Главные ошибки построения системы менеджмента информационной безопасности

Стратегические ошибки — отсутствие комплексного подхода и недооценка угроз

Недостаточная вовлеченность бизнеса

Одна из первых ошибок — воспринимать информационную безопасность как узкотехническую задачу ИТ-отдела, не связанную с целями бизнеса. В результате безопасность рассматривается как второстепенная задача и внедряется формально, «для галочки». Между тем, как отмечают эксперты, стратегия ИБ должна прямо поддерживать бизнес-цели и охватывать все ключевые процессы организации​. Проекты, запущенные без участия руководства и бизнес-подразделений, остаются на бумаге и не получают достаточных ресурсов. Например, расследование крупнейшей утечки в правительстве США — взлома Бюро по управлению персоналом (OPM) — установило, что его руководство проигнорировало рекомендации аудиторов, недооценило современные киберугрозы и не выделяло достаточных ресурсов на защиту на защиту​.

В итоге атака китайской APT-группы привела к краже анкет 22 млн граждан с персональными данными и биометрией — инцидент оказался «предотвратимым», если бы рекомендации выполнялись​.

Отсутствие комплексной стратегии

Многие организации фокусируются на единичных решениях (например, устанавливают только межсетевой экран или антивирус), считая задачу решенной. Такой узкий подход опасен: актуальные киберугрозы обходят одиночные средства защиты. Необходимо строить многоуровневую систему: политика безопасности, процессы управления рисками, резервное копирование, план реагирования на инциденты, обучение персонала. Недооценка какого-либо элемента делает всю систему уязвимой. В мировой практике известны примеры, когда компании, ограничившиеся разовыми мерами, становились жертвами атак. Так, в британской авиакомпании British Airways (BA) в 2018 году злоумышленники незаметно действовали в сети два месяца до обнаружения. Они перенаправляли клиентов на фальшивый сайт и крали их данные​. Расследование показало, что у компании отсутствовал должный аудит уязвимостей и мониторинг. BA не выявила и не устранила слабые места в защите, хотя необходимые меры были доступны​. Регулятор ICO назвал происшествие результатом «существенных недостатков системы безопасности» и оштрафовал BA на рекордные £20 млн​. Для сравнения, в России аналогичные стратегические просчеты тоже приводят к инцидентам, но далеко не всегда влекут сопоставимые последствия из-за более мягкого надзора.

Единоразовая реализация вместо процесса

Еще одна ошибка — считать СМИБ разовым проектом («утвердим документ и забудем на 3 года»). Киберриски динамичны, появляются новые угрозы и технологии. Если не пересматривать стратегию регулярно, она устаревает. Лучшие практики (например, стандарт ISO 27001) предполагают цикл PDCA (Plan-Do-Check-Act) — постоянное улучшение системы. Опираться только на внешний консалтинг без развития внутренних компетенций также рискованно. Опасное заблуждение — думать, что можно пригласить консультанта и получить безопасность «под ключ» без активного участия компании. В итоге рекомендации остаются не внедренными, сотрудники не воспринимают их всерьез. Чтобы избежать этого, руководство должно лично курировать безопасность, интегрировать планы ИБ в общую стратегию развития и создавать культуру, в которой ценность защиты информации разделяется всеми.

Методы предотвращения

Вовлекайте топ-менеджмент в управление рисками, формулируйте цели ИБ на языке бизнес-показателей (например, снижение простоев из-за инцидентов, защита репутации и клиентской базы). Проводите регулярный аудит угроз и пересмотр стратегии с учетом изменений (новые ИТ-системы, удаленная работа, актуальные атаки). Создавайте СМИБ как непрерывный процесс: определите метрики эффективности (количество предотвращенных инцидентов, время реакции и т. д.) и отслеживайте их на уровне совета директоров. Рекомендуется ориентироваться на международные стандарты (ISO 27001, NIST CSF) и лучший зарубежный опыт, адаптируя под свои реалии.

