Алексей Морозков: «Все уже понимают, что соответствовать требованиям «для галочки» себе дороже. Сейчас компании приходят за реальной защитой. Вопросы кибербеза стоят на повестке наряду с остальными бизнес-задачами. Это уже не поддерживающая функция — это необходимость, как пожарная безопасность»

Главные слепые зоны в защите

Около 25–30 минут нужно злоумышленнику для того, чтобы проникнуть в инфраструктуру компании и начать активную фазу атаки. Сегодня, когда атакующие используют в своем арсенале возможности искусственного интеллекта, эффективность и скорость взломов кратно возрастают. «Вся модель kill chain проходится практически мгновенно. Времени что-либо выяснять и неделями собирать информацию просто нет», — рассказывает руководитель центра ИБ-экспертизы ICL Services Алексей Морозков.

В мире информационной безопасности есть базовый принцип: защититься на 100% от угроз невозможно, но можно снизить вероятность их события до минимума. Какие слепые зоны эксперты выявляют в компаниях чаще всего?

Забытая инфраструктура. Один из распространенных векторов атаки — тестовые стенды и демобазы данных, которые кто-то когда-то развернул для пилотного проекта и забыл отключить. Они могут быть подключены к инфраструктуре компании. Для хакера это открытая дверь. «Мы заходим вообще без проблем, — рассказывает Морозков о результатах реальных пентестов. — Такие ресурсы, как правило, никто не администрирует и не обновляет. А злоумышленники со своей стороны проводят очень серьезную разведку, они прочесывают все, что может относиться к информационным активам компании. Тем более с возможностями ИИ это все становится практически автоматизированным, как на блюдечке преподносится».

Поэтому критически важно вести актуальный учет всего, что опубликовано наружу: каждого субдомена и веб-сервиса. И отключать то, что не используется.

Атаки через цепочку поставок. Крупная компания может быть вооружена до зубов, но у нее всегда есть подрядчики. Среди них могут быть небольшие фирмы, которые, например, делают заказную разработку. У них фокус сосредоточен, как правило, на продукте, вопросы кибербезопасности отходят на второй план. Хакеры взламывают именно ее, вшивают бэкдор в программное обеспечение. И когда очередной релиз раскатывается в инфраструктуре заказчика, злоумышленники попадают внутрь. Именно так произошло с компанией SolarWinds — разработчиком платформы Orion, которую использовали тысячи организаций по всему миру, включая госструктуры США. В 2019-м хакеры внедрили вредоносный код прямо в обновления ПО, которое клиенты устанавливали без подозрений. Атаку обнаружили только спустя полгода. В среднем она обошлась компаниям в 11% от их годовой выручки.

Здесь нужна эшелонированная и продуманная защита, говорит Морозков. Со стороны заказчика — жесткие требования к поставщикам: безопасная разработка на каждом этапе (DevSecOps/SSDLC), проверка уязвимостей. Важен и мониторинг того контура, к которому подключен субподрядчик. «У одной компании, с которой мы работаем, подход простой: малейшее подозрение на аномалию — субподрядчика моментально отключают от корпоративных ресурсов и изолируют. И это работает», — рассказывает эксперт.

Человеческий фактор остается главным вектором атак. Хакеры продолжают использовать социальный инжиниринг. «В нынешних реалиях даже имитируется стиль коммуникации потенциального собеседника, с помощью ИИ анализируются его соцсети, его жизнь — и они очень четко подгоняют под него письмо, чтобы складывалось впечатление, что это действительно написал этот человек», — рассказывает эксперт. К этому добавляется давление через срочность. Человек не перепроверяет, кликает по ссылке — и учетная запись скомпрометирована.

Как один из вариантов противодействия — обучение сотрудников. ICL Services предоставляет готовую платформу повышения осведомленности, берет на себя ее администрирование, проведение имитаций фишинга и работу с обучающими курсами. Заказчику не нужно выделять на это собственные ресурсы, он платит фиксированную сумму и получает работающий процесс.

В сотрудничестве с партнерами ICL Services предлагает услугу аутсорсинга DLP для компаний от 150 до 400 сотрудников, где нет своей службы ИБ

Какие угрозы есть внутри компаний

Фишинг — это угроза извне, но есть и внутренняя — действия самих сотрудников: подделка документов, слив клиентских баз при увольнении, корпоративное мошенничество.

Против них работают DLP-системы. Они контролируют коммуникации сотрудников: почту, мессенджеры, пересылку файлов на съемные носители, строят цепочки взаимодействий, фиксируют признаки корпоративного мошенничества — например, фирмы-боковики, перевод клиентов на личное ИП, оценивают лояльность персонала — даже подсвечивают активные посещения сотрудником HeadHunter.

Например, в одной компании сотрудник, которому запрещено работать из-за рубежа, имитировал свое присутствие в России. В другой — разработчик в аналитическом отделе полдня проводил за онлайн-играми. Также при увольнении сотрудники пачками скидывают базы на флешки, вспоминает случаи из практики Морозков. Все это DLP выявляет и даже помогает собирать доказательную базу, пригодную для дальнейших разбирательств.

