Это может уничтожить ваш бизнес: что такое недопустимые события в кибербезопасности и как их избежать
Хакеры крепко взялись за российский бизнес: число атак в год выросло в 2,5 раза. Под ударом госсектор, ИТ, промышленность, финтех и другие отрасли. При этом для многих компаний «защита от взлома» остаётся абстрактной задачей. Рассказываем, как превратить её в чёткий план действий — чтобы обезопасить бизнес от потенциального критического ущерба.
Что такое недопустимое событие и примеры последствий
Пока у среднестатистической российской компании скорее формальный подход к кибербезопасности. Не потому, что кто-то плохо делает свою работу. Просто безопасникам и владельцам бизнеса нелегко понять друг друга.
🔴 Когда всё работает без сбоев, деятельность команды информационной безопасности (ИБ) просто не видна топ-менеджменту. Взаимосвязь ИБ с целями и результатами бизнеса непонятна: это скорее два параллельных процесса. Потому и развивать безопасность руководству не всегда интересно.
🔴 Специалистов по ИБ тоже можно понять. Они хорошо делают свою работу, но при построении безопасности приходится опираться скорее на требования регуляторов — ФСТЭК, ФСБ, Минцифры, Центральный банк, Минэнэрго, PCIDSS, чем на реальные цели бизнеса, в которые их не всегда погружают.
Всё это ведёт к формальной киберзащите, которая хорошо смотрится на бумаге, но не спасает от реальных угроз.
Результативная кибербезопасность — это способ синхронизировать цели бизнеса и потребности в киберзащите. Уберечься «вообще от всех угроз» невозможно, да и не нужно, важно защитить бизнес от конкретных недопустимых событий, которые нанесут критический ущерб.
Недопустимое событие (НС) — это последствие кибератаки, которое приведёт к существенным потерям или закрытию бизнеса.
Для большинства организаций недопустимым событием будет мошеннический перевод денег со счёта. Для логистики или ретейла — искажения в базах данных адресов крупных поставок, а для медицинских организаций — копирование сведений с врачебной тайной.
Вот несколько реальных, а не теоретических примеров, когда недопустимые события наступили:
👉 В марте 2022 года компанию Wildberries атаковали вирусом-шифровальщиком: примерно у половины пользователей были проблемы с доступом в приложение и на сайт. По оценке экспертов, ущерб из-за простоя составил около 1,3 млрд ₽.
👉 В октябре 2024 года хакеры вызвали сбой в работе российской государственной автоматизированной системы «Правосудие». Сайты региональных судов оказались недоступны, не работал электронный документооборот. Восстановить системы удалось лишь через месяц.
👉 В мае 2024 киберпреступники взломали сервер японской криптовалютной биржи DMM Bitcoin и похитили 4500 биткоинов стоимостью $320 млн по курсу на тот момент. Площадка не смогла восстановить работу и объявила о закрытии.
В основании результативной кибербезопасности лежит определение недопустимого события. Этот шаг сужает круг угроз и наводит мосты между топ-менеджментом и специалистами по ИБ:
🟢 Руководители понимают, каких событий нельзя допустить, что происходит в сфере ИБ и какие есть потенциальные угрозы, сколько будет стоить киберзащита, и как это поможет достичь бизнес-целей.
🟢 Технические спецы знают, от чего именно нужно защищать компанию и как разговаривать с главами компании на бизнес-языке.
С определением НС появляется чёткий план: нужно проверить ИТ-инфраструктуру компании на конкретные уязвимости, а затем устранить их.
Давайте разберём, как сформулировать недопустимые события и защититься от них. Разделим все действия на 5 шагов.
Шаг 1. Сформулировать недопустимые события для бизнеса — уровень топ-менеджмента
Задача результативной кибербезопасности — привести ИТ-инфраструктуру и процессы компании в состояние, при котором злоумышленники не смогут нанести критический ущерб.
