13 августа 2000 г.
В эксклюзивном интервью изданию IT Channel News Алексей Матвеев, руководитель департамента ИБ компании PROWAY, объясняет, почему даже при бюджете в сотни миллионов можно остаться без защиты, почему решение «купить все новейшие технологии и быть в безопасности» — опасное заблуждение, и что с этим делать?
IT Channel News: Я не разделяю теорию заговора, но... После нескольких лет кратного роста в 2025 г. российский рынок ИБ показывает гораздо более скромную динамику. И как раз в это время происходят несколько очень крупных атак, которые возвращают внимание клиентов к этому сегменту рынка...
Алексей Матвеев: Да-да, это естественное желание, когда уже знаешь, чем все закончилось, связать между собой несколько событий. Примерно то же самое было на волне атак шифровальщиков: «песочницы» не продавались, не продавались, и вдруг — бам, и стали продаваться.
Вот и сейчас кажется, что атаки были созданы как катализатор рынка. Но, на мой взгляд, нужно смотреть шире. Эти инциденты — не про внутренний рынок. По совокупности факторов — и из открытых источников, и опосредованных, можно сделать вывод, что у всех атак исключительно геополитическое происхождение.
IT Channel News: Значит ли это, что после ухода зарубежных ИБ-вендоров мы так и не смогли закрыть «дыры» в информационной безопасности? Или хакеры уже давно проникли в системы и не «показывались» до последнего момента? Тогда почему они проявились именно сейчас?
А. М.: Почему именно сейчас? Подавляющее большинство атак, особенно громких, имеют геополитическую природу. Это были «хаки» не из-за конкуренции, не ради веселья.
Это уже не те энтузиасты, которые в 2022 г. массово взламывали «за идею» и «потому что надо». Сейчас даже по информации в открытых исследованиях видно: хакинг стал коммерческой индустрией, где за заказ платят реальные деньги. Это бизнес.
И за такими громкими акциями стоят ресурсы, в том числе финансовые, которые в разы превышают любые затраты компаний на защиту. У атакующих фактически не было «потолка» бюджета. И таким атакам противостоять очень сложно, даже крупным корпорациям.
Главный смысл вложений в информационную безопасность — не «освоить деньги», а увеличить стоимость потенциальной атаки. То есть, если на выстраивание защиты потратил условный рубль и усложнил взлом на 100 рублей, то это хороший мультипликатор.
Но если у хакеров ресурс неограниченный, то даже хорошо выстроенная инфраструктура в крупной корпорации может быть уязвимой. В одной из недавно атакованных компаний бюджет на ИБ составил около 860 млн руб. И даже при таких вложениях произошёл серьёзный инцидент. Что еще раз подтверждает: атака была целевая, спланированная, не случайная.
Но важны не только суммы, а еще и как они распределяются. Кибербезопасность держится на трёх китах — технологиях, процессах и людях. Это универсальная формула, которая работает в любой организации — большой или маленькой.
Иногда кажется, что, если закупить максимум решений, будет максимум безопасности. Это заблуждение. Технологии — это просто инструменты. Они должны ложиться на процессы: на модель угроз, стоимость данных, понимание критичных активов. И главное здесь — люди: квалифицированные специалисты, управляющие этой системой, и простые сотрудники, которые могут стать «слабым звеном». Большинство атак начинаются с них. Самый дешёвый способ взлома — социальная инженерия. Звонок, фишинг, подмена. Если сотрудники не обучены, а процессы не выстроены, никакая технология не спасёт.
Можно купить отличные продукты, но если их некому внедрять, сопровождать, если никто не понимает, что именно они защищают — это будет не система безопасности, а витрина. А в безопасности, как известно, если ты защищён на 99%, ты не защищён вовсе.
IT Channel News: А насколько мы как страна защищены?
А. М.: Технологически — вполне. ИБ — одна из самых готовых к импортозамещению отраслей. У нас своя школа, причём высокого уровня. Российская экспертиза котируется на международном уровне, особенно в сложных кейсах: APT, поиск уязвимостей нулевого дня — здесь мы абсолютно конкурентоспособны.
Конечно, с 2022 года, когда началось экстренное импортозамещение, мы накопили определённый технологический долг: фичи допиливали на ходу, интерфейсы доделывали в «полете». Но в целом по классам решений всё неплохо. Настоящая проблема не в технологиях, а в процессах и людях.
