Информационная безопасность как часть корпоративной ДНК. Дискуссия на SOC Forum 2025

На SOC Forum 2025, который проходит в рамках мероприятий Российской недели кибербезопасности, стартовала дискуссия "Как информационная безопасность становится частью корпоративной ДНК". Ее участники обсудят подходы к обеспечению устойчивости российских компаний, совершенствованию защищенной отечественной инфраструктуры, созданию кадрового резерва и постоянному развитию компетенций в области противодействия современным киберугрозам в рамках технологического суверенитета.

Модератор, начальник службы коммуникаций ООО "Транснефть — Технологии" Анна Темнякова, представила участников дискуссии.

Модератор обратилась к директору департамента информационной безопасности ПАО "Транснефть" Михаилу Наумову: "У меня первый вопрос к вам. Вы в том числе отвечаете за скорость разработки и внедрения IT-решений. Часто это конфликтует с требованиями ИБ. Как вам удается встроить информационную безопасность в процесс разработки таким образом, чтобы это не тормозило, а напротив?"

Михаил Наумов отметил, что произошло перестроение: если раньше ИБ выглядела как милиционер с дубинкой, то сейчас строятся партнерские отношения с коллегами. И в глазах коллег стало другое понимание ИБ. "На этапе разработки и внедрения проще выявить уязвимости, чем потом закрывать дыры", — подчеркнул он.

Директор департамента защиты информации и IT-инфраструктуры ПАО "ГМК „Норильский никель“" Алексей Мартынцев в свою очередь отметил, что компания "Норникель" не занимается внедрением информационной безопасности. "Мы занимаемся вместе с коллегами из IT и промышленной автоматизации внедрением технологий. Наша задача состоит в том, чтобы эти технологии изначально были из коробки безопасны". Он добавил, что киберкультура — это основной тренд и основное направление: "Киберкультура — это когда человек знает, умеет, делает и транслирует, обучая других". Мартынцев уточнил, что в компании была задача всю проделанную работу упаковать и в понятном виде донести до всех сотрудников. А это 80 тыс. человек.

Мартынцев подчеркнул, что в конечном результате хотелось бы получить осознанных сотрудников, которые сами соблюдают правила, когда их никто не видит, и следят за соседом. "Ведь культура — это то, как мы себя ведем, условно, у себя дома. Мы в компании два года назад пересматривали ценности, и совместно с топ-менеджерами были сформированы три ценности. Первая — забота о людях, вторая — эффективность. И третья — это безопасность, в том числе информационная", — отметил спикер.

Слово взял генеральный директор ООО "Бастион" Федор Севастьянов. Он обозначил, что за последнее время количество инцидентов, связанных с ИБ, стало меньше, при этом они наносят достаточно существенные операционные издержки. По его словам, есть несколько сценариев, которые можно использовать, в том числе уроки по анализу защищенности информационных систем и кибериспытания.

Федор Севастьянов отметил, что второй вектор, которым они занимаются, — "компромайз ассессмент". "Это поиск следов компрометации уже существующей инфраструктуры у клиентов. Часто, особенно за последние пару лет, в рамках расследования инцидентов видим, что злоумышленники сидят в инфраструктуре до полугода. Это повсеместно происходит в тех инцидентах, которые мы расследуем", — подчеркнул спикер. Важно проверить, не являетесь ли вы уже скомпрометированным.

Федор Севастьянов также отметил, что сейчас создаются центры киберэкспертизы: "Мы тоже участвуем, это важно". По его мнению, многие технологии, которые сейчас внедряются, нужно проверять на безопасность и придумывать такие механизмы на самых первых этапах. Эксперт пожелал, чтобы и регуляторы тоже создавали такие центры и предоставляли всем такие решения, потому что далеко не у всех есть такие ресурсы, как у крупных компаний.

Михаил Наумов добавил, что к бизнесу можно ходить и рассказывать о финансовых рисках на ярких примерах. "Сразу возникает вопрос: „А как у нас? А что у нас? Защищены ли мы настолько, что можем противостоять?“ Поэтому здесь бизнес прямо поворачивается лицом и начинает с вами общаться", — отметил он.

Директор по корпоративным продажам АО "Лаборатория Касперского" Марина Усова отметила, что у компании 28 лет работы, 32 офиса по всему миру. "Наверное, сейчас только одна компания в России имеет доступ к такому объему вредоносов, которая может в онлайн-режиме это все реализовывать сразу в своей сигнатуре", — отметила спикер.