Только топ-менеджмент знает стратегию, целевые показатели бизнеса и приемлемый порог рисков — поэтому понимает, какой ущерб будет критическим для компании. Без этого определить НС невозможно.
Как определить недопустимые события:
1. Создать рабочую группу, куда войдут представители топ-менеджмента, руководители функциональных направлений, специалисты ИБ. Можно привлекать сторонних экспертов с нужными компетенциями.
2. Сформулировать гипотезы о том, какие события могут повлечь критический ущерб для компании. Речь идёт об НС «на уровне бизнеса» — технологическую специфику на этом этапе учитывать не нужно. Вот на что можно опираться:
— Типовые НС для организаций. Например, кража персональных данных клиентов, нарушение логистики, сбой в работе оборудования.
— Потенциальные НС для ключевых направлений деятельности. Для промышленной компании это могут быть остановка производства, сбой в работе противопожарной системы. Для банка — утечка персональных данных и кража денег со счетов клиентов.
— Основные бизнес-показатели и стратегические цели. Скажем, ретейлер рассчитывает нарастить прибыль, но могут помешать НС. Например, из-за сбоя в системе логистики нарушаются цепочки поставок, компания терпит убытки и не выходит на плановые показатели.
3. Определить порог ущерба для НС — это верхняя граница потенциального вреда, выше которой урон для бизнеса станет неприемлемым. Порог можно измерять в деньгах, времени простоя или количестве пользователей.
Например, НС может звучать так:
❌ Вывод более 20 млн рублей со счёта компании
❌ Остановка онлайн-торговли на 12 часов
❌ Кража данных у 1000 пользователей
4. Исключить псевдонедопустимые события. Скажем, кража 20 млн рублей со счёта для одной компании будет НС, на другому бизнесу потеря этой суммы не принесёт критического ущерба. Это же касается времени простоя и кражи данных — у каждой компании своя граница недопустимого.
Результат первого шага
✅ У вас есть предварительный перечень НС.
Шаг 2. Уточнить недопустимые события — уровень руководства функциональных подразделений
Теперь, когда вы составили список потенциальных НС, нужно разобраться, как хакеры могут их реализовать. Эта задача для функциональных направлений и экспертов по кибербезопасности. На этом этапе нужно определить:
1. Целевые системы — объекты в ИТ-инфраструктуре, воздействуя на которые можно реализовать каждое НС.
2. Сценарии реализации НС — как злоумышленники могут воплотить событие, воздействуя на конкретную целевую систему.
3. Владельца НС — ключевой сотрудник функционального направления, который больше всего заинтересован, чтобы конкретное НС не случилось.
После этого бизнес может оценить свой уровень киберзащищённости и спланировать укрепление периметра безопасности. Например, если недопустимое событие — это остановка обмена данными между подразделениями на 48 часов. Тогда:
— Целевые системы: сайт компании, корпоративный таск-менеджер, электронная почта, базы данных.
— Сценарии реализации НС: рассылка писем с вредоносным ПО, проникновение в базу данных или таскменеджер.
— Владелец НС: главный системный администратор.
Результат второго шага
✅ Вы определили целевые системы.
✅ Нашли один или несколько сценариев реализации каждого НС.
✅ Для каждого НС назначили владельцев.
Шаг 3. Проработать критерии недопустимых событий — уровень специалистов ИТ и ИБ
Осталось сформулировать критерии наступления недопустимых событий, то есть условия, при которых они могут произойти. Например, критерий для целевой системы «база данных» — это получение доступа с правами администратора.
Критерии могут быть и сложными, например, цепочка шагов или связь с несколькими целевыми системами. Важно, что выполнение критерия само по себе не наносит ущерба компании. Например, получение доступа к базе данных не влечёт последствий, если на этом остановиться.
Критерии помогают смоделировать хакерскую атаку без реального ущерба — это сигнал для отдела кибербезопасности, что НС возможно.
Теперь, когда известны сценарии, целевые системы и критерии реализации недопустимых событий, топ-менеджмент компании утверждает окончательный список НС.
