Не хватает зрелости: почему компании не внедряют ИБ стандарты и не проверяют свою киберзащиту
У большинства компаний крупного и среднего бизнеса в России нет ИБ-стандартов, учитывающих тренды киберугроз, а каждая третья вообще не тестирует киберзащиту. Это связано с ограниченными ресурсами, недооценкой угроз, иллюзией защищенности и отсутствием выстроенного диалога между ИБ-направлением и топ-менеджментом, объясняют эксперты. По их словам, стандарты кибербезопасности могут дать ощутимый экономический эффект, если они нацелены на защиту ключевых для компании процессов.
Каждая третья компания не проверяет киберзащиту
В России лишь 20% компаний внедрили собственные стандарты информационной безопасности, которые учитывают актуальные тренды кибератак, и не ограничились формальным прохождением аудита у регуляторов. Таковы данные опроса глав ИБ- и IT-направлений средних и крупных компаний, проведенного K2 Cloud и Positive Technologies, сообщает ТАСС. Лишь еще у 15% респондентов есть задокументированные сценарии реагирования на инциденты, которые регулярно тестируются и совершенствуются, подсчитали аналитики. 40% компаний регулярно проверяют системы на уязвимости, а каждая третья не проводит проверок киберзащиты вовсе, говорится в исследовании.
Кроме того, у трех из четырех компаний обучение сотрудников кибербезопасности находится «в слепой зоне», добавляют авторы исследования. Оно либо вообще не проводится, либо очень редко и формально, например, при приеме на работу или уже после инцидента.
Стратегии безопасности компаний в 91% случаев не учитывают риски киберугроз для бизнеса и возможные потери от атак. Лишь оставшиеся 9% включили эти статьи в задачи и бюджеты. Остальные планируют расходы на кибербезопасность, отталкиваясь от числа сотрудников или общего объема IT-бюджета.
О важности модели угроз в колонке SecPost рассказывал руководитель департамента информационной безопасности «Авито» Андрей Усенок.
Зрелость и ресурсы
Во многих организациях основное внимание в кибербезопасности уделяется техническим мерам – внедрению средств защиты информации, систем мониторинга, контроля доступа и других решений, комментирует руководитель управления развития системной интеграции, аудита и консалтинга BI.ZONE Тимофей Поляков. При этом сами процессы и их формализация во внутренних документах нередко отходят на второй план.
«Это приводит к тому, что знания и практический опыт остаются на уровне отдельных сотрудников, а не компании в целом. В результате при смене специалистов эти процессы приходится перестраивать заново или адаптировать, что влияет на общий уровень зрелости организации в части кибербезопасности», — объясняет Поляков.
Сложность разработки стандарта, по словам эксперта, зависит от подхода организации. Привлечение внешних подрядчиков требует дополнительных затрат, которые не всегда удается обосновать перед руководством. «Внутренняя же разработка нуждается в сотрудниках с достаточной экспертизой, которые способны учитывать бизнес-процессы компании, требования кибербезопасности и обеспечивать их согласованность между собой», — отметил представитель BI.ZONE.
Эффективность стандартов кибербезопасности на практике может быть различной, говорит Поляков. Она зависит от того, насколько они грамотно настроены, администрируются и используются сотрудниками. «Если регламенты игнорируются, возрастают риски, связанные, как с ошибками сотрудников, так и с действиями злоумышленников. Общий уровень защищенности инфраструктуры снижается», — уточняет он.
Эксперт добавил, что нередко стандарты разрабатываются формально, для выполнения требований регуляторов, однако остаются оторванными от реальных процессов и заметного влияния на безопасность не оказывают. «Чтобы стандарты действительно работали, они должны включать не только общие требования, но и описание процессов, распределение ролей и ответственных, порядок управления доступом, рисками, реагирования на киберинциденты, контроля измерений, обучения сотрудников и эффективности мер защиты», — подчеркнул Поляков.
ИБ-стандарты – инструмент холдингов
Ресурсы на ИБ в компаниях заметно ограничены – это главная причина низкого охвата бизнеса внутренними стандартами безопасности, считает руководитель отдела риск-менеджмента кибербезопасности ГК Softline Елизавета Маркова. По ее словам, в борьбе за бюджет направление части проигрывает более «осязаемым» статьям расходов. «При этом компании, у которых ресурсы все же есть, как правило, опираются на готовые международные практики и фреймворки – ISO 27001, NIST и другие. Разрабатывать собственный стандарт с нуля, когда существуют проверенные методики, многим кажется избыточным», — говорит она.
