Журнал "Information Security/ Информационная безопасность" #4, 2025

безопасности, работать над созданием современных средств защиты данных, в том числе с технологиями ИИ. Сейчас мы активно продвигаем тренд на разработку, настройку и оптимизацию правил обнаружения киберинцидентов на основе поведенческого анализа. Раз- виваем собственные центры компетен- ции и профессиональный сервис по рас- следованию киберинцидентов, аналитике угроз; создаем базу знаний по инфор- мационной безопасности и киберполи- гон. – Исходя из вашего опыта, где чаще всего проседает защита в российских компаниях: в тех- нологиях, в процессах, в людях, в управлении рисками? – Сложно выделить что-то одно. К сожалению, это всегда комплекс про- блем, которые требуют комплексного решения. Например, управление риска- ми и процессами. Самая большая про- блема здесь в том, что многие заказчики подходят к кибербезопасности формаль- но, не осознавая реальных рисков. Можно выделить еще одну проблему – используемые технологии. Закупка про- дуктов кибербезопасности часто ведется для выполнения формальных норматив- ных требований, что, кстати, не лишено логики. В последние годы атаки методом социальной инженерии также вышли на новый уровень. Сотрудники становятся новым распространенным вектором атак. К сожалению, сегодня кибербезопас- ность не является частью бизнес-про- цессов, а воспринимается как обуза, навязанная извне. А ведь даже самые передовые технологии окажутся беспо- лезными без эффективной системы управления рисками, интеграции без- опасности в бизнес-процессы и обучения сотрудников. В противном случае эти технологии не смогут обеспечить долж- ную защиту, а взлом станет лишь вопро- сом времени. – В связи с этим, можно ли счи- тать молчание SOC признаком устойчивости? – Нет. Молчание SOС – это всегда тревожный признак. Если у компании есть ИТ-инфраструктура и опубликован- ные в Интернете сервисы, то центру мониторинга всегда есть чем заняться. Существует распространенное заблуж- дение: если инцидентов нет – значит, все хорошо. Но на самом деле долгое молчание SOC должно скорее насторо- жить, чем успокоить. Даже идеальная защита (которой, кстати, не существует) не исключает вероятности, что злоумышленник сможет ее обойти через слабое звено в виде человеческого фактора. На практике аудиты показывают, что ошибки конфи- гурации встречаются не только в ИТ- сервисах, но и в средствах защиты информации, не говоря уже об отсут- ствии обновлений на ключевых объектах инфраструктуры. Злоумышленники постоянно ищут такие недостатки, а SOC эту активность видят и должны если не звонить клиенту среди ночи из-за попыток преодолеть защиту, то уж точно подсвечивать общую обстановку в рабо- чем порядке. Кроме того, объемы обрабатываемых центрами мониторинга данных колос- сальные, поэтому возникновение лож- ноположительных срабатываний и обра- щение к клиенту для уточнений – неизбежно. Если ваш SOC молчит, то необходимо проверить, а работает ли он вообще: все ли важные источники подключены, все ли нужные типы событий поступают, учитывает ли контент обнаружения акту- альные угрозы, обогащены ли события индикаторами компрометации и, в конце концов, не переполнен ли ящик, в кото- рый приходят уведомления SOC? – Где проходит граница между зрелостью и иллюзией зрелости в ИБ? Порекомендуйте, какими способами можно вернуть себя в реальность? – Граница между зрелостью и иллю- зией зрелости в ИБ – это понимание, что кибербезопасность не определяется формальными признаками. В современ- ном мире мало соответствовать стан- дартам, установить средства защиты информации и проводить регулярные тренинги персонала. Необходимо обла- дать реалистичной оценкой рисков. Зре- лость в ИБ – это понимание, что фор- мальное соответствие не равно реальной защите. Чтобы вернуться к реальности, можно задать себе несколько вопросов. Как часто мы делаем тестирование инфра- структуры на проникновение? Как часто мы не просто обучаем сотрудников, а проводим внезапные проверки на зна- ние кибербезопасности, например рас- сылаем фишинговые письма? И как сотрудники реагируют на эти письма? Если завтра случится серьезный инци- дент, то как будет реагировать инфра- структура, персонал? Кто будет ответ- ственным за инцидент? Проблема заключается в отсутствии культуры безопасности на уровне выс- шего руководства. Если топ-менеджмент не осознает значимости киберрисков для бизнеса, то ресурсы распределяются по остаточному принципу, процессы рабо- тают неэффективно, а сотрудники не соблюдают правила должным образом. Нельзя забывать, что даже зрелые организации, соответствующие между- народным и российским стандартам информационной безопасности, допус- кают критические ошибки, потому что путают "наличие мер" с результатом защиты. – Как часто нужно проверять свою защиту на прочность? И кто должен этим заниматься: внут- ренняя команда, внешний Red • 13 ПЕРСОНЫ www.itsec.ru Фото: Эдуард Щербаков