Технические ошибки. Уязвимая архитектура, устаревшие технологии, отсутствие мониторинга

Слабая архитектура защиты

Типичная картина в российских компаниях — устаревшая ИТ-инфраструктура без должного разграничения доступа и сегментации. В итоге компрометация одного узла (например, взлом рабочей станции) дает злоумышленнику доступ ко всей сети. По данным анализа, проведенного comnews.ru в 2023 году, проникновение в сети 93% российских компаний не требует от хакеров высокого мастерства — распространены банальные прорехи вроде слабых паролей и неустраненных уязвимостей​. Иными словами, атакующим даже не нужны дорогие эксплойты нулевого дня, когда системы не пропатчены и учетные записи не защищены. Для сравнения, западные компании также страдают от подобных проблем: знаменитый взлом американского ритейлера Target в 2013 году произошел через компрометацию учетных данных подрядчика —системы кондиционирования, что позволило хакерам перехватить данные 40 млн кредитных карт. Вывод один — архитектура безопасности должна строиться по принципу «нулевого доверия»: минимально необходимый доступ, изолированные сегменты, многофакторная аутентификация. В противном случае единичная точка сбоя приводит к лавинообразному развитию атаки.

Устаревшие и не обновляемые технологии

Множество инцидентов вызвано тем, что организации используют старое ПО и оборудование, которые не получают обновлений безопасности. В госсекторе РФ нередки случаи эксплуатации систем на базе Windows 7 и даже XP, для которых давно не выпускаются патчи. Это делает их легкой добычей для вредоносных программ. Показательный пример — эпидемия вируса-вымогателя WannaCry в 2017 году, парализовавшая британскую систему здравоохранения NHS: больницы продолжали работать на Windows XP, не защищенной от известной уязвимости, чем и воспользовались хакеры​. В России вирус тогда вывел из строя сотни компьютеров МВД и оператора связи «Мегафон» — везде проблему усугубило отсутствие своевременного обновления. Очевидный урок: важно своевременно устанавливать патчи и избавляться от устаревших систем либо изолировать их, если обновить невозможно. Инвентаризация ИТ-активов и управление уязвимостями — необходимый элемент СМИБ. Тем не менее, в погоне за новыми функциями бизнес иногда пренебрегает основами: почти 30% инцидентов в российских компаниях возникают при запуске новых сервисов без анализа рисков — внедряют приложение, не протестировав безопасность, и открывают брешь на периметре.

Отсутствие мониторинга и реагирования

Даже лучшие превентивные меры не гарантируют стопроцентную защиту, поэтому критически важно уметь быстро обнаруживать и локализовывать инциденты. Ошибка многих организаций — экономить на системах мониторинга (SIEM, NTA) и службах мониторинга информационной безопасности (SOC). Без них атака может оставаться незамеченной месяцами. Упомянутый кейс British Airways показал, что непрерывный мониторинг мог бы обнаружить аномальную активность раньше и сократить ущерб. В российской практике тоже известны случаи, когда взлом выявлялся лишь постфактум, после появления данных на черном рынке. К счастью, осознание важности мониторинга и реагирования на инциденты постепенно растет — даже средний уровень защищенности инфраструктур в РФ за последний год вырос​, компании активнее внедряют отечественные решения для корреляции событий и сетевой аналитики. Однако многие организации все еще не имеют четкого плана реагирования: кто должен действовать при утечке, как изолировать сегмент, кого уведомлять. В результате теряются драгоценные часы, информация о взломе замалчивается (в надежде «само пройдет»), что только увеличивает потери.

Методы предотвращения

Принять принцип неизбежности инцидентов («не если, а когда случится атака»). Соответственно, инвестировать в архитектуру «с запасом прочности»: сегментация сети, резервирование, регулярные тесты на проникновение (pentest) и сканирование уязвимостей. Обновление ПО должно быть рутинной задачей под контролем ИБ-службы (в крупных организациях внедряются системы управления обновлениями и «песочницы» для тестирования патчей). Обязательно развернуть системы обнаружения атак: сетевые датчики, SIEM с корректно настроенными правилами корреляции. Если нет возможности содержать полноценный SOC внутри, воспользоваться услугами мониторинга от внешнего провайдера (MSSP), что часто является оптимальным решением для среднего бизнеса. Ключевой шаг — разработать и отладить план реагирования на инциденты: проводить учения (table-top exercises) с участием ИТ, безопасности, юристов и PR, чтобы в реальной ситуации команда действовала быстро и слаженно.

