Безопасность цифровых сервисов: свободный выбор или обязательное условие?

Анна Шабалина
Продуктовый маркетолог Swordfish Security

В 2022 году число кибератак на российские организации увеличилось на 80%. В результате крупных утечек данных в открытом доступе оказались более 1,5 млрд записей персональных данных россиян. Сегодня люди стали всё чаще задумываться о безопасности сервисов, которыми они пользуются. К 2030 году компании, которые не заботятся о защищенности своих продуктов и данных клиентов, вероятно, потеряют конкурентоспособность и останутся за пределами российского финансового оборота. В этой статье мы проанализировали статистические данные и выяснили, какую роль играет безопасность в формировании лояльности клиентов и как сегодня обстоят дела с защищенностью цифровых сервисов, а также собрали топ-10 обучающих курсов по информационной безопасности. 

Спрос на безопасные цифровые сервисы

Из-за роста числа кибератак россияне стали серьезнее относиться к собственной цифровой безопасности. По данным НАФИ, доля тех пользователей, которые опасаются за сохранность своих персональных данных в онлайн-пространстве, за последние три года увеличилась с 54% до 63%. При этом больше 70% пользователей испытывают недостаток полезной информации по теме кибербезопасности.  

Многие клиенты живут в полной уверенности, что обеспечение безопасности пользовательских данных – это забота бизнеса. Согласно исследованию НАФИ, 75% респондентов желают знать, насколько безопасным является кодирование цифровых устройств сканированием лица, отпечатками пальцев. 74% хотят быть в курсе мер, которые принимают корпорации для того, чтобы защитить информацию от киберугроз.

Финансовая и юридическая грамотность граждан стремительно растет. Люди понимают, что при нарушении защищенности данных и активов они могут требовать от компаний возмещения ущерба. Например, в 2022 году произошли крупные инциденты с утечками информации сервисов доставки (СДЭК, «Яндекс.Еда», Delivery Club) – и пользователи подали иски.

По прогнозам независимых экспертов, к концу 2023 года каждый пятый клиент будет предъявлять к бизнесу требования по безопасности данных и опираться на эти критерии при выборе цифровых сервисов. К 2030 году компании, которые предпочитают игнорировать вопросы безопасности, вероятно, потеряют доверие пользователей и свое положение на рынке. 

Уровень защищенности цифровых продуктов

По итогам 2022 года, Россия находится на шестом месте по количеству загрузок мобильных приложений – мировой показатель составляет 255 млрд скачиваний. В среднем пользователи проводят в приложениях около 5 часов в день. Если рассматривать более узкий сегмент, а именно банковские продукты, мы также увидим впечатляющие цифры. За 2022 год пользователи скачали мобильные приложения топ-20 российских банков 61,2 млн раз. Сегодня аудитория банковских приложений насчитывает уже 80 млн человек. 

Учитывая высокую популярность мобильных продуктов, компании стремятся как можно быстрее выпускать релизы. Зачастую они пренебрегают проверками защищенности или же просто не видят необходимости в защите. В результате к пользователям попадают небезопасные сервисы – и статистика это доказывает. По данным исследования Стингрей Технолоджиз, 83% мобильных приложений российских разработчиков имеют уязвимости критического и высокого уровня. В частности, из числа проверенных продуктов финансовой отрасли 85% оказались незащищенными. Таким образом, мошенникам не составит труда завладеть персональными данными клиентов и использовать их для кражи денег и совершения дальнейших атак. 

Ситуация с безопасностью веб-приложений выглядит еще хуже. Злоумышленники имеют возможности атаковать пользователей 98% приложений. Часть инцидентов может привести к краже личных данных, в том числе платежной информации, с использованием методов социальной инженерии. А теперь представим, сколько злоумышленники смогут заработать, если массово нацелятся на кражу денег. Возьмем, например, рынок интернет-торговли – по данным АКИТ, объем отрасли за 2022 год вырос на 30%, по сравнению с предыдущим годом, и достиг почти 5 трлн рублей. Потенциально эта сумма или ее значительная часть может оказаться в руках хакеров из-за недостаточного уровня защищенности цифровых сервисов. 

Курс на кибербезопасность

Обеспечивая безопасность программных продуктов, компании смогут, во-первых, повысить лояльность клиентов, во-вторых, защититься от финансовых и репутационных рисков. В этом вопросе главное – использовать те подходы, которые приведут к реальным результатам. Так, если работать по чек-листам и проводить проверки только на определенных этапах или обеспечивать безопасность точечно, использовать устаревшие инструменты и применять не весь набор практик, компания не получит ожидаемого эффекта. В итоге уязвимые приложения будут попадать в среду эксплуатации, и если злоумышленники найдут проблемы и совершат атаки, организации придется срочно дорабатывать продукты – на данном этапе это дорого и сложно. 

Недавно на ИБ-рынке была популярна стратегия shift left – в рамках нее компания проверяет сервис и устраняет уязвимости до его релиза. Сегодня же фокус смещается на парадигму shift everywhere, которая делает безопасность обязательным компонентом процесса разработки, начиная с самой первой стадии. Такой подход сполна реализуется в контексте методологии DevSecOps. В рамках нее строится комплексный процесс безопасной разработки, и проверки защищенности проводятся в автоматизированном режиме на каждом этапе создания программных продуктов. 

Методология позволяет компаниям выявлять и устранять уязвимости на тех стадиях, когда компоненты, содержащие проблемы, еще «не сплетены» с другими архитектурными элементами. Это дает возможность экономить ресурсы и время специалистов и выпускать на следующие этапы «очищенные» и более качественные сборки. Подход не только снижает риски, но и сокращает показатель Time to Market, что крайне важно для бизнеса. 

Программы обучения

Многие компании испытывают большие трудности при внедрении DevSecOps. Процесс безопасной разработки носит комплексный, многоступенчатый характер, поэтому организациям сложно определить отправную точку, построить план реализации. Из-за недостаточного уровня компетенций в области ИБ у них не получается создать качественный, работающий процесс. 

Сегодня на рынке информационной безопасности есть ряд компаний, готовых взять на себя обеспечение защищенности программных продуктов или обучить ИТ-специалистов необходимым навыкам. Что касается второго, качественных программ повышения квалификации в области ИБ довольно мало. В России этот сегмент только начинает развиваться, сейчас мы сможем найти всего 10 актуальных курсов, они представлены ниже.

Сравнительная таблица составлена на основе открытых источников компаний, реализующих корпоративное обучение по построению DevSecOps или предоставляющих образовательные программы по смежным темам. При поиске учитывались действующие курсы с описанием, указанными ценами и сроком обучения. 

Вывод

Сегодня многие пользователи беспокоятся за сохранность своих данных и им важно знать, как и насколько эффективно компании обеспечивают безопасность цифровых продуктов. В будущем эта тенденция будет усиливаться, поскольку кибератаки эволюционируют. Хакеры активно используют технологии искусственного интеллекта и машинного обучения, а также средства автоматизации, что многократно повышает их шансы на успех.

За горизонтом нескольких лет потребность пользователей в надежно защищенных продуктах может перерасти в обязательное условие для компаний и стать ключевым критерием конкурентоспособности. Организации, нацеленные на развитие в области безопасности, смогут повысить лояльность пользователей, а компании, не считающие ИБ приоритетным направлением, скорее всего, останутся за бортом.