«Это поле боя, и битва еще не закончилась». Как бизнесу выжить в мире фишинга, дипфейков и неосторожных сотрудников

Число кибератак на российский бизнес с января по июнь 2025 года выросло на 27% и достигло 63 тысяч (по данным RED Security SOC). От действий мошенников оказываются незастрахованными ни крупные компании, такие как «Аэрофлот», ни государственные системы. Угрозы становятся быстрее и точнее: фишинговые письма не отличить от настоящих, а вымогатели не только требуют деньги, но и угрожают критической инфраструктуре.

О том, как выиграть в этой битве и почему самым уязвимым звеном остаются люди, поговорили эксперты на круглом столе «Фонтанки».

— Ситуация с кибербезопасностью становится одновременно и лучше, и хуже, — говорит Александр Михайлов, руководитель GSOC компании «Газинформсервис». — Лучше потому, что все больше компаний начинают понимать: им нужна информационная безопасность. Они видят многочисленные взломы, утечки конфиденциальных данных, требования регулятора становятся жестче.

В частности, компании начинают заказывать услуги, которые раньше не вызывали интереса, например, поиск следов компрометации, отметил эксперт.

— С другой стороны, и атаки становятся всё более изощренными, глубокими и продуманными, — продолжил Александр Михайлов. — Если взять классический фишинг, то он стал намного презентабельнее и в него все проще поверить: у фишеров появился инструментарий в виде искусственного интеллекта, который помогает «украсть» настоящий сайт, дизайн письма, сделав его максимально похожим на настоящее. И это мы еще не говорим о подмене голоса или видеоизображения.

В целом можно отметить, что хакеры становятся более квалифицированными, и они часто пробивают инфраструктуру заказчика. Но благодаря технологиям ИБ злоумышленник далеко не всегда ее захватывает.

— Это поле боя, и война еще не закончилась, — резюмирует Александр Михайлов. — Есть локальные битвы, и в тех, где мы участвуем, побеждаем, потому что у нас богатый опыт защиты, мониторинга и реагирования.

— Можно сказать, что атаки стали быстрее. Если раньше на латеральное перемещение внутри ИТ-инфраструктуры приходилось больше времени, то сейчас такие процедуры происходят гораздо быстрее, — соглашается Максим Солодовников, генеральный директор ООО «Бизнес Ай Ти». — При этом причиной успеха таких атак и сегодня чаще всего становится несоблюдение цифровой гигиены пользователями и системными администраторами, а также применение некорпоративных персональных устройств. Особенно это было актуально во времена ковида, когда многим пришлось срочно перейти на удаленную работу. Кроме того, часто сисадмины считают: установив средства защиты один раз, они защитили все и навсегда. Между тем, средства аналитики становятся более изощренными, что позволяет злоумышленникам лучше определять уязвимости и проще проникать в ИТ-инфраструктуру компании.

Михаил Кадер, архитектор клиентского опыта будущего компании UserGate, в качестве тенденции обозначил стремительный рост числа массовых атак на «отказ в обслуживании», когда ресурс становится недоступен пользователям.

— Наши операторы, которые предоставляют услуги защиты от таких атак, в целом справляются с ними хорошо, — отметил он. — Потребители в худшем случае замечают только кратковременную неработоспособность приложений или некоторую деградацию качества связи, которая не слишком ухудшает взаимодействие с сервисами.

Второй тенденцией он назвал заметную активность в применении вредоносного ПО для получения контроля над инфраструктурой.

— В 2023-24 годах мы наблюдали большое количество таких атак, направленных в первую очередь на безвозвратное уничтожение данных и разрушение инфраструктуры, — говорит Михаил Кадер. — Сейчас заметно, что помимо атак, направленных на хищение и уничтожение данных, возвращается вымогательство, — и это крайне неприятное явление. Здесь стоит отметить интересную тенденцию: получило распространение «множественное» вымогательство, когда преступники требуют деньги не только за расшифровку данных, но и за то, что не сообщат надзорным органам о компрометации данных.

