Ситуация с киберугрозами входит в стратегическую повестку компаний. Имеет ли смысл вовлечение высшего руководства компаний в решение задач управления киберрисками? Какие функции нужно делегировать профильным подразделениям?
- Введение
- Вовлечение руководителя в ИБ. Как это происходит
- В чем состоит миссия первого лица
- Что и когда нужно отдать специалистам
- Выводы
Введение
Начиная с середины нулевых тема кибербезопасности вошла в тройку наиболее значимых для собственников и топ-менеджеров, наряду с глобальным изменением климата и геополитической напряженностью. Это произошло после осознания первых громких кибератак на ИТ и производственную инфраструктуру. Среди них червь StuxNet, изначально созданный как кибероружие, но заражение им вызвало форменный хаос за пределами иранских ядерных предприятий, которые были его целью. Потом появились «наследники» StuxNet Flame и Duqu.
Обратной стороной развития электронной коммерции стали DDoS-атаки. Их использовали как форму давления на конкурентов или вымогательства, а также в политических целях или для маскировки других атак.
В 2017 году со всей остротой встала проблема кибервымогательства с использованием шифровальщиков. Такие зловреды появлялись еще в середине 1990-х, но по-настоящему серьезной угрозой они стали с появлением WannaCry. Спустя месяц с небольшим появился Petya, и с того времени создание таких зловредов поставлено на поток. Некоторые группировки для шифрования использовали и используют легитимные инструменты.
Вызовом стало и усиление регуляторики, как в мире, так и в России. Особенно большой резонанс вызвало появление европейского регламента обработки персональных данных GDPR. Это связано с его экстерриториальным характером и большими штрафами за нарушение.
Схожие нормы были приняты и в других странах, в том числе и в России. К слову, в полной мере обновленная российская нормативная база, которая предусматривает серьезное увеличение ответственности для нарушителей, начнет действовать в конце мая 2025 года. Наши размышления о ближайших последствиях этих мер можно найти здесь.
Другой сферой, на которую пришлось обратить внимание руководителям, стало регулирование объектов, отнесенных к критической информационной инфраструктуре (КИИ). Это особенно актуально для России, где эта тема находится под пристальным вниманием регуляторов с 2018 года.
Эти вызовы не могут остаться вне поля зрения руководства компаний, в том числе высшего, несмотря на то, что ИБ не приносит прибыли бизнесу, по крайней мере, напрямую. Исключение составляют ИТ и ИБ вендоры и интеграторы.
Имеет ли смысл генеральному директору самому заниматься решением проблем кибербезопасности в компании? И если да, то какие функции все равно нужно делегировать профильному подразделению?
Все это стало предметом для обсуждения на секции «Кибербезопасность глазами первых лиц» форума Positive Hack Days (рис. 1). Как подчеркнул ее модератор, совладелец Positive Technologies Борис Симис, тема взаимодействия ИБ и руководства поднималась на форуме постоянно с самого его основания, однако раньше обсуждение шло исключительно с позиции CISO. В 2025 году ее решили развернуть в сторону руководителей, которые обычно далеки от ИТ, не говоря уже об ИБ.
Рисунок 1. Участники сессии «Кибербезопасность глазами первых лиц»
Вовлечение руководителя в ИБ. Как это происходит
Почти половина участников дискуссии признались, что до определенного момента они не понимали высокую значимость ИБ для компании. Но ситуацию могут изменить внешние факторы:
- рост интенсивности и сложности атак, которые могут привести к значительному ущербу,
- примеры других компаний или учреждений,
- изменение внешней среды и условий (пандемия, геополитическая ситуация, санкции),
- необходимость соответствия регуляторным требованиям.
Генеральный директор компании «Кибериспытание», а в прошлом председатель правления «Росбанка» Наталья Воеводина (рис. 2) заявила, что кибербезопасность тогда, когда она возглавляла банк, лично для нее долгое время занимала важное, но все же не первое место в ее приоритетах. Так было даже в период пандемии и вынужденного перехода на удаленный режим, и весной 2022 года, когда надо было перестраивать работу в условиях санкций и антисанкций. При решении вопросов кибербезопасности она целиком полагалась на сотрудников ИБ-службы.
Однако ситуация, как вспоминает Наталья Воеводина, начала складываться таким образом, что обеспечение кибербезопасности из тактической задачи трансформировалась в стратегическую. Это произошло на фоне неопределенности при оценке эффективности мер защиты в условиях лавинообразного роста атак. Стало важным не просто реагировать на угрозы, но и предвидеть новые, адаптируя к ним ИБ-службу, а также выстраивая ее диалог с другими подразделениями.
