Информационная безопасность в поисках решений: как бизнесу защититься от современных киберугроз

Сегодня ущерб от хакеров исчисляется миллиардами, при этом, как ни странно, человеческий фактор остается слабым звеном защиты. В этой ситуации бизнес ищет эффективные решения. На прошедшей конференции, организованной ИД «Коммерсантъ» в Санкт-Петербурге, эксперты представили проверенные кейсы выстраивания внешних и внутренних контуров защиты, системы обучения сотрудников, возможности ИБ-аутсорсинга. Особое внимание было уделено анализу сетевых угроз, которые продолжают эволюционировать, требуя новых подходов к кибербезопасности.

Осознанность и осведомленность

Артем Кирокосян, руководитель партнерского направления StopPhish, рассказал о том, как превратить человеческий фактор из главной уязвимости в элемент защиты. Представляемая им компания, присутствующая на рынке с 2017 года, специализируется на обучении сотрудников и формировании культуры кибербезопасности в организациях. За это время было разработано более 10 тыс. сценариев кибератак для тестирования персонала, что позволило предупреждать риски мошенничеств в 20–30 раз эффективнее.

По словам спикера, количество кибератак продолжает расти экспоненциально, эта тенденция только усилится в ближайшие годы. Артем Кирокосян привел статистику Центробанка, согласно которой в 2024 году было совершено 130 тыс. киберинцидентов (в сравнении с 2023 годом увеличение в 2,5 раза), украдено мошенниками 27,5 млрд рублей. При это 60% атак на организации начинается с фишинга.

«Особую опасность теперь представляют атаки с использованием искусственного интеллекта: современные инструменты ИИ позволяют мошенникам создавать контент, практически неотличимый от реального. При этом злоумышленники активно используют бесплатные ИИ-решения, что делает угрозы еще более доступными и массовыми»,— отметил тенденцию спикер.

Для эффективной защиты Артем Кирокосян считает необходимым системно формировать культуру кибербезопасности среди сотрудников. То есть простого информирования недостаточно — важно научить персонал критически оценивать риски. Это достигается через практические тренинги, моделирующие реальные угрозы. Среди актуальных угроз сегодня фишинговые письма, поддельные QR-коды, зараженные флешки, мошенничество в мессенджерах и соцсетях. Обучение должно быть постепенным: от предупреждающих писем к сложным сценариям. «Важно мотивировать сотрудников, объясняя, что эти навыки полезны не только на работе, но и в личной жизни — для защиты социальных сетей и банковских аккаунтов»,— подчеркнул Артем Кирокосян.

Он предложил следующие эффективные инструменты: письма-тренажеры, экономящие время сотрудников и ИБ-специалистов; одностраничные «ловушки», которые наглядно демонстрируют последствия клика по подозрительной ссылке; а также обучающие материалы без сложной терминологии с акцентом на практическую пользу. Для поддержки интереса сотрудников можно использовать сводные отчеты с демонстрацией результатов обучения.

Отвечая на вопрос из зала, какие отрасли наиболее подвержены атакам, спикер назвал компании, которые работают с персональными данными: службы доставки, финтех-организации, ритейлеры. Для них грамотные сотрудники становятся первым рубежом защиты.

«Без осознанного подхода персонала даже самые совершенные ИБ-системы не смогут обеспечить полноценную защиту. Постоянное практико-ориентированное обучение позволяет превратить человеческий фактор из слабого звена в важный элемент системы безопасности компании»,— подытожил Артем Кирокосян.

Выстраивание ИБ в коммерческих структурах

Станислав Чегодаев, ИТ-директор Boxberry, представил кейс построения системы информационной безопасности в коммерческой компании. По его словам, коммерческие организации, в отличие от регулируемых отраслей и госструктур, обладают большей свободой в выборе решений кибербезопасности, не будучи ограниченными обязательным использованием средств защиты КИИ. Однако это преимущество нивелируется сложностью обоснования затрат на ИБ-защиту перед руководством.

