Введение
Футуристическая концепция BANI, появившаяся в 2016 году и описавшая мир будущего как хрупкий (Brittle), тревожный (Anxious), нелинейный (Nonlinear) и непостижимый (Incomprehensible), сегодня выглядит как пророчество, причём сделанное задолго до пандемии COVID-19 и других по-настоящему серьёзных проверок на хрупкость и остальное.
С каждым новым днём в обществе растёт потребность в безопасности: физической, экономической, продовольственной и информационной. Посмотрим, как менялось отношение к цифровой безопасности в последние годы на фоне пандемии, увеличения санкционного давления и ухода западных ИТ-компаний, а также после начала СВО.
Кибербез на фоне цифровизации и импортозамещения
Государственные организации начали переход на отечественное ПО и оборудование с 2014 года и постепенно наращивали темп. К процессу цифровизации подключились и государственный сектор, и большое количество частных компаний. В этот же период Россия столкнулась и с первыми санкциями, которые с разной динамикой вводятся по сей день.
Фокус внимания многих генеральных директоров (CEO) сместился в сторону ИТ-отделов — те получили и большие бюджеты, и соответствующую заботу топ-менеджмента. Информационная безопасность же отошла на второй план. Во многих компаниях весь кибербез свёлся к так называемой «бумажной» безопасности, то есть составлению отчётов, ведению журналов мониторинга, написанию политик и стратегий для одной цели: предъявить их регулятору в случае проверки.
Вирус небезопасности
Фактически, угрозы могут последовать откуда угодно. Так, простейшая биологическая частица, о которой раньше знали лишь биологи — коронавирус SARS-CoV-2, — молниеносно распространилась в человеческой популяции и на несколько лет ввела всех в ситуацию неопределённости: неизвестно, что будет завтра. Пандемия сломала выстроенные системы ведения бизнеса, надолго отправила отрасли экономики и отдельные страны на карантин, разорвала транспортные потоки, внесла значимые изменения в бытовые и рабочие процессы миллиардов людей.
В 2020 году на фоне первой волны COVID-19 сформировался запрос на дистанционные средства общения и работы: запертые дома люди остро нуждались в видеосвязи и других средствах поддержания контакта, а компании активно перестраивали бизнес-процессы, чтобы сотрудники могли выполнять рабочие обязанности удалённо, не подвергая себя и коллег риску заражения.
Развитие и активное применение цифровых технологий, в свою очередь, увеличило значимость вопросов кибербезопасности: именно в период ограничений на свободное передвижение и роста онлайн-сервисов активизировались хакеры, телефонные и прочие мошенники. В это же время стало понятно, насколько низок общий уровень кибергигиены: ежедневно сотни россиян называли злоумышленникам свои пароли, отправляли фото банковских карточек, а о существовании фишинговых ссылок узнавали только после того, как им не доставляли оплаченные товары.
Компании тоже не задумывались о рисках, устанавливая сервисы удалённого доступа на домашние компьютеры сотрудников без предварительной проверки таких машин на вирусы. Это кратно увеличило количество уязвимых точек входа в ИТ-инфраструктуры, полезных хакерам для взлома корпоративных сетей компаний-работодателей.
Сотрудники делились своими паролями с коллегой, который в этот день «дежурит» на работе и может распечатать отчёт для руководства. О том, что небезопасные каналы общения могли привести к утечке конфиденциальной информации, мало кто задумывался.
Кроме того, в пандемию ускорился рост фишинговых атак: электронная почта была одним из ключевых каналов делового и личного общения, что повышало риск открыть вредоносное вложение. Как в 2020 году среднестатистическая компания защищалась от вирусов-шифровальщиков или других вредоносных сущностей? В основном только антивирусными программами (и это в лучшем случае). На тот момент к Innostage с запросами на комплексные услуги по кибербезопасности обращался только крупный бизнес.
В целом, до 2020 года вопросы обеспечения кибербезопасности были вне поля зрения генерального директора; коронавирус стал отправной точкой для более внимательного отношения к ним.
Затишье перед кибербурей
Период с 2020 года по февраль 2022-го можно назвать временем краткосрочного затишья. Ковидные ограничения постепенно снимались, многие сотрудники вернулись в свои офисы.
Бизнес «оброс» цифровой инфраструктурой. У небольших компаний появились интернет-магазины, у крупных — экосистемы сервисов. А вот внимание к ИБ, наоборот, ослабло, всё снова свелось (за рядом исключений) к «бумажной» безопасности и формальному подходу к защите.
Темпы импортозамещения также заметно снизились. Во время «авральных» ковидных лет основной задачей было максимально быстро нормализовать бизнес-процессы. Многие проекты, связанные с переходом на российское ПО, застопорились.
Руководители компаний увидели, что внушительные ИТ-бюджеты были потрачены не напрасно и принесли серьёзную прибыль, позволили пережить весьма трудные для многих отраслей ковидные времена. Но мотивов тратить часть этих бюджетов на информационную безопасность у многих CEO так и не появилось. Впоследствии многие наверняка об этом пожалели.
