Кибербезопасность 2025: актуальные риски и тренды

Эксперты на конференции «Коммерсантъ-Сибирь» рассказали, как бизнесу противостоять внутренним и внешним киберугрозам

С каждым годом вопросы защиты информации становятся все более актуальными и сложными. Россия остается наиболее часто атакуемой хакерами страной, при том, что 58% всех киберугроз для компаний связаны не с внешними факторами, а с нарушителями-инсайдерами. О том, как в таких условиях бизнесу обезопасить себя и выбрать лучшие возможности, которые предоставляют рынок и государственные регуляторы, говорили эксперты на конференции «Кибербезопасность 2025: актуальные риски и тренды», организованной сибирской редакцией издательского дома «Коммерсантъ» в Новосибирске.

«Я рада вас приветствовать от имени сибирского представительства издательского дома “КоммерсантЪ”. Мы проводим традиционную конференцию по кибербезопасности, нам есть о чем поговорить, потому что кибер-атаки не прекращаются»,— поприветствовала гостей и выступающих гендиректор АО «Коммерсантъ-Сибирь» Ольга Добарская.

Модератором выступила официальный представитель компании «Трунетворк» Алена Мальцева.

Как выбрать средства защиты

Директор компании «СИБ» — цифрового интегратора по информационной безопасности, Андрей Помешкин рассказал о том, как выбирать и грамотно использовать средства защиты информации. В первую очередь в нашей стране, по его словам, разобраться с этим вопросом помогают регуляторы, которые формируют нормативно-правовую базу: федеральные законы, указы президента, ФСТЭК РФ (Федеральная служба по техническому и экспортному контролю), ФСБ, НКЦКИ (Национальный координационный центр по компьютерным инцидентам).

«Требования регуляторов направлены чаще всего на то, чтобы выполнять какие-то базовые требования с точки зрения информационной безопасности. Если вы будете их придерживаться, то будете представлять, от чего отталкиваться и какие существуют потенциальные угрозы»,— сказал господин Помешкин.

Сначала необходимо выявить потребность и определиться с теми элементами, которые мы хотим защищать. Далее необходимо перейти к требованиям к системам защиты, классифицировать все потенциальные угрозы и нарисовать модель нарушителя. После этого можно переходить к проектированию и разработке систем защиты — такой подход необходим по каждому виду угроз. За этим следуют внедрение, комплекс мероприятий по оценке эффективности и переход к эксплуатации. К основному набору средств господин Помешкин отнес антивирус, МЭ для контроля и фильтрации сетевого трафика, СКЗИ, НСД, а также SIEM — (англ.: «Security information and event management» — информация о безопасности и управлении событиями) система для предварительного обнаружения угроз.

По данным Андрея Помешкина, причинами угроз чаще всего становятся не хакеры (42%), а внутренние нарушители (58%). «Вопрос стоит еще и в квалификационной подготовке сотрудников, потому что, если человек не знает, как работать со средствами защиты и не понимает, как они устроены, он может нанести еще больший ущерб, чем хакер»,— отметил эксперт.

Самая атакуемая страна

Россия — самая атакуемая хакерами страна в мире в последние годы. Об этом рассказал руководитель отдела по работе с клиентами малого и среднего бизнеса «Лаборатории Касперского» Алексей Киселев. Тем не менее, по его мнению, в будущем это сильно поспособствует росту в отрасли кибербеза.

«У “Лаборатории Касперского” есть интерактивная карта киберугроз. Там в онлайн-режиме мы показываем, какое количество угроз в каких странах регистрируется нами на данный момент. На первом месте находится Российская Федерация»,— сказал эксперт.

С того же периода ситуация осложнилась тем, что большое количество западных вендоров ушло с российского рынка — одни прекратили продажи, другие поддержку, а третьи отозвали лицензии. Кроме того, с 2014 года постоянно ужесточаются требования со стороны регуляторов, что, с другой стороны, позволило избежать коллапса с усилением кибератак на российские предприятия.

