— Насколько отечественный бизнес сегодня защищён от киберрисков, растущих на фоне цифровизации и меняющихся геополитических условий?

— Многое зависит от степени цифровизации компаний: чем она выше, тем более развиты в ней средства защиты информации (СЗИ). В пример можно привести отечественные банки, телеком, цифровое производство, e‑commerce, а также государственные сервисы, где киберзащите уделяется колоссальное внимание.

В то же время бизнес, который работает преимущественно в офлайне и не внедрил автоматизацию технологических и бизнес‑процессов, особенно малый и средний, защищен от киберугроз значительно меньше. Мы всегда говорим, что даже рабочий компьютер главы компании является точкой уязвимости, которую нужно защищать, так как с него ведутся коммуникации, в нём находятся «эксели» с клиентами, бухгалтерия, информация, раскрытие которой может нести репутационные риски.

Затраты компаний на борьбу с киберрисками даже до пандемии росли на уровне 10–15% в год. COVID‑19, переход на удаленку, текущее развитие событий в мире стали только катализаторами процесса. И сейчас, когда количество кибератак многократно увеличилось, запрос на защиту значительно вырос даже со стороны компаний‑киберскептиков. Многие смогли убедиться, насколько внедрение средств защиты может быть эффективным. Правда, большинство поняли это, лишь подсчитав ущерб после кибератаки.

— Как растут кибератаки?

— В 2022‑м, начиная с конца февраля, количество DDoS‑атак (перегрузка сайтов компаний запросами с целью заблокировать их работу. — РБК+) выросло почти в десять раз, количество взломов, фишинговых атак (мошеннических способов получения конфиденциальной информации. — РБК+) — в два–пять раз. Почти 38% компаний понесли потери в той или иной форме из‑за действий компьютерных злоумышленников. Для каждой пятой компании эти потери были финансовыми, превышающими 5 млн руб.

Согласно исследованию, проведённому компанией «МегаФон» среди своих действующих и потенциальных клиентов с января по март 2022 года, 90% из них подвергались кибератакам в 2021 году. Такой же процент опрошенных столкнулся с новыми видами уязвимостей, которые открыл переход бизнеса в онлайн. При этом около 40% респондентов поделились информацией об эффективном срабатывании СЗИ, которые они устанавливали ранее, предвосхищая киберриски.

— Как работает регулирование в этой сфере?

— Регуляторика является одним из действенных драйверов внедрения средств кибербезопасности и защиты активов во всём мире. История с защитой персональных данных в РФ начала развиваться даже раньше, чем на Западе, — в 2006 году, когда появился ФЗ‑152, который предполагает четыре уровня защищённости для различных категорий операторов персональных данных в зависимости от вида деятельности и пр. Так, для крупных компаний, в том числе банков и телеком‑компаний, владеющих большим объёмом данных, предусмотрено около 200 пунктов требований к их инфраструктуре киберзащиты.

Европейский аналог нашего закона GDPR (General Data Protection Regulation) вступил в действие только в 2018 году. В нём сразу были предусмотрены фискальные меры за утечку данных — взыскание оборотных штрафов, а также их увеличение в случае неуведомления регулятора.

Сейчас в Минцифры РФ подготовлен законопроект, который ужесточает ответственность компаний за утечку данных. Он предполагает введение с 2023 года оборотного штрафа в размере 1%. Документ готовился давно, но катализатором стали геополитические события в мире, которые усилили активность хакеров. Таким образом, помимо прямой угрозы от кибератак, бизнесу нужно помнить о рисках получения серьёзных штрафов за ненадлежащее отношение к защите информации.

Можно также отметить указ президента РФ № 250, призванный усилить информационную безопасность стратегических предприятий и организаций, находящихся сейчас под шквалом хакерских атак. Такие структуры должны быть эшелонированно защищены и находиться под постоянным мониторингом, ведь киберугрозы постоянно меняются.

При этом небольшим операторам персональных данных российское законодательство даёт послабление: они могут не внедрять СЗИ, если для них это экономически нецелесообразно. Хотя им всё равно нужно, как минимум, поставить недорогие средства защиты по сервисной модели (антиспам, антифишинг, антивирус) и главное — обучить сотрудников элементарным принципам цифровой гигиены.

— Насколько у бизнеса получается угнаться за этим «прогрессом»?

— К сожалению, не всегда менеджмент компаний успевает быстро понять тренды цифровой повестки. А внедрение любой цифровой инновации — это появление ещё одной точки уязвимости, которую необходимо отслеживать и защищать.

— Какой при этом может быть роль телекоммуникационной компании?

— Мы идём в русле мировой практики, где 30% аутсорсинга информационной безопасности (Managed Security Services, MSS) приходится на долю телекома. В первую очередь это, конечно, сервисы, связанные с сетями связи. Как один из крупнейших операторов связи, мы имеем высочайший уровень компетенций в части защиты от DDoS‑атак, криптозащиты, криптошифрования, защиты данных и других направлений, но мы с радостью используем всё компетенции группы компаний, среди которых и разработчики СЗИ, и команды пентестеров, и инженеры внедрения решений информационной безопасности. Логично, что нужно монетизировать то, что у тебя хорошо получается.

Нашим партнёром в рамках холдинга USM Group (владеет и управляет активами в сфере телекоммуникаций, технологий и интернета, металлургии и горной добычи — РБК+) является компания «Гарда Технологии», продуктами которой мы пользуемся сами и знаем, как их внедрять. К примеру, для контроля потоков конфиденциальной информации внутри компании существует решение Data Loss Prevention (DLP, предотвращение потери данных). Или, скажем, «Гарда» является одним из немногих российских вендоров, если не единственным, которые предоставляют решение для защиты баз данных DAM (Database Activity Monitoring). Эта программа отслеживает обращение пользователей к базам данных. Если пользователь запрашивает нетипичный для себя объём данных, обращается к ним, хотя его задачи этого не подразумевают, или же администратор разворачивает теневые базы, решение отправляет алерты ответственному сотруднику.

Мы делаем и собственные продукты, например, голосовой антифрод, который позволяет банкам бороться с телефонным мошенничеством. У нас есть собственная платформа киберразведки — мы научились получать данные о заражённых серверах, фишинговых ссылках, можем предоставлять так называемые индикаторы компрометации: какие инструменты сейчас активно используются мошенниками, какие IP необходимо вносить в чёрные списки, какие ссылки являются фишингом и т.д. Подобные данные у нас покупают в формате сервиса, их можно скачать по АПИ или через вэб‑интерфейс.

Также у МегаФона есть решение Security Awareness — обучающая платформа для повышения осведомлённости сотрудников компаний‑клиентов о правилах информационной безопасности. С её помощью можно проверить готовность персонала к реальным кибератакам и даже имитировать фишинговую рассылку. Мы рекомендуем начинать борьбу с киберугрозами именно с цифровой гигиены.

Источник: РБК+