Однажды мне пришлось испытать на себе последствия кибератаки. Компанию, в которой я работал, атаковал вирус-шифровальщик: в одно прекрасное утро все компы превратились в груду шлака (когда системные блоки — теперь просто шлакоблоки), файлы — в набор невообразимых «кракозябр», а вся проделанная работа и созданные за несколько лет рабочие документы накрылись медным тазом. Ощущения эти не из приятных, скажу я вам.
Меня зовут Алексей, почти всю свою трудовую карьеру я в телекоме (уже более 20 лет). Не технарь, мой профиль — коммерс и маркетолог. Моя задача — делать телеком-услуги и продукты более доступными и удобными для людей и бизнеса. Сменив около года назад компанию, по роду деятельности пришлось столкнуться с продуктами информационной безопасности. Начав погружаться в тему, я столкнулся с вопросом, который вынес в заголовок статьи. Испытав на своей шкуре «прелести» быть хакнутым, я задумался о том, насколько серьезно к проблеме инфобеза относятся руководители и собственники бизнеса. В статье поделюсь с вами мнением людей из индустрии и порассуждаю о том, почему ИБ не так сильно заботит тех, кто, казалось бы, должен быть в этом кровно заинтересован. Лайфкахов и нового опыта не предложу — сорри. Поделюсь лишь своими мыслями и выводами. И кто готов высказаться и поделиться опытом — милости прошу!
Поздравляю, нас хакнули!
Итак, опускаю описания всех стадий принятия неизбежного, приведу сухой остаток — в результате атаки я и мои коллеги оказались отброшены в текущей работе примерно на 3-5 месяцев. Вместе с тем, не могу сказать, что для меня, работы моего подразделения и проекта, которым я занимался, это стало чем-то непостижимо сложным. Также не могу судить и не знаю, каких финансовых потерь этот инцидент стоил компании. К чести самой компании работа всех основных информационных систем была восстановлена за 1-1,5 недели, работа клиентских сервисов была приостановлена на совсем короткое время и то, по-моему, не повсеместно, а лишь частично. Да, конечно, IT-подразделениям (и не только) пришлось вкалывать от зари до зари, всем остальным — восстанавливать рабочие файлы по заначкам и по памяти, последствия аукались еще около года. Но в целом, катастрофы не случилось (слава Богу!). Возможно, могло быть и хуже.
Забавным тогда показалось (если постараться увидеть тут что-то забавное), что ребята, которые организовали атаку, видимо, совсем плохо знали реалии и ландшафт российского бизнеса. Их выбор пал на компанию с госучастием, которая не то что выкуп заплатить, а даже чайник в офис купить не может, не заполнив сотни страниц документов и не пройдя процедуру публичных закупок.
Таким было мое первое в жизни столкновение с миром инфобеза, а вернее, с осознанием, что все страшилки и неприятности, о которых я читал в новостях, где кого-то взломали, где утекли в сеть очередные сотни тысяч персональных данных — всё это гораздо ближе и реальнее, чем кажется.
Немного занимательной статистики или дивный мир инфобеза
Теперь, когда по роду деятельности на новом месте работы я окунулся в тему информационной безопасности, то узнал, что угрозы в этой сфере растут от года в год всё быстрее. Так, за последние пару лет число инцидентов в России возросло в 2,5 раза, примерно до 130 тыс. за прошлый год. Причем, на 17% возросло количество атак на критическую инфраструктуру организаций: в 2023 г. – 47%, в 2024 г. — 64% от общего количества инцидентов.
Цели кибермошенников тоже меняются, а сами они становятся более профессиональными. Если ещё те же год-два назад большая часть инцидентов была простым хулиганством и бравадой в духе «посмотрите, что мы умеем», то теперь явно стало больше тех, кто занимается взломом ради материальной выгоды.
Хакеры объединяются в сетевые сообщества, ассоциации и фактически создают собственные корпорации, разрабатывают и продвигают собственные «бренды».
По исследованиям компании Солар, больше всего под прицелом атак находится госсектор. И мое недоумение, которое я высказывал выше, дескать, «зачем атаковать госкомпанию, она же не в состоянии отдать выкуп», объясняется просто: цель в том, чтобы нагадить, помешать работе, найти уязвимые места для атаки на критическую инфраструктуру.
Вторые по атакам — промышленность, на третьем месте — телеком. И если до недавнего времени бытовало мнение, что атаки грозят только «самым крупным, успешным и богатым», то есть тем, кто захочет откупиться или кого интересно «ломать», чтобы вызвать резонанс и показать свою удаль, то теперь под ударом в том числе и небольшие компании («Российский интернет-провайдер Nodex уничтожен хакерами», ссылка). Не исключено, что это только начало ☹.
Будущее наступило, мир изменился. А ты?
Возникает вопрос, насколько к такому развитию событий готовы небольшие региональные операторы, провайдеры? Мне стало интересно, и я пообщался с коллегами, которые глубоко в теме, которые целый год провели в поездках, общаясь с региональными операторами, рассказывая на встречах о продуктах и решениях, способных защитить бизнес от кибератак. Приведу сухую выжимку моего общения:
Бюджет на ИБ у региональных операторов либо не заложен, либо выделяется по остаточному принципу;
Остаточный принцип предполагает не столько реальную защиту, сколько своеобразное прикрытие от претензий со стороны регулятора;
Компании рассчитывают на собственные силы и компетенции в сфере информационной защиты ( «есть свои айтишники, за что мы им зарплату платим»...);
ЛПР и предприниматели-провайдеры не видят ценности в комплексной защите данных и сетевой инфраструктуры.
Часто компании надеются на русский авось.
