После громкого взлома ИТ-систем «Аэрофлота» тема информационной безопасности крупных российских компаний вновь оказалась в центре внимания. Этот инцидент поставил под сомнение реальный, а не декларируемый уровень их киберзащиты. Чтобы разобраться, является ли эта ситуация частным случаем или симптомом системной проблемы, TAdviser в августе 2025 года побеседовал с экспертами и участниками.
По данным специалистов «Кибериспытания» (компания входит в фонд «Сайберус», созданный сооснователем компании Positive Technologies), две из трех российских компаний (67%) можно взломать менее чем за сутки и более чем в 60% случаев реализовать событие, которое могло бы остановить работу бизнеса.
Руководитель отдела исследований безопасности банковских систем Positive Technologies Сергей Белов согласен с тем, что крупный российский бизнес «системно» переоценивает свой уровень информационной безопасности.
Большинство крупных компаний живут в логике «проходим аудит и закрываем показатели», а не «снижаем вероятность бизнес-простоя от атаки». Метрики удобства (число закрытых тикетов, соответствие чек-листам, «зелёные» отчёты по SIEM/EDR) подменяют метрики стойкости (время до обнаружения, время до эскалации привилегий, доля критичных систем с верифицированной сегментацией и т.п.). В результате руководству рисуют картину управляемого риска при том, что первые же целевые упражнения показывают: начальная компрометация и выход на критичные домены занимают часы, а не недели, — рассказал Белов и выделил несколько главных слабых мест в части ИБ.
- вопросы идентификации, аутентификации и привилегий: разросшиеся права в Active Directory, сервисные учётные записи без MFA, устаревшие и повторно используемые пароли, «вечно живые» VPN-доступы подрядчиков;
- технический долг: наследованные Windows-среды, неуправляемые обновления, слабая сегментация, из-за чего компрометация пользовательского узла превращается в отказ ключевых систем.
Многие крупные российские компании действительно переоценивают свою защищённость и взлом «Аэрофлота» — лишь один из примеров того, что даже при миллиардных бюджетах на ИБ система может рушиться из-за элементарных уязвимостей, комментирует ведущий архитектор по ИБ MONS (входит в ГК «Корус Консалтинг») Елена Скалозубова. По ее словам, например, может быть достаточно одного топ-менеджера, который годами не меняет пароль, или сотрудника, пересылающего данные в незашифрованном виде.
Генеральный директор UDV Group (разработчик ИБ-решений) Виктор Колюжняк также считает, что российские компании скорее недооценивают риски и потенциальные угрозы.
Даже после этих взломов – «мы же не Аэрофлот, зачем нас ломать». Помимо этого «мораторий на проверки» бизнесов, который продолжается уже некоторое время, убирает «регуляторную гильотину» для тех, кому надо переживать, — сказал собеседник TAdviser.
Директор департамента сертификации и безопасной разработки компании «Инферит» (входит в группу Softline) Максим Фокин утверждает, что большинство ИБ-руководителей знают реальный уровень защиты и слабые места своих компаний. Проблема в другом: безопасность стоит дорого, а слабых мест в информационных системах много, рассуждает эксперт. Поэтому владельцы бизнеса зачастую встают перед выбором — закрыть все уязвимые места информационной системы, понеся значительные финансовые издержки, или только основную их часть, сэкономив на числе ИБ-специалистов и количестве средств защиты информации.
У нас в стране и, в целом, в мире компании обычно выбирают второй вариант. Такой метод защиты я называю «лоскутной безопасностью», когда в рамках ограниченного бюджета компании вынуждены точечно закрывать проблемные места подручными средствами. Это улучшает защиту, но не избавляет от всех уязвимостей и дает злоумышленникам возможность и дальше проникать в инфраструктуру компаний, чтобы вести деструктивную деятельность, — сообщил Фокин.
Руководитель направления эксплуатации средств защиты информационной безопасности «Ростелекома» Анастасия Коба считает основной проблемой сохранение “ситуационной модели” обеспечения информационной безопасности: «Условно говоря, сложилось ложное ощущение: «Если не сломали — значит, у нас всё в порядке».
Многие компании ещё не выработали должного уровня осознания рисков и не перешли к комплексному подходу к защите информации. Эту ситуацию усугубляют отсутствие достаточного бюджета на информационную безопасность (особенно в сегменте малого и среднего бизнеса), дефицит квалифицированных специалистов на рынке, отсутствие культуры личной ответственности сотрудников и несогласованность в соблюдении требований безопасности в разных подразделениях компании, – сообщила Коба.
В МТС в беседе с TAdviser констатировали уязвимость компаний любой величины к взлому. Прежде всего, проблема в том, что обычно под мониторингом находится лишь часть инфраструктуры, что дает злоумышленникам достаточно широкие возможности для незаметного проникновения и закрепления в ней, считает технический руководитель направления центра мониторинга и реагирования на кибератаки RED Security SOC компании RED Security (входит в группу МТС) Владимир Зуев. Если даже компания хочет контролировать события ИБ во всей инфраструктуре, часто она сама не обладает полной и точной информацией обо всех ее составляющих. Для этого требуется регулярная инвентаризация ИТ-активов, включая контроль ИТ-систем и хостов на периметре, в этот процесс сейчас выстроен только в самых зрелых с точки зрения информационной безопасности компаниях, отметил Зуев.
По мнению основателя ИБ-компании «Б-152» Максима Лагутина, дело не столько в объемах средств, вложенных в ИБ, и не в излишней уверенности компаний в своей инфраструктуре, а в том, что атаки становятся все изощреннее, а персонал и меры предотвращения угроз – все дороже. Когда компанию атакуют сильные группировки, у которых бюджет может быть в разы больше, в том числе и потому, что они могут спонсироваться зарубежными государствами, у них как у атакующей стороны просто больше ресурсов. Поэтому атаки такие успешные и нельзя говорить, что компания слишком самоуверенная, указывает Лагутин.
Руководитель службы информационной безопасности «МойОфис» Дмитрий Соколов перечислил несколько проблем, с которыми сталкиваются российские компании при выстраивании своей киберзащиты:
- недостаток бюджета на технологии;
- АСУТП, которые невозможно заменить в силу бизнес-процессов;
- бюрократия – подмена технологий и процессов написанием документации в стол.
- компании закупают дорогостоящее оборудование, но не закладывают фонд оплаты труда на квалифицированных сотрудников, которые будут его обслуживать, и это оборудование «греет воздух»;
- неквалифицированный персонал, который живет в парадигме безопасности 10-15- летней давности.
Начальник управления информационной безопасности АО «Свой Банк» (бывший «Газнефтьбанк») Алексей Ахмеев считает, что крупные компании в РФ недооценивают желания и возможности злоумышленников нанести ущерб субъектам критической информационной инфраструктуры.
По опыту могу сказать, что управление и контроль системы обеспечения ИБ крупной компании, имеющей распределенную ИТ-инфраструктуру или состоящей из нескольких компаний, чьи инфраструктуры интегрированы между собой, требует серьезных инвестиций. Важно понимать: при взаимной интеграции различных ИТ-инфраструктур, необходимо учитывать факт того, что защищенность общего периметра будет равна защищенности самого «слабого звена», т.е. компании с наименьшим уровнем защищенности, — подчеркнул Ахмеев.
Источник: https://www.tadviser.ru/a/233200
Комментариев пока нет.