Журнал "Системы Безопасности" № 4‘2025

Б И З Н Е С . И Д Е И И М Н Е Н И Я 124 О реальных предпосылках, технических аспектах и последствиях кибератак для операционной деятельности пострадавших компаний нам, сторонним наблюдателям и ана- литикам, остается только догадываться, ориен- тируясь на официальные сообщения пресс- служб и сводки правоохранительных органов. Будет крайне непрофессионально без участия представителей профильных подразделений, отвечающих за обеспечение информацион- ной безопасности в компаниях – жертвах кибератак, обсуждать данную тему в публичном пространстве, а также пытаться строить какие- либо гипотезы о допущенных нарушениях – эту роль предлагаю оставить потомкам (или же работникам отраслевых регуляторов). Тем не менее спешу поделиться собственными мысля- ми о практических шагах по профилактике акту- альных угроз, задуматься о которых меня, как ИБ-руководителя, заставили предшествующие события. Надеюсь, что их своевременная реа- лизация принесет практическую пользу и не позволит разделить участь ИБ-коллег из компа- ний – жертв недавних кибератак. Итак, несколько мыслей и аргументов по сле- дам громких кибератак в копилку ИБ-руково- дителю. 1. Резервное копирование Понятно и логично, что этот внутренний сервис должен быть по классике реализован в любой уважающей себя компании. Отказоустойчи- вость и восстановление – это святое. Но! Как часто в компании проходят реальные практи- ческие проверки возможности восстановления данных после инцидента? Как давно/часто ИБ- специалисты или ИБ-руководители лично уча- ствовали в процедуре восстановления данных из резервных копий? Установлены ли на эти бэкапы стойкие пароли? Как долго они шиф- руются/расшифровываются? Хранятся ли они в защищенном от внешнего воздействия/редак- тирования/удаления месте? Как быстро можно ими воспользоваться, если что-то пойдет не так? Какое влияние на операционную надеж- ность оказывает процесс, естественным обра- зом растянутый во времени, восстановления данных для неработающей/выведенной из строя одной-единственной автоматизирован- ной системы? А если таких систем несколько десятков, то как правильно с точки зрения выставления приоритетов и сохранения интег- рационной связанности следует восстанавли- вать системы их бэкапов? Кто-то это реально проверял? Этот "кто-то" еще работает в компа- нии или давно уволился, унеся с собой набор уникальных знаний и компетенций? В части практической реализации процесса резервного копирования сложных (не сразу понятных, без единственного правильного отве- та) вопросов у ИБ-практика возникает очень много. Важно до наступления "времени Ч" найти и знать в компании человека, готового и спо- собного правдиво на них ответить, а также при- нять участие в регулярных испытаниях системы резервного копирования по ключевым компо- нентам критического бизнес-процесса. 2. Мониторинг ИБ-инцидентов и/или событий с признаками инцидентов "У нас это реализовано на уровне ситуационно- го центра" – эта первая фраза возникает в голо- ве, когда видишь/пишешь/читаешь про мони- торинг ИБ-инцидентов. Согласен… И опять-таки одно маленькое "но". Думаете, в крупном авиа- перевозчике с офисами по всей России, собст- венными или где-то арендованными ЦОД, в территориально распределенных розничных сетях или фарм-компаниях не был нормально настроен SIEM-мониторинг, не было своего/аут- сорсингового ситуационного центра с набором SLA, а может быть, не было обученных ИБ-спе- циалистов, отвечающих за актуальность правил корреляции событий? Конечно же, все это было и есть! Поэтому одного ответа "у меня в компа- нии все это есть", к сожалению, недостаточно! Важно в любой момент времени понимать, что этот мониторинг работает и способен эффек- тивно собирать, анализировать и выявлять события с признаками инцидентов и что глаза операторов дежурных смен не замылились от регулярных ложных срабатываний. Что каждое подозрение на инцидент проверяется, разбор нечетко классифицированных событий дово- дится до финальной точки по формализованно- му процессу управления инцидентами. Что результаты расследований становятся частью новых цепочек и правил корреляции. А теперь можно ли с уверенностью сказать, что в компа- нии "есть мониторинг"? 3. Анализ защищенности – внешний и внутренний Как показывает практика, тесты на проникнове- ние со скважностью один-два года, даже при условии регулярной смены команды пентесте- ров, не позволяют своевременно выявлять и учитывать актуальные уязвимости. Бывает, что инфраструктура компании обновляется чаще, постоянно возникают пилоты, интеграции с внешними источниками, тестовые зоны раз- работки и пр. Поэтому логично, что тестирова- ние на проникновение "извне" должно чередо- ваться с внутренними проверками защищенно- сти и проводиться чаще, чем раз в один-два года, еще лучше (в плане эффективного выявления и эксплуатирования во вновь созда- ваемых компонентах инфраструктуры на пери- метре) в непрерывном режиме RedTeaming. Да, это дорого, "как крыло от самолета", – рынок тестов на проникновение диктует свои условия. Да, это крайне эффективно в начале пути (когда RedTeam-команда практически каждый день находит уязвимые компоненты и приносит их на стол ИБ-руководителю) и становится менее показательным после нескольких циклов устра- нения уязвимостей, с учетом корректировки процессов создания новых сервисов и разме- август – сентябрь 2025 www.secuteck.ru Алексей Плешков Независимый эксперт по информационной безопасности, эксперт BISA 10 мыслей в копилку ИБ-руководителю о практической информационной безопасности по следам громких кибератак лета 2025 года Не ошибусь, если предположу, что про громкие кибератаки на российский бизнес (целями стали крупнейший авиаперевозчик, ритейлер алкогольной продукции, сети аптек, рестораны, производственные компании и др.) летом 2025 г. не слышал только самый невнимательный, не интересующийся профессиональными новостями руко- водитель по информационной безопасности (ИБ). В этой статье я хочу поделиться собственными мыслями о практических шагах по профилактике актуальных угроз, задуматься о которых меня, как ИБ-руководителя, заставили эти события. П о данным BI.ZONE, хакеры стали чаще атаковать российские компа- нии для киберразведки – сбора данных об их уязвимостях. В первой половине 2025 г. доля таких атак выросла более чем в пять раз. Самыми популярными отраслями для хакерских атак в России в этом году стали ИТ, телекоммуникации и медиа, а также ритейл.