2 апреля 2026 г.

Сергей Скородумов

Хакеры не сверяются с календарем и не спят по ночам, они атакуют не в удобное офисное время с девяти до шести, а тогда, когда сотрудники, отвечающие заинформационную безопасность с наибольшей вероятностью отдыхают: ночью, в выходные и праздники.

Проникновение в инфраструктуру само по себе недопустимо, но настоящая катастрофа — это время, в течение которого злоумышленник остается незамеченным. Длительное присутствие в инфраструктуре позволяет атакующим закрепиться, развить атаку, найти самые ценные и чувствительны данные, а также нанести максимальный ущерб. Чем дольше злоумышленник в вашей инфраструктуре, тем выше итоговая стоимость инцидента. Время реакции — это, пожалуй, единственная метрика, которая по-настоящему важна в первые минуты после атаки. Сравните два сценария.

Сценарий А (8/5) Сценарий Б (24/7)
02:00 — Заражение. Даже если система прислала алерт, администратор все равно сладко спит 02:00 — Заражение.
09:00 — Начало рабочего дня: сотрудники поняли, что их взломали. 02:05 — SIEM поднимает тревогу. Специалист уже в кресле (или как минимум проснулся и открыл ноутбук).
12:00 — Выяснение причины, начало восстановления после обеда (если повезет). Итог: минус 10 часов рабочего времени и слитые данные. 02:30 — Сегмент сети изолирован, ключи доступа отозваны. Ущерб минимален.

Эти простые, но наглядные сценарии показывают разницу между своевременным решением проблемы (превентивные меры) и попыткой исправить ситуацию, когда ущерб уже стал необратимым.

Чаще всего решение о переходе на круглосуточный режим работы службы информационной безопасности принимается именно тогда, когда бизнесу уже не хватает старых методов защиты из-за роста масштаба бизнеса и покрытия реальных рисков. Традиционные меры защиты, ориентированные на периодический контроль и сигнатурное обнаружение, перестают соответствовать скорости и сложности современных кибератак. В условиях, когда атака может развиваться за считанные часы, а бизнес-процессы функционируют непрерывно, бизнес вынужден переходить к модели круглосуточного мониторинга и реагирования, обеспечиваемой дежурными сменами или SOC. Но это абсолютно не значит, что малому и среднему бизнесу не требуется круглосуточная защита.

Миф о «неприметной» компании

Часто можно слышать: «Мы не банк и не оборонное предприятие, кому мы интересны?». В текущих реалиях это заблуждение. Хотя крупный бизнес действительно становится мишенью чаще из-за своего экономического потенциала и политического влияния, малые и средние предприятия подвергаются атакам даже больше, поскольку воспринимаются хакерами как легкая добыча с низкой степенью защиты и ограниченными ресурсами на обеспечение безопасности.

Злоумышленники используют автоматизированные инструменты, которые сканируют сеть и находят уязвимости: IP‑адреса небольшой стоматологии так же легко попадают в раздачу шифровальщика, как и сервера крупного холдинга. Конечно, успешная атака на малый и средний бизнес принесет гораздо меньше выгоды, однако и ресурсов для ее организации требуется в разы меньше. Выгоднее атаковать 100 маленьких компаний с гарантированным успехом, чем пытаться пробить броню одной крупной. Нападающим важно лишь обнаружить открытую лазейку, и название вашей компании не имеет никакого значения.

Когда спать нельзя: четыре критерия необходимости круглосуточной защиты для любой компании

Цена простоя

Для принятия решения о ночной смене и работе 24/7 не стоит опираться на страхи или интуицию, необходимо провести расчет. В идеале он должен быть вдумчивым и учитывать многие факторы, например: статистику инцидентов, время простоя из-за атак, сроки восстановления, стоимость замены железа и другие неочевидные на первый взгляд вещи. Чтобы просто оценить идею на берегу, подойдет и упрощенный вариант,не требующий детальной проработки, зато позволяющий на пальцах прикинуть, оправдает ли себя смена.