При этом сократилось число критичных инцидентов, однако возросла их сложность. Основной угрозой для организаций остаются шифровальщики — программы-вымогатели, шифрующие данные на устройстве — в 2024 году с ними был связан 41% инцидентов. Количество новых вирусов, регистрируемых компанией ежедневно, составляет порядка 450 тыс. в день.

Алексей Киселев отметил, что Новосибирская область вошла в ТОП-4 по росту доли компаний, подвергшихся атакам вредоносного ПО по трем его самым распротраненным видам: шифровальщики, troyanSPY и troyan-PSW.

Человеческий фактор

75% от всех утечек информации в российских компаниях в 2024 году произошли из-за человеческого фактора. Такие данные представила юрист по кибербезопасности Staffcop (входит в экосистему для бизнеса «Контур») Ольга Попова. Компания имеет 13-летний опыт экспертизы в отрасли инфобеза, порядка трех тысяч клиентов в 40 странах мира.

«По количеству инцидентов первое место занимают программы-вымогатели и компрометация корпоративной почты — это 53%, <…> а по способам атак это социальная инженерия и фишинг — 44%. Сотрудникам поступают звонки якобы от следователей, из прокуратуры и ФСБ. Также они не задумываются о последствиях, оставляя свои данные на различных интернет-ресурсах»,— сказала юрист, отметив, что каждый сотрудник — потенциальная угроза для компании. Обратить внимание стоит на тех сотрудников, которые:

• осуществляют немотивированные входы в CRM в нерабочее время;
• имеют доступ к конфиденциальной информации, не связанной с рабочими обязанностями;
• внезапно меняют поведение и проявляют необычную активность;
• часто обращается к базе данных без рабочей необходимости.

«Чтобы выявить инсайдера, мы рекомендуем использовать систему расследования инцидентов, которая состоит из физических и программных действий, а также аналитики поведения коллектива»,— посоветовала госпожа Попова.

Четыре блока системы включают методы выявления угроз (мониторинг событий и поведения сотрудника), меры контроля, расследование инцидентов и профилактика, направленная на устранение безграмотности и формирования культуры ответственного отношения к информационной безопасности.

Для профилактики утечек юрист порекомендовала следить за соблюдением внутренних нормативных актов, постоянно актуализировать список документов, которые требуют защиты, установить регламент своевременного реагирования на угрозы и расследования инцидентов, обучать сотрудников мерам безопасности и соблюдать требования регуляторов.

Зачем регистрировать ПО в реестре Минцифры?

Реестр отечественного ПО Минцифры России (Федеральная государственная информационная система «Реестры программ для электронных вычислительных машин и баз данных») — это система учета ПО, которая официально признана происходящей из России и подходит для использования в госструктурах. Наличие программы в реестре дает разработчику определенные дополнительные преимущества, о которых на конференции рассказала региональный директор юридической фирмы «Городисский и Партнеры» в Новосибирске Наталья Николаева.

По ее словам, среди преимуществ можно указать следующее: налоговые льготы, возможность участвовать в государственных закупках, облегчение процесса регистрации в качестве IT-компании. Процедура требует соответствия множеству требований. Они касаются того, что правообладатель должен быть зарегистрирован в России и иметь менее 50% иностранного участия, правомерно ввести в оборот ПО, не содержащее гостайну и не имеющее принудительного управления из-за рубежа, отдавать менее 30% выручки иностранным лицам, обеспечить обслуживание, техподдержку и модернизацию ПО за счет российских организаций.

С 2018 года количество заявлений растет год от года. «В Новосибирской области количество зарегистрированного программного обеспечения — 391, а правообладателей Минцифры фиксирует на сегодняшний день 135»,— озвучила данные юрист.