На фоне постоянного роста цен на специализированный софт и учащения атак перед бизнесом встает дилемма оптимального распределения ограниченных ресурсов безопасности. Поэтому, по мнению спикера, следует выстраивать работу фокусно и не преследовать цель защитить все, следуя принципу Фридриха Великого: «Тот, кто пытается защищать все, не защищает ничего».

Станислав Чегодаев подчеркнул, что в коммерческих структурах ИБ-службы в первую очередь должны защищать ИТ-активы компании: данные, ПО, оборудование, сервисы. Для оценки угроз он рекомендует использовать расширенную модель CIA NA, которая дополняет классическую триаду «конфиденциальность-целостность-доступность» компонентами «неотказуемости» и «подлинности».

Практический подход к построению защиты, по словам Станислава Чегодаева, должен включать несколько ключевых этапов. Сначала необходимо проанализировать специфику бизнеса, чтобы определить критичные ИТ-активы и актуальные угрозы. Затем следует расставить приоритеты защиты, синхронизировав ИБ-стратегию с общей бизнес- и ИТ-стратегией компании. Особое внимание нужно уделить обеспечению целостности и доступности активов как в локальной инфраструктуре, так и в облаке, учитывая требования бизнеса к времени и точке восстановления.

«Например, у нас потоковый бизнес, и час простоя может превратиться в шестизначные цифры недополученной прибыли»,— подчеркнул спикер.

Не менее важны меры по защите конфиденциальности через обучение сотрудников и внедрение ролевой модели управления доступом. Кроме того, отвечая на вопрос из зала по поводу внедренных мер по предотвращению утечки персональных данных, спикер отметил, что они предложили сотрудникам подписать документ о неразглашении коммерческой тайны. И после такой бумаги сотрудники уже более осознанно подходят к открыванию подозрительных ссылок.

Отдельное внимание спикер уделил контролю безопасности на этапах разработки и доработки ПО, включая продукты внешних подрядчиков. Непосредственно компания разрабатывала свое ПО с учетом внедрения инструментов DevSecOps на выбранной ИТ-системе. Еще на этапе разработки ПО удалось снизить уровень угроз более чем на 10% до завершения этапа пилотного тестирования (только на статических способах контроля).

Станислав Чегодаев пришел к выводу, что в условиях ограниченных ресурсов коммерческим компаниям необходимо сосредоточиться на защите ключевых активов, интегрируя процессы информационной безопасности в общую бизнес-стратегию и находя разумный баланс между затратами и уровнем защищенности. Этот подход позволяет эффективно противостоять современным киберугрозам без избыточных инвестиций в ИБ-инфраструктуру.

Наука и индустрия

Вызовы подготовки кадров стали темой выступления Виктории Коржук, доцента факультета безопасности информационных технологий университета ИТМО. По ее словам, рынок к 2027 году потребует 235–260 тыс. ИТ-специалистов, тогда как текущий выпуск вузов/СПО составляет 10–15 тыс. человек, что явно недостаточно для покрытия спроса. Уже сейчас уровень дефицита специалистов, согласно статистике Positive Tech и Headhunter, составляет 45%.

Особенно остро ощущается сдвиг спроса от универсалов к узкопрофильным экспертам. В частности, требуются специалисты по Cloud Security, AI Security, Big Data Protection и другим направлениям прикладной ИБ. Такой запрос предполагает некоторую трансформацию образовательных моделей. И изменения происходят.

В России с 2023 года начался пилотный проект по переходу от Болонской системы к национальной системе высшего образования. Проект предусматривает отказ от деления на бакалавриат и магистратуру в пользу многоступенчатой системы базового, специализированного и профессионального образования. Полный переход на новую систему во всех вузах планируется к 2026 году.

Для сферы ИБ высшее образование критически важно: оно дает теоретическую базу (такие дисциплины, как теория информации, криптография, дискретная математика, архитектура систем), формирует системное мышление и сохраняет академическую преемственность. При этом откликается и сама индустрия: компании активно инвестируют в корпоративные образовательные программы и НИОКР, есть совместные с вузами программы и пр. Практико-ориентированные форматы вроде CTF-турниров и киберполигонов (как у «Позитив Технолоджис») доказали эффективность, равно как и ДПО для повышения квалификации действующих специалистов.