По его словам, множественный шантаж наблюдался и ранее, в том числе за рубежом, но сейчас, поскольку российское законодательство ужесточается, эта тенденция стала нарастать и в нашей стране.

Кирилл Манжура, генеральный директор IT-компании LARD, проекта финансово-инвестиционного холдинга «ЛК МЕНЕДЖМЕНТ», отметил: нужно отказаться от иллюзии, что информационная безопасность актуальна только для банков и госсектора.

— У нас был кейс, где промышленную компанию парализовала атака через уязвимый почтовый сервер, который не обновлялся годами, — рассказал он. — Вся работа остановилась, были зашифрованы 1С, клиентские базы, даже бэкапы удалены. Это был не zero-day, а скачиваемый с GitHub скрипт.

По его словам, основная защита начинается с гигиены, а это обновление и контроль уязвимостей, централизованная идентификация, изоляция бэкапов (air gap) — и обучение сотрудников, т. к. фишинг до сих пор остается главным вектором атак.

— И главное — ИБ должна быть не «отдельным департаментом», а частью проектирования любой ИТ-системы, — добавил Кирилл Манжура. — Мы в LARD встраиваем ИБ сразу при разработке — от архитектуры виртуального офиса до телеметрии в промышленности.

Дмитрий Ляхов, директор информационной безопасности Cервиса «Грузовичкоф», отметил, что если раньше фишинговые сообщения легко распознавались по неестественному переводу и абсурдным предложениям вроде получения наследства, то сейчас их стало значительно сложнее обнаружить без качественных автоматизированных решений защиты информации.

— Раньше атаки были шаблонными: достаточно было изменить настройки стандартных портов, чтобы предотвратить угрозу, сейчас же даже сетевые аномалии могут быть настолько минимальны. — пояснил он. — Однако поддержание такой защиты требует огромных ресурсов.

Дмитрий подчеркнул, что масштабные кибератаки, парализующие бизнес, — это уже не проблема отдельных компаний, а глобальный вызов для всех участников рынка.

— Российский рынок стал более зрелым: крупные компании осознают необходимость информационной безопасности, но малый и средний бизнес пока отстаёт, — добавил эксперт. — Многие до сих пор недооценивают риски, и эта беспечность рано или поздно приводит к серьезным последствиям. Отчасти на ситуацию влияют ужесточения законодательства, например, в сфере защиты персональных данных.

Для каждой отрасли характерны свои киберриски, отмечают эксперты.

— Весьма опасны кибератаки на предприятия энергетики или ресурсных отраслей, — отметил Михаил Кадер. — Следствиями этих нападений могут быть остановки подачи электроэнергии, прокачки нефти и газа по трубопроводам и другие серьезные дорогостоящие инциденты или даже технологические катастрофы.

По его словам, инциденты в банковской сфере не приведут к таким катастрофам, но неработоспособность крупного банка — несомненно, серьезное нарушение и проблема для всей экономики страны. То же самое можно сказать о тех услугах, которые «привязаны» к сервису Госуслуг.

— ИТ сегодня буквально пронизали все отрасли — любые риски в любой отрасли стали значимыми, — продолжил Михаил Кадер. — Текущий уровень цифровизации не позволяет даже представить все сложности и все возможные последствия кибератак. Каждая из них значима. Взлом домашнего компьютера может привести к тому, что его будет использовать хакер, а владелец даже не узнает об этом.

От его имени преступники смогут совершать множество противоправных действий — от нападений на другие компьютеры до распространения деструктивной информации, пояснил эксперт. Те же атаки «на отказ в обслуживании» часто проводятся именно таким образом. Результат — возможность попадания простого пользователя под статью Уголовного кодекса.

