Вступление

Привет, Хабр! Находясь на бизнес‑конференции Positive Security Day (PSD), я думал, а с кем бы поговорить на тему кибербезопасности и бизнеса, сама конференция была посвящена этим понятиям. Поэтому выбор пал на человека, кто давно и плотно продвигает и кибербез, и как информационную безопасность использовать в бизнесе. Поэтому я выбрал CISO‑евангелиста и бизнес‑консультанта по безопасности Positive Technologies Алексея Лукацкого. Мы поговорили с Алексеем Викторовичем, как бизнесу выстраивать систему кибербезопасности через баланс технических решений, автоматизации и финансово обоснованных управленческих подходов к снижению рисков и как обучать специалистов по ИБ. Приятного чтения!

Интервью

Все говорят, что человек — слабое звено в кибербезопасности. Но если годами обучать сотрудников, проводить тренинги, рассылать напоминания, а работники всё равно попадаются на фишинг, есть ли вообще смысл продолжать обучение? Или лучше сосредоточиться на проектировании систем, которые минимизируют влияние человеческого фактора — условно, чтобы «робот бил по рукам», если пользователь совершает ошибку? Или это всё же вопрос человеческой природы, и обучение необходимо продолжать, просто принимая риски?

Ни один из подходов по отдельности не работает. Эффективна только комбинация. Во‑первых, нужно понимать, что правильная реакция человека на угрозы должна быть доведена до уровня рефлекса. Такой навык формируется долго, и даже регулярное обучение раз в квартал этого не обеспечивает. Во‑вторых, надо признать, что мы часто обучаем неправильно: ограничиваемся лекциями или видеороликами, хотя для закрепления материала необходима вовлечённость — участие в моделировании атак, практических упражнениях, разборе сценариев. Только тогда человек понимает, что именно от него требуется и какие действия предпринять.

И, наконец, системы должны проектироваться надёжно ещё на этапе моделирования угроз. Сегодня в любом стандарте или фреймворке это прямо прописано: проектирование начинается с анализа угроз, а затем в техническое задание закладываются меры, предотвращающие или нейтрализующие возможные атаки. Комбинация этих подходов, усиленная техническими средствами защиты, даёт реальный результат. Пока же этого нет, человек остаётся самым слабым звеном в кибербезопасности.

Вы упомянули превентивные меры. Но возникает вопрос: как их обосновать совету директоров? Это ведь ситуация вроде «ошибки выжившего»: если кибератак не было, бизнесмен считает, что всё в порядке само собой, а не благодаря защите. Как показать эффект от безопасности, если он по сути невидим?

Эффект виден всегда, просто не все умеют его наблюдать. Безопасность направлена на улучшение ситуации, а любое улучшение можно измерить и продемонстрировать. Даже отсутствие инцидентов уже результат действий службы информационной безопасности. Но при разговоре с советом директоров или финансовыми руководителями важно говорить на их языке — языке денег.

Не нужно запугивать абстрактными угрозами, требованиями комплаенса или штрафами. Надо выделить конкретные недопустимые для бизнеса события — те, что могут привести к критическим или катастрофическим потерям. Таких событий немного, и именно на них должны сосредоточиться и IT, и службы безопасности. Когда в диалоге с топ‑менеджерами формулируются эти сценарии, они сразу понимают масштаб рисков и готовы инвестировать.

Простой пример: компания United Health Group в 2024 году пострадала от шифровальщика, заплатила выкуп 22 миллиона долларов, а общий ущерб от простоя систем превысил 3 миллиарда — крупнейшая потеря в истории кибербезопасности. Похожая ситуация у Jaguar Land Rover: после атаки в августе 2024 года текущие убытки оцениваются более чем в 200 миллионов фунтов, а совокупные — около 4 миллиардов. Это больше, чем компания заработает за весь 2025 год.

Любому бизнесмену понятна такая логика: если потенциальный ущерб исчисляется миллиардами, вопрос не в том, «нужна ли безопасность», а в том, сколько стоит её отсутствие. Поэтому говорить с бизнесом надо не о фишинге и вирусах, а о предотвращении убытков и сохранении прибыли. Опыт Positive Technologies показывает, что именно язык финансов, а не технологий, вызывает у топ‑менеджеров доверие и понимание.

