40% компаний не тестируют внедренные планы восстановления после киберинцидентов

Disaster Recovery Plan (DRP) — один из важнейших элементов системы киберустойчивости. Он предписывает, как ИТ-команда должна отреагировать на инцидент деградации работы или полной остановки системы, как ее восстанавливать, что необходимо делать в первую очередь, в какие сроки. Эти планы требуют регулярного тестирования и обновления, при этом, по оценке «Кросс технолоджис», порядка 40% российских компаний по состоянию на февраль 2026 года не тестировали внедренные планы восстановления.

В основе DRP традиционно лежит несколько основных положений: RTO (целевое время восстановления) и RPO (допустимая потеря данных), распределение информационных систем по уровню критичности и порядку восстановления для возобновления функционирования бизнеса, инвентаризация ИТ-систем, стратегии резервного копирования, процедуры восстановления, планы коммуникаций, альтернативные системы и так далее. Для каждой организации, указывают в “Кросс технолоджис”, план восстановления свой, так как в зависимости от специфики компании допустим разный объем потери информации; компаниям требуется разное время на восстановление. Причем это может касаться даже систем внутри одной организации: например, банку нужно оперативнее восстановить работу клиентских сервисов, чем систему внутреннего документооборота.

Для подтверждения реализуемости плана восстановления необходимо его регулярное тестирование. Оно включает набор процедур от проверки бэкапов и системы резервного копирования в целом до моделирования инцидента целиком. Тестирование позволяет понять, насколько принятые метрики RTO и RPO отвечают требования бизнеса, насколько команда понимает свои роли, насколько резервные системы готовы к оперативному подключению. После тестирования в документацию вносятся правки, а организация получает действенный план восстановления.

“DRP предусматривает еще ISO 27001, появившийся более 20 лет назад. На уровне российского законодательства положения об оперативном восстановлении и киберустойчивости тоже уже много лет содержатся в ряде ГОСТов. При этом значительная доля компаний либо в принципе никогда не проводили полноценное тестирование, ограничиваясь проверками бэкапов, либо проводят их крайне редко, вместо раза в 1-2 года могут не обновлять DRP более 3 лет. Но нужно понимать, что системы меняются, появляются новые ИТ-инструменты, компания подключает облака, меняется штат и так далее. Все это требует отражения в DRP и проверки плана в действии”, — говорит Евгений Балк, руководитель департамента развития и архитектуры “Кросс технолоджис”.

По оценкам интегратора, в 2025 году компании в среднем теряли порядка 600 тыс. рублей из-за простоя. В случае если у компании нерабочий DRP и восстановление занимает больше времени, потери становятся гораздо больше. При этом потери для крупных компаний из отраслей, где прерывания работы критичны, могут достигать нескольких миллионов рублей в минуту.

Специалисты “Кросс технолоджис” рекомендуют бизнесу регулярно актуализировать планы восстановления для поддержания возможности оперативно отреагировать на значительный инцидент, восстановиться и снизить потери. “Сегодня мы живем в мире, где вашу компанию в любом случае атакуют, рано или поздно. Помимо отражения атаки ключевым аспектом становится обеспечение возможности оперативного восстановления, в том числе за счет принятия планов, которые должны отражать именно реальные возможности компании по возобновлению критичных бизнес-процессов”, — отмечает Евгений Балк.