Деньги на безопасность не купят стратегию

от

Когда считаешь безопасность затратным центром, а не бизнес-двигателем, ты не инвестируешь, а просто покупаешь чек-листы. Взлом, это не провал технологий, это разрыв между твоим бюджетом и твоей стратегией. https://seberd.ru/5446

Когда новостные заголовки сообщают об очередном масштабном утечке данных, часто всплывает одна и та же деталь: компания недавно вложила миллионы в кибербезопасность. Парадокс выглядит так: чем больше тратишь, тем громче звучит провал. Деньги ушли на сертификаты, блестящие решения, аудиты. Но система пала от цепочки действий, которые формально оставались вне зоны внимания этих инвестиций. Это не случайность, а закономерность, укоренённая в том, как принято управлять безопасностью в российском IT-пространстве.

Закупка вместо стратегии: куда уходят миллионы

Типичный путь крупных инвестиций начинается с необходимости соответствия. Федеральный закон № 152-ФЗ о персональных данных и требования ФСТЭК создают каркас обязательных мероприятий. Компания, особенно работающая с госсектором или критической инфраструктурой, получает бюджет и начинает закрывать пункты. Средства уходят на:

  • Закупку «сертифицированных» средств защиты информации (СЗИ). Список аппаратных межсетевых экранов, систем обнаружения вторжений (IDS/IPS) и виртуальных частных сетей (VPN), внесённых в реестр ФСТЭК, становится первоочерёдной целью. Задача — поставить галочку «установлено».
  • Привлечение лицензированных организаций для аттестации. Это затратный и ресурсоёмкий процесс, результат которого — формальное заключение о соответствии. Он часто сводится к проверке наличия оборудования, а не его эффективной конфигурации.
  • Внедрение дорогих «магических» решений класса SIEM. Системы управления событиями безопасности покупаются как серебряная пуля, способная мониторить всё. Но без тонкой настройки под специфику конкретного бизнеса и без обученной команды SOC (Security Operations Center) они превращаются в генераторы тысяч бессмысленных алертов, которые просто игнорируются.

Проблема не в самих инструментах, а в парадигме их приобретения. СЗИ покупаются как коробки, которые нужно распаковать и подключить, чтобы «быть защищёнными». Конфигурация по умолчанию, пароли admin/admin, правила, разрешающие любой трафик «для тестирования» и оставленные навсегда, это не гипотетические ситуации, а стандартные находки после реальных инцидентов. Инвестиции в 10 млн рублей могли покрыть закупку по трём пунктам из списка ФСТЭК, но не заложили ресурс на их постоянную адаптацию и эксплуатацию.

Безопасность, это процесс, а не состояние

Ни один, даже самый дорогой межсетевой экран, не спасёт, если его политики не обновляются с изменением бизнес-процессов. Защита не может быть «включена» раз и навсегда. Это цикл, который требует постоянного топлива в виде компетенций и внимания.

Разрыв между установкой и эксплуатацией

Представим, что компания купила и настроила IDS. В первые месяцы за алертами следят. Но поток событий огромен, 99% из них — ложные срабатывания. У команды, и без того загруженной поддержкой работоспособности, нет ни времени, ни экспертизы, чтобы вычленить реальную угрозу. Через полгода консоль мониторинга просто перестают открывать. Инвестиция обесценилась, оставив лишь иллюзию контроля. Фактический уровень защиты вернулся к нулю, но в отчётах всё ещё значится «внедрена современная система обнаружения атак».

Человеческий фактор как самая уязвимая «атака нулевого дня»

Львиная доля успешных атак начинается не с хакерского гения, взламывающего шифрование, а с фишингового письма, которое сотрудник принял за легитимное. Можно потратить миллионы на криптографию, но если в организации нет регулярного обучения цифровой гигиене и моделирования атак, деньги выброшены на ветер. Программы повышения осведомлённости (Security Awareness) часто носят формальный характер — раз в год пройти скучный онлайн-тест. Это не меняет поведенческих паттернов.