Кирилл Манжура выделил три отрасли, где сейчас самые высокие риски:

• Промышленность — особенно после цифровизации производственных процессов;

• Логистика, где вся модель строится на SLA и непрерывности;

• Медицина — в частности, относительно персональных данных.

Несмотря на развитие технологий, наиболее уязвимым звеном в ИТ-цепочке остается человек. Но защититься от методов социальной инженерии сложнее всего.

— Есть плохой ответ на вопрос, как защититься от кибератак: массовое информирование населения о таких атаках и способах защиты, которые позволяют не попадаться на уловки мошенников, — комментирует Михаил Кадер. — К сожалению, даже массовые программы информирования не справляются, так как мошенники отличаются целеустремленностью и изобретательностью.

Поэтому, по его словам, обеспечить реальную защиту и населения, и бизнеса поможет внедрение инфраструктурных сервисов безопасности на базе операторов облачных услуг, связи или разработчиков приложений.

— Такой опыт, к примеру, есть в Москве: столица почти вся оборудована видеокамерами, — пояснил Михаил Кадер. — Многим это не нравится, но в городе стремительно расследуются убийства и другие тяжкие преступления. Это — пример такого инфраструктурного сервиса, пусть даже он нацелен не на информационную, а физическую безопасность. Подобные сервисы должны защищать некомпетентных и неподготовленных пользователей.

Максим Солодовников также отметил, что сейчас мошенничество чаще всего основано на выстраивании доверительных отношений с потенциальной жертвой.

— Это критично не только для частных лиц, но и для сотрудников компаний, — считает он. — Кроме того, пользователи устают от угроз и того, что им все время о них напоминают. И в какой-то момент они думают, что все хорошо, — и именно тогда совершают ошибки.

Эксперт поддержал Михаила Кадера в мнении, что не нужно решать инженерные задачи организационными методами. Т.е. если пользователь запустил что-то вредоносное или скомпрометировал неосознанно свою деятельность, то система должна фиксировать события об этом и не давать потенциальным злоумышленникам возможности нанести урон компании, добавил Максим Солодовников. В частности, если человек использует везде один и тот же пароль, который будет скопрометирован на каком-то неблагонадежном сайте или там, где устарели сертификаты подтверждения подлинности, то пользователь должен быть все равно защищен — хотя бы средствами двухфакторной аутентификации.

Он также обратил внимание на домены уровня .zip и .mov, которые воспринимаются людьми как файлы архивов или видео. На деле это опасная ссылка, которая может вести неизвестно куда. Есть и такие ссылки, перейдя по которой человек сразу компрометирует свое местонахождение, что может быть критичным в ряде ситуаций.

— В своей работе я стараюсь автоматизировать все вещи, которые завязаны на пользователей, — продолжил тему Александр Михайлов. — Не то чтобы я не верил в людей, но я и сам человек — и понимаю, что ошибаются все. Соответственно, когда речь заходит про необходимость злоумышленнику проникнуть в инфраструктуру, то пользователь всегда самое уязвимое звено. Например, если речь о фишинге, то в большой компании из тысячи найдется пара-тройка десятков сотрудников, которые на него поведутся. Поэтому необходима постоянная работа, должен быть налажен процесс security awareness, нужно людей постоянно тренировать.

Но, отметил он, пользователи сопротивляются, не хотят тратить на это время и считают зачастую это ерундой, поэтому важно их убедить, а затем перепроверить. Например, провести учения, организовать «внутренний фишинг» и т. п.

— Можно принять любые технические меры, можно выстроить высокий «забор», но если злоумышленник обратится в то самое «окошко» с человеком, то велика вероятность, что тот откроет дверь, — подчеркнул Александр Михайлов.

Чтобы понимать пути защиты бизнеса, необходимо определиться с теми активами, которые имеют для него ключевое значение, и концентрировать защитные решения и архитектурные подходы именно на них.

