В отношениях бизнеса и ИБ наметились заметные подвижки в лучшую сторону. Этому способствовали сразу несколько факторов, включая ситуацию с угрозами, усиление государственного и отраслевого регулирования, а также давление потребителей. Всё это стало предметом обсуждения на SOC Forum.
- Введение
- Бизнес не может игнорировать угрозы
- Защищённость важнее низкой стоимости. Фактор потребителя
- Взгляд на диалог со стороны CISO
- Выводы
Введение
Залогом успеха любого проекта является вовлечение первых лиц компании. Это утверждение в полной мере относится к сферам ИТ и ИБ.
Что касается ИТ, то общего языка с бизнесом удалось достичь уже довольно давно: во многом потому, что уже в нулевые руководителями соответствующих подразделений стали не технари, выходцы из старших администраторов или разработчиков, а бизнес-менеджеры. Впрочем, среди них всё равно было немало переученных специалистов старой школы с техническим бэкграундом, но их мировоззрение удалось перестроить. Все они умели говорить с бизнесом на понятном ему языке.
С ИБ оказалось сложнее. С одной стороны, проблема кибербезопасности, согласно данным исследований международных аудиторских агентств (например, PricewaterhouseCoopers), заняла место в первой тройке угроз уже к 2013 году. С другой, CISO (Chief Information Security Officer, директор по информационной безопасности), как «у нас», так и «у них», не хватало административного веса и умения договориться с бизнесом, поскольку основная часть таких управленцев поднялась с роли рядовых специалистов.
Усиление регулирования за рубежом, например, появление GDPR, повлияло на взаимоотношения субъектов, но далеко не сразу. В России всё складывается похожим образом.
У нас ситуацию призван был изменить 250-й указ президента от 1 мая 2022 года. Среди прочих мер он предусматривает эскалацию роли ИБ-службы, полномочия главы которой поднимаются до заместителя первого лица. Руководитель же несёт персональную ответственность за обеспечение ИБ в организации.
Данный документ касается далеко не всех организаций. Плюс ко всему, он не решает проблему, связанную с недостаточной зрелостью бизнеса и неготовностью нести дополнительные расходы и ответственность за провалы в обеспечении безопасности. Проблема касается даже зарегулированных сфер вроде финансов. Причём чем меньше размер банка или другой кредитной организации, тем острее данная проблема. Тем более в текущих условиях «охлаждения» экономики, когда приоритеты бизнеса при ограниченных ресурсах могут быть далеки от ИБ.
Но есть немало примеров, когда ИБ становилась «тормозом» многих проектов, в том числе тех, которые ИТ и бизнес считали значимыми. Так что неслучайно, что тема организации диалога ИБ и бизнеса поднялась на SOC Forum. Причём не один раз и с разных ракурсов: с точки зрения первых лиц и CISO.
Бизнес не может игнорировать угрозы
Ключевой в первый день SOC Forum стала пленарная дискуссия «Экономика доверия: как безопасность клиентов стала главным активом бизнеса» (рис. 1). Как сразу предупредил её модератор, генеральный директор ГК «Солар» Игорь Ляпунов, ИБ не станет главной темой обсуждения.
Рисунок 1. Участники дискуссии «Экономика доверия»
Тем не менее без ИБ не обошлось. Президент «Ростелекома» Михаил Осеевский сравнил роль ИБ в компании с той, которую играют медики в жизни людей. Пока всё нормально, их не замечают, но, когда начинаются проблемы, о них сразу вспоминают. Особенно после 2022 года, когда риски перестали быть теорией, тем более для крупных телекоммуникационных компаний, отвечающих за большое количество сервисов, в том числе государственных.
Владелец и генеральный директор ретейлера FINN FLARE Ксения Рясова назвала рост роли ИБ прямым следствием цифровизации бизнеса, что, в свою очередь, было насущной необходимостью. Именно «оцифровка» учёта помогла вчерашним «челнокам» из 90-х сделать прыжок в новое качество, тогда как те 99 %, кто делал это на бумаге, просто со временем ушли из бизнеса.
Обратной стороной цифровизации стали атаки. Поэтому, как отметила Ксения Рясова, ещё до волны атак 2022 года она лично настаивала на внедрении мер по киберзащите, включая тестирование на устойчивость к различным видам нападений. Это диссонировало с распространённой до СВО точки зрения «а кому мы нужны». Такое пренебрежение, как отметила Ксения Рясова, в итоге дорого обошлось тем компаниям, которые такие меры игнорировали.
С другой стороны, по мнению председателя правления Rubetek Екатерины Лапшиной, у руководителей бизнеса информационная безопасность «растворяется» в общей безопасности, включая экономическую и другие виды — зависит от отраслевой принадлежности. Впрочем, сейчас многие направления действительно переплетены. Так, синергия информационной и экономической безопасности стала требованием бизнеса, и нормальная работа соответствующих служб просто невозможна без систем, которые находятся в ведении каждой из них.
В целом, как отметили участники дискуссии, кибербезопасность стала важной частью деятельности руководителя и собственника бизнеса. И пренебрежение ей чревато, безо всяких преувеличений, потерей бизнеса. Прецедентов тому уже немало.