Юридические риски — несоответствие требованиям и ошибки в договорах

Нарушение законодательства о безопасности и данных

Российские компании подчиняются ряду норм: ФЗ-152 «О персональных данных», требованиям ФСТЭК и ФСБ (в том числе для гостайны и критической информационной инфраструктуры), отраслевым регуляторам (например, ЦБ для банков) и международным правилам, таким, как GDPR, при работе с гражданами ЕС. Невыполнение этих требований чревато штрафами и приостановкой деятельности. Раньше ответственность была символической — максимум 50–100 тыс. рублей штрафа по КоАП за инцидент, и многий бизнес пренебрегал нормами​. Однако ситуация меняется — власти вводят оборотные штрафы. С 2023 года за утечку данных более 1 000 лиц компании грозит штраф до 5 млн рублей, а за особо чувствительные данные — до 15 млн рублей. За непредоставление информации об инциденте в Роскомнадзор — до 3 млн рублей.​ Кроме того, регуляторы все чаще требуют от организаций построения комплексных систем защиты информации и внедрения СЗИ с сертификатами ФСТЭК/ФСБ, аттестации систем и т. п. Несоответствие этим требованиям не только увеличивает риск успешной атаки, но и ведет к юридическим последствиям. В госструктурах РФ это осознают: после серии утечек 2022–2023 годов активно усиливается контроль за исполнением приказов ФСТЭК, проходят внеплановые проверки.

Ошибки в договорах с подрядчиками

Еще один важный момент — распределение ответственности за безопасность при аутсорсинге. Российские компании все чаще привлекают подрядчиков для ИТ-услуг, разработки, облачного хостинга и сервисов. Однако при этом не всегда предусматривают в договорах обязательства по защите информации и ответственность за инциденты. В результате утечки данных через подрядчика страдает заказчик, а взыскать убытки проблематично. В мире известен случай: утечка данных 57 тыс. клиентов Bank of America произошла в 2023 году через взлом стороннего сервис-провайдера, после чего банк вынужден был компенсировать ущерб и тратить миллионы на восстановление доверия​. В России похожим образом страдали компании, доверившие обработку данных сторонним колл-центрам или облачным CRM-системам — их клиентские базы всплывали в сети, а договоры не содержали четких мер ответственности. Также важно учитывать трансграничные требования к защите данных: если российская компания передает данные граждан ЕС контрагенту, не соответствующему требованиям GDPR, штраф могут наложить и за рубежом. Прецеденты уже есть: в 2019 году британский регулятор ICO планировал оштрафовать Marriott и British Airways на суммы порядка £100–180 млн за утечки, произошедшие через сбои в их глобальных ИТ-системах​.

Методы предотвращения

Привести свою деятельность в соответствие с требованиями: провести аудит на соответствие ФЗ-152 (как минимум классифицировать информационные системы персональных данных по уровням защищенности и внедрить необходимые меры), убедиться в выполнении приказов ФСТЭК (если организация относится к критической инфраструктуре или госсектору). Полезно будет сертифицировать СМИБ по ISO 27001 — это не прямая обязанность, но сертификация подтверждает, что выстроены процессы управления безопасностью, что снижает и юридические, и практические риски. Разработать типовые требования к ИБ для подрядчиков: в договоры включать положения о защите данных, о немедленном уведомлении в случае инцидента, о штрафах или компенсациях в случае утечки по вине подрядчика. Проводить оценку контрагентов: запрашивать их политики ИБ, результаты аудитов, сертификаты (например, PCI DSS для платежных сервисов, если вы передаете им платежные данные). При работе с иностранными пользователями — учитывать требования GDPR: обеспечить правовое основание обработки, сбор минимально необходимых данных, выполнять правила хранения и удаления. Либо пользоваться услугами партнеров, уже соответствующих GDPR, чтобы минимизировать риск штрафов. И, конечно, привлекать юристов, специализирующихся на киберправе, при разработке всех этих документов: это инвестиция, которая многократно окупится в случае возникновения споров или проверок.