С учётом вашего опыта, приходилось ли сталкиваться с ситуациями, когда компании сознательно принимали риски? Например, понимали, что в случае атаки проще будет заплатить выкуп или покрыть ущерб, чем инвестировать серьёзные средства в защиту. Или всё‑таки большинство организаций старается минимизировать угрозы и воспринимает взломы как проблему исключительно злоумышленников?

К сожалению, многие компании, особенно в сегменте малого и среднего бизнеса, эти риски недооценивают или вовсе не закладывают. Одни считают себя слишком маленькими и неинтересными для атакующих, другие просто не имеют ресурсов. В текущей экономической ситуации большинство инвестирует в основной бизнес, а не во «второстепенную» с их точки зрения функцию — кибербезопасность. Малый и средний бизнес не способен содержать достаточный штат специалистов, которые круглосуточно занимались бы защитой инфраструктуры.

Поэтому львиная доля компаний, думаю, порядка 80%, фактически принимает эти риски, часто не осознавая этого. Они полагаются на удачу: «с нами ничего не случится, а если случится — как‑нибудь разберёмся». Это, к сожалению, часть нашей культурной особенности: пока гром не грянет — мужик не перекрестится.

Есть и более зрелые компании, которые стараются выстраивать баланс между инвестициями в безопасность и потенциальными убытками, фокусируясь на защите от действительно недопустимых событий. Таких компаний становится больше, во многом из‑за публичных историй о крупных кибератаках, человеческих жертвах и даже экологических катастрофах, вызванных сбоями систем.

Есть также организации, особенно относящиеся к государственному сектору, где вопрос рисков не стоит в экономическом смысле: они обязаны выполнять требования законодательства. Им выделяется бюджет на безопасность, и он реализуется в рамках нормативов, установленных ФСТЭК, Минцифры, Роскомнадзором, ФСБ и другими ведомствами.

Ситуация не меняется кардинально, но прогресс есть. Масштабные инциденты с каскадным эффектом — когда остановка одной компании приводит к сбою у подрядчиков и клиентов — стали наглядным уроком. Бизнес видит, что такие атаки приводят к банкротствам тысяч организаций, и начинает задумываться, что можно сделать заранее, чтобы хотя бы смягчить последствия, если атака всё же произойдёт.

На ваш взгляд, существует ли идеальный процент от IT-бюджета, который стоит выделять на безопасность? Или, как и прежде, для каждой компании нужен индивидуальный расчёт?

Это один из ключевых вопросов в любых дискуссиях с топ-менеджментом: сколько тратить на безопасность. И правильный ответ — всё зависит от конкретной компании. Важно учитывать текущее состояние защиты, архитектуру инфраструктуры, уровень зрелости процессов, используемые технологии — локальные или облачные решения, а также перечень недопустимых для бизнеса событий.

Тем не менее, многим нужны ориентиры. Если говорить об усреднённых данных за последние годы, затраты на кибербезопасность обычно составляют около 10% от IT-бюджета. В высокотехнологичных и финансовых секторах эта доля достигает 12–13%. В промышленности, ретейле и схожих отраслях — около 7–8%. Для государственных структур показатель, как правило, находится на уровне 5–6%.

Это средние значения по рынку. В России специализированных исследований немного, но на последнем ПМЭФ был представлен отчёт Центра стратегических разработок или Института исследований мировых рынков, где приводились схожие цифры: примерно 10% от IT-бюджета или около 0,6% от годового оборота компании.

Насколько мне известно, у нас, как и в целом в индустрии, не принято делиться кейсами киберинцидентов. Почему так происходит? И не тормозит ли это развитие отрасли?

Признание факта взлома — это фактически признание собственного провала. Ни один человек и ни одна компания не хотят публично признавать ошибки. Это свойственно человеческой природе, и с этим приходится мириться.

Существуют два пути решения. Первый — законодательный. На уровне нормативных актов можно закрепить обязанность раскрывать информацию об инцидентах. В России это уже частично реализовано: компании обязаны сообщать о киберинцидентах в Центробанк, Роскомнадзор, Госсопку, Минцифру, а в перспективе — и во ФСТЭК.