В ИБ проблема с кадрами не решена. Я недавно видел вакансию старшего специалиста по кибербезопасности с зарплатой в 120 тыс. руб. Это несерьёзно. Человек с такими компетенциями тратит годы на обучение, опыт, сертификацию. И работодатель, который предлагает такую зарплату, должен признаться самому себе, что на самом деле строит: систему защиты или её иллюзию.
Вопрос не в количестве купленных технологий, а в том, кто и как их использует. Если SIEM-система «горит красным», только человек может понять: это действительно атака или ложное срабатывание?
Любой настроенный ИБ-продукт —только половина дела. Важна реакция. И здесь мы упираемся в компетенции людей. Практически все успешные целевые атаки начинаются с того, что кто-то проигнорировал маленькое уведомление, сигнал от сканера, какую-то подозрительную активность на давно забытом сервере. Именно это становится точкой входа.
А дальше злоумышленник закрепляется и шаг за шагом разворачивает атаку, глубже проникает в инфраструктуру. И если процессы не выстроены, нет чёткого понимания, кто за что отвечает, атака развивается успешно.
Я уверен: во всех серьёзных инцидентах, если копнуть, мы увидим слабость в одном из двух звеньев — либо человек, либо неотлаженный процесс. Или оба сразу.
IT Channel News: Тогда как понять, насколько разумно были потрачены огромные бюджеты на ИБ, о которых говорили выше?
А. М.: Если взять один из самых громких кейсов последнего месяца, то, судя по открытым данным, компания за сутки смогла восстановить бизнес-процессы и уже на следующий день смогла выполнять свои обязательства. Хотя в неформальных каналах писали: «всё снесли», «вся инфраструктура стёрта»... Я уверен, что за сутки невозможно восстановиться, если всё действительно было «удалено». Значит, там процессы восстановления были выстроены хорошо. И это хороший пример: атака может случиться, но важно, как ты восстанавливаешься.
IT Channel News: А какие самые распространённые ошибки совершают компании при построении инфраструктуры ИБ? И на что в первую очередь стоит обратить внимание? Например, как понять, нет ли в инфраструктуре кого-то постороннего?
А. М.: Обнаружение злоумышленника внутри компании — это более высокий уровень зрелости. Стандартно модели угроз строятся из предположения, что внутрь никто не должен попасть. И только потом задумываются о следующем слое: а что, если уже проник?
Есть разные решения, помогающие выявлять «спящего» противника. Базовое — управление учётными записями: кто заведён в системе, какими правами обладает, какие учётки давно не использовались. Уже это даёт массу полезной информации.
Следующий уровень — Honeypot-системы, ловушки, расставленные по инфраструктуре. Легитимный пользователь туда не попадет, а злоумышленник, проводя разведку (сканируя порты, изучая внутреннюю структуру) обязательно наткнётся. И как только это произойдет, система мониторинга сообщит: «меня ломают». Это мощный индикатор.
Ну и, конечно, логирование. Без него ничего не увидишь. Например, вроде стоит сервер, никого не трогает, логи не собираются, внимание не обращается. А то, что на нём контроллер домена просто забыли, не задокументировали — и это точка входа: к нему логинится кто-то с сервисной учёткой, запускается репликация, и дальше всё по сценарию.
Итого: база — это SIEM, Honeypot — для выявления активных разведок внутри, IDM — для контроля за учетными данными. Если вдруг ожила учётка, спавшая год — это повод разобраться. Но если никто не знает, где находятся активы, за что они отвечают, и кто отвечает за них, даже самая продвинутая технология не спасёт.
IT Channel News: Не все могут позволить себе построить такие дорогие системы...
А. М.: Это не фантастические бюджеты. Базовый набор технологий у всех примерно один: защита периметра, межсетевые экраны, анти-DDoS, антивирусы. Сейчас это уже EDR и XDR, которые не только фиксируют угрозы, но и блокируют их. Да, это затраты. Но разумные.
А вот экономить на кадрах и процессах опасно. Парадокс: на технологии защиты миллиардного бизнеса тратят сотни миллионов, а зарплата специалистов, которые принимают решения, интерпретируют сигналы, реагируют, — 120 тыс. руб.
При том что в итоге «пропустят атаку или нет» зависит именно от этих людей. И от организации процессов: инвентаризация, контроль, обучение, постоянный аудит — вот основа. И это не о миллиардах. Это о внимании и зрелом подходе.
И самое неправильное, что компании могут сделать после недавних атак — это захотеть заменить старые системы на новые. После любого серьёзного инцидента первое, что нужно сделать, — понять, как такое стало возможным (или посмотреть, а возможно ли такое у меня). И здесь всегда на первом месте — инвентаризация ИТ-активов. Особенно в крупных компаниях с распределённой структурой: чем больше инфраструктура, тем выше риск что-то упустить.
