Вот только сфера ИБ — очень специфична и имеет множество совершенно неочевидных проблем, решать которые нужно очень вдумчиво. Потому что если ситуацию усугубить, то последствия будут пугающими.
Этот текст — о проблемах, которые либо находятся под поверхностью, либо понятны только специалистам. К сожалению, без их решения говорить о радикальном повышении защищенности российского бизнеса и государства в целом невозможно.
Несколько слов о русском кибербезе
По понятным причинам прямо сейчас отрасль активно развивается. Но через 1-2 года она достигнет потолка, который невозможно будет «пробить» без структурных изменений рынка.
Долгое время в ИБ работали фанаты и энтузиасты. В первую очередь это объяснялось высоким порогом вхождения и сравнительно низкими зарплатами: зачастую доходы ИБ-специалистов были на уровне тестировщиков или дизайнеров. Это подтверждает одно из исследований «Хабра»: из всех технических специальностей в ИБ зарабатывали меньше всех.
По сути, тут возникает типичная проблема «рисковиков» и других поддерживающих бизнес-функций. Когда IT помогали зарабатывать деньги, ИБ была бедным родственником, строящим планы на случай глобальной катастрофы. И если крупные компании (и то не все) имели более-менее вменяемые планы восстановления, выстроенное бэкапирование и другие вещи, то небольшой бизнес предпочитал и вовсе не заморачиваться: он был толком никому не нужен. Да, кого-то успешно атаковали, шифровали, требовали деньги — но в целом до 2019 года потери от кибератак были не так критичны.
Да, есть известный пример «Металлинвестбанка», которому кибератака нанесла тяжелый ущерб, но этот случай всегда считался исключением из правил.
А еще именно в России проявился один удивительный факт. Мы привыкли считать российскую экономику государственной — и это действительно так. Парадокс в том, что индустрия информационной безопасности в РФ — едва ли не наиболее эффективный, свободный и «частный» рынок, роль государства в котором сводится к регулированию. Крупнейшие игроки на отечественном рынке ИБ — это частные компании. Организаторы крупнейших мероприятий — частники. Крупнейшие вендоры — тоже, причем зачастую конкурентоспособные на мировом рынке.
И мы получили вал кибератак. Из крупных – хакерам приписывают атаку на СДЭК, Лукойл, ГАС правосудие, Винлаб, удостоверяющие центры. Количество атак шифровальщиков на небольшие компании измеряется тысячами – их, кажется, упоминают только в статистике. По большому счету, ничего нового в случае с Аэрофлотом нет – за исключением объема ущерба. Финансовые потери только от кибератак, без учета мошенников, идут к сотням миллиардов рублей.
Между бизнесом и ИБ — пропасть
Причем в России эту пропасть создали обе стороны. Очень долго бизнес воспринимал кибербез как неприятный источник расходов, в то время как безопасники разговаривали языком ФСТЭКов, стандартов и прочей регуляторики. Грубо говоря, каждый жил в своем собственном мире.
2022 год изменил многое, но не все. Подход стал намного практичнее и понятнее — для всех участников мероприятия. Угроза стала значительно ближе, многие на рынке уже потеряли деньги, и бизнес стал гораздо лучше осознавать собственную уязвимость. Из навязчивой необходимости «сделать бумажки, чтобы от нас отстали» кибербез превратился в насущную необходимость. К сожалению, очень часто корни проблемы были и на стороне безопасников, которые за 20 лет так и не научились отвечать на вопрос «а что будет, если мы этого не сделаем». Нас взломают? Да, и что произойдет? — до тех пор, пока ответ на этот вопрос повисал в воздухе, ИБ продолжала оставаться нелюбимой падчерицей IT-вертикали.
В то же время нормальные безопасники научились гораздо лучше говорить на языке людей, которые в компаниях зарабатывают деньги. В том числе с IT и коммерческими директорами. И тут начало выясняться интересное. Например, что IT и ИБ — это совсем про разное. Особенно если мы говорим про атакующую безопасность (симуляция действий хакеров), которая, вообще говоря, является очень плохо детерминированной областью и зачастую ближе к искусству, чем к классической технической работе.
