«Чем больше бизнес зависит от цифры, тем выше приоритет кибербезопасности»

Николай Сивак, коммерческий директор ГК «Солар», о балансе между расходами и киберзащитой
«Солар»

Кибербезопасность – сейчас один из ключевых вызовов для бизнеса во всем мире. В России до 2022 г. задачи информационной безопасности (ИБ) в основном сводились к соблюдению требований российского законодательства, а в технологических аспектах компании отдавали предпочтение иностранному оборудованию и программному обеспечению (ПО) западных разработчиков. После начала СВО геополитика стала влиять и на IT в целом, и на ИБ.

Западные вендоры покинули Россию: перестали работать облачные сервисы, отключилась техподдержка, стало невозможно продлить лицензии. Количество киберугроз выросло на порядок. Атакам стали подвергаться не только государственные ресурсы, которые всегда были магнитами для хакеров, например «Госуслуги» или ресурсы электронного правительства. Теперь атакуют и ресурсы коммерческих компаний и корпораций.

Так, в первом полугодии 2024 г. мониторинг Solar JSOC зафиксировал 676 000 инцидентов разной степени критичности. Это на 10% превышает показатели аналогичного периода предыдущего года. Чаще всего причиной инцидентов становились попытки заражения вредоносным ПО, эксплуатации уязвимостей и несанкционированный доступ к системам и сервисам.

Триумвират безопасности

И уход западных компаний, и рост кибератак, и дополнительные требования российского законодательства спровоцировали взрывной рост интереса к российским решениям – как к собственным разработкам, так и к аналогам иностранных решений. На рынке уже были отечественные продукты, способные конкурировать с импортными, но если раньше они были нишевыми, то теперь для них открылся весь рынок. Одним из флагманов российской разработки для ИБ стали межсетевые экраны нового поколения (NGFW), которые крайне востребованы в проектах импортозамещения в высоконагруженных инфраструктурах банков, ЦОДов, IT- и телекомкомпаний, работающих с большими потоками трафика.

Конечно, за несколько лет невозможно полностью заместить импортные технологии, не на всех направлениях российские вендоры могут конкурировать с иностранцами. Это абсолютно нормально, ведь отечественные компании начали работать в этом направлении всего несколько лет назад, тогда как международные идут по этому пути десятилетия. С этой позиции у российских вендоров уникальный шанс: доступен опыт эксплуатации зарубежных решений и сформирован спрос. Импортозамещение, конечно же, будет в приоритете в ближайшие годы, но важно также развивать собственные прорывные решения для ИБ для задач будущего.

Цена ошибки

20 млн руб.
в среднем теряет средний и крупный бизнес от одной хакерской атаки.
От 100 000 до 1 млн руб.
таковы потери малого бизнеса от кибератак.
Эти цифры учитывают и непосредственный убыток от атаки, и затраты на устранение последствий, и недополученную прибыль из-за временного простоя, и т. п.

Источник: ГК «Солар»

Для бизнеса эти перемены означают пересмотр стратегии собственной ИБ и, как следствие, дополнительные инвестиции в это направление. Принимать это стратегическое решение должны совместно генеральный директор, финансовый директор и директор по ИБ, чтобы система кибербезопасности соответствовала бизнес-модели в целом и отвечала на главные вызовы.

Сейчас на IT в целом компании закладывают от 5 до 10% годового оборота. ИБ обычно составляет от 6 до 10% от всего IT-бюджета, при этом доля растет – до 2022 г. она была в 2–3 раза меньше. Чем больше бизнес зависит от цифры, тем выше затраты на ИБ. Например, у банков все цифровизировано: и внутренние процессы, и работа с клиентами – они на защиту тратят значительно больше, чем некоторые промышленные предприятия, где многие процессы выстроены традиционно и не зависят от IT. При этом промышленность все равно входит в число наиболее привлекательных мишеней для киберпреступников.

Атака со всех сторон

Бизнес всегда оценивает эффективность своих расходов, поэтому, принимая решение об инвестициях в ИБ, нужно прежде всего понять, откуда исходит угроза – извне или изнутри компании.

Может показаться очевидным ответ «извне», но на самом деле значительно больше рисков исходит изнутри компании. Это человеческий фактор. Сотрудники компании не обладают базовыми знаниями или пренебрегают требованиями. В DLP-системе Solar Dozor есть модуль User Behavior Analytics, UBA (18+), – система анализа поведения сотрудника. Она отслеживает все действия, которые совершает человек на своем рабочем компьютере, декодирует их и отмечает подозрительные отклонения.

Скажем, если только один сотрудник отправляет письма на определенные адрес, а больше никто этого не делает, то, возможно, идет утечка информации. Или сотрудник открывает на рабочем компьютере подозрительное письмо и оттуда установится вредоносный софт. Поэтому необходимо закладывать бюджет на регулярное обучение персонала – тренинги, тесты. Например, когда мы проводим тестовую рассылку фишинговых писем, около половины сотрудников их открывает и переходит по ссылкам. В этом случае никакая защита не сработает, поэтому на обучении сотрудников сэкономить не получится.