А для злоумышленника неучтённый актив — это отличная точка входа. Поэтому первый шаг всегда — не замена решений, а понимание что сработало, а что нет. Из-за чего произошел сбой: из-за уязвимости в продукте, из-за неотработанных процессов, или человеческий фактор сработал?
Какой смысл менять вендора, если выясняется, что люди и процессы не справились, а продукт сделал свою работу. Может быть, не хватило инструмента класса «инвентаризация активов», который до этого не казался нужным. Или, наоборот, нужно было точечно настроить то, что уже есть, а не выносить всё под корень.
Замена — это всегда операционный риск: время простоя, ошибки при переходе, человеческий фактор. У любого изменения своя стоимость. Не только финансовая, но и организационная. Например, ограничили доступ к какому-то ресурсу — а сотруднику он нужен для работы. И теперь у него простой.
Поэтому иногда, понимая, во что это обойдётся, можно поменять не решение, а подход: добавить точечную настройку, разграничить доступ, повысить прозрачность процессов. И это стоит недорого.
Кроме того, если продукт оказался в центре инцидента, это репутационный риск для вендора. Он будет придавать ситуации максимальный приоритет, выпускать обновления, закрывать уязвимости. Идеальных решений не существует, у любого энтерпрайз-продукта есть баги. Уязвимости нулевого дня бывают не только в классических ИТ-продуктах, но и в ИБ системах. Пока всё работает — кажется, что защищён. Но это «ошибка выжившего». Пока инцидент не случился, никто не видит слабых мест. А когда случается — становится очевидно, где всё было непрозрачно или хрупко. И главное здесь — как производитель реагирует.
IT Channel News: Слушаю вас и понимаю, почему бизнес не делает аудит систем. Посмотришь глубже, а там окажется, что надо менять, перестраивать. Лучше не трогать — работает же.
А. М.: Бывает и такое. Но всё зависит от зрелости организации и сферы. Банковский сектор исторически имел высокий уровень зрелости в ИБ. Там все процессы уже выстроены, и иначе уже нельзя.
Чего не скажешь про другие сферы, например ритейл или производство, особенно АСУ ТП, которые всегда считались «изолированным контуром», хотя с проникновением ИТ в производственные цепочки ситуация изменилась.
Поэтому нельзя говорить о едином уровне зрелости в России. Всё зависит от понимания рисков и доступного бюджета. Там, где потенциальные убытки велики, как с доменной печью, простой которой стоит миллионы в день, или банками — и бюджеты под ИБ соответствующие. А потери при простое условного магазина гораздо меньше, и ИБ там строят по остаточному принципу.
IT Channel News: А какие отрасли, на ваш взгляд, наиболее уязвимы?
А. М.: Тут важно понимать логику атак. Их источник, как правило, геополитический. И если цель — вызвать социальное напряжение, то и атаки идут по социально значимым секторам. Как бы это ни звучало, но атаки этого месяца, увы, логичны. Отмена рейсов в пик отпускного сезона — не просто сбой, а социальное явление. Еще одна чувствительная сфера — аптеки. И это тоже не про деньги, а про базовые потребности.
Сбои в продажах маркированной продукции в одной из сети заправок, которые длились больше недели, взлом крупнейшего логистического оператора, в результате которого пострадали и малый бизнес, и простые люди, отправлявшие друг другу посылки — это тоже бьёт по социальной стабильности.
Сейчас больше всего внимания надо уделить защите транспорта и медицины. Атаки на них будут ощутимы на уровне всей страны.
Не потому, что они плохо защищены. Просто раньше у них не было объективной необходимости в такой же зрелости ИБ, как в банках. Если человек не может купить билет на сайте — он идёт в кассу. А если в банке что-то пошло не так, там мгновенно и необратимо теряются деньги. Поэтому и уровень зрелости в банках выше.
При этом, еще раз проговорю, какой бы технологически продвинутой ни была организация, стоимость её взлома конечна. Не существует бесконечно дорогих целей. Всё можно взломать, если есть ресурс.
IT Channel News: А как в этой ситуации себя чувствует канал продаж?