Кадровые проблемы: нехватка специалистов, квалификации и киберкультуры

Дефицит кадров и экспертизы

Российский рынок испытывает острый голод в профессионалах по кибербезопасности. По оценке Positive Technologies и ЦСР, в стране не хватало около 50 тыс. ИБ-специалистов на начало 2024 года​, и существенная часть вакансий остается незакрытой. Спрос растет на всех уровнях — от аналитиков SOC до архитектора безопасности, — но подготовка кадров не успевает за потребностями. В госорганах и небольших компаниях нередко вообще нет выделенных специалистов по ИБ либо их функции возложены «по совместительству» на сисадмина. В результате многие критически важные задачи, такие, как анализ угроз, настройка средств защиты, расследование инцидентов, выполняются нерегулярно или некачественно. Для сравнения, мировая статистика показывает аналогичную проблему: глобально не хватает около 3,4 млн киберспециалистов​, и 70% организаций признают, что испытывают кадровый голод, повышающий их уязвимость​. В таких условиях компании вынуждены либо переманивать ограниченных экспертов за высокую зарплату, либо мириться с неполной закрытостью функций. Часто страдают стратегические направления — например, у компании может быть дефицит компетенций для выстраивания той же СМИБ по ISO 27001 или для оценки сложных APT-атак.

Низкая осведомленность и ошибки сотрудников

Человеческий фактор остается самым слабым звеном безопасности. Исследование инцидентов за 1-е полугодие 2024 года показало, что в 80% случаев причиной проблем являлись действия или промахи сотрудников. Самые частые примеры: публикация разработчиком конфиденциального кода в открытом репозитории, отправка файлов с персональными данными не тому адресату, использование простого пароля, случайное отключение антивируса и т. д. Так, почти половина инцидентов связана с тем, что сотрудник разместил в общий доступ фрагменты кода или конфигураций, содержащие пароли или ключи, — этим тотчас воспользовались злоумышленники​. Еще около10 % — результат банального фишинга, когда работник перешел по ссылке на поддельный сайт и ввел учетные данные​. В госсекторе тоже множество утечек произошло по вине людей: от намеренных действий инсайдеров до потери незашифрованных ноутбуков. Например, в Великобритании сотрудница тюрьмы продала таблоиду персональные сведения о знаменитом заключенном, за что сама получила год тюрьмы​. Проблема усугубляется отсутствием cyber awareness — многие рядовые сотрудники не понимают последствий своих действий. Кроме того, руководство порой недооценивает необходимость обучения: согласно опросам, лишь треть организаций проводят регулярные тренинги по безопасности для персонала.

Отсутствие киберкультуры в организации

Культура безопасности подразумевает, что каждый сотрудник, от директора до стажера, ощущает личную ответственность за защиту данных. В российских компаниях такая культура только формируется. Нередко требования ИБ воспринимаются как помеха работе: сотрудники обходят блокировки, отключают обновления ради «удобства», системные администраторы по привычке дают всем права администратора. Без поддержки руководства службе безопасности сложно внедрять правила — если коммерческий директор хранит клиентские базы в личном облаке «для удобства», а ИБ-специалист не может на это повлиять, организация становится уязвимой. Зарубежные компании постепенно приходят к пониманию, что безопасность — часть корпоративной этики: например, вводят обязательные курсы, фишинг-симуляции, обсуждают инциденты открыто (культура blameless post-mortem). В России такие практики тоже появляются, особенно в дочерних структурах международных корпораций и прогрессивных технокомпаниях, но массово — пока нет. Более того, в условиях оттока ИТ-кадров зарубеж некоторые компании снижают требования, лишь бы удержать сотрудников, что также создает дополнительные риски для безопасности данных. 