Международный спрос на российское ИТ-образование остается высоким: в 2024 году привлечено 358–389 тыс. иностранных студентов при изменившейся международной обстановке.

По словам Виктории Коржук, сегодня для создания комплексной системы подготовки специалистов необходима синергия образования, науки и практики. Для этого критически важна вовлеченность индустрии: запрос со стороны крупных компаний и их экспертиза помогают корректировать процессы обучения, обеспечивая их соответствие реальным потребностям рынка.

Аутсорсинг: за и против?

Михаил Серапионов, заместитель гендиректора по направлению ИБ-аутсорсинга «СерчИнформ», рассказал о возможностях оптимизации затрат. Компания обслуживает более 4 тыс. клиентов по всей России, имеет клиентов в 20 странах и располагает достаточной экспертизой, собранной в исследованиях. Так, согласно их данным, за последний год госорганизации увеличили свой ИТ-бюджет на 35%, а коммерческие компании — на 44%. Центр стратегических разработок приводил следующие цифры годовых затрат на ИБ-решения: госорганизации тратят 102 млн рублей, ИТ-компании — 507 млн рублей, финсектор — 447 млн рублей.

По словам представителя «СерчИнформ», сегодня компании направляют значительную часть ИТ-бюджетов на защиту внешнего периметра: встроенные средства защиты ИБ в ОС, средства шифрования, антивирусы и межсетевые экраны. Однако в последнее время все больше внимания уделяется внутренним угрозам, таким как утечки данных и несанкционированные действия сотрудников.

Согласно проведенным исследованиям, организации действительно теряют контроль как над данными, так и над персоналом. Это подтверждается конкретными кейсами: сотрудники могут случайно или намеренно передавать конфиденциальную информацию (техническую, финансовую документацию и т. д.), копировать файлы на внешние носители или даже передавать данные конкурентам. В таких условиях недостаточно полагаться на доверие — необходимо четко отслеживать действия сотрудников и контролировать их работу.

Для малого и среднего бизнеса ИБ-аутсорсинг становится оптимальным решением, поскольку у таких компаний часто нет бюджета на дорогостоящее ПО или штатных специалистов по информационной безопасности. Аутсорсинг позволяет получить профессиональную защиту без значительных затрат, причем услуги можно заказывать точечно — только для решения конкретных задач. Крупные компании, даже имея собственные ИБ-подразделения, также могут использовать аутсорсинг для восполнения нехватки ресурсов, передачи рутинных задач или привлечения экспертов для расследования сложных инцидентов.

«Не стоит ждать инцидента — лучше заранее выстроить систему мониторинга и реагирования. А аутсорсинг в этом ключе — эффективный инструмент, который может использоваться в том числе как дополнительная экспертиза»,— подытожил спикер.

Когда угроза может исходить даже от IoT-устройств

Станислав Грибанов, руководитель продукта «Гарда NDR», рассказал о выстраивании системы противодействия актуальным угрозам в сетевом трафике.

Ландшафт сетевых угроз выглядит следующим образом: 70% организаций как минимум дважды становились жертвами атак в зашифрованном трафике, 70% организаций имеют уязвимые IoT-устройства (хоть это неочевидно, но через них тоже происходят атаки), 70% уязвимостей эксплуатировались как уязвимости нового дня, 61% клиентов, использующих IDS-системы, отмечают их низкую точность и большое число ложных срабатываний.

Всего одна уязвимость может привести к краху всей системы. Станислав Грибанов привел показательный пример: группировка Akira проникла в сеть через учетные данные удаленного доступа, установив AnyDesk. Хотя EDR заблокировал ransomware на Windows, злоумышленники нашли веб-камеру на Linux без защиты. Скомпилировав шифровальщик прямо на камере, они атаковали сетевые диски через SMB. Атака удалась из-за устаревшей прошивки IoT-устройства и невозможности защитить его стандартными EDR-решениями.