В вопросе бюджета операторов можно понять — маржинальность бизнеса снижается, так как рынок близок к насыщению и лишних денег вкладываться нет. Плюс оборудование дорожает, нужно выполнять возрастающие требования регулятора в сфере СОРМ (следственные оперативно-розыскные мероприятия), да и любые «инфобез-решения» не дают 100% гарантии. Положив на одну чашу весов всё вышеперечисленное, а на другую — гипотетическую возможность быть взломанным, операторы, очевидно, делают выбор в пользу первого и стараются больше вкладывать в железо, расширение сети и бизнеса, но не в его защиту.
Да, регулятор существенно увеличил штрафы и ответственность за утечку данных, приняв соответствующий закон в конце 2024 г. Но штрафы начнут применять только после 30 мая 2025 г., поэтому этот «петух» пока что еще не жарится и не клюется, а спокойно щиплет травку и подбирает зернышки. А там посмотрим.
Зачастую выходит так, что вопрос информационной безопасности возлагается на плечи команды айтишников, которые мониторят ситуации на сети подручными средствами и могут сутками отбивать DDoS-атаки, в то время как специализированное инфобез-решение с этим справилось бы гораздо эффективнее. Ситуация складывается как в известной народной армейской поговорке про то, как два солдата из стройбата заменяют экскаватор.
Что касается важности полноценного инфобеза. Приведу ситуацию из жизни. Оператору, который в моменте находился под атакой, по программе «Спасение» было установлено решение, и атака была успешно отбита. Год попользовавшись, оператор решил отказаться от продления договора на инфобез, мотивируя свое решение тем, что атак за весь год не было, всё хорошо и так, зачем деньги лишние платить. Поставщик инфобез-решения удивился: как так не было атак? Выгрузил статистику мониторинга, показал оператору, какое количество атак было за весь прошедший год. Оказывается, что атаки были и немало, и разной интенсивности, и продолжительности. Оператор этих атак просто не заметил, поскольку не ощутил их влияния и вредоносных последствий. Видимо, такова наша человеческая натура, пока гром не грянет, мужик не перекрестится, пока над нами не нависнет угроза, мы её не заметим.
Потратить нельзя сэкономить
В итоге приходим к дилемме:
вложиться в инфобез основательно, обеспечив себе более высокий (пусть и не 100%) уровень защиты?
либо обойтись превентивными мерами «для галочки», лишь бы снять возможные вопросы со стороны регулятора, сэкономить и надеяться, что пронесет?
И какова может быть ставка? От частичной потери клиентов, которые могут отвалиться за время простоев, вызванных, например, DDoS-атаками, штрафами от регулятора за утечку данных (с 30 ноября 2024 г. штраф за утечку персональных данных от 15 млн руб.), до полного разрушения сети, от которой бизнес может в итоге не оправиться.
К каким выводам я пришел в итоге?
Будущее наступило. Это раньше мы смотрели про хакеров только в кино и сопереживали героям, которые лихо боролись с несправедливостью и наказывали нехороших парней. Теперь хакеры — это суровая реальность и обыденность наших дней. Поэтому бюджет и статья расходов на защиту сетевой инфраструктуры любого бизнеса должны быть обязательно.
Действия регулятора по ужесточению штрафов за утечку данных — это дополнительный маркер, сигнализирующий о серьезности проблемы защиты информации и
морковка сзадидополнительный стимул для бизнеса нести эти издержки, страхуя себя и общество от негативных последствий действий киберпреступников. Предпринимаемые меры для защиты должны быть не ширмой для отмазки от претензий регулятора, а действенным инструментом, способным спасти инфраструктуру оператора в критический момент.Способы и методы кибермошенников постоянно меняются и совершенствуются. И какие бы семи пядей во лбу IT‑спецы ни работали бы у вас, они не в состоянии будут уследить за всеми новыми схемами и приемами в этой сфере. Поэтому защиту своего бизнеса стоит доверить профессионалам, которые постоянно вовлечены в проблематику информационной безопасности и работа которых заключается в том, чтобы быстро реагировать и предлагать решения в ответ на новые способы взломов и атак.
Наверняка, будут взломаны и понесут убытки еще множество операторов (пока я готовил эту публикацию, был атакован и «лежал» три дня московский провайдер Lovit). Возможно, некоторые из операторов потеряют полностью свой бизнес. Видимо, так будет до тех пор, пока не придет осознание ценности защиты своего бизнеса от рисков, связанных с киберпреступностью, пока обеспечение информационной безопасности не станет гигиенической нормой и обычной статьей затрат, наряду с затратами на закупку оборудования, эксплуатацию сетей, заработную плату.
Закончить свой рассказ хочу байкой из личного опыта. Купил я Х‑лет назад машину в кредит — хороший немецкий седан. По условиям кредита оформил на него КАСКО. Кредит погасил за год и решил КАСКО не продлевать. Ну что, деньги лишние, что ли? И вот месяц спустя ко мне сзади немного притирается «Ниссан». Еще через пару месяцев меня слегка догоняет на подъёме «девятка». А еще через какое‑то время фура на светофоре не успевает вовремя затормозить и на излете стучится в мой бампер. Не фатально, вообще без потерь, как мне показалось на первый взгляд. Однако при более близком рассмотрении убыток оказался гораздо весомее. Итог: продлеваю КАСКО 4 год подряд. А то мало ли, какая и где очередная фура меня догонит…
Для меня выбор из двух вариантов пути очевиден, но хочу поинтересоваться у сообщества, а как вы считаете, страхует ли инфобез операторский бизнес на 100% от рисков? Стоит или не стоит вкладываться в него серьезно или достаточно обойтись косметическими мерами? Поделитесь своим опытом в комментариях!