Киберконтур: что беспокоит службы ИБ сегодня

Информационная безопасность переживает стадию трансформации. Страх перед внезапным коллапсом, охвативший рынок в 2022 году, сменился рутиной. Компании закрыли базовые потребности, наладили контроль, внедрили регламенты и, как это часто бывает, стали расслабленнее. Но ландшафт угроз не стал проще — напротив, он усложнился и ушёл вглубь. Там, внутри периметра, и скрываются настоящие проблемы, которые сегодня беспокоят службы ИБ. По мотивам “Киберконтура 2025” – Константин Корсаков, директор по безопасной разработке компании RooX.

Проблема 1. Разрыв между нормативами и реалиями

Первое, на что обращают внимание специалисты по ИБ, — несоответствие между предписаниями нормативных документов и их практической реализацией, особенно в регионах. Для государственных структур появление четкой регламентации стало хорошей новостью. Это позволяет им обосновывать бюджеты, закупать решения и действовать в рамках формализованных требований и их логики.

Но между крупными административными центрами и регионами существует очевидный дисбаланс. В субъектах федерального уровня ИТ- и ИБ-инфраструктура развиваются, планирование смотрит на годы вперед, закупки идут в соответствии с ГОСТами.

В то же время регионы работают по устаревшим указаниям — от бумажных журналов до формальных требований, не отражающих текущую ИТ-реальность. Диалог с регуляторами часто формален или вовсе отсутствует. Вопросы финансирования часто остаются, так сказать, без ответов. В результате службы ИБ на местах вынуждены работать в режиме догадок и компромиссов, а это всегда снижает качество и надежность защиты.

Проблема 2. Критичность данных растёт по мере их накопления

Второй серьезный вызов связан с критичностью информации, которая растет по мере своей консолидации. Отдельные массивы данных кажутся безопасными до тех пор, пока не объединяются в целостную картину. Так, один медицинский файл не представляет интереса, но совокупность медицинских карт по региону может демонстрировать динамику заболеваемости, уязвимости в системе здравоохранения, проблемы экологии или логистики — и стать объектом целенаправленного интереса.

При этом непосредственно процессы работы с данными часто не соответствуют требованиям безопасности. Врачи вписывают персональные данные пациентов в любые поля, включая свободные текстовые. Рентгеновские снимки подписываются вручную.

В результате очистка таких данных для передачи в статистику или аналитические системы становится нетривиальной задачей. Именно на этом уровне, где техническая безграмотность пересекается с отсутствием автоматизации, формируются риски, которые позднее оборачиваются инцидентами.

Проблема 3. Утечка — любое покидание персональных данных из периметра

Компании по-прежнему склонны рассматривать утечку данных как результат атаки извне — взлома, проникновения, кражи базы за периметр. Но современные угрозы куда шире: любая неконтролируемая передача персональных данных вовне, даже по неосторожности, формально считается утечкой и влечет санкции.

Проблема в том, что сотрудники часто не осознают границы допустимого. Сценарии банальны: таблица с именами и днями рождения сотрудников, загруженная в облако; гугл-форма для новогоднего опроса с ПДн; инженер, публикующий рабочую схему инфраструктуры на внешнем сервисе.

Все это реальные кейсы, и все это — нарушения, за которые компании платят оборотные штрафы. Наказание наступает не за злой умысел, а за слабость процессов и культуру небрежности.

Проблема 4. Изощренность атак и длительность внедрения

Современные атаки становятся более изощренными. По некоторым данным, среднее время между проникновением в инфраструктуру и началом активной фазы атаки в настоящее время составляет до шести месяцев. За этот период атакующий не просто наблюдает — он активно изучает внутреннюю среду, процессы, роли пользователей, уязвимости, бизнес-логику, точки принятия решений, тестирует реакцию систем защиты.

При этом в ряде случаев злоумышленник даже самостоятельно закрывает найденные уязвимости — чтобы ограничить доступ другим участникам «черного рынка» и продлить свою незаметность в системе. Атаки становятся персонализированными в буквальном смысле. Это уже не массовая рассылка вредоносных ссылок, а аккуратная работа под конкретную организацию. Изучаются связи между сотрудниками, бизнес-процессы, циклы работы, интеграции с внешними сервисами, схемы резервирования и восстановления.

В результате создается точечный сценарий атаки, при котором можно не просто нанести ущерб, но и сделать это в наиболее уязвимый момент — в конце отчетного периода, в пиковую нагрузку, при отсутствии ключевых администраторов.

Кроме того, увеличивается доля атак, в которых используется легитимное программное обеспечение.

Так называемые Living off the Land-атаки (LotL) основаны на применении встроенных инструментов самой системы — PowerShell, WMI, скриптов автоматизации, систем администрирования. Их крайне сложно отследить, особенно в организациях с разрозненной ИТ-инфраструктурой и отсутствием нормализованного логирования.

Эта «долгая тень» злоумышленника создает принципиально новые требования к внутреннему мониторингу. Такое поведение требует высокой квалификации ИБ-служб и полного отказа от шаблонных сценариев. Стало недостаточно фиксировать факт вторжения — нужно уметь интерпретировать слабые сигналы, которые могут указывать на присутствие. Аномалии в поведении пользователей, нестандартные маршруты передачи данных, попытки отключения журналов, избыточные права доступа — все это должно быть под постоянным наблюдением.

ИБ-деньги на паузе

После всплеска интереса к информационной безопасности в 2022–2023 годах, связанного с резким ростом внешних угроз, корпоративные бюджеты на ИБ вновь начинают сокращаться. Эффект страха, вызвавший авральные закупки, исчерпал себя. Теперь, когда первичная ИБ-инфраструктура приведена в порядок, ментальная установка сместилась: «прямые угрозы отступили — значит, можно сократить расходы». Это популярное заблуждение, но оно укоренилось.

Коммерческий сектор в этом смысле особенно уязвим. В отличие от госсектора, где нормативные требования дают формальную мотивацию и обеспечивают бюджетную инерцию, бизнес ориентируется на краткосрочную эффективность. ИБ-меры, не приносящие очевидного возврата на инвестиции, воспринимаются как избыточные. Особенно если они не влияют напрямую на выручку или ускорение бизнес-процессов. Все, что не помогает зарабатывать, попадает в зону жесткой оптимизации.

Службы ИБ, оказавшись в этих условиях, вынуждены действовать реактивно. Планирование становится краткосрочным, инициативы переносятся или замораживаются. Вместо стратегического развития остается точечное латание рисков — ровно до первого инцидента.

Парадокс ситуации в том, что сама по себе защищенность компании создает иллюзию избыточности затрат. Если ничего не происходит — значит, все нормально, зачем платить за что-то еще? Но в условиях усложняющихся и затяжных атак такое восприятие ситуации становится опасным. Угрозы стали менее заметными, но значительно более разрушительными.

И именно в этот момент, когда логика подсказывает «сократить», на деле нужно усиливаться: развивать аналитические инструменты, углублять мониторинг, заниматься просвещением пользователей.

Что делать?

На уровне тактических решений — все понятно и очевидно: чтобы справиться со всеми этими вызовами необходимо обучение сотрудников, контроль проведения чувствительных операций, стандартизация процессов и т.д. Но этого недостаточно. Сегодня основная задача сотрудников ИБ-служб — это действительно видеть, понимать и на практике анализировать то, как реально ведут себя пользователи, что они делают с данными, какие сценарии отклоняются от нормы. Как результат, современные ИБ-службы должны отказаться от иллюзий и перейти от формального исполнения к анализу, прогнозу и системному взгляду на происходящее.