Как отметил Игорь Ляпунов, на отрасль влияет пример инцидентов с серьёзными последствиями. Для российской розницы такими стали атака на «Винлаб» и в целом холдинг Novabev, а также на сети аптек «Столички» и «Неофарма».
По оценке Екатерины Лапшиной, для многих компаний, предоставляющих массовые сервисы, в том числе онлайн-кинотеатры, ИБ стала частью социальной ответственности. Причём приходится заниматься в том числе просвещением пользователей и донесением до них базовых правил кибергигиены.
По её мнению, появляется и новый фактор, который бизнесу приходится учитывать: конечные потребители не просто заинтересованы в безопасности — они готовы за неё доплачивать. Это стало значимым фактором, который влияет на конкурентоспособность компании.
Защищённость важнее низкой стоимости. Фактор потребителя
Уже открывая секцию, Игорь Ляпунов отметил, что защищённость стала востребованной потребителями:
«У потребителей за год-два сильно поменялся взгляд на то, как они выбирают продукты, поменялся профиль потребления. Больше людей начинает задумываться о том, насколько защищён тот или иной сервис, и эксперты говорят, что потребитель сегодня выбирает не самый дешёвый сервис: доверие стало более значимым, нежели очень дешёвое ценовое предложение».
В ряде случаев, как дополнила Елена Лапшина, безопасность или отдельные её элементы востребованы пользователями, и за многие из них они готовы доплачивать. Применительно к своей компании она упомянула родительский контроль: родители заинтересованы, чтобы дети смотрели только то, что не нанесёт им вред.
Акционер и основатель ГК «Медскан» Евгений Туголуков назвал безопасность одним из ключевых факторов доверия для поставщиков ИТ-услуг, особенно если речь идёт о такой сфере, как медицина. Рынок одних только медицинских услуг в 2,5 раза превышает объём угольной отрасли и производства минеральных удобрений.
Очень востребован дополнительный сервис в сфере безопасности у операторов связи. К примеру, Михаил Осеевский анонсировал запуск услуги по проверке наличия данных об абоненте в даркнете. При этом пользователи Т2 (принадлежит «Ростелекому») могут получать бесплатно большое количество сервисов безопасности. Среди них блокировка мошеннических звонков и СМС, защита от скрытых подписок, маркировка входящих звонков. Многие из этих сервисов оператор начал предоставлять задолго до того, как они стали обязательными.
Рисунок 2. Сервисы безопасности оператора Т2
Президент «Вымпелкома» (бренд «Билайн») Александр Панков также назвал безопасность одним из основных приоритетов. Он подчеркнул, что иначе и быть не может в условиях, когда каждый пятый звонок является мошенническим.
Некоторые действия, по признанию глава «Билайна», дались с трудом. Например, прекращение диалога (звонка) оператором при подозрении на мошенничество. Однако, по его словам, от таких решений очень много плюсов.
Александр Панков при этом назвал противостояние со злоумышленниками постоянным, и надо быть готовым к новым угрозам. Среди них он особо выделил атаки с использованием вредоносных приложений и дипфейков.
Скорость реагирования на угрозы, как подчеркнул вице-президент Сбербанка Станислав Кузнецов, является недостаточной. Он в качестве примера привёл звонки с подменных номеров, которые активно используют мошенники.
«Не удалось коренным образом переломить тренд по потерям через телефонное мошенничество, несмотря на все беспрецедентные усилия, которые принимает государство, бизнес. Количество денег, украденных у россиян, согласно нашим данным составило не менее 300 млрд рублей по итогам 2024 года, а к концу 2025 года прогнозируем рост на 15–20 %», — такой вывод сделал Станислав Кузнецов.
Однако, по мнению CISO Сбербанка, отношение к ИБ-специалистам за последние годы изменилось, причём кардинально. К ним начали прислушиваться бизнес-руководители и представители государства.
Таким образом, пришли к выводу участники сессии, ИБ перестала быть сугубо обслуживающей функцией, а стала важной частью бизнеса. Из источника расходов она стала приносить доход, пусть и опосредованно. В любом случае больший уровень безопасности стал важным конкурентным преимуществом, по крайней мере, в отдельных сегментах.
Взгляд на диалог со стороны CISO
Секция «Как информационная безопасность становится частью корпоративной ДНК» (рис. 3) открыла второй день SOC Forum 2025. Одной из тем, которые там поднимались, стало выстраивание отношений ИБ и бизнеса.
Рисунок 3. Участники дискуссии «Как информационная безопасность становится частью корпоративной ДНК»
Директор департамента информационной безопасности «Транснефти» Михаил Наумов в диалоге с бизнесом призвал коллег всячески уходить от роли «злого полицейского». Их начинают рассматривать как дубинку, которая не помогает, а мешает в ходе реализации проектов. С бизнесом нужно выстраивать партнёрские соглашения. Только так, по мнению Михаила Наумова, можно добиться того, чтобы требования ИБ, включая программный код, как можно раньше внедрялись в ИТ-системы.