В сотрудничестве с партнерами ICL Services предлагает услугу аутсорсинга DLP для компаний от 150 до 400 сотрудников, где нет своей службы ИБ. «Заказчик платит определенную сумму в месяц и получает итоговый отчет — все потенциальные риски подсвечены, аналитик помогает разобраться в инцидентах. DLP-системы стоят очень серьезных денег для небольшого бизнеса, а в этом случае становятся доступной опцией», — поясняет эксперт.

Почему выстраивать защиту «для галочки» опасно

С мая 2025 года в России действуют новые штрафы за нарушение закона о персональных данных — оборотные, привязанные к выручке компании. Ужесточились и требования к защите объектов критической информационной инфраструктуры. «Все уже понимают, что соответствовать требованиям „для галочки“ себе дороже, — отмечает эксперт. — Сейчас компании приходят за реальной защитой. Вопросы кибербеза стоят на повестке наряду с остальными бизнес-задачами. Это уже не поддерживающая функция — это необходимость, как пожарная безопасность». Для крупной компании дни простоя из-за атаки или штраф при утечке персональных данных — это большие убытки и репутационные потери.

ICL Services предлагает несколько основных направлений аудитов — как технические, так и на соответствие законодательству: 152-ФЗ о персональных данных и 187-ФЗ о защите объектов КИИ. Это работа полного цикла — от обследования до разработки документации и моделей угроз. Для компаний, у которых нет собственной экспертизы, это оптимальный путь. «За всю нашу практику не было ни одной компании, которая с ходу бы соответствовала всем требованиям на 100 процентов», — рассказывает Морозков.

ICL Services предлагает несколько основных направлений аудитов — как технические, так и на соответствие законодательству

Кроме этого, компания может взять на себя миграцию на отечественные решения. ICL Services составит дорожную карту и предложит нескольких вендоров с оценкой стоимости лицензий и поддержки. «Мы не навязываем конкретные решения. Работаем под бизнес-задачу: выясняем риски, бюджет и подбираем решение, которое максимально эту задачу закрывает», — подчеркивает эксперт. При этом лучше использовать экосистему и решения одного вендора, интегрированные между собой, это эффективнее «зоопарка» из продуктов разных производителей и в администрировании, и в выявлении угроз, отмечает он.

Отдельная тема — защита промышленных сегментов АСУ ТП (автоматизированной системы управления технологическим процессом). Здесь компрометация инфраструктуры — это не только остановка производства, но и угроза жизни людей. «Если злоумышленник взломал какой-нибудь промышленный контроллер, а человек в это время на станке, это может обернуться трагично. В сетях АСУ ТП должен обеспечиваться максимальный уровень защиты и тотальный контроль», — говорит эксперт. ICL Services провела ряд внедрений специализированных решений для промышленных сетей — и заказчики нередко удивляются находкам уже на этапе «пилота», рассказывает Морозков.

Как защищаться круглосуточно и что можно отдать на аутсорс

Но аудит или пентест — это срез в моменте. Инфраструктура меняется каждый день: открываются новые порты, появляются новые сервисы и ИТ-активы, обнаруживаются новые уязвимости. Поэтому компании с высоким уровнем зрелости переходят к непрерывному мониторингу угроз внешнего периметра. Продукты класса Attack Surface Management (ASM) позволяют в режиме 24/7 отслеживать поверхность атаки, а киберразведка — мониторить упоминания активов компании в даркнете.

Помимо использования ASM, когда система уже выстроена и работает, операционную часть можно передать на аутсорсинг, а внутреннюю команду высвободить для стратегических задач. ICL Services предлагает несколько подходов. Поддержка средств защиты информации по модели «Все включено» — например, защита электронной почты и рабочих станций, защита АСУ ТП или защита сети (NDR). Заказчик платит фиксированную сумму в месяц и получает средства защиты, людей, администрирование, реагирование на инциденты и отчетность. «Тут мы достаточно эффективно сотрудничаем с нашим стратегическим партнером „Лабораторией Касперского“», — отмечает Морозков.

Если в компании нет руководителя по ИБ или у текущего руководителя не хватает свободного времени заниматься этими вопросами, ICL Services может предоставить специалиста, который выстраивает всю систему управления информационной безопасностью. «Преимущество интегратора — в кругозоре. Команда ИБ заказчика ограничена своей инфраструктурой, а интегратор работает с десятками компаний, с различными решениями. У него больше осведомленность, больше экспертиза. Этот опыт дополняет команду заказчика, помогает ей быть сильнее», — говорит эксперт.

Работает ICL Services и с локализацией компаний, которые перестали быть частью зарубежных корпораций из-за санкций. «Благодаря 20-летнему опыту работы с европейскими компаниями мы очень хорошо находим общий язык, они сразу покупают у нас аутсорсинг ИБ. Мы провели не менее пяти таких проектов за несколько последних лет», — отмечает Морозков.