Почему на кибербезопасность всегда не хватает денег?
Почему компании экономят на кибербезопасности до первого взлома?
Киберугрозы растут как снежный ком, а бюджеты на защиту данных растут значительно медленнее. Фишинг становится «умнее», облачные утечки — массовыми, а атаки на цепочки поставок бьют по самым уязвимым местам бизнеса. Но деньги на безопасность по-прежнему выделяют по остаточному принципу. Почему? На этот вопрос искали ответ участники круглого стола, где столкнулись ирония, жесткие факты и неожиданные признания.
Дискуссия началась с провокационного замечания: «Тема денег интересует всех больше, чем сама кибербезопасность». И правда — почему конференции по ИБ чаще напоминают разборы полетов после катастроф, а не стратегическое планирование?
Один из участников признался: «Иногда мне кажется, что я что-то знаю про кибербезопасность. Ровно до того момента, пока не прилетает что-то новое». Это стало лейтмотивом обсуждения: даже эксперты чувствуют себя неуверенно в гонке с хакерами.
Вместо привычных стенаний «денег нет» спикеры предложили нестандартный уклон: «ИБ-специалистам пора учиться говорить на языке финансистов».
«Скучная книжка на 1200 страниц про управление финансами должна быть настольной для ИБ-шников. Но я такого ни разу не видел», — прозвучало в зале.
Ключевая проблема: компании тратят на защиту реактивно — после утечек, а не превентивно. Атаки на цепочки поставок стали главным трендом — взломать «слабое звено» проще, чем штурмовать укрепленный штаб. «Умный фишинг» (не ИИ, а «имитация разума») эффективен, потому что защита не успевает за адаптацией мошенников. Облака больше не «безопасное убежище» — 2% утечек происходят из-за банальных ошибок в настройках.
Участники согласились: «Лобовые атаки уходят в прошлое» — злоумышленники ищут обходные пути. Но мнения разделились в другом: одни настаивали, что бизнес просто не понимает реальных рисков: «Крупные компании больше не относятся к ИБ легкомысленно, но средний и малый бизнес все еще надеется на авось». Другие парировали: даже осознавая угрозы, финансисты не видят возврата инвестиций в безопасность, пока не случится катастрофа.
Экономить на кибербезопасности — все равно что тушить пожар после того, как сгорел дом. Но как убедить в этом топ-менеджмент? Здесь единого рецепта нет — только диалог на стыке ИТ, финансов и риск-менеджмента.
Взломали даже вендора ИБ
Один из самых тревожных трендов последних лет — атаки не на сами компании, а на поставщиков ИБ-продуктов. Парадокс в том, что компании усиливают внутреннюю защиту, но забывают, что злоумышленники уже переключились на «слабые звенья» — подрядчиков и разработчиков.
Кто же в этом виноват? ИТ-поставщики без «иммунитета», поскольку многие до сих пор не имеют даже базовых мер ИБ. «Проверка контрагентов в коммерческом секторе — редкость. А если и есть, то формальная». Разработчики — новое «узкое горлышко»
Их рабочие места часто не защищены, что позволяет внедрять вредоносный код прямо в продакшн.
Участники предложили три недорогих, но эффективных шага. Ввести ИБ-аудит для поставщиков, т.е. проверять не только продукт, но и внутренние процессы подрядчика: есть ли у них SOC, как часто обновляют ПО. Сегментировать разработчиков, т.е. выделять их в отдельный контур с усиленным контролем: ограниченный доступ, мониторинг действий. Требовать безопасную разработку (Secure by Design), т.е. даже у небольших вендоров ввести запрет на «левые» библиотеки и логировать изменения. «Это не требует миллионных бюджетов, но снижает риски на порядок», — резюмировали спикеры.
Бюджеты на безопасность не успевают за угрозами, потому что компании инвестируют в “крепостные стены”, но оставляют открытыми ворота — цепочки поставок. Пока не будет системного подхода к проверке контрагентов, истории со взломом через «доверенных» партнеров будут повторяться.
"Доброе утро, слабое звено"
70% угроз происходят через цепочки поставщиков, причём главными «воротами» стали обычные разработчики. После пандемии 90% внешних разработчиков работают удалённо со своих личных ПК. "Мы предполагаем, что к нам подключается защищённый корпоративный компьютер, а на самом деле — заражённый домашний ПК", — признались участники дискуссии.
Почему так происходит? Компании нанимают дешёвых подрядчиков из регионов, но экономят на их оснащении. Службы безопасности проверяют своих сотрудников, но забывают про сотни внешних разработчиков. К своим сотрудникам предъявляются жёсткие требования, а к подрядчикам — "лишь бы работало".
