Информационная безопасность как критически значимый бизнес-процесс

Правительство активно обсуждает меры повышения безопасности государственных информационных систем и ключевых предприятий в отраслях, исследования фиксируют рост продаж в сегменте решений для киберзащиты, а производители заявляют о создании собственных экосистем, обеспечивающих комплексную защиту. Тем не менее ежегодно злоумышленники совершают кибератаки на транспортные компании, аптечные, продуктовые сети и даже медицинские центры, а в сети публикуется информация об утечках и компрометации персональных данных пользователей коммерческих и государственных сервисов. Об информационной безопасности как критически значимого бизнес-процесса рассказал Алексей Малышев, основатель и генеральный директор «СОНЕТ».  

— Насколько уязвимы российские компании?  

— По данным Positive Technologies «белые хакеры» в 2024 году выявили на 43 % больше уязвимостей в ИТ-системах российских компаний и госучреждений, чем годом ранее, при этом критически опасной была каждая пятая. Последние «Кибериспытания» (проект представителей индустрии кибербезопасности) показали, что каждую третью компанию можно взломать за сутки, а наиболее уязвимой оказалась отрасль торговли.

DDoS-атаки, шифрование и уничтожение данных, фишинг, реализация угроз «нулевого дня» – способы и инструменты, которые используют мошенники, становятся более изощренными, а базовые инструменты – антивирус, сканер уязвимостей, редкие бэкапы или «лоскутная» закупка решений не обеспечивают надежную защиту. 

— Кто может стать мишенью атаки?

— Никто не застрахован. Атакуют крупный, средний и малый бизнес. Проникая в ИТ-инфраструктуру, киберпреступники шантажируют владельцев бизнеса, похищают и перепродают коммерческую и финансовую информацию, персональные данные. Сумма выкупа за расшифровку данных для малого бизнеса варьируется от 100 тыс. до 5 млн руб., а для крупного и среднего требования могут начинаться с 5-10 млн руб. Потолок запросов мошенников не ограничен, их выполнение не гарантирует возврат данных и подвергает предприятие риску попасть под действие закона о финансировании терроризма.

— Как меняются мотивы киберпреступников, — кто в зоне риска?

— После начала СВО цели и мотивы хакеров изменились. Они хорошо финансируются из-за рубежа и обладают высоким уровнем подготовки. Их цель не только получить деньги, но еще и нанести максимальный ущерб предприятию. Авторы отчета «Киберугрозы в России и СНГ. Аналитика и прогнозы 2024/25» сообщают, что в 2023 году было известно о 14 политически мотивированных группировках, в 2024 – уже о 27.

Преступники ведут длительную целенаправленную работу, чтобы проникнуть в ИТ-инфраструктуру компании. Взламывают не только гигантов вроде Аэрофлота, СДЭК или государственные системы – сегодня средний (и даже малый!) бизнес представляет для злоумышленников интерес. И пока руководство пребывает в заблуждении, что их компания хакерам не интересна, ИТ-инфраструктура находится в зоне высокого риска.

— Насколько требования регуляторов соответствуют текущему уровню угроз?

— Защищая интересы граждан и государства, регуляторы вводят более строгие требования. К примеру, в 2024 году Роскомнадзор зафиксировал более 130 случаев утечек баз данных, в которых содержалось более 710 млн записей о россиянах. В конце 2024 года были подписаны законы, ужесточающие ответственность за утечку персональных данных: для компаний введены оборотные штрафы, а за незаконное использование и передачу данных предусмотрена уголовная ответственность.

Требования регуляторов необходимо выполнять – в итоге они помогут защитить ваш бизнес. Да, это сложно, дорого, нужно привлекать интеграторов, которые специализируются на создании систем информационной безопасности, но это адекватные ситуации меры и действия.

— А если в компании уже есть штатные специалисты?

— Если ваш бизнес связан с ОПК, хранит большой объем персональных данных, как ритейл или медицина, является ключевым в отрасли, категорирован как субъект КИИ – он находится в зоне риска. Даже если у вас в штате есть квалифицированный специалист, мы рекомендуем вам обратиться за внешней экспертизой, а если его нет – тем более. Сегодня это необходимые меры, которые соответствуют беспрецедентно возросшему уровню угроз.

— На что следует обратить внимание при выборе подрядчика для создания системы информационной безопасности?

— Важно, чтобы поставщик услуг обладал лицензиями ФСТЭК России на деятельность по технической защите конфиденциальной информации, а также лицензией ФСБ России на допуск к работе с информационными системами, защищенными с использованием шифровальных (криптографических) средств.

— В чем причина низкого уровня защищенности предприятий?

 — Наш опыт показывает, что у большинства компаний недостаточно опыта и компетенций для создания комплексных систем информационной безопасности. ИТ-подразделение работает по типовой схеме, которая не учитывает новые риски и угрозы. Когда уровень цифровизации компаний растет, ИТ-инфраструктура становится более уязвимой для кибератак. Риски повышаются, система защиты не соответствует актуальным угрозам, и к тому же страдает от хронического недостатка финансирования.

— Как защитить свой бизнес, если недостаточно опыта или компетенций?

— Чтобы оценить защищенность и купировать риски, оптимальное решение – обратиться к интегратору, у которого накоплен опыт решения подобных задач, он понимает отраслевую специфику бизнеса и владеет инструментами защиты ИТ-инфраструктуры. Ликвидация последствий успешной атаки на ИТ-инфраструктуру влечет затраты несоизмеримо большие, чем внедрение мер по ее защите. Наша рекомендация – создавать комплексную систему защиты, которая решает задачи именно вашего бизнеса. К построению информационной безопасности необходимо подходить комплексно и поэтапно, с учетом требований регуляторов.

— Как создать комплексную систему безопасности?                    

— Мы рекомендуем начинать с того, чтобы вместе с топ-менеджментом определить активы и бизнес-процессы, которые требуют защиты, сформировать перечень недопустимых событий.

Во-вторых, провести аудит ИТ-инфраструктуры и средств ее защиты. По результатам сформировать рекомендации по построению сети и настройке ПО, соблюдению регламентов производителей программно-аппаратных компонентов.

В-третьих, на основе разработанной концепции спроектировать или перестроить ИТ-инфраструктуру с минимальными затратами для заказчика; усилить её средствами защиты, которые помогут оперативно вывить злоумышленника в ИТ-инфраструктуре.

После внедрения всех решений важно непрерывно совершенствовать разработанную систему. Нужно регулярно проводить инструктажи персонала, аудит и мониторинг, пентесты, чтобы в реальных условиях проверять систему защиты и вовремя выявлять уязвимости.

Построение комплексной системы требует опыта, экспертизы, и построить эффективную систему самостоятельно – сложно. На основе собственного опыта мы предлагаем всем заказчикам рассматривать систему информационной безопасности как критически значимое направление, которое поможет уберечь компанию от штрафов и потерь, и сохранить бизнес.