Что касается внешних угроз, то одна из главных уязвимостей и очень распространенный сейчас вектор атак – поставщики и подрядчики. Вы свою инфраструктуру хорошо знаете и можете обезопасить, но ваши подрядчики могут быть не так защищены, и заражение происходит через их инфраструктуру. Необходимо провести тестирование внешнего периметра. Это довольно стандартная услуга, которую предоставляют многие провайдеры на российском рынке. Проводятся пентесты (тестирование безопасности на проникновение), и по результатам компания знает о слабых местах и получает рекомендации, как снизить риски.

Проанализировав и протестировав таким образом свою систему безопасности по внешнему и внутреннему периметрам, компания понимает, на что необходимо обратить внимание и куда в контексте ИБ инвестировать в первую очередь.

Модель безопасности

Дальше бизнес встает перед выбором, строить собственную систему безопасности или отдать эту задачу на аутсорс. В первую очередь нужно ориентироваться на специфику отрасли. В тех же банках IT-инфраструктура может включать сотни и даже тысячи информационных систем – ни один аутсорсер в этом никогда не разберется так хорошо, как внутренняя служба IT-безопасности.

130 000
атак на промышленность в январе – августе 2024 г.
+22%
по сравнению с числом кибератак в январе – августе 2023 г.

Источник: ГК «Солар»

Другим ориентиром для принятия решения может быть цифра в 500 млн руб. в год, если компания готова самостоятельно выстроить всю инфраструктуру кибербезопасности своими силами. Эта сумма включает затраты на покупку ИБ-решений и ПО, их обслуживание, продление лицензий, зарплаты сотрудников.

Безусловно, подобные бюджеты доступны лишь очень крупным компаниям и госкорпорациям, которые обязаны формировать полностью закрытый контур ИБ. Для компаний меньшего масштаба оптимальным вариантом может стать сервисная модель, когда услуги ИБ, например SOC-центра (центр ИБ. –«Ведомости&»), защиты веб- и мобильных приложений, безопасной разработки, обеспечивает провайдер. Или стоит попробовать гибридную модель, когда компания самостоятельно приобретает «железо» и формирует инфраструктуру, а софт и обслуживание обеспечивает подрядчик.

Основные решения в сфере кибербезопасности локальные (on-premise, на собственном оборудовании компании. – «Ведомости&»), их невозможно использовать, если нет собственных серверов. В то же время сейчас активно развиваются облачные решения – и у нашей компании такие уже есть: приложения размещаются на удаленных серверах, и заказчику не нужно тратиться даже на «железо».

Сейчас на рынке в каждой продуктовой нише по кибербезопасности уже работает несколько крупных профессиональных вендоров. Это значит, что есть выбор как для полного аутсорса услуги, так и для создания подходящих гибридных схем, а такая конкуренция на рынке сдерживает рост цен.

Цена спокойствия

Летом 2024 г. многие компании столкнулись с ростом стоимости ПО для IT и ИБ на 15%. Отмечу, что во многом это повышение связано с ростом ставки рефинансирования и зарплатной спиралью на кадровом рынке.

По прогнозам экономистов, до конца 2024 г. ставка вырастет до 20% годовых, поэтому вендоры закладывают в стоимость решений риски, связанные с кредитованием на весь срок разработки продукта – от старта до вывода на рынок и формирования стабильной модели возврата инвестиций.

Не меньшую роль играет и зарплатная спираль на кадровом рынке. Например, в первом полугодии 2024 г. средние зарплаты IT-специалистов выросли почти на 20%. Этот тренд стимулирует и рост зарплат разработчиков ИБ-решений, дефицит которых еще острее. Конкуренция за них ускоряет гонку зарплат, которая также влияет на конечную стоимость IT- и ИБ-решений.

В моменте решить эту проблему невозможно. И государство со своей стороны увеличивает число мест в вузах, и бизнес вкладывается в подготовку кадров для отрасли в формате совместных кафедр, образовательных программ и киберучений. Например, «Солар» сотрудничает с 15 вузами, предоставляет лицензии на свои продукты, открывает опорные пункты киберполигона, поддерживает создание лабораторий и исследования студентов. Необходимо несколько лет, чтобы ситуация стабилизировалась. В конечном итоге это успокоит гонку зарплат.

Положительным образом на ценовую политику разработчиков повлияет и естественная конкуренция между вендорами. Так, российские разработчики в ряде классов решений для ИБ – например, NGFW – представили или готовы в ближайшее время представить конкурентоспособные продукты, которые соответствуют требованиям заказчиков. Аналогичным образом ситуация будет развиваться на рынке решений по управлению доступом, которые по функциональности сопоставимы с иностранными технологиями.

С учетом всех факторов оптимальной моделью кибербезопасности для большинства компаний в ближайшие годы останется сотрудничество с поставщиками, которые берут на себя самые сложные, экспертные направления и способны сформировать инфраструктуру ИБ в короткие сроки. &