2SDnjcoK9BL
Партнер, руководитель практики стратегического
консалтинга в консалтинговой компании The Edgers
Киберинциденты больше не воспринимаются как редкость. Это повседневность. И бизнесу стоит перестать рассматривать их как «инциденты» – пора признать: это новая операционная реальность. Вопрос не в том, случится ли, а в том насколько компания готова управлять собой, когда это произойдет.
В материале для Cyber Media Максим Лазырин, партнер, руководитель практики стратегического консалтинга в консалтинговой компании The Edgers, расскажет о цифровой устойчивости – способности продолжать работу и сохранять управляемость даже при сбоях, атаках и ограничениях доступа к ИТ‑инструментам.
Даже в компаниях с сильным CISO и развитой системой защиты, атака способна выявить уязвимости в культуре и управленческой модели. Мы видели, как регионы оказывались отрезанными «от большой земли» не из-за отсутствия ИТ-инструментов, а из-за концентрации коммуникаций и решений в центре, отсутствия делегирования и сценариев на местах. Киберинцидент в этом случае становится маркером незрелости: неясные роли, отказ брать ответственность, зависимость от единственного канала связи, неактуальные контакты и длинные согласования, которые сохраняются даже в кризисе.
Характерные симптомы незрелости:
Just culture (справедливая культура) как драйвер цифровой устойчивости – это не про тренинги по паролям или штрафы, а про системный сдвиг. Если сотрудник ошибся, задача не наказать, а понять, где система дала сбой: не хватило времени, инструкций или доверия. Исправлять нужно именно это.
Такая культура снижает страх и повышает скорость реакции: команды не прячут ошибки, а сообщают о них, понимая, что будет разбор, а не расправа. В итоге компания сохраняет управляемость даже в турбулентных ситуациях.
Справедливая культура различает злонамеренные нарушения и непреднамеренные ошибки. В первом случае применяются дисциплина и контроль, во втором – донастройка процессов и обучение для снижения риска повторов.
Практика постинцидентного разбора включает:
Один из примеров – атака на американскую компанию SolarWinds в 2020 году, затронувшая около 18 000 организаций. Вредоносный код был внедрен в обновление Orion и распространялся под доверенной цифровой подписью. Компания не ограничилась закрытием уязвимости, а полностью перестроила систему сборки ПО. Это была атака на цепочку поставок, когда легитимное обновление превращалось в носитель угрозы.
В ответ SolarWinds внедрила параллельные независимые пайплайны, автоматическое сравнение версий и многоуровневую проверку целостности. Фактически это стало не просто усилением защиты, а сменой философии разработки: безопасность встроили в саму логику создания продукта.
Среди конкретных шагов: разделение обязанностей при сборке, воспроизводимые сборки, независимая верификация артефактов и строгий контроль цифровых подписей.
Из стратегии цифровой устойчивости вытекает новая управленческая функция – директор по цифровой устойчивости (Chief Digital Resilience Officer). Это не CISO и не ИТ-директор: его задача не только в защите информации, но и в сохранении управляемости компании при цифровых сбоях. Он работает на стыке стратегии, кибербезопасности и организационного развития, выстраивая системную устойчивость через процессы, архитектуру и культуру.
Его мандат – обеспечить непрерывность управления: заранее определить роли, распределенные каналы связи, приоритеты восстановления и механизмы принятия решений в условиях неопределенности. Важно закрепить эту роль управленчески: прямой доступ к первому лицу, право эскалации, ответственность за сценарии и регулярные учения.
Пример: компания Equifax после утечки данных в 2017 году (147 млн записей). Новый CISO получил полномочия перезапустить систему: перевод ключевых сервисов в облако, внедрение Zero Trust и SecDevOps, перестройка продуктовых процессов. Время установки патчей сократилось с месяцев до дней, уровень защиты превысил среднеотраслевой, доверие инвесторов восстановилось. Формально это был CISO, фактически – руководитель цифровой устойчивости.
Так функция «охранника периметра» превратилась в роль архитектора устойчивости, влияющего на продукт и процессы ежедневно. Матрица взаимодействия: CDRO отвечает за политику и сценарии устойчивости; CISO – за угрозы и контроли; CIO – за архитектуру; COO – за операционную непрерывность. В кризисной фазе CDRO модерирует штаб и держит единый план. Его контур ответственности: критичные процессы, приоритеты восстановления, альтернативные каналы связи, учения и метрики времени реакции.
В 2019 году атака вируса LockerGoga парализовала работу Norsk Hydro: 35 000 сотрудников, 40 стран, 170 производственных объектов. Все ИТ-системы легли. Но компания сделала выбор в пользу открытости. Уже в первые сутки – брифинги, прямые эфиры, ответы на вопросы, честные признания «мы не знаем», но с обязательством проинформировать. Отгрузки продолжались вручную, сотрудники доставали бумажные накладные, меняли цепочки на ходу. Это была демонстрация того, как культура действия и доверия может стать главной инфраструктурой. Никакой blame game, никаких внутренних расправ. И в этом смысле – пример справедливой культуры в чистом виде.
