Почему расследования инцидентов в России чаще всего фикция — и как это исправить
«Инцидент закрыт, причина неизвестна»: как устроена ложная безопасность в российских компаниях
Разборы инцидентов не работают: опыт и выводы о главной проблеме российского ИБ
Инциденты есть всегда, а разборов почти не бывает!
Если честно, в России мало компаний, которые действительно умеют разбирать инциденты так, как это делают зрелые ИБ-команды. Формально разбор проводится почти везде — есть акты, журналы, протоколы, отчёты, ссылки на регламенты. Но если посмотреть на содержание этих документов и на то, что происходит после каждого инцидента, картинка становится совсем другой. Чаще всего разбор — это формальность, а не инструмент повышения устойчивости.
Это не значит, что у специалистов по ИБ недостаточно компетенций. Часто проблема в другом: в отсутствии методологии, культуре анализа, времени и инфраструктуры, которая должна поддерживать полноценный цикл расследования и последующего устранения причин. В итоге инциденты повторяются, компании тратят силы на отчётность, но почти не меняют процессы.
Заблуждение №1: достаточно посмотреть логи
Одно из самых распространённых представлений — что «разбор = просмотр логов». В реальности логи — это только один из источников данных. Без связки с активами, владельцами, процессами и контекстом они дают фрагментарную картину. Аналитики вынуждены вручную собирать данные по нескольким системам, сверять события, искать несостыковки, и на этом этапе теряется до половины информации, которая могла бы повлиять на выводы.
Проблема усиливается тем, что во многих компаниях логи — это хаотичный набор данных без нормализации, меток времени и классификации событий. Даже крупные организации зачастую не могут ответить, какие активы были затронуты, как долго длилась атака и что именно было нарушено. Формально расследование закрывается, но истинная причина остаётся невыявленной.
Заблуждение №2: разбор нужен только после крупных инцидентов
Ещё одна распространённая ошибка — считать, что детальный разбор имеет смысл только при серьёзных сбоях. На практике большая часть критичных инцидентов рождается из маленьких, которые никто не разобрал или отнёс к категории «несущественных». Отсутствие анализа повторяющихся событий приводит к накоплению технического долга, слабых мест, ошибочных настроек и процедур, которые работают «до первого сбоя».
Проблема заключается в том, что компании фиксируют лишь факт устранения симптома. Когда же приходится встречаться с системными изменениями, времени уже нет: новые задачи, новый аудит, новые проверки, новые требования. Парадокс заключается в том, что инцидент может быть устранён быстро, но его истинная причина будет возвращаться месяцами.
Почему формальные разборы не работают?
Формальные разборы происходят потому, что компании исторически выстраивали ИБ-процессы вокруг регуляторной отчётности. Есть форма — нужно её заполнить. Есть чек-лист — нужно поставить отметку. Есть журнал — нужно добавить запись. Но нигде в этих документах не задаётся главный вопрос: что нужно изменить, чтобы это событие не повторилось.
Формализация разборов приводит к тому, что компании подменяют суть процедурой. Аналитики заполняют документы вручную, тратят время на механическую работу, а не на поиск причин. Внутренние ИТ-и ИБ-процессы никак не связаны с отчётностью: инфраструктура живёт своей жизнью, а документы — своей. В результате даже после десятка инцидентов компания не видит общих закономерностей и не формирует устойчивые решения.
Почему компании не учатся на собственных инцидентах?
Одна из ключевых причин — отсутствие единой базы знаний. Разборы хранятся в отдельных папках, почте, Excel-файлах, а иногда и вообще исчезают после пересборки документа. История расследований не связана с активами или процессами. Когда возникает похожая ситуация, специалисты начинают анализ «с нуля», хотя необходимые сведения уже были у компании год назад.
Вторая причина — отсутствие жизненного цикла инцидента. Формально он закрывается актом, но процесс должен продолжаться: обновление моделей угроз, корректировка регламентов, изменения политик и контроля, обучение персонала, внедрение новых мер. В большинстве организаций этот цикл не выстроен: нет ответственных, нет сроков, нет механизма проверки выполнения мероприятий.
Третья причина — разрыв между ИБ и эксплуатацией. Даже если аналитик нашёл техническую причину, изменить конфигурацию или процесс бывает невозможно без дополнительных согласований, бюрократии или участия другой команды. Часто изменения «застревают» в очереди задач, и всё, что делает компания — закрывает расследование, надеясь, что инцидент больше не повторится.
Нехватка времени
У специалиста по ИБ есть ежедневные задачи: анализ событий, управление инцидентами, взаимодействие с ИТ, контроль регламентов, подготовка отчётности, аудитов, аттестаций. В большинстве компаний команда маленькая, а объём задач растёт быстрее, чем угрозы. На полноценный разбор просто не остаётся времени.
Даже если компания понимает важность расследований, процесс всё равно скомкивается: анализ прекращают на первой найденной причине. Это создаёт ощущение «закрытого» инцидента, но не даёт понимания глубинных факторов. В итоге на следующей неделе появляется аналогичное событие, и цикл повторяется.
Когда компания ведёт разборы вручную, она неизбежно проигрывает по трём направлениям: скорости, полноте данных и воспроизводимости процесса. Автоматизация расследований не решает всех проблем, но устраняет ключевой барьер — необходимость вручную собирать информацию из разных источников, сопоставлять данные и формировать доказательную базу.
Подход, который постепенно становится стандартом у зрелых команд, — построение единого контура расследований. Это инфраструктура, где инцидент сразу связывается с активами, владельцами, событиями, журналами, рисками и контекстом, как в системе SECURITM. Аналитик видит, что именно происходило, какие меры уже были выполнены, какие разрывы в процессах фиксировались ранее. Такой подход обеспечивает непрерывность: расследование не превращается в поиск данных, а сосредотачивается на причинах.
Подобные решения развиваются и на российском рынке. На практике такие платформы позволяют не только ускорить работу, но и накопить историю инцидентов, которую можно использовать для анализа, улучшения процессов и формирования устойчивости. В компаниях, где внедряли систему SECURITM, полнота расследований выросла кратно, а повторяемость типовых инцидентов начала снижаться уже через несколько месяцев.
Расследования — не отдельная задача
Сегодня большинство организаций воспринимают расследование инцидентов как разовый процесс: случилось — отреагировали — закрыли. Но рынок идёт к другой модели — расследование как постоянный операционный механизм, в котором каждое событие становится частью общей картины рисков.
В ближайшие годы ожидания регуляторов станут выше: увеличится объём контроля, детализация требований, необходимость доказуемости процессов. Компании, которые остаются в парадигме «разбор ради отчёта», столкнутся с ростом нагрузки и снижением устойчивости. В то же время организации, которые выстроят единый процесс расследований и свяжут его с управлением активами, рисками и регламентами, получат конкурентное преимущество — быстрее адаптируются, точнее реагируют и меньше теряют от повторяющихся ошибок.
Причины, по которым компании не умеют разбирать инциденты, лежат не в недостатке профессионализма. Проблема системная: разрозненные данные, ручная работа, ориентация на отчёты, фрагментированные процессы, отсутствие времени и инфраструктуры. Чтобы изменить ситуацию, нужен переход от формального подхода к системному.
Компании, которые выстраивают устойчивые процессы расследования, перестают тушить пожары и начинают управлять рисками. Инциденты перестают быть хаотичными событиями — они превращаются в источник знаний, на основе которых развивается инфраструктура безопасности. И чем раньше организации перейдут к этой модели, тем выше будет их цифровая устойчивость в ближайшие годы.
