Количество инцидентов в сфере информационной безопасности (ИБ) растет. Меняется и их качество: атаки на организации становятся изощреннее и интенсивнее. Последствия тоже все серьезнее: мало того, что страдают инфраструктура, репутация и бизнес, в будущем компаниям грозят миллионные штрафы. Законопроект об усилении ответственности за утечку персональных данных принят Госдумой в первом чтении. Как следствие, в России активно растет спрос на киберучения – мероприятия, позволяющие обеспечить информационную безопасность.
Кратный рост
По данным отчета ГК «Солар» (входит в экосистему «Ростелекома»), за 2023 год количество подозрений на ИБ-инциденты в российских компаниях увеличилось на 64%, до 1,5 млн. И хотя доля подтвержденных инцидентов снизилась с 3,5% до 2%, авторы отмечают, что массовые атаки стали сменяться точечными и продуманными ударами. К слову, за январь и неполный февраль текущего года аналитики уже видят существенный, более чем втрое, прирост доли атак высокой критичности. Это значит, что ИБ-инциденты становятся сложнее, а вредоносный софт – опаснее и незаметнее.
Стремительнее всего растет число атак, направленных на получение выгоды. Таковы данные исследования ИБ-компании F.A.C.C.T. за 2023 год. По сравнению с 2022-м их количество увеличилось на 160%, то есть более чем в 2,5 раза. У пострадавших компаний – в основном из сфер ритейла, промышленности, строительства, туризма и страхования – требуют в среднем по 53 млн руб. выкупа, максимально суммы доходили до 321 млн. Впрочем, большинство атак, считают авторы исследования, были политически мотивированными – их количество в 2023 году выросло более чем вдвое (на 116%) по сравнению с 2022-м. Стоимость, разумеется, зависит от конкретного запроса и задач, но в любом случае счет будет идти на миллионы рублей. Соответственно, сразу отсеивается малый бизнес – ему придется доверяться готовым «коробочным» ИБ-решениям. Впрочем, он и объектами атак становится реже.
«Если в командах отсутствуют ИБ-процессы и средства защиты, киберучения будут избыточны и не помогут решить текущие вопросы, – утверждает Екатерина Рудая. – На учениях больший упор приходится на защиту инфраструктуры, работу с логами, нетиповые атаки через подрядчика. Небольшому бизнесу важно в первую очередь вложиться в грамотность специалистов в отношении ИБ».
Отсюда вытекает и второй аспект – наличие специализированной команды по информационной безопасности. В «Солар» уточнили, что для проведения киберучений в минимальном формате достаточно одной команды из пяти человек: «Данный формат является максимально универсальным и подходит практически для всех организаций, в которых есть служба ИБ. Если компания нацелена на развитие и долгосрочное присутствие на рынке, затраты на формирование киберустойчивости (к их числу относятся и киберучения) стоит рассматривать как стратегические инвестиции».
Одна из задач киберучений – оценить своих специалистов извне Екатерина Штукина/POOL/ТАСС
Вместе и раздельно
Существует мнение, что киберучения можно эффективно проводить внутри компании без привлечения внешних экспертов. Конечно, это зависит в том числе от того, что понимается под такими учениями, однако провести полноценное ИБ-мероприятие своими силами весьма сложно.
С одной стороны, нужен киберполигон, то есть ИТ-службе придется продублировать значительную часть цифровой инфраструктуры предприятия. В некоторых случаях допустимо проводить подобные эксперименты на реальной инфраструктуре, однако подойдет такое далеко не всем отраслям (например, на производстве от этого могут зависеть жизни людей, если удастся «случайно» взломать какой-нибудь промышленный станок).
С другой – необходимо несколько команд, соревнующихся между собой. Далеко не у каждой компании найдется нужное число профильных специалистов. Еще один аспект – предвзятость в оценке результатов: внутри компании может не быть достаточно объективных методик оценки проведенных учений. Соответственно, и принятые на основе таких учений решения окажутся недостаточно эффективными.
Разумеется, это не значит, что компаниям не нужно проводить внутренние мероприятия по информационной безопасности. Напротив, такие инициативы должны стать системными, причем в отношении как ИБ-специалистов, так и всего персонала, включая руководство. Однако собственно киберучениями они не являются.
Одна из задач киберучений – оценить своих специалистов извне. А также обеспечить их навыками работы с новыми угрозами, о которых они могут иметь теоретическое представление (в конце концов, ИБ-службы компаний постоянно обмениваются между собой актуальными сведениями об атаках), но не знать, как справиться на практике. Здесь уже своими силами не обойтись, да и нужно ли: командная работа в сфере ИБ в любом случае даст больший эффект. Формат и метод учений
Стоит отметить, что единого понимания термина «киберучения», а соответственно, и классификатора не существует. Некоторые ИБ-специалисты различают их по интенсивности вовлечения сотрудников: от практических семинаров до полномасштабных учений. Другие – по типам, причем в этом случае «киберполигон» и «красная-синяя команды» могут относиться к разным типам. Третьи – по методу: теоретические учения (table top), практические (full live) или гибридные (hybrid). Зарубежный консалтинг также по отдельности рассматривает онлайн- и офлайн-учения.
Формат каждых киберучений зависит от специфики организации-клиента: какого размера компания, сколько в ней ИБ-команд, в какой отрасли (или отраслях) работает. И, наконец, от поставленных задач – проверить навыки специалистов, проверить их реакцию на новые угрозы в отрасли или все это вместе.
Отдельным трендом являются учения внутри компаний: все чаще собственные ИБ-службы направляют «вредоносные» письма сотрудникам для проверки, сколько из них и кто откроет вложенный файл и пройдет по ссылке.