— Когда возникли риски кибератак на промышленные предприятия, часть из них решила проблему тем, что системы управления производством просто физически исключила из основной корпоративной сети передачи данных, — пояснил Михаил Кадер. — Некоторые компании сделали это заранее, и такой подход во многих случаях защитил не только их, но и целые сегменты экономики в масштабе страны.

Он пояснил: если у какой-то компании хакеры зашифруют данные бухгалтерии, это будет неприятно, но сбой произойдет только в масштабах одной компании.

— А вот если прекратится работа крупной электростанции, то большой город может остаться без электричества на неопределенный срок, — говорит эксперт. — И это будет катастрофой. Поэтому нужно защищать ключевые бизнес-процессы или ключевые функции учреждений.

— Информационная безопасность всегда должна быть комплексной и покрывать все процессы, технику, людей и т. п., — рассказывает Александр Михайлов. — Поскольку я руковожу центром мониторинга, то могу сказать, что злоумышленник может проникнуть через любую защиту. Но если даже она пробита, хороший мониторинг быстро это обнаружит.

В качестве основных пунктов эксперт подчеркнул важность SIEM-системы для сбора событий ИБ с критичных узлов инфраструктуры. Также важно, по его мнению, разработать хорошую комплексную экспертизу по обнаружению контента. Но для этого не хватает коробочных решений.

— Ни один SOC (Security Operations Center) не работает с коробочным контентом, — пояснил Александр Михайлов. — Обычно он весь «выбрасывается» и ставится свой, который работает по более актуальным данным и принципам.

Например, если злоумышленник уже давно в сети и мимикрирует под реального пользователя, то SIEM не спасет — в том числе, не выявит работу шифровальщика. Тогда, по словам эксперта, в игру вступает система аналитики поведения пользователей и сущностей, которая по аномалиям в действиях догадывается, не сидит ли за компьютером другой человек или, может быть, даже действует скрипт. То же самое и с устройствами.

— Чтобы защищать систему, нужно знать, что вы защищаете, из чего состоит сеть и что особенно уязвимо — то есть необходим контроль и управление уязвимостями, — резюмировал Александр Михайлов. — Это основные столпы мониторинга: он важен для того, чтобы если не защититься, то хотя бы вовремя отреагировать на происходящее и минимизировать потери или вовсе их не допустить.

Кибератаки стали новой индустрией, подтвердил Максим Солодовников.

— Учитывая то, что мы уже работаем с информационными технологиями и с операционными технологиями умных городов, в том числе технологиями интернета вещей, промышленных, медицинских, то и подходы к анализу этих векторов атак приобретают системный характер. Они классифицируются, что позволяет прогнозировать, по какому пути будет идти злоумышленник, — объяснил он. — Результаты такой «книги рецептов», по которой можно выстраивать свои действия, представлены, например, методологией MITRE.

По его словам, важен не только мониторинг, но и аудит безопасности. Но проблема в том, что аудит действителен только на момент его проведения. А если кто-то приходит периодически и с каким-то устройством появляется в сети, отследить это сложнее. Поэтому важен динамический гранулярный аудит в контексте мониторинга, что позволит выявить опасные или аномальные события.

На практике, как объясняет Кирилл Манжура, для бизнеса работают:

• SIEM / SOC / XDR — для мониторинга и анализа инцидентов;

• EDR — защита конечных точек, включая серверы и станции;

• VPN + MFA + RBAC — управление доступом;

• Шифрование данных — как в хранении, так и в передаче (TLS, GPG);

• Антифрод-платформы — для e-commerce и финсектора;

• Service Desk + логирование действий пользователей — контроль за внутренними угрозами.

— Но важнее даже не то, какие технологии вы используете, а насколько они встроены в процессы, — пояснил эксперт. — Например, мы внедряли DocDesk в медицине, и именно автоматизация доступа к картам пациентов по ролям закрыла канал утечки, о котором никто не знал.

