Кибербез — даже без отдела ИБ: привычки, которые спасают вас и компанию

Глеб Абрамов
Руководитель направления аудита и менеджмента ИБ в ITG Security, корпорация ITG

Александр Зубриков
Генеральный директор ITG Security, корпорация ITG

В последние годы обозначилась тенденция: компании часто осознают, что информационную безопасность нужно выстраивать системно, но не всегда понимают, с чего начать. Многие из них задаются одинаковыми вопросами после негативного инцидента, аудита или пентеста: как выстроить ИБ, если нет своего специалиста? Как понять, что мы защищены, если никто не отвечает за это внутри?

В материале для Cyber Media Александр Зубриков, генеральный директор ITG Security, корпорация ITG и Глеб Абрамов, руководитель направления аудита и менеджмента ИБ в ITG Security, корпорация ITG поделятся опытом, как без штатного ИБ-отдела можно добиться заметного роста уровня защищенности — если заложить культуру, привычки и ответственность.

Безопасность начинается не с технологий или ИБ-шник живёт в каждом

По данным Verizon Data Breach Report 82 % инцидентов связаны с человеческим фактором: фишинг, слабые пароли, пересылка данных не тем адресатам. Технологии не помогут, если сотрудник нажимает «Открыть вложение» в письме от неизвестного отправителя.

Так, в одной из компаний наши специалисты проводили тест по модели внешнего нарушителя, с элементами социальной инженерии. Результаты были тревожными: большинство сотрудников переходили по фишинговым письмам.

После этого было внедрено простое правило — «пауза 4 секунды перед кликом». Через месяц количество ложных переходов сократилось вдвое, хотя ни одной новой технологии не добавили. Маленькое изменение поведения оказалось сильнее дорогостоящих решений.

Руководители = ролевые модели

Безопасность всегда начинается «сверху». Если директор сам игнорирует политику предоставления доступов, подгоняет задачи в угоду скорости, но вредит безопасности, и хранит пароли на стикере, то и сотрудники будут считать, что ИБ — это формальность. Но если топ-менеджер показывает личный пример — использует менеджер паролей, сам проходит тренинги, задаёт вопросы ИТ-команде — культура закрепляется.

В одной из компаний, где мы внедряли ISO 27001, руководитель лично проводил квартальные проверки: кто к чему имеет доступ, какие учётки лишние. Через полгода не осталось «висячих» пользователей, а тема безопасности перестала вызывать раздражение — стала частью ежедневной рутины.

ИБ — это всегда личная ответственность

Когда мы слышим в новостях, что у очередной компании «утекли» данные или что их зашифровали, первая мысль, что это проблема какой-то безликой организации. Но здесь страдают не только данные. Инцидент всегда бьет по людям, а не по абстрактной структуре, а именно:

• У обычных пользователей повышаются риски фишинга, могут усложниться рабочие процессы, дополнительные проверки. Это стресс, задержки по задачам и временная потеря доверия.
• Руководитель несет репутационные и финансовые последствия: утечка персональных данных клиента может стоить премии за нарушенный KPI и штрафа, согласно КоАП 13.11.
• ИТ-отдел получает аврал, ночные дежурства и выгорание, восстанавливая сервисы, вместо того чтобы развивать инфраструктуру.

ИБ — не «дело отдела ИБ». Это зона личной ответственности каждого. Когда это осознание закрепляется, количество инцидентов снижается кратно.

Secure by mind — думай о безопасности

Безопасность — это не инструмент, а способ мышления. Принцип secure by mind означает простую привычку — задавать себе вопрос: «безопасно ли это?» перед каждым действием, будь то релиз кода, выбор подрядчика или загрузка файла.

Это простая привычка, но именно она предотвращает большинство реальных инцидентов. Даже если у вас нет штатного ИБ-отдела, важно, чтобы при внедрении изменений (систем, сервисов, процессов) безопасность обсуждалась: кто отвечает за обновления, тестовые данные, деплой-процедуры и т.д.

Что можно сделать уже сегодня

Обеспечить базовую информационную безопасность можно без ИБ-отдела и без миллионов рублей на нее в бюджете. Начните с малого:

• Включите MFA во всех критичных сервисах и установите менеджер паролей. Это займёт не так много времени.
• Назначьте владельцев систем и делайте квартальную проверку доступов.
• Добавьте секрет-сканинг в CI/CD, чтобы пароли не попадали в код.
• Проведите короткий фишинг-тренинг. 20 минут практики и тест через неделю закрепят поведение лучше любого регламента.
• Настройте резервное копирование. Сделайте бэкапы критичных данных и проверьте, что их можно восстановить. Даже минимальное решение — резерв на облако или внешнее хранилище — спасает бизнес при атаке шифровальщика.
• Контролируйте обновления. Не откладывайте патчи, особенно для почтовых серверов, VPN и публичных сервисов. Старые уязвимости — частая причина инцидентов.
• Ограничьте доступ по принципу «минимально необходимого». Уберите права администратора у тех, кому они не нужны ежедневно.
• Разделите рабочее и личное. Рабочие аккаунты, устройства и пароли не должны пересекаться с личными. Это простое правило защищает от компрометации через частные сервисы.

Пример простого процесса построения ИБ без штатного специалиста

Если вы пока не готовы сразу нанять полноценного специалиста по ИБ, можно внедрить простые принципы:

• Выделите ответственного за ИБ-направление из сотрудников компании (не обязательно полноценный штатный эксперт).
• Разделите зоны ответственности: ИТ-команда — технические обновления и сегментация, бизнес-руководители — политика, обучение, ответственность сотрудников, сами сотрудники — соблюдение базовых правил.
• Примените цикл PDCA: Plan (выработать политику и процедуру), Do (внедрить инициативы: обучение, обновления), Check (проверять: контроль процесса, фишинг-тесты, есть ли незакрытые уязвимости и тд), Act (корректировать, улучшать).

Начните с критических систем и публичных сервисов — и постепенно масштабируйте подход. Так вы сформируете фундамент, на который будущий специалист сможет опереться, а не «строить с нуля».

Без отдела ИБ — не значит без безопасности

Если руководители подают пример, сотрудники осознанно действуют, а процессы встроены в повседневную работу, компания защищена гораздо надёжнее, чем кажется.

Опыт компаний демонстрирует, что даже небольшие шаги — регулярный аудит, пентест, ревизия доступов, обучение — создают системную устойчивость. А привычка думать о безопасности превращает ИБ из «дополнительной функции» в естественную часть зрелого бизнеса.