Второй путь — обмен информацией в контролируемом формате. Это может быть публикация обезличенных данных или обсуждение в формате Chatham House на профессиональных мероприятиях, где специалисты делятся опытом при условии конфиденциальности. Такой обмен позволяет использовать полученные знания для повышения уровня защиты без риска репутационных последствий.

Постепенно ситуация меняется. Парадоксально, но в этом помогают сами хакеры — их действия часто делают инциденты публичными вне зависимости от желания компании. Однако по‑прежнему для большинства организаций открытое признание атаки остаётся крайне нежелательным: это удар по репутации, финансовым показателям и доверию партнёров.

Сейчас активно обсуждаются возможные поправки, касающиеся исследований в сфере кибербезопасности. По этому поводу уже появилось открытое письмо от исследователей и представителей сообщества. Как вы относитесь к опасениям, что любое исследование может быть приравнено к нарушению закона?

На мой взгляд, пока преждевременно давать оценку этим поправкам. Сейчас речь идёт только о внесении проекта в Государственную Думу. Делать выводы можно будет не раньше второго чтения, когда станет понятна финальная редакция и направление, в котором будет развиваться законодательство.

По моей информации, отраслевое сообщество уже ведёт работу с законодателями и предлагает корректировки, чтобы исключить риски для легитимных исследователей. Государство, в лице инициаторов законопроекта, готово выслушать аргументы и внести правки. Поэтому есть основания надеяться, что опасения не подтвердятся.

Стоит дождаться хотя бы первого чтения и официальных поправок, а после этого уже предметно обсуждать последствия — в том числе возможные негативные сценарии, если они всё же останутся в тексте закона.

Хотелось бы вернуться к самим специалистам по информационной безопасности. Насколько серьезной проблемой является выгорание, особенно у дежурных сотрудников, работающих в SOC‑ах? Может ли усталость или стресс реально повлиять на уровень безопасности, как, например, у авиадиспетчеров, где ошибка может привести к катастрофе? И как компании могут этого избежать?

Безусловно, влияет. Хотя точных данных о масштабах влияния нет — мало кто анализирует, почему аналитик SOC-а пропустил тот или иной инцидент. Часто срабатывает так называемая «психологическая слепота»: человек, зафиксировавшись на одной гипотезе, перестаёт замечать другие сигналы и триггеры, которые показывают системы защиты.

Бороться с этим можно несколькими способами. Во‑первых, снижать влияние человеческого фактора за счёт автоматизации — максимально передавать корреляцию событий, обнаружение и реагирование системам. Во‑вторых, улучшать сам инструментарий: менять визуальные и звуковые сигналы тревог, использовать разные типы уведомлений — не только цветовые, но и вибрационные или аудиосигналы, как это реализовано в системах авиапилотов.

И, наконец, третье — организационные меры. Для сотрудников дежурных смен должны быть предусмотрены комнаты отдыха, регулярные перерывы, возможность переключиться: настольный теннис, музыка, короткие сессии релаксации. Это уже не техническая, а HR‑задача, и в крупных SOC‑ах, особенно в центрах управляемой безопасности (MSSP, MDR), такие практики внедрены.

Кроме того, при проектировании самих помещений учитываются акустика, освещение, цветовые решения, эргономика рабочих мест — всё, вплоть до расстановки мониторов и декоративных элементов вроде кактусов. Совокупность таких факторов помогает специалистам меньше уставать и быстрее восстанавливаться, что напрямую снижает вероятность пропуска критических событий безопасности.

Недавно я общался с преподавателем вуза, который отметил, что ИБ‑компании редко приглашают преподавателей на профессиональные мероприятия. При этом сами компании нередко говорят о слабом уровне образования в этой сфере. Почему так происходит? Это связано с тем, что мероприятия позиционируются как площадки для практиков, а преподаватели не рассматриваются как профессионалы отрасли? Или, возможно, дело в отсутствии понятных метрик — ведь эффективность участия блогеров или инфлюенсеров можно измерить, а преподавателей — нет? И стоит ли, по вашему мнению, перераспределить приглашения, сокращая долю медийных лиц в пользу преподавателей?