Еще один кейс — от разработчика системы бронирования авиабилетов Leonardo (АО «Сирена Трэвел»). Неизвестные, используя программу SSH Bruteforce, нейтрализовали средства защиты компьютерной информации, а затем с помощью программы HEUR:Trojan.WInLNK.Alien.gen получили доступ к информационным системам АО «Сирена-Трэвел», в том числе к системе бронирования авиабилетов Leonardo. В результате, согласно данным СМИ, произошла утечка данных пассажиров, а отвечать за это в рамках уже уголовного дела пришлось топ-менеджерам, которые не обеспечили должную защиту.

Еще один показательный кейс — крупнейший южнокорейский оператор SK Telecom T1 был взломан в 2022 году. Злоумышленники находились незамеченными в инфраструктуре три года. За это время были скомпрометированы данные 27 млн абонентов.

Угрозы становятся все более изощренными, в качестве решения Станислав Грибанов предложил продукт «Гарда NDR». Он обеспечивает защиту корпоративных сетей за счет непрерывного анализа трафика и автоматического выявления киберугроз. Система в режиме реального времени обрабатывает сетевые данные, применяя сложные алгоритмы машинного обучения для обнаружения как известных атак, так и новых: от вредоносного ПО до попыток обхода периметровой защиты и компрометации учетных записей.

Интегрируясь с другими решениями и сетевым оборудованием, «Гарда NDR» автоматически блокирует подозрительную активность по заранее заданным сценариям. Это позволяет не только выявлять атаки на ранних стадиях, в том числе атаки нулевого дня, но и предотвращать их развитие, минимизируя потенциальный ущерб для инфраструктуры.

За счет ретроспективного анализа и корреляции событий система способна обнаруживать даже скрытые угрозы, которые уже проникли в сеть, обеспечивая тем самым многоуровневую защиту на всех этапах кибератаки.

Цифровой Шерлок Холмс

Можно ли вычислить взломщика и противостоять ему, объяснил в своем выступлении Сергей Золотухин, консультант по кибербезопасности компании F6.

«Основа нашей тактики — знать своего врага, чтобы эффективно противодействовать. Современная киберразведка позволяет изучить инфраструктуру злоумышленников, их модели атак и заготовленные сценарии. Важно понимать, с кем имеешь дело: это госхакеры, занимающиеся шпионажем, вымогатели, нацеленные на финансовую выгоду, или желающие устроить диверсию. В зависимости от этого можно предпринять шаги по выстраиванию стратегии защиты»,— пояснил Сергей Золотухин.

Сбор цифровых следов строится вокруг трех ключевых вопросов: кто атаковал, насколько глубоко проник и через какую точку вошел. Задача — восстановить полную цепочку инцидента, что возможно благодаря анализу цифровых следов и значительно ускоряется при использовании данных киберразведки. Найдя даже один артефакт, можно выявить тактику группы, понять, какие уязвимости были использованы, и перекрыть точку входа. Эти данные также могут послужить цифровыми доказательствами в суде.

Установление личности злоумышленника — сложный, но реальный процесс. Через IP-адрес можно выйти на ник в Telegram, электронную почту или криптокошелек, а затем — на связи и инфраструктуру. Однако сейчас это усложняется из-за массового создания аккаунтов и использования VPN, особенно из дружественных злоумышленникам стран, отметил спикер.

Реагирование на инцидент занимает до трех недель, из них активная фаза длится два-три дня. Расследование может растягиваться на месяцы, длиться полгода и больше. Взаимодействие с правоохранительными органами, включая МВД, позволяет продвигать такие дела, даже несмотря на все сложности.

Участники конференции «Коммерсантъ» пришли к выводу, что технологии атак развиваются — и только гибкие, многоуровневые решения способны эффективно противостоять им. Безопасность становится стратегическим приоритетом для любого бизнеса.

Алла Михеенко