Новый стандарт кибербезопасности: не «есть ли дыры?», а «можно ли нанести ущерб?»

'/upload/iblock/43b/0aazmvzly9nx1cl18hs8axp0fg1mogi9/ki_be_14_11.jpg'

Российская индустрия кибербезопасности разработала и внедряет принципиально новую методику количественной оценки защищенности компаний от кибератак. Ее суть заключается в переходе от поиска отдельных уязвимостей к доказательству невозможности нанесения неприемлемого ущерба. Об этом заявил сооснователь фонда развития кибербезопасности «Сайберус» и компании Positive Technologies Юрий Максимов, выступая на форуме «Цифровые решения».

По его словам, отрасль последние годы развивалась в двух ключевых направлениях. Первое – консервативное: экстренное замещение ушедших с рынка западных продуктов отечественными решениями. «Речь не об импортозамещении как таковом. Речь о том, что рынок изменился, и нам пришлось перестраиваться. Мы добились хороших результатов: в каждом сегменте кибербезопасности теперь есть отечественные продукты, которые конкурируют между собой. Эта соревновательная среда и задает высокую планку для качества», – констатировал Максимов.

Второе и, по его оценке, главное достижение – формирование «индустрии людей». Эксперт подчеркнул, что именно сообщество специалистов, а не продукты или компании, составляет основу IT-отрасли. «Когда завтра или послезавтра мир снова изменится, эти люди смогут перестроить и бизнес, и продукты таким образом, чтобы соответствовать новым вызовам», – отметил он. Максимов добавил, что на техническом уровне специалисты активно взаимодействуют, а отраслевые мероприятия собирают сотни тысяч участников, включая десятки стран, формируя единое профессиональное комьюнити.

Однако, как признал сооснователь «Сайберуса», российский рынок остается небольшим, а локальный потребитель не всегда достаточно требователен, что заставляет отечественных разработчиков прилагать экстраусилия для достижения мирового уровня качества. При этом глобальная проблема кибербезопасности не решена, и цифровизация жизни значительно опередила безопасность.

Ключевым изменением в подходе к безопасности стала возможность ее количественного измерения. Максимов подробно остановился на эволюции Bug Bounty (LR. программа, в рамках которой компании поощряют независимых исследователей безопасности (багхантеров) находить и сообщать об уязвимостях в их продуктах или системах)

Классические программы, по словам эксперта, не дают ответа на вопрос, что означает отсутствие найденных уязвимостей. Российская методика кибериспытаний существенно расширяет этот функционал. «Мы говорим, что цель исследования – не просто найти уязвимости, а продемонстрировать саму возможность нанести организации неприемлемый ущерб. Только тогда можно ставить новую, конечную цель – сделать нанесение такого ущерба невозможным», – пояснил он.

В рамках такого подхода компания последовательно увеличивает вознаграждение для хакеров-исследователей – от 1 млн до 10 млн рублей и более, – пока те не докажут возможность нанести неприемлемый ущерб. Достижение порога, когда исследователи не могут этого сделать, и становится количественной мерой защищенности, подчеркнул Юрий Максимов.

Этот подход влечет за собой структурные изменения в отрасли. Максимов провел параллель с финансами, где аудит отделен от непосредственной работы с деньгами. «В индустрии кибербезопасности те, кто оценивает результат, и те, кто его обеспечивает, – это по сути одни и те же люди. Мы же разделяем эти функции», – заявил он. Новая модель меняет и логику закупок: заказчики начинают требовать от вендоров не просто поставки продуктов, а гарантированного выхода на определенный уровень кибериспытаний, подтвержденный независимыми исследователями.

Еще одним следствием внедрения количественной оценки становится трансформация рынка страхования киберрисков. «Уже сейчас мы договорились с рядом страховых компаний: организация, проходящая кибериспытания, получает снижение тарифов на порядок и многократное увеличение страхового покрытия», – сообщил эксперт. Таким образом, страховые компании становятся вторым заинтересованным игроком, объективно оценивающим уровень киберзащиты.

Внедрение новой методологии, по словам Максимова, сталкивается с серьезными вызовами. Во-первых, это внутриотраслевое сопротивление, так как подход требует перехода от продажи привычных продуктов к созданию принципиально новых решений. «Это вызов фундаментального уровня, и мы постоянно ищем на него ответ внутри компании», – признал он. Во-вторых, существует регуляторный риск: деятельность хакеров-исследователей, использующих методы, схожие с действиями преступников, является чувствительной темой. «Самое простое – это запретить. Но здесь нам надо проявить и мужество, и смелость для того, чтобы все-таки через это получить тот продукт, который востребован сейчас в мире», – резюмировал Юрий Максимов.

Напомним, руководитель направления интегрированного планирования и управления цепями поставок Axenix Денис Шульга считает, что по мере цифровизации цепочки поставок становятся более уязвимыми, а человеческий фактор и платформенная архитектура создают дополнительные риски. «Достаньте и прорепетируйте план перехода на отгрузку по бумаге», – призвал Шульга аудиторию, отметив, что такая инструкция есть у немногих, но ее наличие может оказаться судьбоносным в случае кибератаки, способной полностью парализовать операции компании. LR