Вы можете спросить госкомпании, частный бизнес, банки, страховые, IT-вендоров и услышите один и тот же ответ: нам очень тяжело найти на рынке качественных специалистов. Увы, это последствия отношения к кибербезу как к чему-то не очень важному. Впрочем, сейчас ситуация обратная: «гонка зарплат» привела к тому, что бизнес перекупает друг у друга целые команды: вспоминаем, как Ростелеком буквально «купил» команду у Bi.Zone, или как МТС RED «пылесосил» специалистов на рынке.
Так или иначе, ключевым сдерживающим фактором рынка прямо сейчас является нехватка кадров — и решить эту проблему быстро не получится. Даже если приступить сейчас, то принципиально большее количество людей мы получим не раньше конца 2026 года. А если отдать решение данной проблемы на откуп высшему образованию, то его можно и вовсе не дождаться. Или получить людей, которых 4 года учили совершенно не тому. Потому что это не классическая профессия, а процессы в отрасли крайне динамические.
Тут ситуация даже немного комичная: в России сейчас ИБ-компании конкурируют не только друг с другом, но и с организациями из финансового сектора, и даже с … государством. Ситуация выглядит немного абсурдной, но она такова.
Представьте себе картину: из РФ уходит иностранный вендор, на рынке освобождается место, ИБ-компании начинают «пилить» свой продукт, появляются первые клиенты … и тут команду разработчиков начинают растаскивать. Причем даже не конкуренты (им иногда проще купить небольшую компанию), а банки, которым очень нужно сделать собственный продукт.
Как говорил Артур Кларк, любая достаточно развитая технология неотличима от магии. Проблема в том, что бизнес считает, что даже небольшие ИБ-компании обладают некоей «магией безопасности» и, обратившись к ним, можно гарантированно получить какой-то результат. В реальности, прямо сейчас на ИБ-рынке на одного действительно стоящего технического специалиста приходится два продажника. Особенно болезненно этот вопрос встает на рынке услуг. Ситуации, когда одна компания перепродает контракт другой, та — третьей, та — нанимает непонятного фрилансера, который делает работу за 20% ее первоначальной стоимости, стала совершенно типичной.
Все это приводит к тому, что прекрасная российская ИБ остается доступной только для крупного бизнеса, да и то не всегда. Но вопросы о том, почему месяц работы технического специалиста стоит пару миллионов рублей, считаются дурным тоном. А все дело в том, что на него приходятся два проектных менеджера, два продажника и один консультант.
К сожалению, бизнес-процессы в российской ИБ — это страшная архаика, основанная на перепродаже услуг и завышении стоимости решений. Но разрешить проблему колоссальной асимметрии информации бизнес без помощи отрасли не сможет никак.
Если ваш CISO (директор по ИБ) может по памяти назвать все разделы ключевых стандартов, например ЦБ, но не может сказать, как проверить открытые порты, то, скорее всего, это «бумажный безопасник».
Справедливости ради нельзя сказать, что «бумажные» создают одни только проблемы — просто многие из них верят, что их волшебными бумажками можно отмахнуться от реальных злоумышленников. Безусловно, такие люди упрощают взаимодействие с различными регуляторами, надзорными органами и прочими госслужбами. Но надо четко понимать, что в столкновении с реальными техническими проблемами они чувствуют себя как свинья на космодроме: ничего не понятно и не особо интересно.
К сожалению, очень многие государственные органы фактически поощряют технически безграмотных любителей бумаги: например, очень любимая ими сертификация ФСТЭК уже давно нужна только для того, чтобы добавить важности самой ФСТЭК, она вполне официально покупается на рынке, и о способности ее обладателя решать хоть какие-то задачи в ИБ наличие сертификата не говорит приблизительно ничего.