Она заявила, что отвечает за энтерпрайз-рынок, за крупных заказчиков в России: "И вот 99,9% заказчиков пользуются нашими продуктами, и все нас хорошо знают — знают, что продукты „Лаборатории Касперского“ обеспечивают высочайшую защиту".

Усова рассказала, что инциденты могут быть везде, будь то защита за сумасшедшие бюджеты в огромной компании или в небольшой компании, принявшей все меры. "Если злоумышленник хочет найти лазейку, он ее найдет. Но тут важна скорость реакции", — подчеркнула она.

Модератор спросила генерального директора ООО "Код безопасности" Андрея Голова, как компания на уровне стратегии закладывает в свои решения принцип, чтобы отдавать заказчику не только работающий продукт, но и ту самую культуру безопасности.

Андрей Голов отметил: "Продукты безопасности — корневые элементы инфраструктуры. Для нас приоритет — надежность, страна должна работать".

"А безопасность никто не видит до инцидента, — сказал он. — Это как надежный телохранитель, это тень. И тут вопрос выбора между безопасностью и функциональностью. Здесь начинаются мучения: что делать, есть много накопившихся проблем для разных отраслей".

По словам Голова, есть много накопившихся проблем, связанных с кросс-сертификацией. "Часто заказчики просят одну сборку в обеих системах. Поэтому требования жизненного цикла важны", — пояснил он, добавив, что все решения должны быть максимально протестированы при условии того, что инфраструктура постоянно меняется, она не зафиксирована.

Модератор отметила, что президент РФ уже на протяжении большого количества лет подряд говорит о том, что непрерывность и безопасность — это главный приоритет. И любые решения, которые внедряются в инфраструктуру организаций, должны внедряться именно через эту призму. Вопрос к Михаилу Наумову: "ИБ и IT — это очень связанные вещи. Подтвердите, это так?"

Наумов ответил, что это две взаимодополняющие вещи. "IT-технологии без информационной безопасности — это довольно-таки опасно. А информационная безопасность без IT в принципе не нужна".

"Вся информационная инфраструктура должна быть в конечном счете выполнена в безопасном исполнении, защищенном", — добавил он.

В дискуссию вступила Марина Усова, она отметила, что "звонят всегда в „Касперский“, если что-то происходит". Она также сообщила, что ФСТЭК меняет подход к вендорам: "Если регулятор увидит уязвимость раньше, чем мы о ней сообщим, у нас отзовут сертификат".

Модератор обратилась к президенту ГК "Кросс технолоджис" Евгению Чугунову: "Вы внедряете решения. Как технически выстраивается процесс, чтобы после вашего ухода у заказчика осталась не просто работающая система, но и компетенции, и процессы для ее развития и поддержания, то самое ДНК?"

Чугунов ответил, что самое важное — делиться знаниями и компетенциями, передавать их. "В нашем понимании рабочая система — это все-таки комплекс рабочих мер, понятных человеку, с отработанной схемой деятельности. Когда система применима — это значит, что она внедрена", — считает он.

По мнению Чугунова, хорошо, когда есть кадровый резерв, ресурсы у клиента, заказчика в рамках проекта. При этом дефицит с точки зрения кадров в отрасли остался.

"Когда мы говорим о термине „цифровая ДНК“, которую мы должны передать для того, чтобы система взаимодействовала, как-то работала, воспроизводилась, модернизировалась и т. д., мы понимаем, что для того, чтобы ген активировать, нет человека и ресурсов", — отметил он.

Спикер подчеркнул, что это сложный стратегический процесс, где одним из критериев является построение цельной экосистемы знаний и компетенций.

Директор центра противодействия кибератакам Solar JSOC ГК "Солар" Владимир Дрюков рассказал, что при внедрении системы начинается самое интересное. "Если она не упала — круто", — отметил он.

"Ключевой вопрос для самого заказчика: он хочет закончить работу с системой или продолжить? Мало компаний берутся у себя аналитиков собирать. Часто гораздо проще пойти в этом плане к интегратору, провайдеру поручить эту функцию наружу", — рассказал спикер.

"Люди от интегратора, от заказчика в некотором едином калейдоскопе закрывают задачу, которую система или внедряемые технологии должны были закрыть. Это всегда совместная работа", — добавил он.

Евгений Чугунов добавил, что задача защиты является общей, совместной. "Отважно остаться одному никому не хочется", — сказал спикер. По его словам, очень немногие могут позволить себе сделать все необходимое. Каждый принимает решения самостоятельно. При этом отрасль динамичная, постоянно что-то возникает, например, сейчас защита контейнеризации. Спикер задал риторический вопрос: "Сколько у нас специалистов в этой части? С точки зрения рынка — проблемная история. Поэтому всем скопом это и делается".