Вывод: открытая позиция снизила уровень слухов и позволила синхронизировать действия тысяч людей, даже при недоступности ИТ‑инструментов.
В 2020 году после утечки внутренних инструментов FireEye компания менее чем за сутки опубликовала все индикаторы компрометации. Такой шаг не только ослабил злоумышленников, но и усилил доверие к бренду. Прозрачность и скорость – важные элементы устойчивости, которые невозможно формализовать в инструкциях, но можно культивировать в команде.
Вывод: прозрачность трансформирует инцидент из локальной проблемы в общую оборону, где компания получает союзников вместо хейтеров.
Maersk – один из самых известных кейсов: вирус NotPetya в 2017 году остановил 76 терминалов, вывел из строя ~45 000 ПК и ~4000 серверов. И всё восстановили за 10 дней. Почему? Потому что в Гане нашёлся уцелевший оффлайн-контроллер домена, и команда приняла решение лететь за ним. Физически доставить в штаб-квартиру. Пропустить через границы, отстроить всё с нуля. Это была не столько технологическая победа, сколько проявление культуры – где люди знали, что именно в их руках судьба бизнеса. И не боялись брать ответственность.
Вывод: такие решения возможны, когда есть кризисный штаб с уполномоченным лидером, понятные приоритеты восстановления и режим «без молчания».
Часто страх публичности парализует компанию больше, чем сама атака. Но открытая и управляемая коммуникация не разрушает доверие – наоборот. Во всех рассмотренных кейсах – от Cisco до Norsk Hydro – компании выигрывали там, где действовали прозрачно, привлекали внешних экспертов, делились информацией с сообществом и клиентами. Это резко контрастирует с ситуациями, когда реакция замыкается на ИБ-отделе, а публичное пространство оставляется без комментариев. Парадокс: именно молчание вызывает панику и потерю доверия.
Вывод: важно иметь протокол коммуникации, включающий роль спикера, механизмы сообщений на разные аудитории, понятные статусы работ и контакт для обратной связи.
Нестандартно отреагировала на атаку в 2022 году Cisco. Уже в первые дни через подразделение Talos компания опубликовала детальный публичный отчёт: поэтапно – как произошёл взлом, какие инструменты применили злоумышленники, какие ошибки были допущены и какие меры предприняты. Вместо выплаты выкупа – экстренный сброс паролей и ужесточение MFA. Это был шаг не только в сторону технической устойчивости, но и в сторону доверия. Благодаря открытому диалогу с рынком и детальному разбору, атака фактически стала краш-тестом для всей индустрии, а не только для самой Cisco. Компании по всему миру получили возможность адаптировать у себя похожие меры. А сама Cisco усилила защиту и использовала этот случай как внутренний толчок к дальнейшим улучшениям – без лишнего шума и истерики. Это и есть зрелость в подходе к инциденту.
Вывод: важно зафиксировать первые бескомпромиссные меры, например, принудительную смену паролей, внедрение многофакторной аутентификации, отзыв токенов доступа, ограничение привилегий и запуск мониторинга аномалий.
Если завтра вы потеряете доступ ко всем цифровым инструментам – вы сможете продолжать управлять бизнесом? Если нет – значит, ваша система пока неустойчива. И ИБ здесь лишь часть уравнения. Все остальное – про структуру, культуру и зрелость управления.
Ответ «не уверен» – уже сигнал к действию. Начните с назначения владельца и первой репетиции. Именно так формируется устойчивая практика, а не «бумажная» готовность.
Прокси-сервер — это посредник между пользователем и интернетом, который позволяет передавать запросы и получать ответы от имени клиента.
VirusTotal уже стал привычным инструментом для специалистов по информационной безопасности — через него проверяют подозрительные файлы, анализируют URL-адреса и собирают контекст об угрозах.
Фишинговых атак с применением искусственного интеллекта становится все больше.
В декабре 2021 года в популярной библиотеке Log4j дала злоумышленникам возможность всего несколькими строками кода установить полный контроль над сервером.
Рост числа онлайн-мерчантов и расширение эквайринговых сетей делают финансовую инфраструктуру всё более подверженной скрытым рискам.
Финансы давно переехали в смартфоны и браузеры: оплата, переводы, проверка баланса — все это мы делаем онлайн.
Нейросети значительно трансформировали пентест – они автоматизируют рутинную разведку и сканирование, ускоряют подготовку отчетов и повышают покрытие, одновременно ставя новые требования к контролю, конфиденциальности и экспертизе.
В середине текущего десятилетия рынок бесплатных антивирусных решений продолжает развиваться, предлагая пользователям базовую защиту от киберугроз.
Стремительное развитие и проникновение в цифровую инфраструктуру алгоритмов ИИ несет не только преимущества, но и повышает риски, расширяет поверхность атаки.
Долгое время Kali Linux оставался главным инструментом пентестеров и символом всей отрасли.
