— Многое зависит от степени цифровизации компаний: чем она выше, тем более развиты в ней средства защиты информации (СЗИ). В пример можно привести отечественные банки, телеком, цифровое производство, e-commerce, а также государственные сервисы, где киберзащите уделяется колоссальное внимание.
В то же время бизнес, который работает преимущественно в офлайне и не внедрил автоматизацию технологических и бизнес-процессов, особенно малый и средний, защищен от киберугроз значительно меньше. Мы всегда говорим, что даже рабочий компьютер главы компании является точкой уязвимости, которую нужно защищать, так как с него ведутся коммуникации, в нем находятся «эксели» с клиентами, бухгалтерия, информация, раскрытие которой может нести репутационные риски.
Затраты компаний на борьбу с киберрисками даже до пандемии росли на уровне 10–15% в год. COVID-19, переход на удаленку, текущее развитие событий в мире стали только катализаторами процесса. И сейчас, когда количество кибератак многократно увеличилось, запрос на защиту значительно вырос даже со стороны компаний-киберскептиков. Многие смогли убедиться, насколько внедрение средств защиты может быть эффективным. Правда, большинство поняли это, лишь подсчитав ущерб после кибератаки.
— Как растут кибератаки?
— В 2022-м, начиная с конца февраля, количество DDoS-атак (перегрузка сайтов компаний запросами с целью заблокировать их работу. — РБК+) выросло почти в десять раз, количество взломов, фишинговых атак (мошеннических способов получения конфиденциальной информации. — РБК+) — в два—пять раз. Почти 38% компаний понесли потери в той или иной форме из-за действий компьютерных злоумышленников. Для каждой пятой компании эти потери были финансовыми, превышающими 5 млн руб.
Согласно исследованию, проведенному компанией «МегаФон» среди своих действующих и потенциальных клиентов с января по март 2022 года, 90% из них подвергались кибератакам в 2021 году. Такой же процент опрошенных столкнулся с новыми видами уязвимостей, которые открыл переход бизнеса в онлайн. При этом около 40% респондентов поделились информацией об эффективном срабатывании СЗИ, которые они устанавливали ранее, предвосхищая киберриски.
— Как работает регулирование в этой сфере?
— Регуляторика является одним из действенных драйверов внедрения средств кибербезопасности и защиты активов во всем мире. История с защитой персональных данных в РФ начала развиваться даже раньше, чем на Западе, — в 2006 году, когда появился ФЗ-152, который предполагает четыре уровня защищенности для различных категорий операторов персональных данных в зависимости от вида деятельности и пр. Так, для крупных компаний, в том числе банков и телеком-компаний, владеющих большим объемом данных, предусмотрено около 200 пунктов требований к их инфраструктуре киберзащиты.
Европейский аналог нашего закона GDPR (General Data Protection Regulation) вступил в действие только в 2018 году. В нем сразу были предусмотрены фискальные меры за утечку данных — взыскание оборотных штрафов, а также их увеличение в случае неуведомления регулятора.
Сейчас в Минцифры РФ подготовлен законопроект, который ужесточает ответственность компаний за утечку данных. Он предполагает введение с 2023 года оборотного штрафа в размере 1%. Документ готовился давно, но катализатором стали геополитические события в мире, которые усилили активность хакеров. Таким образом, помимо прямой угрозы от кибератак, бизнесу нужно помнить о рисках получения серьезных штрафов за ненадлежащее отношение к защите информации.
Можно также отметить указ президента РФ № 250, призванный усилить информационную безопасность стратегических предприятий и организаций, находящихся сейчас под шквалом хакерских атак. Такие структуры должны быть эшелонированно защищены и находиться под постоянным мониторингом, ведь киберугрозы постоянно меняются.
При этом небольшим операторам персональных данных российское законодательство дает послабление: они могут не внедрять СЗИ, если для них это экономически нецелесообразно. Хотя им все равно нужно, как минимум, поставить недорогие средства защиты по сервисной модели (антиспам, антифишинг, антивирус) и главное — обучить сотрудников элементарным принципам цифровой гигиены.
— Насколько у бизнеса получается угнаться за этим «прогрессом»?
— К сожалению, не всегда менеджмент компаний успевает быстро понять тренды цифровой повестки. А внедрение любой цифровой инновации — это появление еще одной точки уязвимости, которую необходимо отслеживать и защищать.
— Какой при этом может быть роль телекоммуникационной компании?
— Мы идем в русле мировой практики, где 30% аутсорсинга информационной безопасности (Managed Security Services, MSS) приходится на долю телекома. В первую очередь это, конечно, сервисы, связанные с сетями связи. Как один из крупнейших операторов связи, мы имеем высочайший уровень компетенций в части защиты от DDoS-атак, криптозащиты, криптошифрования, защиты данных и других направлений, но мы с радостью используем все компетенции группы компаний, среди которых и разработчики СЗИ, и команды пентестеров, и инженеры внедрения решений информационной безопасности. Логично, что нужно монетизировать то, что у тебя хорошо получается.
Нашим партнером в рамках холдинга USM Group (владеет и управляет активами в сфере телекоммуникаций, технологий и интернета, металлургии и горной добычи — РБК+) является компания «Гарда Технологии», продуктами которой мы пользуемся сами и знаем, как их внедрять. К примеру, для контроля потоков конфиденциальной информации внутри компании существует решение Data Loss Prevention (DLP, предотвращение потери данных). Или, скажем, «Гарда» является одним из немногих российских вендоров, если не единственным, которые предоставляют решение для защиты баз данных DAM (Database Activity Monitoring). Эта программа отслеживает обращение пользователей к базам данных. Если пользователь запрашивает нетипичный для себя объем данных, обращается к ним, хотя его задачи этого не подразумевают, или же администратор разворачивает теневые базы, решение отправляет алерты ответственному сотруднику.
Мы делаем и собственные продукты, например, голосовой антифрод, который позволяет банкам бороться с телефонным мошенничеством. У нас есть собственная платформа киберразведки — мы научились получать данные о зараженных серверах, фишинговых ссылках, можем предоставлять так называемые индикаторы компрометации: какие инструменты сейчас активно используются мошенниками, какие IP необходимо вносить в черные списки, какие ссылки являются фишингом и т.д. Подобные данные у нас покупают в формате сервиса, их можно скачать по АПИ или через вэб-интерфейс.
Также у «МегаФона» есть решение Security Awareness — обучающая платформа для повышения осведомленности сотрудников компаний-клиентов о правилах информационной безопасности. С ее помощью можно проверить готовность персонала к реальным кибератакам и даже имитировать фишинговую рассылку. Мы рекомендуем начинать борьбу с киберугрозами именно с цифровой гигиены.