Получивший активное развитие в последнее время искусственный интеллект часто «воюет не на той стороне», отметил Александр Михайлов.

— Злоумышленники чрезвычайно креативны, они пользуются ИИ везде: для создания фишинговых писем, дипфейков, поддельных видео и голоса. Поэтому каждое странное сообщение, которое вы получили, надо проверить, — подтверждает Михаил Кадер. — Не смущайтесь, позвоните другу или родственнику и спросите, действительно ли он прислал вам это.

Также существует много способов мошенничества в соцсетях, когда хакеры могут маскироваться под вполне легальные группы и запрашивать при этом пароли от аккаунтов.

— Эти атаки могут быть и атаками на бизнес, — добавил Михаил Кадер. — Ведь устройство руководителя — своего рода шлюз для доступа к устройствам его подчиненных. Их можно попытаться «поймать», пользуясь их доверием к начальнику.

— Искусственный интеллект может быть полезен в разработке, но передавать ему фрагменты кода с учётными данными — недопустимо, — предупредил Ляхов. — То же касается и конвертации, и отправки служебных документов через сомнительные онлайн-сервисы и иностранные ИИ. К сожалению, такие случаи бывают, и приходится учиться на ошибках.

— Конечно, многие вендоры средств защиты информации тоже используют ИИ, — отметил Александр Михайлов. — Но нельзя просто взять и «закинуть» в него все триллионы событий информационной безопасности, чтобы он мог отследить «плохие» события. Чаще всего это все-таки вопросы векторного машинного обучения.

По его словам, ИИ на текущий момент выполняет, скорее, роль помощника: если аналитик не может понять, что происходит, то можно быстро спросить, что может означать некое событие в контексте какого-то приложения. Также ИИ помогает быстрее принимать решения по поводу инцидента — в первую очередь за счет выявления ложно-положительных срабатываний.

— В наших системах управления инцидентами есть скоринг. Его выполняет модель, обученная на принятии наших же решений плюс на ряде данных из свободного доступа. Она позволяет нам выстраивать аналитику, предполагая вероятность ложно-положительного срабатывания защиты, которое должен подтвердить или опровергнуть уже специалист, — добавил Александр Михайлов.

— Если злоумышленники ищут при помощи ИИ уязвимости в корпоративных системах, то защитные сервисы, наоборот, применяют ИИ для проведения тестирования защищенности корпоративных сетей, — отмечает Михаил Кадер. — ИИ востребован и для построения профилей типового поведения. Он отмечает типичные легальные действия пользователя в корпоративной сети (например, регулярное чтение какого-либо ресурса по корпоративной подписке). Но если вдруг пользователь проводит основную массу времени на сайтах, посвященных поиску работы, то возникнет законный вопрос, сохраняет ли этот сотрудник лояльность компании.

По его словам, это — хороший пример того, как ИИ при помощи машинного анализа позволяет увидеть изменения в поведении сотрудника и понять, что возникла и развивается серьезная проблема. Такие же действия можно отследить и применительно к использованию мыши и клавиатуры — с их помощью создаются профили работы за компьютером.

Максим Солодовников добавил, что сейчас идет борьба «искусственных интеллектов» с обеих сторон. Основная ценность ИИ — в возможности анализировать большие объемы данных методами нечеткой логики или построением строгого логического вывода.

— Глазами человеку весь материал часто не просмотреть вовремя, да и ресурсы вычислительных мощностей ограничены — поясняет он.

Отдельно Дмитрий Ляхов выделил риск слепого доверия молодых программистов к ИИ:

— Многие загружают в нейросети всё подряд, не понимая архитектуры кода. В результате при возникновении ошибок специалист не способен найти причину сбоя, поскольку не обладает базовыми знаниями.

Удаленная работа, использование облачной инфраструктуры создают дополнительную нагрузку на службы информационной безопасности.

