Считай, сэкономили. Пять отраслей экономики РФ не потеряли 2,7% от всего объема ВВП России 2024 г.
Пресс-завтрак фонда "Сайберус". На фото: генеральный директор АО "Кибериспытание" Наталья Воеводина (фото ComNews)
Вчера, 5 августа, генеральный директор АО "Кибериспытание" (входит в фонд "Сайберус") Наталья Воеводина представила итоги исследования "Недопустимое событие 2025. Цифровой краш-тест российского бизнеса", в ходе которого исследователи проанализировали результаты 74 компаний из девяти отраслей российской экономики, включая ИТ (57%), торговлю (10%), научную деятельность и консалтинг (9%), обрабатывающие производства (8%), финансы и страхование (6%). Все исследования проводились в экспресс-формате: у белых хакеров было три месяца на реализацию сценария, который мог бы остановить работу компании. В случае успешной реализации недопустимого события исследователям выплачивался 1 млн руб. из грантового фонда АО "Кибериспытание".
Наталья Воеводина отметила, что в декабре 2024 г. более 100 компаний из разных отраслей откликнулись на предложение оценить уровень защищенности критических бизнесс-процессов от реализации недопустимых событий: "Мы охватили пять различных секторов, что обеспечивает репрезентативность выборки. У 51% компаний инициатором кибериспытаний стали генеральные директора и акционеры, у 49% - ИТ- и ИБ-директора. Это говорит о том, что кибербезопасность перестала быть зоной ответственности только профильных департаментов и перешла в стратегическую повестку руководства бизнеса".
Наталья Воеводина сообщила, что в трех из пяти компаний исследователи смогли реализовать недопустимое событие в течение первых трех месяцев, преимущественно в первый: "В двух из трех случаев проверка завершилась в первые сутки. Мы привлекли компании разного масштаба: от микропредприятий до крупного бизнеса с собственными службами информационной безопасности (ИБ). Оказалось, что микропредприятия, как правило, используют облачные сервисы крупных компаний, которые уже имеют надежные меры защиты. Однако малые предприятия, создающие инфраструктуру и сервисы, еще не всегда уделяют должное внимание информационной безопасности и остаются более уязвимыми".
Наталья Воеводина отметила, что даже среди средних и крупных предприятий более половины подверглись взлому: "Наибольшему риску подвержены компании из сферы производства и торговли. Финансовые и страховые организации, работающие в более регулируемой среде и давно соблюдающие закон о персональных данных, имеют больше правильных рефлексов в области ИБ".
Наталья Воеводина также рассказала про экономические затраты компании и эффект: "АО "Кибериспытание" проинвестировало 40 млн руб. на оценку защищенности 74 компаний, вышедших на кибериспытания. Эти инвестиции помогли предотвратить ущерб в 1,7 млрд руб. только по шифрованию и выплате выкупов хакерам за похищенную информацию. Предполагаемый убыток от взлома бизнес-процессов в пяти отраслях российской экономики мог составить 5,3 трлн руб. при текущем уровне защищенности компаний".
Руководитель управления информационной безопасности Ассоциации ФинТех Александр Товстолип считает внутреннюю проверку компании через кибериспытания более эффективным способом проверки, нежели теоретическое обучение сотрудников: "Этот способ позволяет тестировать механизмы реализации безопасности и защиты данных на практике, а не ограничиваться теоретической проверкой документации. Поэтому и участники ассоциации реализуют такие практики, причем у крупных рыночных игроков такие проверки проводятся как внутренними командами белых хакеров, так и привлекаются внешние команды, которые тестируют системы снаружи".
Директор направления "Информационная безопасность" ООО "Рексофт" Сергей Бабкин рассказал корреспонденту ComNews, что "Рексофт" состоит из нескольких юридических лиц и компания периодически проводит такие проверки: "В профессиональном сообществе это называется "тестирование на проникновение в инфраструктуру" (Penetration test). Мы считаем такой способ наиболее эффективным, так как он показывает, как на самом деле обстоят дела с защитой контура. Вместе с тем многое зависит от уровня специалистов, привлекаемых к задаче. Поэтому требования к команде специалистов должны быть сформулированы относительно результата, который вы ожидаете и смысла предполагаемых проверок".