Регистрация программы в Роспатенте в случае спора может помочь доказать, что код уже существовал на момент подачи заявки. Это также облегчает доказательство наличия прав перед контрагентами и госорганами, а также упрощает процесс постановки на бухучет. Эта процедура значительно проще, чем регистрация в Реестре Минцифры. Наталья Николаева порекомендовала зарегистрировать ПО в Роспатенте перед подачей заявления в Реестр Минцифры, потому что такую регистрацию можно использовать в качестве одного из доказательств, подтверждающих права на программу.

Публичная дискуссия

После выступлений спикеров в рамках конференции началась открытая дискуссия. В первую очередь модератор Алена Мальцева подняла вопрос «джентльменского набора» средств и мер защиты информации, которые должен использовать бизнес.

«Начинать следует с оценки, какие у вас есть активы и какие существуют риски. Исходя из этой матрицы нужно решать, как защищаться,— считает руководитель компании Phishman, которая занимается разработкой решения для развития киберкультуры в компаниях и навыков сотрудников в области информационной безопасности, Алексей Горелкин.— Важнее всего оценка рисков, исходя из нее нужно придумать план действий, определить необходимые процессы, а уже потом подключать определенные продукты».

По его словам, для минимального обеспечения безопасности нужно, чтобы руководство контролировало доступ в Интернет у сотрудников, чтобы было установлено и обновлялось антивирусное ПО, а также SIEM-системы для анализа событий в реальном времени. Алексей Киселев добавил к этому списку решения по защите рабочих мест и мобильных станций, а также почтовых серверов, потому что электронная почта часто становится основным каналом проникновения злоумышленников в инфраструктуру компании.

Заместитель руководителя отдела продаж компании «Код безопасности» Роман Лопатин отметил, что бизнесу, который зиждется на IT-инфраструктуре, нужно учитывать, что она бывает разной.

«В разных сегментах экономики у организаций разный ИТ-ландшафт. В банках – одна, в АСУТП (автоматизированных системах управления технологическими процессами) – вторая, в органах государственной власти – третья. Очевидно, что для каждой конкретной ИТ-инфраструктуры есть различные сценарии направления кибератак со стороны злоумышленников. Поэтому мало того, что специалисты по информационной безопасности должны знать свою инфраструктуру, они еще должны понимать, как она может быть скомпрометирована и стать уязвимой»,— сказал эксперт.

Он уточнил, что, поскольку рост числа кибератак и их совершенствование — процесс постоянный, требуется все время следить за актуальной ситуацией на рынке продуктов информационной безопасности и тщательно мониторить все попытки нарушителей атаковать бизнес.

«Все вендоры имеют у себя определенные сервисы, позволяющие провести аудит, проверить насколько правильно используется определенное средство. Этим не нужно пренебрегать: вы реализовали процесс, внедрили средства, но постоянная проверка необходима»,— добавил эксперт «Лаборатории Касперского».

Из этого вытекает вопрос: «По каким параметрам следует оценивать уровень эффективности информационной безопасности?» Алексей Горелкин считает, что прежде всего следует измерять его уровнем рисков. При этом бизнес оценивает риски по непрерывности процессов или в денежном эквиваленте, сравнивая возможные потери с оплатой работы соответствующих специалистов и ПО. Это самый простой и действенный способ, но сложности появляются, когда речь заходит о государственных и некоммерческих организациях, где, по словам эксперта, при некомпетентности сотрудников может возникнуть ситуация «отчетность ради отчетности» без контроля эффективности.

Другая ситуация складывается, если необходимо защитить организацию от утечек данных. «Каждому безопаснику необходимо развивать софтскилы у персонала. А еще уметь вести переговоры с руководством и подстраиваться под ландшафт конкретной организации»,— сказал господин Горелкин.

По словам Алексея Киселева, лучший показатель эффективности работы — число киберинцидентов. Чем оно меньше, тем лучше. Однако руководитель компании Phishman уточнил, что тогда необходимо учитывать уровень киберкультуры, потому что безответственный специалист может подменить понятия «не допущено» утечек, фишинговых писем и так далее, и «не выявлено». Для проверки системы необходимо проводить тестовые атаки.