Рисунок 2. Генеральный директор «Кибериспытание» Наталья Воеводина
Генеральный директор Innostage Айдар Гузаиров (рис. 3) назвал отправной точкой, с которой пришлось лично вовлекаться в детали процессов кибербезопасности подготовку к выходу на программу поиска уязвимостей с участием внешних специалистов. ИБ-служба компании встретила данное предложение без большого энтузиазма, что потребовало довольно глубокого вовлечения в тему. Как оказалось, в инфраструктуре компании действительно все обстояло не так хорошо, что, как признал Айдар Гузаиров, стало управленческим шоком. На подготовку к выходу на открытую программу Bug Bounty потребовалось 9 месяцев. Значительные усилия ушли и на разработку методического обеспечения.
Однако усилия того стоили. Пока, как подчеркнул Айдар Гузаиров, еще никому из 1200 специалистов не удалось совершить действия, которые привели бы к недопустимому событию. Хотя белый хакер под ником prorok оказался на шаг от успеха. В итоге компания дважды повышала вознаграждение: в сентябре 2024 года до 10 млн рублей и прямо на Positive Hack Days, спустя считанные часы после работы сессии, сумма была удвоена.
Рисунок 3. Генеральный директор Innostage Айдар Гузаиров
Соучредитель и генеральный директор «Вэй-трейд» Сатик Вартанян (рис. 4) назвала триггером, после которого пришлось вовлекаться в ИБ, кибератаку на Федеральную таможенную службу, которая произошла в апреле 2023 года, и ее последствия для логистической отрасли. Хотя и до этого масштабного инцидента, на устранение которого ушло несколько дней, выделялись и бюджеты, и кадры. Но именно руководителям компаний, в том числе и ей, пришлось лично заниматься тем, насколько эффективно работают меры безопасности и насколько сотрудники честны в их исполнении.
Рисунок 4. Генеральный директор «Вэй-трейд» Сатик Вартанян
В чем состоит миссия первого лица
Как напомнил Борис Симис (рис. 5), главная миссия первого лица состоит в развитии стратегических направлений. Хотя это не так просто сделать, поскольку решение операционных вопросов «съедает стратегию на завтрак». Также в задачу руководителя входит следить за потенциальными угрозами для бизнеса. И, наконец, для ИБ-компаний важной задачей является донесение до бизнес-руководства компании-заказчика важности проекта.
Рисунок 5. Совладелец Positive Technologies Борис Симис
Как подчеркнула Наталья Воеводина, часто миссия первого лица состоит в том, чтобы поставить задачу измерения уровня защищенности компании. По оценке Айдара Гузаирова, таким индикатором является стоимость взлома компании. Чем она выше, тем, соответственно, лучше.
Однако, по мнению президента ГК InfoWatch, председателя правления Ассоциации разработчиков программных продуктов (АРПП) «Отечественный софт» Натальи Касперской, которую она дала на другой сессии, посвященной перспективам страхования киберрисков, данная задача крайне сложна, и универсального решения, подходящего для всех отраслей, пока не существует. Именно по этой причине такое страхование в России пока и не получило распространения.
Также первое лицо вынуждено заниматься ИБ потому, что каждая ошибка стоит очень дорого. Как подчеркнул генеральный директор АО «ГЛОНАСС» Алексей Райкевич (рис. 6), ошибка в работе системы оповещения «ЭРА ГЛОНАСС», которой обязаны быть оснащены все эксплуатируемые в стране автомобили, может привести к тому, что помощь не придет вовремя. По мнению Алексея Райкевича, функция управленца сводится как минимум к подбору и удержанию команды и участии в выработке стратегии.
Важной и нестандартной функцией может оказаться обратить внимание на появление новой проблемы. Как напомнил Алексей Райкевич, до сих пор очень многие находятся под влиянием стереотипа, что автомобиль является частью офлайн-мира, а это давно уже не так. Большая часть современных как легковых, так и коммерческих автомобилей является постоянно подключенными и передают производителям большие объемы данных. По его мнению, большая часть претензий к китайским автопроизводителям связана с тем, что китайские автомобили передают в Китай намного больше данных, чем продукция европейских, японских или американских компаний. В целом количество атак на такие автомобили за последний год удвоилось.
И защита транспорта от киберугроз – перспективная ниша, которая может быть востребована. Алексей Райкевич анонсировал проект SOC, который АО «ГЛОНАСС» планирует запустить уже в ближайшем будущем. Он будет направлен на защиту от основных угроз подключенных и высокоавтоматизированных автомобилей.