Возможно, у других компаний подобная проблема существует, но у Positive Technologies — нет. Например, на конференцию Positive Hack Days, которая проходит в Лужниках и длится несколько дней, преподаватели приглашаются. Более того, на мероприятии есть отдельный образовательный трек. Кроме того, у нас заключены договорённости с рядом вузов: на время конференции студентов освобождают от занятий, и просмотр контента с PHD считается частью образовательного процесса.

Также в Positive Technologies работает проект «Школа преподавателей» — программа, в рамках которой мы обучаем несколько сотен преподавателей со всей страны современному и актуальному контенту по кибербезопасности. Таким образом, мы фактически решаем ту задачу, о которой часто говорят в отрасли.

Конечно, остаются организационные сложности. Для многих вузов и преподавателей прийти на конференцию в учебный день действительно проблематично. Поэтому мы проводим «Школу преподавателей» в вечернее время и в онлайн‑формате, а PHD — в выходные дни, что даёт возможность участвовать без ущерба для учебного процесса. В некоторых случаях с вузами заключаются отдельные договорённости: участие в мероприятии приравнивается к образовательной активности.

То есть задача вполне решаема. В нашем случае она решена, а то, что не все компании реализуют подобные подходы, — уже вопрос к ним, а не к невозможности решения проблемы.

Сейчас всё больше процессов автоматизируется, активно внедряются ИИ и смежные технологии. Если раньше порог входа в IT и в ИБ был достаточно высоким, то теперь он снижается. Получается, что специалисты делятся на два лагеря: тех, кто привык работать с новыми инструментами, и тех, кто, условно говоря, «гуру», способные разбираться в технологиях независимо от автоматизации. Это действительно так? И можно ли сказать, что такое разделение — это хорошо или плохо?

Деление будет всегда. Это естественный процесс, как когда‑то существовало разделение между «бумажными» специалистами и практиками. Я не считаю, что это однозначно хорошо или плохо — просто так устроено развитие любой профессиональной сферы. Всегда будут люди, которые чувствуют технологии «на кончиках пальцев», быстро осваивают новое и внедряют его в работу. И будут те, кто ждёт, пока новшество пройдёт этап становления и выйдет на плато продуктивности.

Если вспомнить кривую инноваций Роджерса, то есть инноваторы и есть последователи. Первые формируют авангард, вторые идут вслед за ними, а большинство располагается где‑то посередине. Это постоянная динамика, похожая на противопоставление «линуксоидов» и «виндузятников», к которым со временем добавились «маководы». То же самое, как Android и iOS — так и здесь.

Вы совмещаете множество направлений деятельности, связанных с информационной безопасностью. Как вы сами себя определяете в профессиональном плане — практик, популяризатор, блогер или, возможно, бизнес‑коуч с большим опытом, который помогает компаниям разобраться в собственных проблемах с безопасностью?

Я считаю себя всем сразу. Я пишу, поэтому в каком‑то смысле являюсь популяризатором. Но блогером себя не назову — это отдельная профессия, формализованная, внесённая в реестры, и я к ней не отношусь. Я и коуч, и преподаватель, поскольку активно веду образовательную деятельность. Я консультант, потому что работаю с заказчиками по вопросам кибербезопасности. Я практик, так как постоянно изучаю новые технологии, чтобы затем рассказывать о них. Я и «бумажный» специалист — участвую в разработке и гармонизации нормативных актов.

Стараюсь объединить в себе всё, что способствует развитию отрасли, в разных пропорциях. Сейчас я почти не программирую, хотя иногда пишу скрипты для автоматизации рутинных задач и работы с LLM. В этом смысле можно сказать, что я немного разработчик, но, конечно, не в той степени, чтобы конкурировать с коллегами из R&D. Единственное, чем я больше не занимаюсь, — это пентестинг. Это осталось в прошлом. В остальном стараюсь поддерживать баланс между всеми ролями, которые присутствуют в профессии безопасника.

Заключение

Вообще, когда я только собирался брать интервью у Алексея Викторовича, были мысли отказаться. Так как он уже много всего рассказал и на PSD, и в принципе в своём блоге. Но потом мы начали говорить, и получилось интересно. Надеюсь, и вам понравилось. Спасибо за прочтение!