В современном цифровом мире кибербезопасность стала первостепенной задачей для организаций любого размера. Атаки на информационные сети способны уничтожать производства и разрушать инфраструктуры городов. Постоянное развитие киберугроз требует сильной стратегии защиты, нацеленной на формирование киберустойчивости бизнеса, а не на отражение единичных нападений.
Реальная опасность
На последнем Всемирном экономическом форуме отмечали, что киберпреступность уже вошла в десятку глобальных рисков для планеты наравне со стихийными бедствиями, проблемами изменения климата, вынужденной миграцией и истощением природных ресурсов.
"Попытки нарушить работу критически важных технологических ресурсов и служб станут более распространенными. Ожидаются атаки на сельскохозяйственные предприятия и объекты водной инфраструктуры, финансовые системы, объекты общественной безопасности, транспорт, энергетическую, космическую и подводную инфраструктуру связи", - отмечено в докладе Global Risks Report 2023.
По оценкам экспертов американской компании Cybersecurity Ventures, которая специализируется на исследовании рынка информационной безопасности, в 2023 году глобальные издержки от киберпреступлений составят 8 триллионов долларов. В дальнейшем они будут ежегодно расти на 15%. К 2031 году атаки будут происходить каждые две секунды, а ущерб бизнесу только от программ-вымогателей составит 265 миллиардов долларов США в год.
Данная цифра - лишь вершина айсберга. Считается, что в реальности становится известно только о 25-30% кибератак, и не исключено, что в ближайшее десятилетие риск пострадать от хакеров возрастет многократно. По оценке агентства Moody's, выше всего риски пострадать от киберпреступников в настоящий момент у объектов критической инфраструктуры (к ним относятся электрические, газовые, водопроводные, коммунальные предприятия, больницы и прочее). Данные экспертов ГК "Солар" по России свидетельствуют, что в нашей стране первыми под удар попадают государственные структуры. В топ-10 наиболее пострадавших от хакеров отраслей за 2022-2023 годы они лидируют (44%), далее идет телеком (14%), а также сельское хозяйство (9%). За ними - промышленность (7%), финансовый сектор (7%) и с равными долями в 4% ритейл, сфера услуг, образование, НКО и энергетика.
Существенный фактор, влияющий на рост количества атак - это появление в открытом доступе автоматизированных инструментов, облегчающих реализацию типовых кибератак. За счет этого существенно снизился порог вхождения в преступный бизнес, а низкоквалифицированные злоумышленники стали осуществлять технически сложные атаки даже при отсутствии должного опыта и понимания происходящих процессов.
Особенности российского рынка
На заре формирования рынка ИБ в России подход к выстраиванию систем безопасности был основан на соответствии комплаенс-политикам компаний и защите от претензий регулятора, а не на реальной способности обнаруживать и отражать кибератаки, чтобы обезопасить чувствительные данные. В целом информационная безопасность не входила в число ключевых приоритетов бизнеса.
2022 год стал поворотным моментом для сферы ИБ. Резко возросшее число кибератак, особенно на первых этапах, проявило настоящую степень защищенности компаний, которые не могли отразить даже довольно простые массовые атаки. Ситуация осложнялась уходом из страны многих западных игроков рынка кибербезопасности и отказом от поддержки популярных систем защиты.
Количество событий ИБ в нынешнем году выросло на 46% по сравнению с предыдущим. Число значимых инцидентов увеличилось на 54%, а средний ущерб одной компании от действий хакеров за год (без учета репутационных потерь) составил 20 миллионов рублей. 65% атак этого года носят целенаправленный характер. Можно выделить две основные цели: разрушение критической информационной инфраструктуры и воздействие на медиаинфраструктуру, встраивание антироссийской политической пропаганды.
Специалисты центра мониторинга и реагирования на киберугрозы Solar JSOC отмечают, что раньше для успешной кибератаки на крупное предприятие нужно было несколько месяцев, а сейчас киберпреступники достигают цели в среднем за семь дней. Этот тренд эксперты связывают с ростом количества атак по политическим мотивам, а также с усложнением нападений. Менее профессиональные хакеры объединяются под началом злоумышленников с высокой квалификацией, а различные инструменты для реализации атак (ВПО, эксплойты и т. п.) все чаще бесплатно распространяются на форумах в даркнете или даже в telegram-каналах.
Сложный период, который прошли компании, научившиеся противостоять атакам, стал катализатором осознания того, как действительно необходимо обеспечивать защиту информации. 92% российских компаний открыты к работе с решениями для выявления интернет-угроз, из них 31% уже работают с этим классом, и еще 61% планируют внедрение в течение ближайших двух лет. Важно отметить, что российские компании постепенно учатся справляться с угрозами, не просто покупая единичные средства защиты, а выстраивая комплексную систему информационной безопасности.
Несмотря на приведенные в начале статьи размеры ущерба от действий злоумышленников, за мотивацией представителей бизнеса в обеспечении информационной безопасности стоит не только страх финансовых потерь. По данным "Солара", 55% руководителей крупных коммерческих компаний отметили, что именно репутационные риски и риски оттока клиентов стали важнейшими для них в 2023 году. В 2022 году об этом думали лишь 36% опрошенных. На втором месте стоит потеря данных корпоративных систем. Значимость этого риска особенно возросла в госсекторе: 37% против 28% в начале 2022 года.
