметил, что многие российские компании уже прошли своеобразные «киберучения» после февраля 2022 года, когда кратно участились атаки на отечественные организации.

«Во многих случаях специалистам приходилось работать не в учебном, а в боевом режиме. На этом фоне дополнительно нагружать и без того перегруженные команды формальными учениями было не всегда уместно и эффективно», — считает эксперт.