  1. Рассчитайте стоимость часа простоя: Стоимость часа простоя = Упущенная прибыль + Постоянные расходы + Убытки (Штрафы/Репутация)
  2. Приблизительно оцените, сколько раз в год может произойти серьезный инцидент, и какова будет его средняя продолжительность (в часах, или даже днях).
  3. Сравните затраты на круглосуточную смену с ожидаемыми потерями: Ожидаемые потери = Стоимость часа простоя × Длительность простоя × Вероятность события

Главный принцип: создание смены (или покупка услуги 24/7) окупится, если ее годовая стоимость меньше, чем годовые ожидаемые потери от простоев, которые она предотвращает.

Закон

В законодательство заложены механизмы, которые требуют от бизнеса реакции в установленные сроки независимо от времени суток. Самый яркий пример — сроки уведомления об утечке.

С 30 мая 2025 года вступили в силу поправки об утечки персональных данных:

  • 24 часа: в течение этого времени с момента выявления утечки оператор обязан направить первичное уведомление в Роскомнадзор. Если инцидент обнаружен в пятницу вечером, у компании есть всего сутки, чтобы сообщить о нем.
  • 72 часа: в этот срок необходимо провести внутреннее расследование и направить в регулятор дополнительное уведомление с результатами.

Нарушение этих сроков влечет штраф в размере от 1 до 3 миллионов рублей.

Для госсектора сроки еще более сжатые. Например, сотрудники субъекта КИИ обязаны сообщать об инциденте кибербезопасности в течение 3 часов с момента обнаружения для значимых объектов КИИ и в течение 24 часов для остальных объектов.

Нарушение порядка реагирования на инциденты на объектах КИИ может повлечь не только штраф и административную ответственность, но и уголовную ответственность для должностных лиц.

Если в своей отрасли Вы подпадаете под регулирование со стороны государства или обязаны соблюдать отраслевые стандарты, то организация круглосуточного мониторинга и режима 24/7 — это не вопрос выбора, а прямая обязанность.

Цифровизация бизнес-процессов

Для бизнеса, чья отрасль связана с непрерывным предоставлением услуг, обеспечение безопасности 24/7 становится критически важным. Это особенно актуально для финансового сектора и ритейла. У таких компаний нет «запасного аэродрома». Если ложится сайт или приложение — бизнес просто перестает существовать до устранения проблемы.

Если ваша компания относится к этой категории, то вопрос о круглосуточной работе специалистов ИБ должен быть для вас приоритетным.

Геораспределенная инфраструктура

Крупному бизнесу с распределенной инфраструктурой по всей территории Российской Федерации и за ее пределами также необходим круглосуточный мониторинг. Если ваши объекты (филиалы, площадки, офисы и ЦОД) разбросаны по разным часовым поясам, но объединены общими бизнес-процессами, полагаться только на головной офис рискованно. Кибератаки не синхронизированы с московским временем — инцидент на Дальнем Востоке может произойти в разгар рабочего дня по местному времени, когда в центральном офисе глубокая ночь.

Обратная сторона медали: почему своя дежурная смена может разорить

Как говорил Наполеон I Бонапарт: «Сначала надо ввязаться в серьёзный бой, а там уже видно будет». Мы бы не советовали следовать такой стратегии. Если вы склоняетесь к созданию собственной смены, то рекомендуем обратить пристальное внимание на следующие риски.

1. Минимальная команда

Организовать полноценный сменный график, соблюдая Трудовой кодекс (в среднем не более 40 часов в неделю), можно только с командой минимум из четырех человек на одно дежурное место. Схема «два через два» или «сутки через трое» требует именно четырех сотрудников для покрытия всех смен, отпусков, больничных и выходных.

2. Расчет на содержание

Содержать смену — это не просто платить четыре зарплаты вместо одной. Это:

  • Поиск и отбор персонала: реклама, размещение вакансий, поиск резюме, организация собеседований, увольнение и поиск замены, оплата рекрутинга;
  • Оплата труда всех участвующих в трудоустройстве / увольнении, менторство, подоходный налог и страховые взносы;
  • Другие затраты: рабочее место и все затраты на его оборудование, медстраховка, обучение, обязательные доплаты за ночные часы и праздники.

