Пробел имеется. Не каждая ИБ-компания готова к киберпожару
Такие данные следуют из опроса, который провело АО "Инфозащита" (Itprotect). Вариант "Реагируем по ситуации" выбрали 22% респондентов. При этом автоматизация процессов реагирования пока остается на невысоком уровне. 56% респондентов отметили, что в их организациях реагирование происходит в полностью ручном режиме.
Руководитель направления по информационной безопасности Itprotect Кай Михайлов отметил, что полученные данные рисуют портрет компании, которая уже понимает, что ее периметр проницаем, но еще не готова к полномасштабному противодействию внутри инфраструктуры: "Это означает, что, когда злоумышленник проник внутрь, он действует по алгоритму, а защитник - по ситуации. Ключевой инсайт в том, что зрелость уровня кибербезопасности измеряется не только наличием ИБ-инструментов, а связкой регламентов и автоматизации. Для того чтобы с большей вероятностью обнаруживать атаку заранее, важно, чтобы эта комбинация сложилась".
Руководитель отдела реагирования на инциденты ООО "Бастион" Семен Рогачев рассказал, что факторы, которые влияют на отсутствие формальных планов реагирования, глобально можно разделить на два блока: технические ограничения и ограничения организационного характера.
Семен Рогачев объяснил, что к техническим ограничениям можно отнести неполное понимание устройства своей инфраструктуры, покрытия ее средств защиты информации (СЗИ) и применимости различных мер по противодействию атакующим: "Для составления полноценного плана реагирования на инцидент нужно точно осознавать, как и какие сети можно изолировать, какие меры по предотвращению развития инцидента возможно реализовать на конечных устройствах, и большое количество других моментов, связанных с СЗИ в инфраструктуре, критичностью функционирования различных ее блоков и т.д. В случае отсутствия таких средств и непонимания устройства инфраструктуры качество создаваемого плана резко падает, что делает его менее полезным".
Руководитель экспертно-аналитического центра АО "Инфовотч" (ГК InfoWatch) Михаил Смирнов отметил, что позиция руководства компании и отношение к информационной безопасности играют ключевую роль: "Без понимания того, как культура и уровень развития информационной безопасности в компании влияют на непрерывность бизнеса, на отсутствие потерь и санкций, без явной декларации и поддержки руководства, поднятия вопросов обеспечения ИБ на верхний уровень управления компанией невозможно построить реально действующую систему менеджмента ИБ. Подчеркиваю, реальную, а не только для получения сертификата ISO 27001".
Ведущий инженер АО "Корп Софт" (CorpSoft24) Михаил Сергеев отметил, что многие компании считают, что серьезный инцидент их не коснется, поэтому откладывают разработку планов на потом. "Часто не хватает ресурсов: времени, бюджета или специалистов по информационной безопасности. В небольших и средних компаниях безопасность нередко воспринимается как второстепенная задача по сравнению с операционной деятельностью. Мешает недостаток практического опыта: организации просто не знают, как правильно оформить регламенты и с чего начать, в итоге компании реагируют уже по факту инцидента", - сказал он.
Инженер по информационной безопасности провайдера облачных решений и услуг ЦОД Linx Cloud Станислав Савкин считает, что стремление к полной автоматизации опасно из-за высокого риска ложных срабатываний и неспособности алгоритмов противостоять нетипичным действиям хакеров. "Оптимальный баланс - автоматизация рутинных задач при сохранении человека в контуре для сложных решений", - сказал он.
Аналитик угроз центра мониторинга и реагирования ООО "Газинформсервис" Владислав Шелепов говорит, что необходимая квалификация сотрудников, участвующих в реагировании на инциденты, определяется их ролью и областью ответственности: "На начальном уровне (анализ первичных событий и их квалификация) требуются базовые знания по информационной безопасности, сетевым технологиям и операционным системам, а также умение работать с СЗИ и плейбуками. Специалисты, непосредственно участвующие в расследовании инцидентов и сдерживании атак, должны владеть методами компьютерной криминалистики, анализа вредоносного кода и иметь опыт выявления сложных атак. Для координации работ и развития процессов реагирования привлекаются наиболее опытные сотрудники с компетенциями в области проактивного поиска угроз и автоматизации".
2 апреля 2026 г. в Москве состоится , на котором будут представлены практические кейсы и презентации ведущих экспертов и практиков российского рынка ИБ, в том числе состоится мастер-класс по подготовке к антикризису во время киберинцидента.
