То еще кибериспытание

«Белые хакеры» протестировали защиту российских компаний из ключевых отраслей и с первого раза смогли добраться до критически важных систем в трех случаях из пяти. Наиболее уязвимыми оказались малые предприятия, а торговля и промышленность — в числе самых легко атакуемых отраслей, в отличие от финансового сектора. При этом эксперты не склонны делать выводы о рынке в целом на основании одних испытаний из-за репрезентативности выборки.

Выйти из полноэкранного режима

Развернуть на весь экран

“Ъ” ознакомился с результатами исследования «Недопустимое событие 2025. Цифровой краш-тест российского бизнеса», проводимого компанией «Кибериспытание» (входит в фонд «Сайберус»). Результаты представили 5 августа. Из более тысячи заявок компания отобрала 105 участников программы среди разных отраслей и масштаба. Для подготовки статистики специалисты успели завершить 74 кибериспытания в экспресс-формате. «Белые хакеры» смогли реализовать недопустимое событие примерно в 60% компаний.

Наиболее уязвимыми оказались следующие отрасли: торговля (в 83% организаций удалось реализовать недопустимое событие), обрабатывающие производства (80%), а также отрасль информации и связи (59%).

Наиболее защищенной оказалась сфера финансов и страхования (доля успешных «взломов» составила 25%). «Методология проведения кибериспытаний предполагает максимальную приближенность к реальным кибератакам. При этом они не наносят вреда бизнесу, но демонстрируют пути к реализации критических бизнес-рисков»,— отметила гендиректор «Кибериспытания» Наталья Воеводина.

По типам предприятий наиболее уязвимыми оказались малые (75% «взломов»). Защиту крупного бизнеса удалось обойти только в двух из трех испытаний. Также оказалось, что 67% атак не требовали высокой квалификации исследователей и были реализованы менее чем за сутки. Самый быстрый «взлом» занял 34 минуты с момента начала испытаний. Исследователи чаще всего добивались недопустимых событий по четырем векторам: атаки на периметр защиты, использование утечек и проблем с паролями, использование уязвимостей веб-приложений, а также уязвимостей внутренней инфраструктуры.

Результаты исследования показывают, что шифрование баз данных, доступ к которым получили исследователи, привело бы к простою и, как следствие, недополученной выручке компаний-участников на сумму в 1,57 млрд руб.

Расчет проводился по пяти отраслям. Всего в поисках слабых мест поучаствовало больше полутора тысяч исследователей, 26 из которых получили вознаграждения. Максимальная сумма заработка одного специалиста составила 5,6 млн руб., в среднем выплата составила 700 тыс. руб., а минимальная — 300 тыс. руб. Так как «белые хакеры» получают вознаграждение только после подтверждения уязвимостей заказчиком, модель кибериспытаний гарантирует оплату исключительно за реально обнаруженные угрозы, отмечает руководитель дивизиона ИБ Infosecurity (входит в ГК Softline) Андрей Найденов.

Для современного бизнеса наиболее существенными ИБ-метриками считаются время обнаружения и реагирования на инциденты, доля закрытых критических уязвимостей, показатель «фишинговой устойчивости» сотрудников (их реакция на фишинг), регулярность обучения персонала ИБ, а также регулярное тестирование «плейбуков» (реагирования на инциденты), отмечает инженер ИБ-компании Linx Cloud Станислав Савкин. Большинство из таких метрик могут оценить именно форматы, приближенные к реальным атакам в контролируемой среде. По словам проджект-менеджера MD Audit Кирилла Левкина, они становятся важной частью стратегии обеспечения киберустойчивости. «Такой подход выявляет пробелы, которые могли быть упущены при статических проверках или аудите»,— добавил он.

Так как статистика взломов показательна только для клиентов компании «Кибериспытание», делать по такой статистике вывод об общем состоянии информационной безопасности некорректно из-за недостаточной репрезентативности выборки, считает Андрей Найденов. Однако с выводом о том, что малый бизнес стал самой уязвимой категорией, он согласен. По его словам, малые предприятия, как правило, не обладают достаточными ресурсами для инвестирования в ИБ, а также их IT-процессы зачастую критично не влияют на бизнес.

Филипп Крупанин