Защитная стратегия
Почему бизнесу важно инвестировать в кибербезопасность
Рост киберугроз в 2025 году становится одним из ключевых факторов влияния на бизнес. Риски, сопряженные с информационной безопасностью (ИБ), заставляют топ-менеджмент больше погружаться в профильные вопросы, а уровень защищенности организации становится маркером доверия к ней со стороны партнеров. Как российский бизнес перестраивает свои системы защиты в условиях роста кибератак, разбирался «Ъ-Review».
Фото: Getty Images
Фото: Getty Images
Проверка на прочность
С середины лета заметно возросло число кибератак на российскую IT-инфраструктуру. Так, в июле беспрецедентный сбой произошел в системах «Аэрофлота», что привело к отмене рейсов и остановке многих процессов в самой компании. Также были атакованы ритейлер «ВинЛаб», популярная сеть аптек «Столички» и медицинская клиника «Семейный доктор», что в разной степени отражалось на работе каждой из компаний. Но все эти инциденты стали публичными и заметными, заставив компании работать в крайне сложных условиях.
На этом фоне бизнес начал пересматривать подходы к информационной безопасности:
меняются сроки планирования, усиливается роль топ-менеджмента, растет интерес к практическим механизмам оценки защищенности, и все больше внимания уделяется кадровому обеспечению и технологической независимости отрасли.
К такому выводу пришли компания «ТеДо» и ГК «Солар» (входит в «Ростелеком») в совместном исследовании с участием крупнейших игроков российского рынка.
По данным исследования, за последние пять лет горизонт стратегического планирования в области кибербезопасности сократился с пяти до трех лет. Компании пересматривают свои стратегии ежегодно, а в условиях «растущей неопределенности» долгосрочные планы «теряют практический смысл». Как отмечает старший менеджер практики кибербезопасности «ТеДо» Антон Мерцалов, все слишком быстро меняется: угрозы, технологии, регуляторные требования, геополитический контекст — все это заставляет компании быть гибкими. «Основной фактор — это скорость изменений в мире за последние годы: COVID, уход зарубежных вендоров, рост атак, развитие ИИ и прочее»,— признает директор по информационной безопасности РТК-ЦОД (входит в «Ростелеком») Денис Поладьев.
Дополнительную нестабильность создает резкий рост количества атак.
В ГК «Солар» указывают, что с 2022 года число кибератак на российскую инфраструктуру увеличилось в десятки раз. И это не предел — по прогнозам экспертов, их число ежегодно будет расти на 20–30%.
Постоянное появление новых механик атак и профессиональных преступных группировок требует от бизнеса регулярного пересмотра приоритетов и отказа от прежних «пятилеток», отмечают в компании.
Тотальная ответственность
При этом уровень вовлеченности первых лиц бизнеса в сфере информационной безопасности за последнее время существенно вырос. Если раньше топ-менеджмент участвовал только в согласовании бюджета, то теперь — в управлении рисками, стратегическом планировании и контроле эффективности. Однако вовлеченность — это не только интерес к теме. По словам директора по стратегической трансформации Innostage Никиты Аронова, CEO (руководитель компании) ожидает от ИБ-функции диалога «на языке бизнеса» — с понятной логикой принятия решений и привязкой к стратегическим целям компании.
Сегодня от CISO (директор по информационной безопасности) ждут не столько технических отчетов, сколько ответов на вопросы, насколько устойчива инфраструктура, где реальные риски и как они скажутся на бизнесе. Отсюда и растущий запрос на кибериспытания, Bug Bounty (публичная программа по поиску уязвимостей), контролируемые атаки. Все эти практики дают измеримый результат, который можно сравнить с экзаменом на информационную безопасность.
«Кибербезопасность по-прежнему часто воспринимается как вторичная функция: CISO подчиняется CIO (директор по информационным технологиям.— “Ъ-Review”), нет прямого выхода на топ-менеджмент, а бюджеты формируются по остаточному принципу. Это снижает реальное влияние ИБ на стратегические решения»,— добавляет господин Аронов.
От инцидентов к устойчивости
Оценка эффективности кибербезопасности становится все более зрелой, отмечают авторы исследования. Метрика «отсутствие инцидентов» теряет свою значимость, так как не отражает реального состояния защиты.
На первый план выходят скорость обнаружения и реагирования на угрозы, эффективность устранения уязвимостей, соблюдение регуляторных требований и реализация планов по масштабированию инфраструктуры.