Апофеоз «бумаги» — это, конечно, широко знаменитый в ИБ-среде сертификат PCI DSS. До начала СВО сложилась ситуация, когда многие компании просто покупали его, а если продавец начинал задавать вопросы в духе «так, может быть, мы реально что-нибудь проверим», ему намекали, что, кроме него, на рынке много других предложений. И проверять ничего не надо. А потом мы удивляемся, почему у банков из топ-20 в инфраструктуре злоумышленники эксплуатируют незакрытые уязвимости образца середины десятых годов.
Безопасность ради защиты от хакеров, а не безопасность ради защиты от надзорных органов — вот главная задача ИБ-структур в организации, о которой часто забывают.
К сожалению, эту проблему можно назвать общим бичом российской экономики и российской культуры. Наш, русский подход — он очень часто именно что проектный. Собрались, взялись, сделали — причем что угодно, может построили SOC, может СЗИ, может просто набор из 10 разных услуг. Так же как предки 60 лет назад собрались и запустили человека в космос. Ну, или Наполеона с Гитлером прогнали.
Проблема в том, что реальная защищенность — она не про проекты, она про построение процессов, с которыми все гораздо сложнее. А главное — здесь недостаточно работы условно 10 сильных ИБ-специалистов. Реальная безопасность достигается только обучением всех сотрудников компании, от топ-менеджмента до линейных специалистов. Почему? Да потому что условный фишинг (рассылка писем с вредоносными ссылками) все еще является основной «точкой входа» при кибератаках. И ни антивирусное ПО (особенно если оно неправильно настроено), ни SOC панацеей не являются.
В конце концов, в 22—24 годах огромные силы были брошены на импортозамещение западных продуктов. И далеко не всегда они расходовались оптимально: это хорошо видно по финансовым показателям многих лидеров рынка.
И что нам со всем этим делать
Для начала нашей стране надо четко понять, что текущая ситуация по степени угрозы — это далеко не дно. С каждым годом ситуация будет становиться только хуже, эффективность кибератак будет расти, а для защиты от них у нашей страны все еще не будет хватать ресурсов. Даже если платить «джуну» в ИБ по ₽500 тыс в месяц.
Лучшее, что мы можем сделать — это попытаться перестроить индустрию, сконцентрировавшись на больных точках и «бутылочных горлышках» и не трогая то, что и так работает. Грубо говоря, у нас есть ограниченное число крутых специалистов, и нам нужно построить крутые процессы.
Кнут и пряник — оборотные штрафы и страхование ИБ-рисков
Колоссальное количество утечек за последний год привело к тому, что в России таки появились оборотные штрафы за утечку персональных данных. Госдума приняла их в конце весны 2025 года. И вот почему это важно, раньше при сливе данных на тысячи строк крупной компании приходил штраф в ₽60 тыс. То есть «персоналку» недорогих россиян суд и Роскомнадзор оценивал приблизительно в ₽1,4 за запись. Конечно, размеры текущих штрафов на порядок выше, но все еще недостаточны, на наш взгляд.
Чтобы россияне перестали быть недорогими, необходимо вводить оборотные штрафы. Сначала — 0,1% от годового оборота, потом 1%, и так далее. Альтернатива простая — принять тот факт, что каждый год наивные жители РФ будут спонсировать ВСУ на миллиарды рублей из собственных сбережений. Но и это — только половина истории.
В России должен появиться эффективный инструмент страхования ИБ-рисков. Прямо сейчас такие программы есть, но находятся они в зачаточном состоянии. Ключевая роль государства должна быть в том, чтобы такие программы заработали. Без них мы получаем кнут без пряника, а это не самая лучшая стратегия.
Здравое регулирование
Мы не предлагаем упразднить ФСТЭК, но некоторые вещи должны уйти в прошлое. Если мы говорим о лицензировании ТЗИ, то там достаточно просто докрутить многие вещи. Если мы говорим про ТЗКИ (техническую защиту конфиденциальной информации), то точно ли в России нужна лицензия, которую можно совершенно легально купить на рынке «под ключ»? И которая фактически не работает. Глупость же страшная — но на российском рынке она процветает. К слову, с лицензией ФСБ ситуация гораздо более логичная и последовательная.