— Существует красивый термин: теневые ИТ. Это технологии, которыми люди пользуются помимо корпоративных серверов, — отмечает Михаил Кадер. — Поэтому облачная история присутствует в любой организации, даже той, которая вообще не использует облака.

По его словам, с точки зрения информационной безопасности есть три важных момента:

• Первый состоит в том, что провайдеры облаков сами начинают предлагать сервисы защиты клиентам.

• Второй: любая компания, которая формирует политики использования сотрудниками облачных сервисов, должна учитывать в них и ИБ-требования.

• И третий: современные ИБ-продукты, которые применяет организация, должны уметь работать в облачных средах и с облачными средами.

Максим Солодовников добавил, что человеческий фактор в этом случае проявляется в полной мере.

— В любой корпорации есть сотрудники, которые постоянно что-то делают небезопасное, и едва ли считают, что в этом есть что-то неправильное, — говорит он. — Например, человек уходит в отпуск и оставляется свои пароли на случай, если надо его подменить. Получается, что пароль знает уже не только он. И это на самом деле тоже вопрос кибербезопасности.

Если предприятие семейное и штат не очень большой, до 50 человек, то многое в части автоматизации рабочих мест регулируется стихийно на уровне руководителей отделов. Если же предприятие больше, то внутренние ИТ службы часто применяют технические и технологические комплексы средств защиты. Это позволяет, например, регистрировать факты аномального копирования данных сотрудниками, которые планируют уход из компании, подчеркнул Максим Солодовников.

— Удалённая работа решает проблему кадрового дефицита, но создаёт новые уязвимости, — отметил Дмитрий Ляхов. — Основные угрозы исходят от личных устройств сотрудников, копирования данных на флеш-накопители и атак со стороны поставщиков, имеющих доступ к системам компании.

На фоне растущих угроз очень важно выстраивать политику информационной безопасности в компании. Как отметил Кирилл Манжура, рабочая модель должна быть «ИБ не мешает, а защищает». Эксперт рекомендует клиентам выстраивать защиту по четырем уровням:

• Организационный — политика, регламенты, инструкции.

• Технический — средства защиты, аудит, мониторинг.

• Процессный — кто, когда и как реагирует.

• Обучающий — регулярные сценарии фишинга, чек-листы, внутренняя рассылка.

— Во-первых, определите, что именно значимо, — рассказывает Михаил Кадер. — Во-вторых, поймите, кто, помимо руководителя компании, отвечает за безопасность как функциональный менеджер. И уже этот ответственный должен привлечь к работе специалистов, у которых есть опыт осуществления аналогичных проектов, хорошо бы — в той же области. Скорее всего, это будут сотрудники каких-либо системных интеграторов. Они не просто помогут написать политику информационной безопасности, но и сделают так, чтобы она была реализуема на практике.

Он добавил: хотя обычно говорят о специализированных ИБ-решениях, в первую очередь помогает защититься от атак как раз надежная работа ИТ-процессов.

— Самих решений для защиты инфраструктуры очень много, — пояснил Михаил Кадер. — Но начинать нужно с простого: создание резервных копий данных, защита от разных типов вредоносного ПО. Еще одно важное средство — создание так называемых «белых списков» ресурсов, которым можно доверять. Посещать в сети можно только такие сайты. Напротив, от посещения сомнительных нужно воздерживаться. Такими ресурсами могут быть, например, те, через которые распространяется пиратское ПО: поймать «вредонос» в торрентах очень просто. «Белые списки» позволят избежать множества угроз.

Решать задачу импортозамещения предстоит не один год.

— Дело в том, что многие иностранные решения были разработаны или доработаны под требования крупных предприятий, российские же решения ориентировались на средний и мелкий бизнес, — объясняет Михаил Кадер. — И когда ушли иностранные компании, а наши крупные заказчики стал покупать отечественные средства защиты, выяснилось, что многие из них не масштабируются для крупных предприятий. А кроме того, не соответствуют архитектурным требованиям больших корпораций.