Корпоративные стандарты ИБ наиболее востребованы в крупных холдингах и группах компаний, добавляет Маркова. Это структуры со множеством юрлиц, «дочек» и подразделений с разным уровнем зрелости ИБ, для которых единые требования становятся необходимым ориентиром.
«При этом все более распространенной практикой становится определение дифференцированных уровней ИБ внутри холдинга: разным компаниям группы предъявляются разные требования – в зависимости от их роли, критичности обрабатываемых данных и доступности ресурсов», — обращает внимание эксперт. По ее словам, такой подход позволяет не размывать усилия, а сосредоточить их там, где риски наиболее высоки.
Вложения в ИБ следует рассматривать именно как инвестицию, а не как операционные расходы, подчеркивает Маркова. На начальном этапе отдача от них может казаться непрозрачной, особенно если инцидентов пока не было, однако в долгосрочной перспективе выгода становится очевидной и вполне измеримой на фоне того, что происходит с компаниями, которые оказались не готовы к атакам.
Одна из причин, по которым многие компании вообще не проверяют свои системы на уязвимость, по мнению Марковой, — мнимая уверенность в безопасности. Мнимое отсутствие последствий подкрепляет логику о том, что компанию не атакуют, и она не интересна хакерам. «Но, если нет последствий, это не значит, что нет атак. Во многих компаниях попытки взлома просто не отслеживаются, и это создает иллюзию защищенности», — отмечает представитель Softline.
Иллюзия защищенности
Ложное ощущение защищенности дает также иллюзия, что покупка нового программного обеспечения может решить проблему безопасности, комментирует директор департамента архитектуры стратегических проектов ГК «Солар» Антон Ефимов. Однако на самом деле ПО лишь автоматизирует процессы.
Стандарты безопасности направлены на решение одной практической задачи – быстрого и качественного реагирования на инцидент в широком смысле слова, отметил Ефимов. Оно включает в себя все стадии от предотвращения и выявления до минимизации ущерба и восстановления. «В критической ситуации счет идет на минуты, и без выстроенных и отрепетированных процессов просто будет хаос, который может даже усугубить последствия инцидента», — объясняет он.
При этом качественная оценка киберрисков позволяет сфокусировать усилия на защите действительно важных для компании активов, а не распыляться на все и сразу, добавил Ефимов. «Даже у крупного бизнеса можно сформулировать около пяти стратегических киберриска, которые на самом деле влияют на его деятельность и устойчивость. И, оттолкнувшись от этого, построить по-настоящему бизнес-ориентированную защиту», — говорит он.
Для расчета экономической эффективности грамотной реализации ИБ-стратегии существуют разные методики, однако применить их на себе – задача нетривиальная для компаний, комментирует начальник отдела по информационной безопасности компании «Код безопасности» Алексей Коробченко. Так, рассчитывается и потенциальный ущерб от утечек данных, например, из-за возможных штрафов, и простой из-за отказа того или иного сегмента инфраструктуры, и много другое.
«Зрелые компании всегда проводят аудит, чтобы разработать “карту” всех бизнес-процессов в компании и определить, какие сегменты IT-инфраструктуры нужно защищать в первую очередь, а какие не так критично влияют на работу. Исходя из этого, они и расписывают план закупки и интеграции тех или иных ИБ-продуктов, что позволяет минимизировать финансовые потери в случае успешной атаки и найти баланс между необходимостью реализации ИБ-стратегии и ограниченностью ресурсов», — объяснил Коробченко.
Кадровый вопрос
ИБ как отрасль в России все еще находится в стадии бурного роста и стабилизации подходов, и полноценно выстраивать процессы могут пока лишь те, у кого есть для этого и ресурсы, и люди, говорит замдиректора по развитию бизнеса «АйТи Бастион» Константин Родин. «Кадровый дефицит CISO и сильных руководителей ИБ-направлений никто не отменял, а переток кадров из IT в ИБ хоть и идет, но пока не такими темпами, чтобы закрыть рынок», — рассказывает он.
При этом ИБ-директор – это, по сути, единственный человек, который может объяснить, зачем реально нужна ИБ, и может увязать киберриски с реальными угрозами для работы компании, подчеркнул Родин. Таких людей на рынке немного, и там, где нет диалога с топ-менеджментом, ИБ-стандарты остаются «вещью в себе».
