Как не слить бюджет на ИБ? Разбираемся, на что действительно стоит тратить

Собрали топ «глупых» вопросов, с которыми стыдно зайти в кабинет к штатному специалисту по информационной безопасности (ИБ). Если вы не технарь, но понимаете, что бизнес должен быть кибербезопасным в 2025 году — наша статья для вас.

1. «Малый и средний бизнес не интересен хакерам, поэтому не нужно тратиться на кибербезопасность?»

2. «15% расходов на ИТ недостаточно для построения ИБ-системы?»

3. «Защищать или нет свои системы каждая компания решает самостоятельно, верно?»

4. «В первую очередь нужно защититься от вируса-шифровальщика?»

5. «Почему нельзя просто заблокировать все атаки?»

6. «Мы уже купили оборудование и обучение в прошлом году. А в этом году отдел ИБ снова пришёл со списком закупок. Зачем опять тратиться?»

7. «А одним антивирусом не обойдёмся?»

8. «У нас работает молодёжь — это снижает риски кибератак?»

9. «ИИ сейчас везде: он поможет с киберзащитой?»

10. «Мы определили критическую угрозу, но это нас не спасло. В чём смысл определять такие угрозы?»

Кратко: как не слить бюджет на ИБ

Это действительно частое убеждение, но оно ложное. Киберпреступники всё чаще атакуют средний бизнес по всей России. Аналитики ИБ зафиксировали смену интересов преступников — выросло количество атак на небольшие компании в разных регионах РФ.

В частности, это происходит из-за автоматизации: машинного обучения и ИИ. Злоумышленники сканируют интернет в поиске сайтов с уязвимостями. Так, даже малозаметные сайты становятся мишенью.

Хакеры сохраняют фокус на малом и среднем бизнесе. В 2023 году 43% утечек произошло у среднего бизнеса и 38% — у малого.

Поэтому малому и среднему бизнесу нужно постоянно модернизировать системы киберзащиты, внедрять новые инструменты, проводить регулярные аудиты ИБ-уязвимостей.

Наш проект «Кибериспытание» подтверждает эти выводы — у многих малых и средних компаний совсем нет киберзащиты. Это очень рискованно — в случае кибератаки такой бизнес может просто закрыться.

✍ Подробнее про масштабы кибератак даже на малый бизнес обсуждали в материале про Киберстрахование.

К сожалению, это действительно так, нужно больше вкладывать в ИБ из-за возросшей хакерской активности. Последние несколько лет российские компании активно увеличивают бюджет на киберзащиту.

Представители среднего бизнеса лидируют: такие компании увеличивают бюджет в 1,5 и более раз. Активнее других растят траты на ИБ финансовые организации, ретейл и логистика.

😢Хотя количество кибератак растёт, кто-то сокращает затраты на ИБ.

Также теперь изменилось законодательство. ФЗ 420 и 421 ужесточают ответственность за нарушение при работе с персональными данными — штраф до 15 млн рублей или лишение свободы до 10 лет. Экономить на ИБ недальновидно.

Это не совсем так, в 2022 году вышел указ президента РФ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Он присваивает топ-менеджерам некоторых компаний персональную ответственность за обеспечение ИБ.

К таким компаниям относятся некоторые органы власти, предприятия с государственным участием и субъекты критической информационной инфраструктуры (КИИ). Причём в КИИ попадают многие типы бизнесов — так что обязательно проверьте, подпадает ваша компания в КИИ или нет.

Нарушители указа могут попасть под ч. 1 ст. 13.12.1 КоАП — штрафы до 100 000 рублей или под ст. 274.1 УК — максимально шесть лет лишения свободы. Источник.

Это действительно популярный способ обогащения среди киберпреступников. С помощью электронного письма или другим способом злоумышленник внедряет вирус в систему компании и шифрует все данные — то есть бизнес теряет доступ к собственной информации.

Главное — это защищаться не от самых популярных угроз, а от критических.

Критическая угроза или недопустимое событие — это последствие кибератаки, которое приведёт к существенным потерям или закрытию бизнеса.
✍ Узнать подробности про то, как правильно определить недопустимые события и защититься от них, читайте в нашем материале.

Это невозможно. Во-первых, видов атак очень много — на это нужно было бы потратить огромное количество средств. Во-вторых, каждый день появляются новые технологии, уязвимости, да и хакеры. Можно только минимизировать риски, для этого нужно развивать свою систему ИБ.

Чтобы создать работающую систему киберзащиты, нужно определить недопустимое событие для вашей компании.

✍ Подробнее про то, как правильно определить недопустимые события и защититься от них, читайте в нашем материале.

Вирусы и программы, которые создают злоумышленники, всё время обновляются, ориентируются на текущее состояние технологий.

Не остаются неизменными и недопустимые события, и сами ИТ-системы. Поэтому собрать систему киберзащиты один раз и навсегда не получится. Нужно постоянно следить за обновлениями и внедрять новые решения.

От каких-то атак антивирус вас обезопасит, но это не универсальная защита. В самом названии заложен ответ: такое ПО помогает только от вирусов. Хакеры могут использовать методы, которые не требуют отправки вирусов.

Последние исследования показывают, что человеческий фактор всё ещё самая частая причина взлома. Не нужно недооценивать навыки злоумышленников и переоценивать подкованность сотрудников.

В 68% случаев человеческий фактор — причина успешной кибератаки. Люди — слабое место любой ИБ-защиты.

Если люди знают о передовых методах, это ещё не значит, что они будут их применять — особенно когда возникают приоритеты в рабочих задачах или ограничения по времени.

Согласно исследованию, методы ИБ должны быть интуитивными и не требовать много усилий. Вместо тактики устрашения делайте акцент на положительных изменениях.

И помните, что изменение поведения сотрудников — это непрерывный процесс, который требует постоянных инвестиций.

В первую очередь искусственный интеллект (ИИ) это инструмент. Сам по себе он не решает никакие проблемы.

В 2025 году полностью защититься от киберугроз вручную уже невозможно — нужны цифровые экосистемы и автоматизация. Киберпреступники уже используют ИИ, так что нужно адаптироваться, чтобы отражать атаки нового типа.

Например, с помощью ИИ можно:

— Контролировать доступ и выявлять подозрительную активность пользователей.

— Анализировать большой объём данных.

— Находить необычные паттерны поведения, которые указывают на киберугрозу.

— Непрерывно мониторить системы компании.

Также благодаря автоматизации можно сократить время реакции на киберугрозу, снизить риски человеческого фактора.

В каждом случае нужно разбираться детальнее, но, скорее всего, вы неправильно определили критическую угрозу, раз кибератака так сильно потрясла компанию.

✍ Подробнее про то, как правильно определить критические угрозы и защититься от них, читайте в нашем материале.

Основные критерии критической угрозы:

— Негативные последствия от её реализации — это катастрофа для компании и ключевых бизнес-процессов.

— Её должны сформулировать топ-менеджеры.

В целом нужно отметить, что выстроить работающую систему кибербезопасности — занимает время. Нужно не только создать систему защиты, но и регулярно улучшать, проверять и объективно оценивать её состояние.

🤖 Чтобы объективно оценить, насколько устойчива ваша ИБ-защита, запишитесь на Кибериспытание.

✅ Защищайтесь только от критических угроз.

✅ Не жалейте денег на ИБ: постоянно обновляйте ПО и оборудование.

✅ Не переоценивайте подкованность сотрудников — регулярно проводите обучения.

🤖 Запишитесь на Кибериспытание, чтобы объективно оценить киберзащиту компании.
🛟 Оформите полис Киберстрахования, чтобы застраховать бизнес от последствий кибератак.