Участники дискуссии сошлись во мнении: проблема не в самих подрядчиках, а в системе. "Когда у вас 300 подрядных организаций, вы не можете обеспечить всех своей техникой". Нужно обязать подрядчиков использовать только выделенную защищённую технику, устанавливать системы контроля (как для своих сотрудников), автоматически блокировать любые попытки изменить настройки. "Если служба безопасности это не контролирует — увольнять надо не разработчика, а руководителя ИБ", — прозвучало в ходе жаркой дискуссии.
Бизнес не спешит менять NGFW от CheckPoint на российские аналоги
Пока компании не начнут относиться к подрядчикам как к части своей команды (со всеми требованиями безопасности), хакеры будут продолжать использовать их как "слабое звено" для атак. Ирония в том, что многие взломы происходят через тех, кто как раз и создаёт системы защиты.
Как пандемия создала поколение опасных ИТ-самоучек
По статистике после 2020 года каждый третий "разработчик" в России — это вчерашний пекарь, бухгалтер или владелец кафе, который экстренно переквалифицировался в ИТ. И теперь их код — бомба замедленного действия.
Почему 70% угроз исходят от подрядчиков? Потому что разработчики копируют код с сомнительных ресурсов с готовыми закладками. Главный критерий — "чтобы работало", а не "чтобы было безопасно". ИТ-компании ушли в разработку, забыв про функциональную безопасность.
Почему компании продолжают рисковать?
Типичная логика бизнеса зачастую звучит так: "Сначала запустим проект, потом (может быть) добавим безопасность". Жесткий вывод участников: "Если вы экономите на безопасности при запуске проекта — вы закладываете стоимость будущего взлома в свой бизнес-план".
Что же делать? Нужно требовать сертификаты не только на ПО, но и на компетенции разработчиков. Надо перестать делить бюджет на "основной" и "на безопасность". Защита должна быть вшита в стоимость изначально.
Почему ИБ остаётся на последнем месте в IT-проектах
Острая дискуссия между участниками круглого стола выявила проблему. Безопасность в большинстве компаний до сих пор воспринимается как "довесок" к проекту, а не его фундамент. "Бизнесу нужен результат, а не безопасность". Заказчики формулируют только функциональные требования, ИБ-ограничения появляются слишком поздно, когда архитектура уже спроектирована. "Мы вспоминаем про безопасность в середине проекта, а то и в конце" – сказал один из участников круглого стола.
ИБ vs ИТ
«Если у вас ИБ подчиняется ИТ, то это мертворождённое дитя, которое никогда не будет работать, потому что ИТ-шники не слушают ИБ-шников, если они только находятся в одной парадигме власти. Если ИБ подчиняет себе ИТ, ИТ перестаёт развиваться», - вот такие фразы прозвучали в рамках КС.
Безопасность vs удобство
Парадокс, выявленный в дискуссии: чем лучше защита, тем больше недовольство сотрудников, но эксперты нашли неожиданные решения этой проблемы.
«Нужно объяснять, какие риски закрываем, а не просто говорить “это надо”» — это доказал реальный кейс с китайскими партнерами, которые высоко оценили строгую авторизацию. Также необходимо проводить "внутренний маркетинг" новых защитных мер.
COVID-19 стал своеобразным триггером: "Когда все ушли на удалёнку, бизнес наконец понял — без ИБ никуда". В западных компаниях ИБ-отделы стали напрямую подчиняться CEO, а не IT-директорам. "Люди готовы мириться с неудобствами, когда понимают их необходимость", но требуют компромиссов в аутентификации и других "болезненных" моментах.
Как метко заметил один из участников круглого стола: «Когда сотрудники кричат “это неудобно!” — возможно, вы просто плохо объяснили, зачем это нужно».
***
Участниками круглого стола стали: Игорь Назаров, ВрИО заместителя председателя Комитета по информатизации и связи Санкт-Петербурга, Александр Сайганов, клуб «СБ-Питер», Роман Цыганков, автозавод Санкт-Петербург, директор по информационным технологиям, Александр Васильев, АО Невский Экологический Оператор, заместитель генерального директора по информационным технологиям и кибербезопасности, Андрей Гребенкин, Россети Ленэнерго, директор департамента ИБ, Роман Викторов, ООО «Карелия Палп», заместитель генерального директора по ИТ, Андрей Власенко, «Домовой», ИТ-директор.