“В индустрии информационной безопасности есть темы, которые редко выносят на публику. Это не сенсации о взломах, а фундаментальные проблемы самой системы: как сертификация превратилась в формальность, почему стандарты работают на бумаге, а не в реальности, зачем отчётность подменяет реальную защиту и как эта бюрократическая машина диктует рынку ложные приоритеты.”
Сертификация: бумажная защита вместо реальной
Получение сертификата соответствия требованиям 152-ФЗ или ФСТЭК часто становится самоцелью. Организация закупает строго определённый набор решений из необходимого списка, настраивает их по шаблону, проходит аудит и получает заветный документ. После этого всё возвращается на круги своя: правила парольной политики ослабляются для удобства, логи с критичных систем не анализируются месяцами, а обновления безопасности откладываются, чтобы не сломать «стабильную» конфигурацию, принятую комиссией.
Проблема в том, что стандарты и методики ФСТЭК часто фиксируют состояние технологий на момент их создания. Они требуют конкретных типов межсетевых экранов или систем обнаружения вторжений, но почти ничего не говорят про защиту от современных угроз вроде целевых атак через цепочки поставок или эксплуатации уязвимости в облачных сервисах. Компания формально соответствует, но её реальная устойчивость к атаке остаётся низкой. Аудит проверяет наличие отчётов и настроек, а не способность инфраструктуры выдержать реальный инцидент.
Отчётность как главный продукт ИБ-службы
В условиях жёстких регуляторных требований главным KPI для внутренней службы безопасности становится не предотвращение инцидентов, а успешное прохождение проверок и сдача отчётности в срок. Это создаёт извращённую систему мотивации. Сотрудники тратят до 70% времени на заполнение таблиц, подготовку актов и ответы на запросы регулятора. На глубокий анализ угроз, тестирование защищённости или разработку новых политик просто не остаётся ресурсов.
Такой подход порождает «культуру чекаутов». Важно, чтобы в момент проверки всё выглядело правильно. Проведение же реальных учений по реагированию на инциденты, которые могут выявить нестыковки и проблемы, часто саботируется, так как их результаты могут испортить красивую отчётную картину. Безопасность становится театром, где главное — сыграть свою роль для комиссии.
Рынок решений: соответствие вместо эффективности
Спрос, сформированный регуляторными требованиями, напрямую влияет на рынок. Вендоры, особенно отечественные, ориентируются не столько на создание технологически продвинутых продуктов, сколько на попадание в реестры ФСТЭК и получение всех необходимых заключений. Функционал продукта начинает подстраиваться под пункты методик.
Это приводит к нескольким последствиям. Во-первых, появляется масса решений-«клонов», которые технически мало отличаются, но формально закрывают нужные графы. Во-вторых, инновации в области ИБ (например, применение искусственного интеллекта для анализа аномалий или новые подходы к сегментации) приживаются медленно, так как для них нет чётких требований в стандартах. Вендор, предлагающий действительно новое, вынужден годами доказывать регулятору, что его продукт тоже «соответствует», проходя длительные процедуры сертификации.
Культура страха и негласные договорённости
Внутри сообщества существует негласное правило: не выносить сор из избы. Реальные случаи серьёзных инцидентов, особенно в госсекторе или у крупных госкомпаний, замалчиваются. Внешние эксперты и аудиторы, обнаружившие критические уязвимости, часто получают не благодарность, а давление с требованием умолчать о найденном. Официальная причина — недопущение паники и утечки информации, которая может помочь злоумышленникам. Реальная — страх ответственности чиновников и руководителей, чья карьера зависит от отсутствия скандалов.
Это лишает отрасль важнейшего механизма — обратной связи и обучения на ошибках. Без публичного разбора реальных инцидентов другие организации не могут извлечь из них уроки и усилить свою защиту. Отраслевые конференции превращаются в парад успехов и демонстрацию «правильных» кейсов, лишённых конструктивной критики.
Эксперты-генералисты и дефицит глубины
Система сертификации персонала (вроде требований к аттестованным специалистам ФСТЭК) и сама логика рынка поощряют универсалов. Нужен специалист, который знает понемногу обо всём: о 152-ФЗ, о методиках ФСТЭК, об основах сетевой безопасности, криптографии. Такой эксперт может грамотно составить документ и провести проверку на соответствие.
Однако для противодействия сложным атакам нужна узкая, глубокая экспертиза: reverse-engineering, анализ вредоносного кода, криптоанализ, исследование уязвимостей в конкретных промышленных системах. Эти специалисты на рынке — большая редкость. Их подготовка не укладывается в стандартные курсы, а работа часто не видна в ежегодных отчётах о соответствии. В результате у организации может быть всё в порядке с документами, но не будет человека, способного обнаружить и обезвредить целевое вредоносное ПО в сети.
Что делать? Прагматичный подход вместо следования ритуалам
Изменение системы — процесс долгий. Но отдельные специалисты и организации могут сместить фокус внутри своих зон ответственности.
- Разделяйте цели. Чётко разграничьте работу «для регулятора» (формальное соответствие) и работу для реальной безопасности. Выделяйте ресурсы и время на оба направления, не позволяя первому полностью поглотить второе.
- Внедряйте метрики реальной безопасности. В дополнение к отчётным показателям введите внутренние метрики: среднее время обнаружения инцидента, время на реагирование, процент покрытия тестами на проникновение, результаты тренировок SOC. Оценивайте работу по ним.
- Требуйте от вендоров сути, а не только сертификатов. При выборе решений задавайте вопросы об архитектуре, реальных кейсах отражения атак, возможностях интеграции и развития. Сертификат должен быть необходимым, но не достаточным условием.
- Поощряйте внутреннюю открытость. Создавайте культуру, где сообщение о потенциальной уязвимости или ошибке конфигурации поощряется, а не наказывается. Проводите внутренние технические семинары по разбору инцидентов (в обезличенном виде).
Индустрия информационной безопасности в её текущем виде часто больше озабочена собственной легитимностью и воспроизводством, чем конечным результатом — защищённостью. Осознание этих «грязных секретов» — первый шаг к тому, чтобы перестать играть по навязанным правилам и начать выстраивать защиту, которая работает, а не просто отчитывается.