В российском контексте добавляется специфическая проблема — излишнее доверие к внутренним источникам. Социальная инженерия, маскирующаяся под запрос от «руководства» или «службы безопасности», имеет высокий процент успеха из-за культурных особенностей вертикального взаимодействия. Никакая технология этот вектор атаки не перекроет.

Слепота к уязвимостям, которые нельзя купить в коробке

Реестр ФСТЭК не покрывает огромный пласт современных угроз, которые находятся не на уровне сети, а на уровне приложений и бизнес-логики.

  • Устаревшее кастомное ПО. Многие компании работают на самописных системах, разработанных десять лет назад. Их безопасность никогда не подвергалась аудиту с точки зрения OWASP Top 10. Инвестиции направляются на периметр, в то время как уязвимость в веб-интерфейсе для загрузки отчётов (например, SQL-инъекция) остаётся открытой дверью. Взломщику не нужно ломать межсетевой экран — он заходит через легитимный веб-портал.
  • Конфигурационные ошибки облачных сервисов. При миграции в облако (российские или локализованные платформы) настройки по умолчанию часто оставляют данные публично доступными. Дорогая система шифрования данных на дисках бесполезна, если к этому диску открыт доступ для всех в интернете из-за ошибки в правилах security groups. Эти ошибки — не злонамеренные, они следствие нехватки DevOps- или DevSecOps-культуры.
  • Цепочки поставок (Supply Chain). Компания может быть защищена идеально, но использовать библиотеку стороннего разработчика или сервис, в которые был внедрён вредоносный код. Инциденты с компрометацией обновлений легитимного ПО — уже не редкость. Защита от таких угроз требует не закупки, а глубокого анализа процессов и контроля целостности.

Культура инцидентов: скрывать, а не исследовать

После успешного взлома срабатывает иная, не технологическая, защита — PR и юридическая. Главная цель смещается с анализа причин и укрепления обороны на сокрытие факта и минимизацию репутационного ущерба. В такой культуре инвестиции в будущую безопасность воспринимаются как ненужная трата: «раз уж пронесло, можно сэкономить».

Не проводится полноценное расследование инцидента (Digital Forensics and Incident ResponseDFIR). Не выясняется, какие именно контрмеры сработали, а какие были бесполезны. В итле компания продолжает вкладывать в те же самые «дырявые» направления, потому что не имеет данных об их реальной эффективности. Цикл повторяется: чек-листы закрыты, отчётность идеальна, уязвимость — на месте.

Что делать, если бюджет есть, а защиты нет?

Сдвиг должен произойти в мышлении — от закупки состояния к финансированию процесса.

  1. Инвестируйте в людей, а не только в железо. Выделите часть бюджета на найм или обучение внутренних Security-аналитиков, пентестеров, архитекторов. Именно они превратят коробочные решения в работающую систему.
  2. Пересмотрите модель соответствия. Не ограничивайтесь формальным выполнением требований 152-ФЗ. Используйте их как базис, а сверху стройте собственную систему управления рисками, основанную на реальных бизнес-процессах компании. Проводите регулярный threat modeling.
  3. Внедрите непрерывность. Безопасность должна быть вшита в циклы разработки (DevSecOps), в процессы изменений в IT-инфраструктуре. Каждое новое приложение, сервер или правило должно проходить проверку с точки зрения безопасности.
  4. Тестируйте свою защиту. Регулярные penetration test и Red Team упражнения не должны быть одноразовым мероприятием для галочки. Это самый честный способ понять, куда на самом деле ушли ваши миллионы, и где находятся слабые места, невидимые для стандартных аудитов.
  5. Создайте культуру открытости вокруг инцидентов. Поощряйте внутреннее сообщение о подозрительных событиях, анализируйте каждое происшествие до корня, делайте выводы и меняйте процессы. Защита, которая не эволюционирует после атаки, мёртва.

Десять миллионов рублей, это не мало. Это достаточная сумма, чтобы построить живой, дышащий иммунитет, а не просто надеть на компанию дорогой, но неподогнанный доспех, в котором она не может двигаться и который оставляет щели в самых неожиданных местах. Взлом происходит не потому, что денег было мало, а потому, что их потратили не на то, что имеет значение здесь и сейчас.

Оставьте комментарий