Чтобы стандарты действительно работали, у их авторов должен быть опыт работы именно в этой конкретной отрасли, говорит представитель «АйТи Бастион»: если скопировать «соседский» документ, защиты он не даст. «Хороший внутренний стандарт включает несколько обязательных слоев: модель угроз и нарушителя под конкретный бизнес, перечень действительно критичных активов и процессов, требования к контролю доступа, особенно привилегированного. А также механику пересмотра самих стандартов, потому что угрозы меняются, и документ, написанный “навсегда”, устаревает за год-полтора», — отметил Родин.
Наиболее эффективным подходом к планированию ИБ-бюджета представитель «АйТи Бастиона» считает комбинированный — связку риск-ориентированной и инвестиционной моделей. «Сначала вы переводите киберриски на язык бизнеса, считаете возможный ущерб от ключевых сценариев – простой производства, утечка клиентской базы, остановка платежей, штрафы регуляторов, репутационные потери. Получаете не абстрактное “нас могут взломать”, а конкретные суммы и вероятности», — объясняет Родин. А дальше эти цифры становятся базой для инвестиционных решений: каждое средство защиты и процесс оценивается по тому, какой риск он закрывает и сколько ущерба предотвращает по сравнению со своей стоимостью.
Что важно для компаний в киберзащите
Базовые ИБ-стандарты имеют больше, чем пятая часть компаний, уверен директор по развитию UDV Group Максим Хараск. Ситуация со сценариями реагирования и восстановления, по его словам, сложнее: многие компании еще только вырабатывают соответствующие методики. «Развитие ИБ-системы обычно происходит эволюционно. Сначала организация внедряет базовые стандарты, средства защиты информации и инструменты мониторинга, а затем переходит к разработке сценариев действий при инцидентах и планов восстановления», — говорит он.
При этом сегодня, по мнению Хараска, логично выстраивать эти процессы параллельно: не только внедрять средства защиты, но и заранее понимать, как компания будет действовать в случае киберинцидента.
Отсутствие комплексных стандартов безопасности связано либо с недостаточным уровнем зрелости ИБ внутри компании, либо с масштабом бизнеса, говорит руководитель отдела мониторинга и защиты информационной безопасности компании «М.Видео-Эльдорадо» Владимир Садовский. При этом рост числа и сложности кибератак постепенно меняет отношение к этим вопросам.
В «М.Видео-Эльдорадо» комплексная ИБ-система включает в себя SOC с тремя линиями реагирования, использование готовых плейбуков, которые обновляются и дополняются с учетом актуальных угроз, рассказал Садовский. «В компании применяется методология оценки потенциального и фактического ущерба от киберинцидентов. Она позволяет анализировать последствия атак, которые могли бы реализоваться при отсутствии действующих процессов реагирования и мониторинга», — рассказал представитель компании.
Полноценные классические киберучения в компании не проводятся, однако как минимум раз в год делается пентест внешнего периметра, а также частично оценивается готовность SOC и процессов реагирования на киберинциденты, добавил Садовский. Для оценки зрелости ИБ используется собственная методология, учитывающая актуальные направления и угрозы в сфере ИБ.
Департамент информационной безопасности X5 выстраивает систему защиты на основе анализа рисков, требований регуляторов, локальных и международных стандартов, а также успешных отраслевых практик, рассказали SecPost представитель компании. ИБ-защита входит в общекорпоративную систему управления рисками. В дополнение к внутренним проверкам компания привлекает независимых внешних экспертов для проведения аудитов, что позволяет получить объективную оценку актуальности используемых средств защиты и процессов, отмечают в X5.
«В 2025 году основное внимание было сфокусировано на взаимодействии с контрагентами и партнерами, защите персональных данных и управлении рисками при использовании технологий ИИ. Выбор этих направлений связан с технологическими приоритетами, ростом объемов обрабатываемых данных и расширением использования аналитических и ИИ-решений», — говорится в сообщении X5.
CISO группы RWB Андрей Иванов также отметил, что главный ИБ-приоритет компании — защита персональных, финансовых и других данных покупателей, продавцов и партнеров. На это ориентирована выстраиваемая оборона против актуальных угроз. «Например, наши антифрод-системы на основе машинного обучения в реальном времени блокируют подозрительные транзакции. Для онлайн-платежей используем протокол 3-D Secure с двухфакторной аутентификацией.