А. М.: В последнее время сильно выросла роль интегратора. Специализированный ИБ-интегратор может позволить себе наращивать экспертность, нанимать лучших специалистов, вкладываться в обучение. Клиенты же не всегда могут/хотят содержать у себя такую экспертизу. Держать в штате высококлассного специалиста — дорого, и интегратор становится для них гибким ресурсом. На точечные, не ежедневные задачи (внедрить продукт, провести аудит, прописать политику) привлекают внешнюю команду. А ежедневные — эксплуатация, мониторинг, реагирование — это уже, конечно, зона ответственности самой компании.
Интегратор — не просто подрядчик. Это носитель накопленного опыта. Он знает, как выстроить процессы, какие продукты работают в связке, где слабые места. И его роль — именно усиливать, не заменять.
IT Channel News: Отдавать ИБ на аутсорсинг... Здесь должно быть огромное доверие.
А. М.: Конечно, не всё можно и нужно отдавать, особенно когда речь идёт о критичных данных, допусках, режимных объектах. Нужен баланс.
Здесь возможны разные стратегии. Я считаю, что эксплуатация и реагирование — это внутренние функции. Иногда эффективнее нанять внешнюю команду на проект, чем держать постоянного штатного эксперта высокой квалификации, особенно если таких задач немного.
Но если мы говорим о Security Operations Center — 24/7 наблюдение, мониторинг событий — тогда всё зависит от доверия к партнёру. Хороший ориентир: если SOC-провайдер обслуживает, скажем, крупнейший банк страны, значит, уровень доверия к нему уже выше. Это может быть дороже, но надёжнее.
IT Channel News: А какая во всем этом роль дистрибьютора?
А. М.: Скромная, но важная. Мы помогаем наладить цепочку от продукта до внедрения. В целом вся цепочка — вендор, дистрибьютор, интегратор, заказчик — работает только когда все части взаимодействуют. Ни один элемент не может решить всё в одиночку. И дистрибьютор решает те задачи, которые не может закрыть ни производитель, ни интегратор, ни сам заказчик. Мы — четвёртое колесо, на которое часто ложится груз всего «автомобиля».
В 2022 г., когда импортозамещение перешло в активную фазу, стало ясно: рынку нужна масштабная технологическая поддержка. И здесь наша экспертиза оказалась очень востребованной — просто как «дополнительные руки» и мозги.
Но есть ещё одна важная часть нашей работы — вывод новых технологических решений на рынок. Особенно тех вендоров, кто ещё не успел стать известными, у которых нет огромных маркетинговых бюджетов. При этом это действительно качественные, сильные продукты, которые уже сейчас могут закрыть реальные задачи: ты можешь создать отличное решение, но если о тебе не знают — его не покупают. Поэтому мы видим свою задачу в том, чтобы «погружать» рынок в такие продукты, помогать им найти свою аудиторию: это и про маркетинг, и про продвижение, и про участие в пилотах, и про пресейл-поддержку. Мы помогаем не только заказчикам, но и самим производителям.
И, конечно, остаются прикладные, но критически важные вещи — логистика, поставки, складские решения. Раньше было в основном маркетинговое сопровождение, финансовое плечо. Сейчас добавились инженерная и технологическая поддержка, запуск пилотов, помощь в локализации, продвижении.
IT Channel News: И последний вопрос. Что бы вы посоветовали партнёрам и клиентам в мире, который так быстро меняется?
А. М.: Скажу на нашем примере: мы, наверное, просто немного быстрее перестраиваемся. Так исторически сложилось — мы всё время на стыке технологий, логистики, финансирования. Как будто где-то внутри нас всегда есть готовность к переменам.
Я бы сравнил это с ручкой у чемодана. Обратите внимание: у любого чемодана, даже у самого дорогого, ручка болтается. Это не баг, а фича. Жёстко закреплённая ручка ломается при падении. А «болтающаяся» — амортизирует удар. Вот и в бизнесе, и в процессах нужна такая же гибкость. Если всё зацементировано, любое внешнее потрясение ведёт к поломке.
Так было и в 2022 году. Мы все встретили этот период с непониманием как действовать дальше. Как раньше уже не получится. Но ведь и раньше тоже не было спокойных лет: 2020 — ковид, 2018 — кризис, и так далее. У нас ни один год не был «ровным». Всегда что-то происходит. И внутренняя готовность к переменам важнее любых инструкций.
Я могу посоветовать развивать в себе эту гибкость. Не делать процессы «намертво». Оставлять зазор, возможность для перестройки. Быть готовыми морально и организационно к изменениям. Не всегда это можно зафиксировать в регламенте. Но когда придёт момент, это будет ваше конкурентное преимущество.
Источник: Светлана Белова, IT Channel News
