Об эксперте: Михаил Толчельников — директор по информационной безопасности компании «Киберпротект», признанный эксперт в области информационной безопасности с более чем 25-летним опытом работы.
Кибератаки — это реальность сегодняшнего дня и ближайшего будущего для организации любого масштаба, и происходят они гораздо чаще, чем принято считать. Значительная часть успешно атакованных организаций стараются скрыть факт инцидента, опасаясь ненужного давления на репутацию, а в публичном поле чаще оказываются только те инциденты, которые невозможно скрыть, потому что они повлияли на работу сервисов, затронули людей, да и на них стараются «повесить табличку» технического сбоя. Из-за этого может сложиться впечатление, что серьезных инцидентов происходит не так много, тогда как реальный масштаб угроз оказывается выше, чем кажется.
Как выглядит пропущенный удар
Летом 2025 года серия масштабных кибератак показала, что происходит, когда под удар попадает крупный игрок рынка. В середине июля известная сеть алкомаркетов подверглась хакерской атаке. В результате тысячи магазинов по всей России закрылись, онлайн-сервисы не работали, а по оценке экспертов убытки компании могли превысить 1,5 млрд рублей.
В тот же месяц IT-системы ведущего авиаперевозчика были выведены из строя: десятки рейсов отменили, из-за сбоя нарушилась работа биллинга и брони — по оценкам экспертов, одни только потери за день превысили 250–300 млн рублей. Позже пострадал ряд аптечных сетей, которые объявили о хакерской атаке: сотни точек закрылись, кассы и системы бронирования перестали работать, программы лояльности были недоступны.
Эти эпизоды подтверждают: даже крупные компании с ресурсами на информационную безопасность остаются уязвимыми к довольно масштабным киберинцидентам.
Почему не нужно ставить целью неуязвимость
Никакое техническое средство защиты не может снизить до 0% вероятность успешного завершения атаки на любую организацию, особенно если атакующие обладают достаточными навыками и ресурсами. Практика показывает, что значительная часть усилий атакующих направлена туда, где человеческий фактор приводит к максимальной уязвимости, а следовательно технические меры защиты, какими бы они ни были совершенными, будут менее эффективны. Отсюда такая популярность атак с использованием социальной инженерии и фишинга.
Сложная архитектура современных ИТ-сервисов, дополненная инфраструктурными «особенностями» типа объединенных IT и OT сетей, массой устаревших систем, и глубокой интеграцией с подрядчиками вне контура организации, еще больше снижают эффективность средств защиты, даже там, где команды кибербезопасности прикладывают большие усилия к развитию средств ИБ. Так как площадь атаки растет крайне динамично и постоянно, контролировать пути атаки и устранять уязвимости становится все сложнее.
Атаки также становятся технологичнее: автоматизированный подбор сценариев, использование ИИ и больших языковых моделей для атаки и атаки на системы ИИ, используемые в самих организациях, проникновение через сервисы партнеров, эксплуатация ошибок интеграции. Это постепенно размывает фундамент киберзащиты, приближая организацию к киберкатастрофе.
Но так происходит далеко не всегда и этого состояния можно избежать, если вместо 100% фокуса на средствах защиты сделать большую ставку на киберустойчивость, то есть на способность организации максимально быстро восстановить критичные бизнес функции в случае, если средства защиты окажутся бессильными перед возможностями атакующих. Именно баланс между зрелыми средствами защиты и развитыми процессами восстановления поднимают реальные шансы компании пережить серьезный инцидент без стратегического ущерба.
И главное — готовиться к инцидентам нужно до того, как они произойдут, заранее иметь план восстановления. Только тогда они будут управляемыми и безболезненными для бизнеса и потребителей.
Чек-лист: первые шаги к киберустойчивости: как восстановиться после инцидента и не прогореть
Стратегические и постоянные усилия окупаются
Эффективное восстановление начинается с моделирования финансовой эффективности имеющейся программы восстановления. Нужно провести моделирование потерь организации при текущих значениях параметров восстановления (RTO и RPO). Тогда уже можно будет оценить, до каких значений их нужно будет поднять, чтоб остаться в пределах допустимых потерь. А после, оценив стоимость таких активностей, можно будет понять, насколько эта инициатива будет финансово эффективна.
В крупной организации сложно провести такую трансформацию быстро, и первой задачей будет создание стратегии, при которой необходимые параметры восстановления будут закладываться в планы по трансформации ИТ сервисов.
Это даст возможность гибко и эффективно объединить архитектуру ИТ сервисов с мерами по их защите и с возможностью демонстрировать финансовую эффективность усилий.
Победа любит подготовленных
План реагирования должен быть не формальным документом, а практическим инструментом, проверенным в реальных условиях.
Обучение на практике, отработка различных сценариев восстановления на реальных системах и в виде настольных симуляций, постоянные усилия по поддержанию актуальности плана по восстановлению — все это совершенно необходимые элементы обеспечения киберустойчивости.
Резервные копии должны работать
Особое внимание нужно уделять защите систем резервного копирования от воздействия атакующих и регулярному тестированию восстановления данных с различной глубины хранения. Нужно помнить, что успешная атака сама по себе принесет определенный ущерб и проблемы вашему бизнесу, а если при этом план по восстановлению не сработает как это планировалось, бизнес может остаться парализованным на долгие недели и это обернутся потерями в сотни миллионов.
Даже у небольших есть шанс
Даже если отдельный отдел ИБ вам не по карману, вам нужен кто-то, кто возьмет на себя планирование защищенности и киберустойчивости. Ищите компании, которые могут предоставить вам «директора по ИБ выходного дня» для формирования и настройки политики, анализа рисков, создания плана реагирования, и т.д. Обучайте ваш ИТ персонал основам кибербезопасности, и старайтесь выбирать облачные решения, где киберустойчивость и восстановление данных включены в список возможностей
Источник: hi-tech.mail.ru