Эксперты коснулись также вопроса борьбы с инсайдерскими нарушителями внутри компаний. Алексей Горелкин напомнил, что, помимо злоумышленников, намеренно вербующих сотрудников, существуют и те, кто, работая в компании, предлагают свои услуги как инсайдера, например, через черный рынок в «даркнете».

«К сожалению, в социальном плане никто из нас не безопасен. Найти цифровой след любого сотрудника, собрать нужные данные и воспользоваться ими для компрометации учетной записи или для проникновения в периметр организации сейчас крайне легко. Чем многие киберпреступники и пользуются. Чем больше нас знают в сетях общего доступа, тем проще реализовать те или иные сценарии проведения кибератаки»,— сказал Роман Лопатин.

Алексей Киселев же рассказал, что можно организовать рабочие процессы таким образом, что любой скрипт попадет в промышленную базу только после того, как его проверит и одобрит ИБ-специалист. «В случае, если он не будет понимать, что написано в коде, он сможет обратиться к программисту, чтобы тот проверил, не заложено ли там саморазрушающегося скрипта. Это сильно усложнило бы процесс, <…> да, неудобно, но это цена безопасности»,— отметил он.

Роман Лопатин, отвечая на вопрос одного из гостей о влиянии компаний, занимающихся информационной безопасностью на государственную политику в этой сфере, отметил, что главный канал взаимодействия с властями — Министерство цифрового развития, связи и массовых коммуникаций РФ. При этом не стоит принижать и роль ФСТЭК России и ФСБ России. Также информацию о важной роли информационной безопасности в современных реалиях доносят до правительства и различные ассоциации, профильные экспертные и научные сообщества.

Самым ярким примером результата этой активности можно считать Федеральный закон №187, который позволил выделить направление информационной безопасности в отдельную сущность, что дало возможность работать эффективнее.

В заключении Алена Мальцева подняла вопрос о том, чего в сфере кибербезопасности нужно бояться в будущем и к чему следует готовиться.

«Готовиться нужно к тому, что спада кибератак не будет — еще долго Россия останется самой атакуемой точкой в мире,— ответил господин Киселев. — Важно понимать, что “импортовозвращение” может и начнется, но уже очень сложно убедить российского регулятора вернуть сертификаты тем компаниям, у которых они были отозваны. Все тенденции, которые есть сейчас, будут укрепляться».

Сибирское представительство издательского дома «Коммерсантъ» приглашает вас на ежегодную конференцию «Кибербезопасность 2025: актуальные риски и тренды». В ходе деловой программы эксперты поделятся самыми свежими новостями и трендами, а во второй сессии представители бизнеса смогут задать волнующие их вопросы и получить советы от ведущих экспертов рынка кибербезопасности в режиме реального времени!

Обстановка по росту киберугроз в мире, и особенно, в России ярко показала, как и без того актуальная проблема информационной безопасности выходит на новый уровень каждый год.

Как приспособиться к тому, что многие крупные зарубежные игроки рынка информационной безопасности ушли из России и с чего начать процесс импортозамещения? Где взять компетентных ИТ-специалистов и кому доверить «перестройку» собственной ИТ-инфраструктуры?

С учетом этих непрекращающихся киберпроблем текущая ситуация только добавляет новых вопросов. Так как же защитить собственный бизнес от кибератак и оставить в сохранности все данные?

Участники конференции: генеральные директора и собственники бизнеса, руководители ИТ-департаментов крупного и среднего бизнеса, представители отрасли ИТ, ритейла, консалтинговых компаний, страховых компаний, СМИ.

К выступлению приглашены: министерство цифрового развития и связи НСО, министерство науки НСО, независимые эксперты, представители компаний сферы ИТ-безопасности, представители крупного бизнеса.

Возрастное ограничение: 16+