ГК Softline объяснила, почему только часть компаний в России имеют собственные стандарты ИБ

Только 20% российских компаний внедрили собственные стандарты информационной безопасности, разработанные с учетом актуальных трендов кибератак. Еще меньше — 15% — имеют рабочие сценарии реагирования на инциденты. Такие данные приводит исследование. Эксперты ГК Softline проанализировали ситуацию и назвали главные причины, почему бизнес не торопится с внедрением системной защиты, и объяснили, чем это оборачивается для ИТ-директоров, ИБ-специалистов и собственников, и почему это особенно важно в секторах КИИ, финансах и промышленности.

Почему тема стала актуальной

Российский бизнес перешел в фазу, когда «просто купить файрвол» больше не работает. Кибератаки стали сложнее, регуляторы жестче, а цена утечки данных исчисляется уже не штрафами, а снижением оборотов бизнеса.

Ресурсы на информационную безопасность в компаниях традиционно ограничены — и это, по оценке специалистов ГК Softline, главная причина низкого внедрения собственных методик. В борьбе за бюджет направление ИБ нередко проигрывает более «осязаемым» статьям расходов. При этом те организации, у которых есть ресурсы, как правило, опираются на готовые международные стандарты. Однако в условиях роста целевых атак и ужесточения регуляторных требований такой подход перестает быть достаточным.

Какие риски и ошибки видят эксперты ГК Softline

Елизавета Маркова, руководитель отдела риск-менеджмента кибербезопасности ГК Softline (Infosecurity, «Софтлайн Решения»), выделяет несколько ключевых проблем.

Первое — ограниченные ресурсы. ИБ традиционно проигрывает в борьбе за бюджет более «понятным» статьям расходов. Компании с готовностью выделяют деньги на новое производственное оборудование или CRM-систему, но инвестиции в безопасность кажутся «страховкой», которую можно отложить.

Второе — опора на чужие стандарты. Многие компании используют ISO 27001 или NIST, не адаптируя их под себя. «Разрабатывать собственный стандарт с нуля, когда существуют проверенные методологии, многим кажется избыточным», — отмечает Елизавета Маркова. Но именно адаптация под отраслевую специфику, модель угроз и зрелость компании превращает стандарт из формальности в рабочий инструмент.

Третье — мнимая уверенность в безопасности. Логика «нас не атакуют, значит, мы не интересны хакерам» — самая дорогостоящая ошибка. В ГК Softline подчеркивают: отсутствие видимых последствий — это не отсутствие атак. Во многих компаниях попытки взлома просто не отслеживаются. А значит, создается ложное чувство спокойствия.

Четвертое — деньги в «железо», а не в процессы. Типичная ошибка компаний с ограниченным бюджетом: направить ресурсы на закупку средств защиты, но забыть выстроить процессы кибербезопасности. «Средства защиты — это лишь один из элементов комплексного подхода, и без процессной основы они работают вполсилы», — резюмируют эксперты.

Чем это опасно для бизнеса

Когда у компании нет стандартов, каждое подразделение трактует «безопасность» по-своему. В холдингах и группах компаний это приводит к хаосу: дочерние структуры с разным уровнем зрелости ИБ не могут выстроить единый контур защиты.

Отсутствие сценариев реагирования превращает любой инцидент в хаос. Непонятно, кто принимает решения, кто отключает серверы, кто уведомляет регулятора. Время простоя бизнеса растягивается на дни вместо часов.

Но самый опасный риск, по оценке команды Softline, — отсутствие учета киберрисков в стратегии. Когда компания не понимает, какие потери могут быть при атаке, она не может расставить приоритеты. И в итоге тратит миллионы на то, что не защищает главное, и экономит на том, что могло бы предотвратить катастрофу.

Отсутствие собственных стандартов ИБ и сценариев реагирования создает системные уязвимости. Только часть компаний имеют выработанные сценарии реагирования на инциденты и закладывают в стратегию и бюджет по ИБ различные риски для бизнеса и возможные потери в случае атак. Это означает, что при успешной атаке организация вынуждена действовать реактивно, тратя ресурсы на «тушение пожаров» вместо управления последствиями по заранее отработанному плану. Для крупного бизнеса такие потери измеряются не только прямым ущербом, но и репутационными рисками, сложностями восстановления доверия клиентов и партнеров. Для среднего и малого бизнеса дефицит бюджета на выстраивание полноценной защиты делает их приоритетными целями для группировок, работающих по модели RaaS.

Что делать компаниям: практические рекомендации

Специалисты ГК Softline выделяют пять шагов для перехода от формального соответствия к реальной защищенности:

1. Провести аудит текущей зрелости ИБ-процессов — оценить, насколько существующие документы отражают реальную специфику бизнеса, модель угроз и отраслевые особенности.
2. Внедрить дифференцированные уровни ИБ внутри холдинга — предъявлять разным структурам требования в зависимости от их роли, критичности данных и доступных ресурсов.
3. Сместить фокус бюджета с закупки инструментов на выстраивание процессов — обеспечить четкое определение целей, этапов, распределение ответственности и механизмы непрерывного совершенствования.
4. Разработать и протестировать сценарии реагирования на инциденты — провести как минимум два практических учения в год с участием ИТ- и бизнес-подразделений.
5. Использовать оценку рисков как инструмент приоритизации вложений — обосновывать выбор направлений финансирования не интуитивно, а на основе данных о вероятности и потенциальном ущербе.

Вывод

Информационная безопасность перестает быть задачей закупки «лучших решений» и становится вопросом дисциплины, архитектуры и отработки процедур. Игнорирование базовых принципов риск-ориентированного подхода делает организации предсказуемой целью, а смещение фокуса на фундаментальную гигиену и человеческий фактор значительно повышает стоимость атак для злоумышленников.