Хотя компании не любят об этом говорить, большая часть из них неоднократно сталкивалась с тем или иным видом киберугроз. Например, на самую популярную в России социальную сеть "ВКонтакте", как отмечал Алексей Волков, вице-президент, директор по информационной безопасности, c начала 2023 года было совершено 6,5 миллиона кибератак. Имели место также 300 внутренних инцидентов, которые могли бы привести к серьезным последствиям, если бы их вовремя не локализовали. В ответ на рост количества атак компания увеличила штат, трансформировала SOC (Security Operations Center - операционный центр кибербезопасности), расширила набор инструментов защиты и увеличила частоту внешних и внутренних пентестов (проверок защищенности).
Что стоит за реальной защитой?
В долгосрочной перспективе невозможно защитить организацию от сложных атак, если не рассматривать кибербезопасность как бизнес-функцию и систему менеджмента. Злоумышленники постоянно совершенствуют свои тактики, и установленные СЗИ могут перестать на них реагировать спустя какое-то время. Могут меняться ИТ-инфраструктуры компаний, адаптируясь к бизнес-задачам. Поэтому, если говорить о том, что такое современная кибербезопасность, то можно выделить следующие свойства:
- кибербезопасность должна быть динамической, подстраивающейся под изменения ИТ-сферы и ландшафта угроз;
- ИБ-система должна быть комплементарна бизнесу, то есть обеспечивать защиту от угроз, присущих именно этой компании и этой отрасли;
- кибербезопасность должна рассматриваться как система менеджмента, а не техническая дисциплина.
Что отличает компании со зрелой системой ИБ?
- ИБ "вписана" в систему ответственности на уровне топ-менеджмента компании, то есть в корпоративной политике прописано, за что отвечает генеральный директор, бизнес-руководитель, директор по ИТ, директор по ИБ.
- Компания формирует киберустойчивость, то есть создает архитектуру ИТ, соответствующую идеологии security by design, когда элементы, обеспечивающие безопасность, интегрируются в будущий продукт наравне с функциональными требованиями.
- ИБ скоррелирована с планом ИТ-развития компании; интегрирована в ИТ-процессы, процессы управления изменениями, процессы предоставления доступа и т. д.
- Компания осуществляет постоянный мониторинг и реагирование и создает достаточное количество барьеров на пути киберугроз, чтобы остановить злоумышленника до того, как он нанесет ущерб компании.
- Ущерб бизнесу пропорционален времени простоя. От того, насколько быстро компания способна восстановить системы после атаки, зависит минимизация ущерба. Этому способствуют план восстановления, системы резервного копирования и различные подготовительные мероприятия, например в формате киберучений, отработки антикризисных процедур и операционных стресс-тестов.
Бизнес - это постоянный поиск новых возможностей, реагирование на запросы рынка, принятие экономических и политических вызовов, и все это при неизбежном росте финансовых показателей. Так же и кибербезопасность должна учитывать не только регуляторные и технологические тренды или эволюцию злоумышленников, но и внимательно отслеживать и улучшать клиентский опыт, который она формирует. Эксперты кибербезопасности должны понимать, как работает бизнес, отслеживать появление у компании новых видов и способов деятельности и применять свои знания и опыт по защите от кибератак во благо таких перемен.
Бизнес формирует запрос
По словам Игоря Ляпунова, генерального директора ГК "Солар", тема информационной безопасности стала одним из главных приоритетов на уровне топ-менеджмента. Крупнейшие компании и объекты КИИ, раньше других прочувствовавшие на себе давление киберугроз, начинают правильно формулировать запрос к службам информационной безопасности или вендорам и понимать методы оценки степени защиты компании посредством практических проверок. Однако большинство организаций еще не успели перестроится, и им предстоит проделать большую работу.
После ухода иностранных вендоров в 2023 году российские компании смогли закрыть большую часть потребностей в ИБ-решениях. Если на начало 2022 года уровень импортозамещения в частном бизнесе был около 25%, то в конце года он достиг 30%. В госуправлении этот показатель еще выше: был на уровне 40%, а сейчас уже более 60-70%.
В отчете "Прогноз развития рынка кибербезопасности в Российской Федерации на 2022-2026 годы", который подготовил фонд "Центр стратегических разработок", говорится, что ситуация для российских вендоров выглядит в целом позитивно. Они широко представлены на рынке ИБ и кооперативно имеют солидный портфель продуктов и сервисов. В связи с этим быстро смогут заменить широкий ряд зарубежных решений и в течение ближайших лет забрать практически весь рынок.
"Сейчас российский рынок ИБ - это рынок предложения. Заказчики готовы инвестировать в обеспечение защиты своего бизнеса. Но при этом изменился формат спроса. Собственники и гендиректора компаний поняли, что та модель, по которой они выстраивали кибербезопасность в предыдущие годы, уже не актуальна и требует изменений. Теперь для них важна не только защита как суть, но и форма ее представления. От вендоров это требует перестройки предложения. „Солар“ как компания, нацеленная на лидерские позиции в отрасли, хорошо понимает: чтобы соответствовать ожиданиям заказчика, мы должны адаптироваться. Кроме того, крайне важно использовать это время для того, чтобы строить действительно защищенные системы
Сейчас наша цель - стать компанией, которая поможет заказчику прийти к тому уровню защищенности, который ей необходим, и решить не просто набор технических задач, но и в целом отстроить процессы, объяснить, как должно быть организовано взаимодействие специалистов по ИБ с ИТ-подразделением и реализовать набор технических подсистем. Тренд на создание таких комплексных решений сохранится в ближайшие годы, и компании, которые внедряют их в практику бизнеса, смогут развиваться без принятия повышенных киберрисков", - отмечает Игорь Ляпунов.