Слова Михаила Наумова подтверждаются статистикой. К примеру, исследование Фонда «Сколково» показало, что в ходе проектов по внедрению искусственного интеллекта позиция ИБ-служб и ограничения, которые ими установлены, назвали в качестве основного препятствия 36 % участников опроса. Данная причина оказалась второй по значимости после сопротивления персонала.
С другой стороны, как отметил генеральный директор «Кода безопасности» Андрей Голов, бизнес может вспомнить об ИБ только тогда, когда инцидент случился. Причём, по мнению директора по корпоративным продажам «Лаборатории Касперского» Марины Усовой, наличие ИБ-бюджета и средств защиты не гарантирует отсутствие вероятности столкнуться со зловредами, различными взломами и тем более атаками.
Директор защиты информации и ИТ-инфраструктуры «Норильского никеля» Алексей Мартынцев назвал построение коммуникаций ИБ и бизнеса сложной задачей. Однако раньше этого было добиться ещё труднее, поскольку бизнес многого не понимал. Чтобы это непонимание преодолеть, Алексей порекомендовал начать с программ повышения осведомлённости об угрозах. Тогда пользователи, включая руководство, начинают понимать, зачем вводятся те или иные ограничения. При этом он посоветовал не перебарщивать с тем, что пользователи могут воспринять как серьёзные неудобства.
И в целом, как подчеркнул Алексей Мартынцев, ИБ-подразделение должно быть максимально открытым. Надо объяснять, что ИБ делает и зачем это нужно. Такой подход особенно работает тогда, когда стоит задача добиваться реальной безопасности «из коробки», а не на внедрении каких-то средств защиты.
Однако, как предупредил CISO «Норильского никеля», необходимо научиться разговаривать на одном языке с целевой аудиторией, будь то рядовые пользователи, руководители различных подразделений, высшее руководство и акционеры. Только так можно добиться понимания и поддержки. В приоритете необходимо обеспечить поддержку со стороны первых лиц.
На другом форуме («Совершенно безопасно 3.0: Точка опоры») вице-президент ЦМБРБанка Василий Окулесский предупредил, что в относительно небольших компаниях руководителю ИБ-службы бывает очень непросто донести до руководства необходимость мероприятий. Причём чем меньше компания и хуже ситуация в экономике, тем сложнее решать эту задачу. Даже необходимость соблюдения регуляторных требований может не сработать.
Как отметил Игорь Ляпунов, высшие руководители накопили иммунитет перед тактикой «продажи страха». По его наблюдениям, которые он высказал на «Экономике доверия: как безопасность клиентов стала главным активом бизнеса», такой подход не работает как минимум в двух третях случаев.
Однако генеральный директор «Бастиона» Фёдор Севастьянов обратил внимание, что бизнес, как правило, хорошо понимает результаты анализов защищённости и пентестов. Это наилучшие методы проверки киберрисков. Хорошо работает также демонстрация следов компрометации, когда видны факты присутствия злоумышленников в инфраструктуре.
Плюс, по мнению Фёдора, недостаточно зрелому, малому или низкобюджетному бизнесу проще работать с внешними ИБ-подрядчиками. Тем более что, по общему мнению участников дискуссии, в России нет заказчиков, которые строили бы ИБ исключительно своими силами. Это относится даже к очень крупным компаниям.
Михаил Наумов подтвердил: результаты работы партнёров, равно как и их проблемы, действительно побуждают бизнес начинать проекты, направленные на повышение уровня ИБ в компании. Руководство и собственники начинают прислушиваться к тому, что говорит ИБ.
Андрей Голов порекомендовал использовать для выстраивания с бизнесом язык денег. Тем более что недавнее повышение штрафов за нарушение порядка обработки персональных данных заставило многих руководителей сравнивать размер возможных санкций, особенно оборотных штрафов для нарушителей-рецидивистов, с ИБ-бюджетом. Этим, как он подчеркнул, надо пользоваться.
Также руководитель «Кода безопасности» напомнил, что в ведении ИБ находится не только кибербезопасность, но и поддержание непрерывности работы ИТ-инфраструктуры. Эти задачи бизнесу намного более понятны, особенно когда возникает дилемма между безопасностью и функциональностью. Безопасностью бизнес может пожертвовать, а вот непрерывностью работы, которая чревата простоями и, соответственно, убытками, уже как минимум в 90 % случаев нет. Так бизнес перестанет воспринимать ИБ в качестве источника затрат.
Выводы
Ситуация с выстраиванием диалога ИБ и бизнеса меняется в лучшую сторону, движение идёт с обеих сторон. Бизнесу приходится учитывать усиление регулирования — с одной стороны, и давление потребителей — с другой. Для ИБ диалог с бизнесом в условиях «охлаждения» экономики и конкуренции за бюджет становится одним из ключевых навыков. Сыграла определённую роль эскалация роли ИБ в организациях согласно Указу №250.
Но проблем в диалоге между бизнесом и ИБ остаётся немало. Часто ИБ «растворяется» в других видах безопасности (общей, экономической), временами её расценивают как генератор издержек. Развенчание данной установки помогает разрешить практически все сложности. ИБ необходим поиск союзников среди других подразделений.