Для малого и среднего бизнеса эти цифры часто становятся неподъемными.

3. Кадровая текучесть и потолок

Сменная работа сильно выматывает, из-за сбоя циркадных ритмов возникают хроническая усталость, тревожность и проблемы со сном. Многие сотрудники при таком графике отмечают социальную изоляцию (друзья и семья живут по обычному графику). Люди редко задерживаются в таком режиме надолго. Обычно специалисты набираются опыта и уходят на спокойную дневную позицию в другую компанию. Бесконечно повышать зарплату и должность внутри организации невозможно, поэтому удержать специалистов деньгами и карьерным ростом не выйдет. А растить новичков — снова затраты бюджета.

4. Управленческий хаос

Управлять сменной командой гораздо сложнее:

  • когда одни только заступили, вторые уже закончили;
  • неэффективная передача информации между утренней и ночной сменами приводит к потерям в работе;
  • провести общее собрание со всеми проблематично.

5. География не спасает полностью

Некоторые надеются нанять по сотруднику во Владивостоке, Сибири и Москве, чтобы покрыть все часовые пояса без ночных смен. Да, это работает для закрытия дневных окон, но не решает проблему подмены. Если заболеет сотрудник во Владивостоке, будить москвича посреди ночи все равно придется.

Что делать: три пути для бизнеса

Собственная круглосуточная смена — удовольствие недешевое и сложное в управлении. Режим 24/7 необязательно означает найм четырех человек в штат. Но есть альтернативы.

  1. Своя смена (для крупного бизнеса). Если у вас большой штат, критическая инфраструктура, а час простоя стоит дороже содержания целой смены — стоит рассмотреть создание собственной круглосуточной дежурной смены. Это дорого, сложно в управлении, но максимально контролируемо и независимо.
  2. Аутсорсинг (золотая середина). Для среднего бизнеса — самый адекватный вариант. Поставщик услуг ставит агенты, которые собирают логи, а за пультом 24/7 работают внешние аналитики, которые видят аномалии, проводят первичный анализ и будят вашего администратора или реагируют по регламенту. Вы получаете эффект присутствия, но платите в разы меньше, чем за собственную смену.
  3. Дежурный режим «по звонку» (для малого бизнеса). Самый рискованный, но дешевый путь. Автоматика шлет уведомления, ваш сисадмин просыпается и идет устранять инцидент. Если простой бизнеса стоит дешево, а данных клиентов у вас нет — такой вариант может существовать. Однако, прежде чем выбирать его, малому бизнесу необходимо по возможности повысить уровень зрелости ИБ, хотя бы до базового. Такой режим сработает только в том случае, если у вас уже есть минимальный порядок: настроен сбор событий, есть понимание, что является нормой, а что аномалией, и прописаны хотя бы примерные инструкции, что делать при инциденте ИБ.

Заключение

Создание собственной смены 24/7 — это шаг, который оправдан только тогда, когда цена вопроса сопоставима с критичными потерями от простоя, превышающего затраты на ее содержание. Однако для большинства компаний ответ не так однозначен. Здесь нет универсального решения, все зависит от конкретной ситуации и задач бизнеса.

Наш совет: если сомневаетесь и не до конца понимаете реальную нагрузку, попробуйте начать с аутсорса. Делегировать ночь профессионалам дешевле и надежнее, чем выстраивать процессы с нуля. Аутсорс — это рациональный компромисс между безопасностью и затратами, который позволяет не только закрывать ночные риски, но и собрать объективные данные о характере инцидентов, реальной нагрузке и требованиях к реагированию. По сути, это способ «купить опыт» и снизить неопределенность перед принятием капитального решения о построении собственной круглосуточной команды.

Источник: Сергей Скородумов, руководитель отдел систем мониторинга и реагирования Angara Security