Фото: РБК
На Петербургском международном экономическом форуме (ПМЭФ) в рамках панельной сессии «Киберустойчивость: стратегия выживания в цифровой экономике» эксперты отрасли обсудили тему защиты российского бизнеса от кибератак.
Участниками дискуссии стали президент АО «АльфаСтрахование» Михаил Бершадский, директор по информационным и цифровым технологиям госкорпорации «Росатом» Евгений Абакумов, заместитель генерального директора ПАО «ВымпелКом» Максим Зайков, генеральный директор компании «Индид» Алексей Баранов, управляющий директор Positive Technologies Алексей Новиков и генеральный директор «РДТ» Ксения Гаричкина.
Михаил Бершадский назвал киберугрозы одним из серьезнейших вызовов времени, а кибербезопасность — вопросом экономической безопасности страны. «Невозможно полагаться только на IТ-системы, какими бы мощными они ни были», — подчеркнул он, отметив, что помимо технологических уязвимостей остаются человеческий фактор и слабая защита подрядчиков. Поэтому страхование, по его словам, должно стать обязательным элементом комплексной системы информационной безопасности. Стандартный полис покрывает четыре вида ущерба: расходы на локализацию атаки, материальный ущерб от восстановления систем, ответственность перед третьими лицами и убытки от перерыва в деятельности. Спрос на киберстрахование, по данным компании, растет: с начала года количество договоров увеличилось на 25%, а объем премий вырос вдвое по сравнению с прошлым годом.
Фото: РБК
Бершадский подчеркнул, что страховщик не только возмещает убытки, но и помогает минимизировать наступление страхового случая. «Мы делаем дополнительный «кибер-чекап», еще раз смотрим на систему защиты и предлагаем меры по ее усилению», — пояснил он, сравнив это с практикой при имущественном страховании.
Алексей Новиков подчеркнул, что в ходе кибератаки крайне важно отреагировать на инцидент в течение первых 24 часов, поскольку это повышает возможность минимизировать ущерб. Он предложил внедрить так называемые киберрейтинги — по аналогии с кредитными рейтингами финансовой устойчивости.
«С одной точки зрения, мы точно можем сказать, кто болен. У нас сформулированы буквально пять критериев киберминимума. Если хотя бы один не выполняется, критическая уязвимость на периметре — все. Большая доля вероятности, что они либо уже взломаны, просто об этом не знают, либо это случится завтра», — заявил Новиков.
По словам эксперта, нижний сегмент рынка (компании, которые не соблюдают базовые правила кибергигиены) и верхний («киберспортсмены», которые регулярно проходят пентесты и приглашают белых хакеров) уже более-менее понятны. «А вот сколько их в серединке, какой у них уровень и как правильно их отрейтинговать — вопрос, который нам надо решать в самое ближайшее время», — признал Новиков. Он также отметил, что в 90–95% случаев при серьезной кибератаке компаниям необходимо привлечение внешних команд, потому что собственных специалистов не хватает — особенно тех, кто «работает руками», переустанавливая серверы и восстанавливая инфраструктуру.
Евгений Абакумов добавил к этой картине еще один важный штрих — проблему разнородности IT-ландшафта и зависимости от цепочек поставок. «Системы стали больше, они стали гетерогеннее. Чем больше элементов, тем больше нужно тратить времени на защиту», — констатировал он. Особенно остро, по его словам, стоит вопрос доверия к субподрядчикам. Решение этой проблемы, убежден Абакумов, требует «большого лидера на большом уровне» и координации между разными ведомствами, поскольку «кибербезопасность — одни регуляторы, страхование — другие, закупочная деятельность — третьи».
На проблему устаревших систем, в свою очередь, обратил внимание Алексей Баранов. «Производная от тех информационных систем, которые мы постоянно добавляем, — это живая история. Искусственный интеллект сейчас отлично пишет код, но раз он пишет, значит, он ищет баги. Самые совершенные модели нашли огромное количество векторов атак в программном обеспечении, которому больше 20 лет», — указал он.
Вернувшись к экономике вопроса, Михаил Бершадский признал, что главный тормоз развития рынка — не только технологический, но и психологический. Бизнес пока не готов тратить деньги на то, чего не боялся раньше. По его мнению, рынок начнет активнее развиваться, когда появятся среднеотраслевые показатели расходов на кибербезопасность, например процент от выручки, и когда низкий киберрейтинг начнет напрямую влиять на стоимость страховки или на готовность контрагентов работать с компанией.
Как добавил Максим Зайков, ключевой фактор устойчивости — регулярность. «Мне нравится сравнение с киберспортсменами. Подготовка у нас совсем не дешевая, но самое важное — скорость реакции. Чем скорее ты выплатишь, отреагируешь, начнешь купировать проблемы, тем больше безопасности», — сказал он, подчеркнув, что даже после успешного прохождения тестирования на прочность нельзя успокаиваться. «Справились с сетевым уровнем — идти дальше, и дальше, и дальше», — считает он.
Участники сессии договорились продолжить работу над методологией киберрейтингов и взаимодействием с регуляторами.