Аналогичные вопросы можно адресовать ЦБ, хотя там ситуация не в пример адекватнее. Но некоторые требования уважаемого регулятора вводят в ступор: например, наличие в компании трех (!) антивирусов. А теперь еще раз: попробуйте посчитать, сколько вообще антивирусов есть на российском рынке? Продукты Касперского — да. Доктор Веб — да. Кто-то сумеет назвать третий? Локализованный NOD32, нет? Ой, наверное потому, что его на российском рынке просто нет. Самое смешное, что, даже понимая всю абсурдность ситуации, бизнес вынужден изобретать костыли, чтобы удовлетворить хотелки регулятора. И таких ситуаций не то чтобы единицы.
К сожалению, главная проблема российской кибербезопасности ближайших лет — нехватка людей — совершенно точно никуда не денется. А значит, что нам надо стремиться к оптимальному использованию их ресурсов. И здесь совершенно точно будут нужны новые бизнес-модели, новые продукты и новые способы автоматизации.
Например, в России создаются первые маркетплейсы продуктов и услуг, появляются концепции «Кибериспытания» — публичного redteam, где специалисты по ИБ получат возможность использовать те же инструменты, что и хакеры. Появляются массовые простые продукты, доступные для МСП+. По большому счету прямо сейчас ключевой проблемой ИБ является автоматизация процессов — отрасль уже два года подряд показывает двузначный рост, но поддерживать такую динамику без радикального пересмотра бизнес-модели ей будет очень тяжело.
Именно обмен лучшими практиками позволит оптимизировать очень многие вещи. Особенно, если это касается услуг и внедрения — мы уверены, что будущее здесь за теми, кто первым сможет организовать смешанные проектные команды на постоянной основе и максимально автоматизировать их работу.
С сожалением приходится признать, что в текущей ситуации высшее образование в области информационной безопасности — это якорь. Он хорош, надежен, но держит нас на месте. Любое высшее образование очень консервативно, а рынок меняется очень и очень быстро.
Мы не говорим о том, что ИБ-специальности нужно упразднять — от них, безусловно, есть определенная польза, особенно в нормальных вузах. Проблема в том, что именно для ИБ ключевую роль играют послевузовское образование, практика, курсы повышения квалификации и так далее. По большому счету только они в состоянии привести «заготовку» джуна в состояние боевой рабочей единицы, причем вне зависимости от ее бэкграунда. Да, человеку, учившемуся в универе 6 лет на «защите информации» будет проще — но достаточно мотивированный студент-филолог вполне в состоянии за год выйти на тот же уровень.
Что стоит сделать государству — так это помочь индустрии максимально популяризовать ИБ как специальность и как отрасль. Здесь есть интересная работа, платят хорошие деньги, а еще вы будете защищать бизнес от плохих ребят. Это растущий рынок с крутыми карьерными перспективами. В конце концов, это определенная романтика — посмотрите первые 10 минут «Мистера Робота», если хотите понять, о чем мы говорим.
Сложные времена создают сильных людей и сильные компании. Рано или поздно санкции снимут, и тогда у российского кибербеза будут все шансы завоевать как минимум треть этого глобуса.
Вывод
Мы оказались в очень сложной ситуации, столкнувшись с большим количеством кибератак и имея достаточно ограниченные ресурсы. Выход из этого может быть только один — менять принятые на рынке практики. Прямо сейчас у России есть уникальная возможность построить новую модель информационной безопасности, объединив очень сильных частных игроков и здоровые подходы к регулированию.
Тогда мы имеем все шансы стать примером для огромного числа стран, защищенных гораздо хуже нас самих.
Но остается огромное количество проблем — тут и незащищенный малый и средний бизнес, и излишний фокус на импортозамещении и борьбе вендоров друг с другом за экосистемы, и чудовищно завышенные цены. Рано или поздно все эти проблемы будут решены — в конце концов, отрасль кибербеза для нас стратегическая.
И с каждым новым «Аэрофлотом» мы будем вспоминать об этом снова и снова.
СУВЕРЕННАЯ ЭКОНОМИКА
2025