Мартынцев пошутил, что в качестве решения можно переманивать команду.

Модератор спрашивает Владимира Дрюкова, как использовать практики в разных компаниях, сохранив конфиденциальность.

Владимир говорит, что у них многогранная компания: "Мы и вендоры, и интеграторы, провайдеры, и здесь действительно большая насмотренность. Как коммерческие провайдеры сервисов, мы больше тысячи клиентов защищаем".

Он пояснил, что, когда у одного из клиентов что-то случилось, в случае с другим эту историю уже можно переиспользовать, так как ты понимаешь, какой был инцидент, забираешь сценарии работы. И следующего клиента можно защитить достаточно быстро от этой же самой атаки.

"Здесь про конфиденциальность история такая двусторонняя: с одной стороны, важно не нарушить NDA заказчика, а есть штука более сложная — когда возникает боевой инцидент, всем очень интересно, что именно там произошло, и побыстрее этими индикаторами бы поделиться".

Владимир Дрюков добавил, что сложно делиться уникальными знаниями. "Это действительно очень тонкая история, потому что, с одной стороны, есть нормативная база, можно чем-то делиться открыто, а с другой — это история ограничений. Насмотренность здесь — это такая очень хорошая история, позволяющая в свою вендорскую часть инвестировать", — отметил эксперт.

"Мы для себя сформулировали, поскольку мы на рубеже эксплуатации, на рубеже проектов внедрения, то мы и продукты свои делаем „ибэшниками“ и для „ибэшников“. И это такой хороший симбиоз, который, мне кажется, дает хороший эффект для того, чтобы решать задачи клиентов эффективно", — добавил Дрюков.

Усова добавила, что никто не хочет сейчас и не готов оставаться один на один со злоумышленниками и полностью брать на себя ответственность не только уголовную, но и понятийную. Все больше и больше компании используют как минимум два мнения. А кто-то и три мнения: вендора, интегратора и своей команды.

Модератор поделилась мыслью о том, что компании все больше вкладывают в рекламу ИБ — например, создают популярный мерч.

Марина Усова прокомментировала слова модератора: "Я понимаю, что здесь в основном безопасники, я не безопасник, я сотрудник „Лаборатории Касперского“ и отвечаю за поступление финансов в компанию. Бесит каждые две недели менять пароль. И чем удобнее, тем менее безопасно".

Она добавила, что спасает в этой ситуации "паспорт менеджера". Модератор подытожила тему словами о том, что есть вещи, с которыми нам всем просто придется смириться.

Наумов ответил, что, как бы этот процесс ни был выстроен, все равно сложности возникают при попытках объяснить, договориться, выстроить какие-то партнерские отношения. "Не все руководители способны тебя услышать, но вода камень точит. Здесь надо просто проявить немножко железной воли и спокойно добиваться своих вопросов, объяснять людям, руководителям, что вы не карательный орган, вы им в помощь", — пояснил эксперт. "Тогда появляется понимание, доверие. Информационная безопасность потихонечку в бизнес-процессы и корпоративную ДНК начинает внедряться", — добавил Наумов.

В дискуссию вступил Федор Севастьянов. По его словам, при любом внедрении самое важное — согласованность этого внедрения с остальными структурами компании. "Информационная безопасность часто сталкивается с тем, что это какая-то навязанная функция, это проблема: надо пароли менять, это все очень неудобно. По опыту расследований инцидентов, которые мы видим, большая часть из них происходит из-за того, что ИБ действовала, скорее всего, несогласованно с владельцами инфраструктуры", — подчеркнул он.

Андрей Голов рассказал, что реальное отношение к безопасности сильно поменялось, особенно после появления мошенников и активизации киберпреступности. Вопрос: "Сколько надо вложить и от чего мы защищаемся?"

"Бизнесмены — это вопрос о прибыли, а не о гарантии безопасности. Там другой подход. И я, как бизнесмен, на этот вопрос смотрел бы так", — добавил эксперт.

Чугунов сообщил, что важная задача — продолжать деятельность, даже если что-то произошло. "Выйдет кривое обновление — это тоже инцидент безопасности. Безопасность — это хорошо, но важна непрерывность бизнеса. Давайте заниматься качественно, чтобы мы взаимодействовали. И если что-то сломалось, надо быстро восстановить и продолжать деятельность", — отметил спикер.

Слово снова взял Андрей Голов, который привел пример бизнес-рисков. "В турбулентной ситуации мы поняли, что для нас один из самых основных рисков — это потеря склада. <...> Сейчас мы его разделили на три части, то есть у нас есть долговременная, средняя и операционные части", — добавил он.