Рисунок 6. Генеральный директор АО «ГЛОНАСС» Алексей Райкевич
Сооснователь «Российского квантового центра» (РКЦ) Руслан Юнусов (рис. 7) руководителям высокотехнологичных компаний приходится именно своим авторитетом давить, иногда довольно сильно, на ИБ, которые часто находятся в плену прежнего опыта и накопленных стереотипов. Однако мир меняется, и подходы к защите новых технологий, в том числе квантовых, существенно отличаются. Правда, эта зашоренность, по его оценке, обычно связана с тем, что ИБ рвется защищать то, что защищать не нужно. Но это тоже несет вред, поскольку приводит к лишним тратам ресурсов.
Рисунок 7. Сооснователь РКЦ Руслан Юнусов
Генеральный директор «Московской биржи» Виктор Жидков (рис. 8) назвал главной функцией руководителя «дать смыслы» ИБ-команде. А деньги, по его словам, для многих не так важны, как результаты и цели работы. К слову, CISO Мосбиржи входит в ее правление, а значит, сам является частью высшего руководства.
Помимо этого, в задачу первого лица, по мнению Виктора Жидкова, также входит формирование культуры безопасности, что крайне важно: объем средств, которые прошли через нее за год – 1,4 квадриллиона рублей, на два порядка больше ВВП России. Любой перерыв в работе, даже короткий, выливается в крупную сумму. И тут от поведения любого сотрудника очень многие зависит.
И в целом люди, как подчеркнул Виктор Жидков, и руководители в том числе, являются одними из основных слабых звеньев. Руководитель должен подавать пример, например, не давать заданий подчиненным через публичный мессенджер. С другой стороны, не нужно поддаваться «синдрому отличника» и бояться ошибок, которые часто «заметают под ковер». Их нужно уметь находить и устранять, пока они не привели к инцидентам с последствиями.
Также руководитель должен выступать в качестве модератора между бизнесом и безопасностью, причем не только информационной, в нахождении баланса между рисками и реализацией новых бизнес-идей.
Рисунок 8. Генеральный директор Мосбиржи Виктор Жидков
Как резюмировала Сатик Вартанян, в ведение руководителя также входит как минимум формирование бюджета и оценка целевого уровня безопасности. И это для нетехнологических компаний очень непростая задача.
Что и когда нужно отдать специалистам
После устранения вызовов руководитель может отойти в тень. ИБ-команда, которая более компетентна в сфере ИБ, решает все возникающие проблемы самостоятельно. Как отметил Айдар Гузаиров, он пришел к такому выводу после того, как компания успешно устранила те проблемы и сложности, с которыми столкнулась после принятия решения о выходе на Bug Bounty.
Как вспоминала свой прежний опыт работы в банковской сфере Наталья Воеводина, отсутствие инцидентов обычно означает, что все хорошо. Недовольство могут вызывать разве что затраты на соответствующие статьи и то, что приходится продираться через малопонятные аббревиатуры в их обоснованиях. Однако сложности возможны, и они связаны с разным уровнем риск-аппетита у руководства компании и ИБ-подразделения. По оценке Натальи Воеводиной, именно принципиально разной толерантностью к рискам и обусловлены многие конфликты.
Руслан Юнусов призвал также признать то, что многие вещи стали открытыми и их защищать вовсе не следует. Это касается, в частности, многих данных, относящихся к категории персональных, которые являются общедоступными. В отдельных случаях, по его оценке, возможным выходом может стать регресс. Руслан Юнусов привел пример одного швейцарского банка, который в качестве одного из своих главных преимуществ для VIP-клиентов называет то, что учет ведется исключительно на бумаге.
Но основная сложность, как подчеркнул Борис Симис, завершая работу сессии, состоит в том, что ИБ боится лишний раз выходить на контакт с бизнесом, а бизнес опасается показать свою некомпетентность в данной сфере. И этот страх надо преодолевать.
Выводы
Изменившаяся ситуация во многих случаях требует участия первых лиц компаний в поддержании кибербезопасности. Особенно это касается тех компаний, которые являются операторами критической инфраструктуры или через которые проходят крупные денежные суммы (крупные биржи и банки). Часто там ИБ-специалисты входят в высшее руководство.
Формирование команды ИБ также часто является задачей руководителя. Равно как и ее удержание, что является довольно непростой задачей в нынешних условиях.
Главной задачей руководителя является определение тех активов, которые надо защитить в первую очередь. Часто это распространяется на выработку метрик определения эффективности работы любых подразделений, в том числе и ИБ.
Также важной миссией руководителя является формирование культуры безопасности в компании. Это должно проявляться в том, чтобы самому неукоснительно соблюдать установленные политики и правила.