Сегодня, по его словам, есть решения почти для всех областей ИБ. Но многим из них еще предстоит пройти переработку архитектуры, чтобы их могли применять крупные заказчики. При этом важно, что вендоры относятся к своему развитию не с точки зрения импортозамещения, а с точки зрения развития собственных технологий — и даже выхода на зарубежные рынки с продуктами, которые в состоянии конкурировать с мировыми гигантами.

— После ухода западных игроков бизнес массово переключился на open source + российские ИБ-разработки, — говорит Кирилл Манжура. — Мы активно работаем с целым рядом компаний и продуктов. И некоторые решения даже удобнее, потому что дают контроль, гибкость и кастомизацию.

С кадрами в инфобезопасности пока ситуация непростая.

— Открываются новые кафедры, учебные заведения, которые нацелены на обучение информационной безопасности — отмечает Александр Михайлов. — Хорошие кадры есть, но нам не хватает ИБ-шников с опытом 5-7 лет. Чаще приходят ребята, у которых нет комплексного взгляда на информационную безопасность.

В качестве негативного тренда он назвал также узкую специализацию молодых сотрудников: если раньше специалист по ИБ был и сисадмином, и мог сам написать регламент, то сейчас чаще люди занимаются, например, только аналитикой угроз, аналитикой событий — а тех, кто может собрать все в комплексе, не хватает.

— У «Газинформсервиса» как у интегратора с большим количеством экспертов есть возможность выбирать в вузах студентов с горящими глазами и потом их обучать, — говорит Александр Михайлов. — Кроме того, у нас есть собственный SOC, где на практике можно получить знания так, что, можно сказать, год идет за четыре. Хорошо бы, конечно, чтобы государство решило за нас проблему нехватки кадров, но так не будет. Если хочешь выполнить задачу — займись этим сам. Поэтому мы обучаем людей, какими бы сырыми они ни были, лишь бы у них был огонь в глазах, было стремление. Самое важное — это софт-скиллы и аналитические возможности, а остальному мы научим.

Максим Солодовников добавил, что стандарты в подготовке специалистов по ИБ существуют уже давно, и раньше это была сертификация по определенным канонам международных организаций.

— Системный подход не может быть реализован без соответствующей подготовки кадров — как на основе национальной, так и на основе международной системы современных отраслевых стандартов, — отметил он.

Он также добавил, что в малом бизнесе часто основная забота о защите критичной информации ложится на плечи бухгалтера, который и не знает, что электронную почту, банк-клиент и 1С не стоит держать на одном компьютере. А количество работающих на аутсорсе бухгалтеров приводит к тому, что на его компьютере могут быть критичные данные целого десятка компаний. Вопрос, как минимум, об отказоустойчивости таких решений зачастую остается открытым.

И если в банках мониторинговые службы себя показывают хорошо, то для небольших компаний ситуация остается сложной из-за отсутствия как необходимых компетенций у сотрудников, так и из-за ограничений бюджета на средства защиты от киберугроз.

По словам Михаила Кадера, кадровый дефицит — это еще один практически нерешаемый вопрос.

— Лет 20 назад считалось, что ИБ-специалистов нужно в 4 раза больше, пару лет назад — что в 12 раз. Цифры только растут — несмотря на то, что сегодня в любом университете есть специализированные кафедры, — отметил он. — Это связано с тем, что ИБ-специалист — тот, у кого не только образование, но и реальный опыт. А его получение требует времени.

Поэтому есть два пути, отмечает эксперт. Первый — так называемые CTF, конкурсы для молодых хакеров. Они позволяют узнать, как защищать через знание о том, как ломать. Второй путь: чтобы работать в области кибербеза, нужно входить в нее максимально рано. Идеально — еще в школе, приемлемо — на 2-3 курсе института. Для этого в компании создана Академия UserGate, которая сотрудничает с вузами страны по подготовке студентов и сертификации преподавателей в сфере ИБ.