Руководитель направления информационной безопасности АО "Корп Софт" (CorpSoft24) Демьян Раменский отметил, что компания регулярно проводит ИБ-аудиты и пентесты как отдельных систем, так и всей инфраструктуры в целом. "Мы и впредь планируем их проводить. Я бы не противопоставлял обучение и тестирование защищенности. И то, и то важно и необходимо", - отметил Демьян Раменский.
Самыми уязвимыми отраслями стали обрабатывающее производство (83%) и торговля (80%). Самой безопасной - финансы и страхование (25%). По мнению Демьяна Раменского, финансы, госинформсистемы, критическая информационная инфраструктура, ИТ и телеком как были самыми продвинутыми в плане информационной безопасности, так и останутся, так как над ними довлеют требования законодательства. "К сожалению, без принуждения со стороны государства компании редко уделяют должное внимание ИБ до того, как с ними случится "недопустимое событие", - отметил он.
Руководитель группы защиты инфраструктурных ИТ-решений "Газинформсервиса" Сергей Полунин считает, что процентное соотношение в отраслях российской экономики по уровню взлома инфраструктуры будет меняться: "И причин для этого очень много. Во-первых, уровень атак растет быстрее, чем повышается зрелость информационных систем. Во-вторых, далеко не все компании инвестируют в ИБ, а значит, со временем прежде безопасные индустрии будут под ударом. Ну и наконец огромное количество секторов экономики остаются недофинансированными - госсектор и здравоохранение. Все они имеют огромное количество устаревших информационных систем, защита которых крайне затратна по ресурсам, но при этом они обрабатывают огромные массивы крайне чувствительной информации".
Проджект-менеджер ООО "МД Аудит" (MD Audit - ГК Softline) Кирилл Левкин предположил, что соотношение уязвимостей по отраслям будет меняться, но тенденции сохранятся. По мнению Кирилла Левкина, производство и розничная торговля останутся в группе риска: "Эти отрасли активно внедряют цифровые технологии, IoT, CRM и ERP-системы, но далеко не всегда сопровождают цифровизацию надежной киберзащитой. Часто именно в этих секторах наблюдается высокий уровень цифровой зависимости при низком уровне зрелости ИБ-процессов. Увеличение внимания к кибербезопасности в госсекторе и финтехе уже дало результат, сейчас эти отрасли демонстрируют меньшую уязвимость благодаря нормативному регулированию, обязательным аудитам и серьезным инвестициям в защиту данных".
Руководитель группы аналитики L1 GSOC ООО "Газинформсервис" Андрей Жданухин считает, что в идеальном мире, если жить по методичкам по Risk Management, сумма вложенных денег в ИБ-контур всегда будет меньше, чем сумма трат на утечку и прочие ситуации, связанные со взломом, так как должен действовать принцип "траты на защиту от конкретного риска не должны превышать размер ущерба от его реализации": "При обратной ситуации такие меры защиты экономически неэффективны для бизнеса, однако надо понимать, что в теории возможно все, а на практике существует множество сложностей. Очень тяжело заранее просчитать, во сколько именно тебе обойдется ущерб от реализации риска, в связи с этим некоторые организации перестраховываются и готовы выделить больше денег на защиту ИБ-контура по двум основным причинам:
1) ты получаешь защиту здесь и сейчас, даже если она избыточна;
2) ты создаешь задел на будущее. Так как с нарастающим количеством угроз цены на ИБ-услуги и средства защиты могут расти с каждым годом. И при грамотном планировании сейчас и закупке лицензий на продолжительный период можно сэкономить в будущем".
Руководитель направления по информационной безопасности АО "Инфозащита" (Itprotect) Кай Михайлов отметил, что сравнивать потери от отдельного инцидента и затраты на безопасность не совсем корректно: "Во-первых, ущерб от кибератаки, например шифровальщика, не сводится к расходам на выкуп и восстановление инфраструктуры, штрафам регулятору и прочим более или менее очевидным затратам. Гораздо сложнее оценить упущенную выгоду от бизнес-простоев, репутационных издержек, потерянного времени. Во-вторых, на долгосрочной дистанции всего существования бизнеса затраты на безопасность, скорее всего, будут выше, чем ущерб от единичного гипотетического инцидента. Однако если не вкладываться в безопасность, такие инциденты будут случаться постоянно, а компания рано или поздно уйдет с рынка".
Справка ComNews
Недопустимое событие - это одно или несколько событий, которые могут оказать критическое влияние на деятельность компании, ее руководство и партнеров.
