В эпоху гибридной работы, киберугроз и цифровой трансформации стабильная и надежная связь перестала быть просто «услугой». Она превратилась в стратегический актив и главный фактор бизнес-устойчивости. Сегодня цена вопроса измеряется не только прямыми финансовыми потерями, но и репутационными издержками, а также возможностью компании сохранить операционный контроль в нестабильных условиях. В рамках конференции «КиберБез Рисков» представители реального бизнеса и ИТ-сферы обсудили, как сместить фокус с технических деталей на управленческие решения, и почему «паранойя» становится новой нормальностью.
Инфраструктурный апокалипсис
Еще несколько лет назад сценарий, при котором все мобильные сети в регионе отключаются одновременно, казался чем-то из области фантастики. Считалось, что технический коллапс или физическое воздействие могут затронуть лишь одного оператора или ограниченную территорию. Однако, как отметил один из партнеров мероприятия, генеральный директор компании «Комфортел» Дмитрий Петров, реальность оказалась сложнее: «Я забыл, что есть административный способ выключить все сети разом. Этот риск я даже не учитывал. Жизнь нас привела к тому, что бывает и так».
Это осознание меняет подход к планированию инфраструктуры. Если раньше бизнес полагался на вероятностные оценки, то теперь в повестку дня входит подготовка к работе в условиях «отключенного интернета». Ключевой принцип, который предлагается взять за основу, — резервирование, которого, как показывает практика, «много не бывает».
Участники дискуссии сошлись во мнении, что устойчивость системы достигается не только за счет технических средств, но и за счет баланса взглядов. Консерватизм IT-специалистов и «инфраструктурных параноиков» должен сочетаться с пониманием рисков со стороны топ-менеджмента и финансовых директоров, отмечает Дмитрий Петров. Только когда все стороны верят в возможность «апокалипсиса» и готовы считать его стоимость (влияние на себестоимость, средний чек, репутацию), система управления рисками становится гармоничной, а принимаемые решения — сбалансированными.
Защита для остаточных рисков
Несмотря на рост осведомленности, механизм киберстрахования для многих компаний остается «черным ящиком». В ходе конференции руководитель управления страхования финансовых рисков «АльфаСтрахования» Алина Малышева пояснила, что киберстрахование не является альтернативой техническим средствам защиты. Напротив, оно встраивается в общую систему управления рисками, закрывая те остаточные угрозы, которые не смогли нивелировать IT-департаменты.
Структура страхового покрытия, как было отмечено в дискуссии, делится на два ключевых направления. Первое — это затраты на восстановление данных и систем. Второе, и наиболее востребованное, это страхование перерывов в производстве. Убытки от простоя информационных систем копятся с первых часов, и именно этот компонент формирует до половины стоимости полиса для бизнеса.
Важным нюансом, который требует отдельного внимания, является разграничение инцидентов. Если речь идет о нарушении функционирования информационной системы, например, о техническом сбое, внешней атаке, — это классический киберстраховой случай. Однако, если инцидент произошел без взлома системы, например, в результате действий сотрудника, введенного в заблуждение письмом или звонком, то такой случай относится к иной категории — страхованию от преступлений. Раздел проходит в зависимости от того, была ли нарушена целостность IT-инфраструктуры компании или нет.
Отдельно в рамках дискуссии был затронут вопрос уплаты выкупа киберзлоумышленникам. Эксперты обратили внимание, что страхование самого выкупа (ransom insurance) в рамках российского права невозможно, так как это считается страхованием противоправного интереса. Страховые компании могут покрывать лишь расходы на консультации, связанные с взаимодействием со злоумышленниками, но не саму сумму перевода.
Управление подрядчиками: слабое звено в цепочке доверия
Современная архитектура бизнеса строится на взаимодействии с множеством внешних подрядчиков. Каждый из них, имея доступ к внутренним контурам или работая с публичными активами компании, становится потенциальной точкой входа для атаки, причем очень привлекательной для злоумышленников.