Как подчеркивает Антон Мерцалов, именно наличие таких метрик говорит об эффективности системы безопасности, а не просто об отсутствии зарегистрированных инцидентов без проверки глубины защиты. «Все чаще бизнес интересуют не сами инциденты, а то, какие атаки не пробили периметр защиты в ходе испытаний и сколько критичных уязвимостей реально устранено»,— подчеркивает господин Аронов.
Компании все чаще используют Bug Bounty, а также red teaming (атака «красной команды» атакующих), кибертренировки с участием и нападающих, и защитников (purple teaming), регулярные учения. Эти методы позволяют тестировать ИБ-функцию в условиях, приближенных к реальным атакам, и выявлять уязвимости не в теории, а на практике. Особую ценность представляют сценарные учения с участием бизнес-руководства — они выявляют проблемы во взаимодействии между IT и топ-менеджментом, которые при настоящем инциденте могут стать критичными.
Традиционные показатели вроде количества инцидентов или среднего времени реагирования уже не отвечают на запрос акционеров, считает господин Аронов. Все большую роль играют показатели, связанные с киберустойчивостью: насколько сложно атакующему преодолеть защиту, как быстро система восстанавливается после атаки, какие уязвимости были закрыты, а не просто зафиксированы. Чем выше зрелость ИБ-функции, тем выше стоимость атаки — и тем менее привлекательной она становится для злоумышленников, заключает эксперт.
Импортозамещение и искусственный интеллект
Российские компании находятся в процессе масштабной технологической перестройки. Импортозамещение в ИБ-сфере стало не просто трендом, а новой нормой.
Основные сложности при переходе на отечественные решения связаны с функциональными ограничениями, проблемами интеграции и нехваткой зрелых альтернатив.
По словам экспертов «ТеДо» и ГК «Солар», многие компании решают эти задачи через гибридные архитектуры, усиление внутренней экспертизы и пересборку ИБ-ландшафта с нуля. Параллельно растет интерес к внедрению средств автоматизации на базе искусственного интеллекта и машинного обучения. Однако, как показывает исследование, отношение к ИИ в кибербезопасности неоднозначное: 50% опрошенных относятся к нему с настороженностью, 50% — с оптимизмом. На практике ИИ пока используется точечно для анализа трафика, выявления аномалий, автоматизации обработки инцидентов и помощи операторам. Директор по продуктам Servicepipe Михаил Хлебунов отмечает, что ИИ сегодня особенно полезен в условиях дефицита кадров, его использование позволяет снимать рутинную нагрузку с сотрудников и ускорять реакцию компании на угрозы.
В то же время многие компании пока не готовы полностью полагаться на ИИ. Как объясняет господин Мерцалов, настороженность связана с тем, что трудно предсказать реакцию ИИ в критической ситуации. Тем не менее потенциал искусственного интеллекта в повышении качества защиты и оптимизации процессов уже очевиден.
Вопрос доверия
Самым серьезным вызовом для рынка на текущий момент исследователи называют нехватку квалифицированных кадров.
Дефицит кадров ощущается повсеместно, и его невозможно закрыть увеличением зарплат или расширением штата.
Рынок нуждается в тех, кто способен работать в условиях высокой неопределенности и нестандартных архитектур. «Сейчас нужны не просто ИБ-специалисты, работающие по шаблонам пятилетней давности, а те, кто разбираются в системах, которые защищают,— даже при отсутствии доступа к разработчикам или документации»,— говорит Михаил Хлебунов. Многие компании делают ставку на выращивание кадров внутри: создают внутренние программы обучения, лаборатории, партнерства с вузами. По данным ГК «Солар», комплексный подход к образованию становится ключевым трендом. Он включает менторские программы, стажировки, углубленную практику и, главное, обучение в условиях, максимально приближенных к реальной IT-инфраструктуре.
Кроме того, на повестке — вопрос доверия к внешним подрядчикам. По словам экспертов Innostage, заказчики все чаще ищут подтверждение квалификации поставщиков: участвуют ли они в Bug Bounty, прошли ли независимые испытания, имеют ли верифицированные кейсы. Это формирует запрос на отраслевые стандарты и рейтинги доверия, которые позволят отличать реальную экспертизу от маркетинговых обещаний. Информационная безопасность сегодня — это не только защита, но и способность компании адаптироваться к внешним рискам, сохранить непрерывность бизнеса и репутацию на рынке. ИБ все чаще воспринимается не как затраты, а как фактор устойчивости и доверия со стороны клиентов и партнеров. По сути, информационная безопасность становится новой формой конкурентного преимущества — особенно в условиях, когда угроза атаки перестала быть гипотетической.