— Могу предложить еще три идеи, которые позволят преодолеть кадровый голод, — продолжил Михаил Кадер. — Первая — разумное распределение ролей между специалистами ИБ и ИТ: эффективность безопасности процентов на 80 зависит от ИТ-специалистов, которые умеют строить и эксплуатировать сложные масштабируемые системы. Вторая — все та же концентрация на наиболее значимых бизнес-процессах, которая позволит использовать имеющийся кадровый потенциал наиболее эффективно. И третья идея — автоматизация, которая позволит избавиться от «ручной» рутины в ИБ, поручив ее в том числе искусственному интеллекту.

Последние атаки на крупные компании показывают, что оружие усложняется, а значит, будут усложняться и средства защиты.

— По рынку вендоров видно, что разработчики все больше стараются создать «комбайн», потому что информационная безопасность стала нужна всем, — рассказывает Александр Михайлов. — Но у клиентов из среднего и малого бизнеса нет возможности нанимать людей. Им нужно такое решение, чтобы если случилась атака, то загорелась красная лампочка, ты нажал зеленую кнопку — и атака прекратилась.

Также, по его словам, будет увеличиваться роль искусственного интеллекта, т. к. большого количества людей при растущей потребности найти сейчас негде.

— Сейчас на рынке появляется много российских продуктов в сфере информационной безопасности, но не все они качественные: часть — просто копии друг друга, — констатировал Дмитрий Ляхов. — Однако есть и сильные игроки, которые развиваются очень активно. Мы постепенно переходим от импортозамещения к созданию собственных решений на основе реальных инцидентов. Как говорится, «не было бы счастья, да несчастье помогло».

— С точки зрений государства приоритетом остается цифровой суверенитет, в том числе в сфере информационной безопасности, — подчеркнул Максим Солодовников.

Что касается направлений развития кибератак, то он отметил, в первую очередь, шифровальщики, атаки которых будут становиться точнее, больнее; бестелесные вирусы, а также то, что на черном рынке предлагаются системы для кражи информации — это упрощает вход в преступность для молодежи. Также беспокоит интеграция злоумышленников в цепочки поставок, что потенциально чревато атаками на объекты критической инфраструктуры.

Трендами в развитии технологий на следующие 15 лет Максим Солодовников назвал развитие интернета вещей и периферийного искусственного интеллекта, распределенных вычислений, data science и анализа данных.

— Нельзя подготовиться к чему-либо ситуативно — это нужно делать регулярно, — говорит Михаил Кадер. — В нашем случае — следить за злоумышленниками, искать ответы на них в технологиях, отслеживать изменения в технологиях и бизнес-процессах. Вот тогда мы будем знать, как реагировать на новые угрозы. Я много лет работаю в области информационной безопасности и вижу, что с каждым годом зона моего незнания только расширяется за счет новых идей, подходов и т. п. Поэтому нам нужно постоянно учиться и делегировать свои полномочия профессионалам в каждой предметной области.

Кирилл Манжура дает несколько советов, которые помогут противостоять киберугрозам.

— Необходимо заложить безопасность в архитектуру с самого начала. Безопасные «по умолчанию» решения дешевле, чем «прикрученная» безопасность потом, — отметил он. — Нужно создать «антикризисный ИТ-план» и резервные схемы. У нас был случай, когда у провайдера клиента сгорела стойка, и отказоустойчивость мы обеспечили только потому, что заранее протестировали резервную площадку.

Также необходимо тестировать худший сценарий: подумать, например, о кибератаках или сбоях в системах и провести «тестовую симуляцию», чтобы проверить, как хорошо сотрудники готовы действовать в стрессовых ситуациях. Ну и, конечно, сделать инфобезопасность частью бизнес-культуры.

— Угроза — не только снаружи. Часто её создают сотрудники: по незнанию, из страха или из лени, — резюмировал он.