В ходе дискуссии был рассмотрен реальный кейс, демонстрирующий, как репутационные риски могут выйти на первый план даже при отсутствии ущерба критической инфраструктуре. Атака на сайт, который находился на аутсорсе, привела к информационному шторму. Проблема усугубилась тем, что подрядчик, ответственный за техподдержку, не смог оперативно закрыть проблему, а впоследствии уничтожил следы инцидента, откатив настройки, что затруднило расследование для регулятора.
Главный урок, который был сформулирован по итогам разбора ситуации, — недопустимость экономии на подрядчиках в вопросах безопасности. «Не ищите дешевых исполнителей», — так эксперты резюмировали опыт взаимодействия с вендорами. В ответ на инцидент с сайтом бизнес начал внедрять более жесткие требования к контрагентам. В практику входят соглашения по кибербезопасности, которые обязывают подрядчиков соблюдать минимальные стандарты защиты, брать на себя риски за возможные инциденты и оперативно информировать заказчика о попытках взлома через свою инфраструктуру. Те компании, которые отказываются от подписания таких соглашений, постепенно отсеиваются, уступая место более ответственным партнерам.
Человеческий фактор: от болевой точки к активу безопасности
Современные атаки становятся все менее техническими и все более психологическими. Вместо взлома сложных систем злоумышленники все чаще нацелены на человека. Как отметил в своем выступлении евангелист по информационной безопасности «ВкусВилл» Александр Маер, сегодня атаки используют срочность, доверие к знакомым отправителям и социальное давление.
Новые векторы угроз включают в себя поддельные голосовые и видео сообщения (дипфейки), для синтеза которых достаточно 30 секунд записи, а также QR-коды. Последние представляют особую опасность, так как сканирование кода передает злоумышленнику сессию доступа к мессенджеру без ввода пароля, и пользователь часто не осознает, что передал контроль над своим аккаунтом. Золотое правило, которое предлагается внедрять в корпоративную культуру, — не сканировать QR-коды, если неизвестно, кто их разместил.
Однако главной проблемой в управлении человеческим фактором остается не техническая безграмотность, а страх сотрудников перед наказанием. Классическая модель, при которой за оплошность следует выговор или лишение премии, провоцирует сокрытие инцидентов. Как было отмечено в рамках дискуссии, если сотрудник боится, то компания становится уязвима, атака развивается скрыто, а время на реагирование теряется.
Альтернативный подход, который находит все больше сторонников, предусматривает построение культуры информационной безопасности. При этом вместо контроля и запретов ставка делается на доверие и обучение, а вместо наказаний, в том числе рублем, на анализ ошибок как сигнал для улучшения системы. Эксперты считают, что должен работать принцип: «Лучше 100 ложных тревог, чем один скрытый инцидент».
Эффективность такого подхода подтверждается практикой. Регулярные киберучения, включающие рассылку фишинговых писем и имитацию вредоносного ПО, показывают неплохую динамику осторожности со стороны пользователей. Если в компаниях, где культура безопасности только формируется, процент открытия вредоносных вложений может достигать 50%, то после системного обучения и смены мотивации, которая теперь включает поощрение за бдительность вместо наказания за ошибку, этот показатель стремится к нулю. Более того, сотрудники начинают самостоятельно обращаться в службы ИБ с вопросом, не является ли присланное фишинговой атакой.
Паранойя как стандарт
Подводя итоги дискуссии, эксперты отметили, что современная бизнес-устойчивость строится на трех китах. Первый — это инфраструктурная надежность, основанная на принципе избыточности и готовности к самым маловероятным сценариям. Второй — финансовая защита остаточных рисков через инструменты страхования, требующие понимания юридических нюансов и границ покрытия. Третий и, возможно, самый важный — это человеческий фактор, трансформируемый из источника уязвимостей в актив безопасности через построение культуры доверия и систематическое обучение.
Как отметил Дмитрий Петров, полезная паранойя и систематические учения, которые могут казаться окружающим избыточными, в критический момент становятся единственным фактором, способным сохранить бизнес, а иногда и жизни людей. В период, когда цена вопроса измеряется годовым оборотом и репутацией, такой подход перестает быть личным качеством и превращается в обязательный корпоративный стандарт.