СВОй след
Объявление СВО в конце февраля 2022 года стало стартовой точкой военного, политического, экономического и технологического противостояния между Россией и недружественными по отношению к ней странами.
Спешная замена софта сырыми и зачастую сомнительными решениями, использование открытого кода и «крякнутых» сборок из-за отзыва лицензий, а также нечистоплотность ряда бывших поставщиков, намеренно заложивших уязвимости в свои продукты, не просто ослабили, а фактически подорвали кибербезопасность российских компаний. ИТ-отрасль стала полем боя, где сперва устраивались серии хакерских ковровых бомбардировок для выявления уязвимых мест, а затем применялось более разрушительное оружие с прицельными ударами по слабым звеньям.
«Средняя температура по больнице» резко приблизилась к критическим 42 градусам, бизнес и госкомпании начало лихорадить. В качестве лечения стали срочно применять регуляторные меры.
Самая первая и главная — это указ Президента № 250 от 1 мая 2022 года. В числе других важных положений он ввёл меры по развитию цифровой экономики и обеспечению кибербезопасности, включая персональную ответственность руководителей за ИБ.
Фактически, с этого момента каждую компанию обязали ввести в штат должность ИБ-директора или аналогичную ей. В июле 2022 года соответствующим постановлением Правительства РФ было утверждено типовое положение о заместителе руководителя организации, ответственном за обеспечение информационной безопасности.
О кибербезопасности заговорили не только специалисты отрасли: эта тема стала активно включаться в повестки экономических форумов и обсуждений в других форматах с участием руководителей госструктур и крупного бизнеса.
Если в 2021 году глав предприятий приходилось убеждать в необходимости обеспечения информационной безопасности, то с весны 2022 года кибервойна привела настолько веские доводы, что возражений не осталось. С начала СВО практически весь бизнес находится под угрозой кибератак. До кого-то дотянулись раньше, а на кого-то, возможно, готовят атаку прямо сейчас.
Зачем CEO думать о кибербезе, если есть директор по ИБ
В последние два года наблюдается увеличение бюджетов на кибербезопасность: например, малый и средний бизнес планирует увеличить затраты на кибербезопасность на 12 %, крупные корпорации — на 16 %. Наибольший рост произошёл в отраслях связанных с технологиями, финансами и здравоохранением. Бюджеты увеличивались из-за чрезвычайных обстоятельств, таких как ИБ-инциденты, изменения в позиционировании компаний и отраслевые сбои.
Если до 2022 года комитеты по рискам имелись не более чем в 80 % крупных и средних компаний, то после 2022 года этот показатель превысил 90 %. Сегодня в таких комитетах наряду с экономистами и операционным менеджментом активно работают ИТ- и ИБ-специалисты.
Здесь стоит вернуться к указу № 250 и последующим законам, регулирующим ответственность за сохранность ИТ-активов и конфиденциальной информации, которая возложена на ИБ-директора — CISO (Chief Information Security Officer). Возникла интересная тенденция: главы компаний посчитали, что на этом вопрос закрыт, и максимально дистанцировались от забот CISO, оставив тех наедине и с хакерами, и со внутренними конфликтами между подразделениями. В случае же «пропуска мячей» от хакеров без долгих разборов смещали с должности именно ИБ-руководителя.
Следующую работу такому специалисту найти было нелегко: некоторые компании считали, что если при CISO было реализовано недопустимое событие, то это чёрная метка. Причины такого отношения — неготовность руководства и собственников погружаться в технические вопросы, «разборки» между ИТ и ИБ-департаментами, а также недооценка киберрисков.
Российское киберпространство сегодня
Пандемия COVID-19 стала драйвером цифровизации российского бизнеса. Инфраструктуры компаний выросли и во многих случаях стали важными факторами экономического развития. Это привело к тому, что и риски по части ИБ стали выше, возросла потребность в защите, осознанная многими только в феврале 2022 года.
За три года ведения СВО мы убедились, что противник считает законными любые цели в российском киберпространстве, включая сайты больниц (читайте статью Anti-Malware.ru «Умные больницы: как обеспечить защиту от угроз и безопасность инфраструктуры?»), магазины женской одежды, производства детских игрушек. Компании из разных сфер бизнеса столкнулись с кибератаками на свои инфраструктуры. Во многом это происходит потому, что у ряда хакеров нет коммерческого интереса: они атакуют просто чтобы нанести ущерб, не считаясь с затраченными силами и выбирая цель только по геополитическому признаку.
Выводы
Сегодня CEO уделяют гораздо больше внимания кибербезопасности. Они увеличивают бюджеты на повышение квалификации кадров, тренировки на киберполигонах и другие практические форматы обучения, инвестируют в новые технологии и сервисы для защиты ИТ-инфраструктуры, внедряют методологии киберустойчивости. Главы компаний понимают: информационная безопасность стала одним из ключевых условий существования и развития бизнеса.