Модератор задала вопрос Севастьянову: "Как вы определяете, что ИБ встроилась в ДНК, а не стала просто красивым слайдом стратегии?"

Севастьянов ответил, что самые действенные механизмы — это те, которые на практике показывают реализацию так называемых бизнес-рисков, недопустимых событий, которые понятны в первую очередь бизнесу. "Это не вещи, связанные с эксплуатацией каких-то конкретных уязвимостей, а целиком цепочки, которые приводят к нарушению определенных бизнес-задач заказчиков", — поделился эксперт.

Он добавил, что люди зачастую, когда встречаются с вопросом информационной безопасности, хотят принимать решения на высоком уровне достаточно быстро.

Мартынцев заявил, что они внедрили информационную безопасность в оценку "360 градусов": каждый сотрудник оценивает соседа. Также создан индекс вовлеченности, который в том числе включает в себя информационную безопасность.

Модератор спросила, возможна ли ситуация, когда ИБ будет входить в базовый пакет компании, как бухгалтерия. Мартынцев ответил, что этот момент уже настал.

Модератор отметила, что форум получился с биологической терминологией — кровь, ДНК. Предложила блиц, чтобы каждый рассказал, что для него означает ИБ.

Михаил Наумов сказал, что ИБ — это и киберкультура, и кровь, и ДНК. "Любая связь, как мы знаем, должна быть защищенной", — добавил спикер. Он отметил, что ИБ должна присутствовать везде, как кибергигиена. Инфобизу нужно учить с детского возраста, добавил Наумов.

Для Голова информационная безопасность — это надежность и доверие. "Если ты что-то делаешь, то это точно должно работать, люди не должны с этим мучиться, они должны этому прозрачно доверять", — пояснил он.

Севастьянов отметил, что кибербезопасность — это конкурентное преимущество, причем для многих компаний, особенно для тех, которые работают непосредственно с людьми.

ИБ показывает, что компания может функционировать в любых сложных ситуациях, даже в случае катастроф. Особенно это актуально для экономической сферы, банков. "Важно, чтобы все компании на всех уровнях с этими инцидентами могли справляться", — добавил эксперт.

Алексей Мартынцев сказал, что ИБ — это объект управления. "Я предлагаю руководителям по ИБ смотреть с этой точки зрения. Не выстраивать позицию „я безопасник, поэтому я буду вниз спускать решения по безопасности“. Стать управленцем — это означает слышать запросы бизнеса. Не ставить задачи, а собирать их", — пояснил эксперт.

Наумов считает, что работающим в ИБ хвалиться не надо, но необходимо доносить, кто они, так как раньше специалистов боялись. "Кто мы, чем мы занимаемся и то, что мы им помогаем. Тут не надо скрываться", — подчеркнул спикер.

Усова пошутила, что если Наумова сделать лицом кибербезопасности России, то всем будет приятно. Она считает, что кибербезопасность должна быть незаметна для пользователей, как для обычных, так и для бизнеса.

Модератор Анна Темнякова добавила: "Вы считаете, что вам не нужно хвалиться, а я вас похвалю". Она призналась, что раньше считала, что ее письма изучают какие-то непонятные люди. Но потом узнала, что это очень интеллигентные, приятно одетые, вкусно пахнущие, очень добрые, грамотные, ответственные люди. Поэтому популяризация в целом, по ее мнению, идет успешно.

Чугунов отметил, что ИБ — это необходимое условие существования бизнеса и государства сейчас, в том числе социума.

Владимир Дрюков заметил, что для него ИБ является образом мышления. "Может ли ИБ стать незаметной, удобной? Я не верю", — добавил эксперт.

"Удобной ИБ может стать относительно, — считает он. — Например, поменять пароль — это как почистить зубы. Кому-то нравится и удобно это делать, а кому-то нет".

"Мне кажется, мы цифровизируемся настолько быстро, что в этом плане надеяться, что когда-то мы станем иммунными и все будет хорошо, бесполезно. Наши программисты будут ошибаться, делать плохой код, потому что так устроен мир. Рано или поздно мы вставим себе в голову нейрочипы, их тоже будут ломать", — поделился Дрюков.

Он подчеркнул, что необходимо, чтобы менялось мышление на всех уровнях — на корпоративном, бытовом, на уровне управления компанией. Тогда можно говорить о безопасности как о чем-то органичном.

Наумов подытожил: "ИБ — это то, что нужно любить".

Дискуссия "Как информационная безопасность становится частью корпоративной ДНК" завершилась. Модератор поблагодарила экспертов и гостей форума.