Результат третьего шага
✅ Есть утверждённый перечень НС.
✅ Для каждого НС определили критерии.
После этого шага можно организовать базовую защиту от недопустимого события. Например, если ваше НС — потеря данных клиентов, регулярно делайте резервную копию базы данных на внешний жёсткий диск. Тогда вирус-шифровальщик не сможет парализовать работу компании: достаточно будет восстановить резервную копию.
Если ваша компания хочет достичь уровня «Бог Кибербезопасности», рекомендуем пойти дальше — на четвёртый и пятый шаги. В них мы рассказываем про надёжный способ проверить уровень кибербезопасности и получить алгоритм действий по устранению брешей в защите.
Шаг 4. Запустить кибериспытание
Простой и надёжный способ проверить уровень киберзащищённости — Кибериспытание. Этот метод оценки разработали профессионалы ИБ-сферы. Белые хакеры, они же исследователи, ищут уязвимости в ИТ-инфраструктуре компании, но не наносят реального ущерба. Они помогают развеять сомнения о том, смогут ли злоумышленники воплотить НС.
Кибериспытание проходит в четыре этапа:
1. Запуск — привлекаем не менее 50 исследователей.
2. Первые результаты — оцениваем активность белых хакеров, насколько быстро они приближаются к реализации НС.
3. Активная фаза — исследователи продолжают искать способы нанести критический ущерб. Они регистрируют все события, которые могут повлиять на киберзащиту.
Оценка итогов — её проводит экспертный совет из ведущих специалистов Лаборатории Касперского, Positive Technologies, BI.ZONE, 3 Side, Яндекса, Т-Банка и других технологических компаний.
4. Оценка итогов — её проводит экспертный совет из ведущих специалистов Лаборатории Касперского, Positive Technologies, BI.ZONE, 3 Side, Яндекса, Т-Банка и других технологических компаний.
Результат Кибериспытания
Бизнес получает объективную оценку уровня своей киберзащищённости по 100-балльной шкале:
от 0 — компания уязвима для атак любителей,
до 100 — взломать почти невозможно.
Шаг 5. Устранить уязвимости, найденные в процессе кибериспытаний
По итогам кибериспытания экспертный совет составляет для компании список рекомендаций по защите от реализованных сценариев НС. Бизнес может заняться улучшением киберзащиты самостоятельно или привлечь специалистов.
В идеале кибериспытание должно быть постоянным. Например, компания прошла первую проверку — за вознаграждение в 10 млн рублей взломать её не вышло. Можно поднять ставку, возможно, за бóльшую сумму к испытанию подключатся более опытные специалисты, которые найдут уязвимости. Непрерывное кибериспытание делает бизнес сложным объектом для злоумышленников — так компания может быть уверена в своей защите.
Конечно, остаточный риск недопустимого события всё равно существует, но благодаря Кибериспытанию, от него можно застраховаться у ключевых игроков российского рынка — Согаз, Ингосстрах, Альфастрахование и ПСБ Страхование.
Результат
Компания защищена от наступления недопустимых событий и застрахована от остаточных рисков.
Резюме: как защитить компанию от критических киберугроз
✅ Шаг 1. Сформулируйте недопустимые события — конкретные риски, реализация которых приведёт к измеримым финансовым и репутационным потерям. Для каждого НС нужно задать порог ущерба: например, остановка производства на 36 часов, кража персональных данных 1000 клиентов.
✅ Шаг 2. Пропишите сценарии реализации каждого НС и их целевые системы — как злоумышленники могут воздействовать на конкретные объекты в ИТ-инфраструктуре, чтобы реализовать НС.
✅ Шаг 3. Определите критерии реализации НС — условия, при которых НС может произойти. Например, несанкционированное проникновение в базу данных с правами администратора.
✅ Шаг 4. Проверьте ИТ-инфраструктуру: можно ли на практике реализовать НС. Один из способов — провести Кибериспытание. Белые хакеры укажут на уязвимости в системе, но не причинят реального ущерба.