Методы предотвращения

Прежде всего инвестиции в людей: нанимать и растить собственных специалистов по ИБ. Партнерство с вузами, целевые программы обучения и стажировки помогут закрыть дефицит. Стоит использовать внешний аутсорс осмотрительно: он решает точечные задачи, но не снимает ответственности с организации. Параллельно необходимо поднимать уровень знаний всех сотрудников. Эффективны регулярные тренинги по кибергигиене: как распознавать фишинг, как создавать сложные пароли, как обращаться с персональными данными. Можно черпать идеи из зарубежных программ Security Awareness (многие доступны онлайн, в том числе от Kaspersky, Cisco и др.). Внутри компании важно простроить коммуникацию по информационной безопасности: выпускать памятки, делиться примерами атак (без обвинений, а для обучения). Руководству отделов следует включать выполнение требований безопасности в KPI. Формирование киберкультуры — долгий процесс, но приносит ощутимые плоды: по оценкам, правильная организация процессов и обучение способны предотвратить до 80–90% инцидентов, остальные уже будут ловить технологии​. Именно человеческий фактор определяет успешность всей системы ИБ.

Выводы и рекомендации

Российским компаниям и госструктурам, строящим систему менеджмента ИБ, важно учесть уроки не только собственных, но и зарубежных ошибок. Анализ показал, что провалы происходят из-за неверных стратегических установок (без поддержки бизнеса и понимания рисков), недостаточного финансирования, слабой технической реализации (дыры в защите и отсутствие мониторинга), игнорирования правовых аспектов и человеческих оплошностей. Эти проблемы тесно связаны: недофинансирование безопасности часто вызвано недооценкой угроз на стратегическом уровне; утечки данных ведут к штрафам и подрыву репутации, а их корень — в ошибках персонала или устаревших системах.

Чтобы избежать перечисленных ошибок, организациям следует действовать проактивно и комплексно. 

— Интегрировать безопасность в бизнес-процессы. Делать оценку киберрисков частью стратегического планирования, доводить ключевые показатели ИБ до уровня правления. 

— Укреплять технологическую базу. Избавляться от «легаси»-систем, своевременно обновлять ПО, выстраивать эшелонированную оборону и дежурный мониторинг событий. 

— Соблюдать нормы и повышать ответственность. Не рассматривать соответствие требованиям 152-ФЗ или GDPR как формальность, а реально защищать персональные данные клиентов, включать киберсторожки в договоры — условия по соблюдению требований по информационной безопасности всех участников цепочки поставок. 

— Вкладываться в кадры и культуру. Нанять недостающих экспертов, непрерывно обучать персонал безопасным поведенческим навыкам и прививать ценности кибербезопасности.

Международный опыт показывает, что кибератаки — глобальная проблема, но и методы противодействия известны. Российским организациям важно перенимать лучшие практики. Например, внедрение стандарта ISO 27001 помогло многим зарубежным компаниям навести порядок в СМИБ, а теперь и российские фирмы активно сертифицируются по нему, чтобы структурировать все аспекты безопасности (процессы, политики, ответственность). Опыт крупных инцидентов — как утечка OPM в США или штраф British Airways в Британии — служит предупреждением, что экономия на безопасности обходится гораздо дороже последующих реагирования и наказаний. Поэтому принцип «предотвратить легче, чем устранять последствия» актуален как никогда.

В конечном счете, построение действенной системы менеджмента информационной безопасности — это непростое, но жизненно необходимое усилие. Компании, которые сумеют избежать рассмотренных ошибок, получат не только защиту от киберугроз, но и конкурентное преимущество: доверие клиентов, стабильность бизнес-процессов и уверенность в завтрашнем дне даже в условиях постоянно усложняющегося цифрового ландшафта. Именно такой подход — залог киберустойчивости в долгосрочной перспективе.

^{Обложка: downloaded from Freepik.}