Эксперт Мишуков: переход к превентивному сбору данных о кибератаках — шаг в правильном направлении, но нужны автоматизация и готовность регулятора к нагрузке

Генеральный директор компании iTPROTECT Андрей Мишуков положительно оценил планируемые изменения, касающиеся новых правил отчётности о киберугрозах. Он считает, что инициатива усилит безопасность как государственных объектов, так и коммерческого сектора, поскольку позволяет выявлять угрозы ещё на ранних стадиях.

«В целом — новость позитивная с точки зрения безопасности государственных объектов и участников рынка. По сути, ФСБ переходит с модели, в которой на радар попадали только совершенные инциденты, к превентивному мониторингу угроз», — отметил Андрей Мишуков.

Он объяснил, что любая атака развивается по цепочке, где разведка — лишь начальный этап. Если зафиксировать действия злоумышленников уже в этот момент, можно предотвратить дальнейшее развитие атаки. Новый подход, предполагающий обязательное уведомление о подозрениях, даёт ИБ-командам больше времени на реагирование и повышает цену ошибки для хакеров.

«Кибератака развивается по определённой цепочке, и её первый этап — это разведка. Предыдущий подход мог привести к тому, что активность злоумышленников на этом шаге останется незамеченной. Как следствие, у них будет больше возможностей для совершения нежелательных действий. Если же ИБ-команды должны будут учитывать и сообщать о малейших подозрениях на такую активность, у них теоретически будет больше времени для реагирования. Это снизит процент успешных кибератак и повысит их стоимость для хакеров», — пояснил он.

Андрей Мишуков подчеркнул, что успех новых требований будет напрямую зависеть от технической готовности компаний. В крупных организациях ежедневно фиксируются тысячи подозрительных событий — от фишинга до массового спама. Если каждое из них обрабатывать вручную, процессы внутри ИБ-подразделений могут быть парализованы.

Он также задался вопросом, насколько готова техническая инфраструктура НКЦКИ к приёму и обработке резкого роста количества уведомлений. Потенциально речь идёт о многократном увеличении трафика — на порядки, а не на проценты.

«С другой стороны, конечно, у больших крупных компаний в день на сервер могут приходить тысячи спам-сообщений, фишинговых писем и так далее. Если по каждому из них придётся информировать НКЦКИ, процессы безопасности могут застопориться. Всё будет зависеть от того, как сами компании смогут перестроить процессы уведомления НКЦКИ в автоматизированном режиме. Также возникают вопросы насчёт способности инфраструктуры регулятора выдержать такой объём поступающего трафика, ведь количество уведомлений от компаний может вырасти на несколько порядков — в сотню или в тысячу раз», — подчеркнул Андрей Мишуков.