Меньше цифры, больше безопасности? Давайте проверим

Больше безопасности, меньше удобства

Может ли так случится, что отказ от удобных, но небезопасных цифровых решений в пользу базовых, но безопасных станет эффективным способом защиты?

Модератор Рустэм Хайретдинов сразу задал тон обсуждению, отмечая неоднозначность темы. «Отключать сервисы – это всегда как шаг по лезвию ножа. Но оказалось, что многие готовы говорить на эту тему откровенно, несмотря на нетипичность такого подхода для безопасников», — отметил он, приведя пример из жизни: строительная компания на время атаки вернулась к бумажным документам, полностью отключив интернет-доступ и оставила этот «архаичный процесс» в качестве дублирующего даже когда атака закончилась. Второй кейс был о крупной компании, которая после нескольких взломов отключила удалённый доступ к корпоративной электронной почте, оставив доступ к ней только изнутри офиса. Эти кейсы задали основную дискуссионную ноту: насколько оправдана жертва цифровыми сервисами ради безопасности?

Первым на вопрос, возможна ли такая практика в организациях, ответил Роман Цыганков (Автозавод Санкт-Петербург). По его словам, «в нашей парадигме мы всегда ищем компромисс между безопасностью и функциональностью». Он подчеркнул, что в бизнесе отказываться от функциональности ради безопасности чаще всего нецелесообразно: «Мы предпочитаем повышать уровень безопасности, чтобы сохранять сервисы». Однако Роман добавил, что политика «bring your own device» у них не работает: «Мы консервативны в этом вопросе, но при этом пользователи не ощущают ограничений. Например, благодаря экосистеме с двухфакторной аутентификацией». Такой подход, по его мнению, позволяет сохранять и безопасность, и удобство работы.

«Если сотрудник может подключиться к корпоративной почте в нужный момент, это огромный плюс. Глупо лишать их такой возможности», — считает Александр Луганский (UserGate). В то же время необходимы ограничения: «Протрояненный Android или древний Android, например, версии 4 не должны иметь доступ к корпоративной сети».

Но чрезмерные меры безопасности могут обернуться и обратным эффектом. «Чем больше мы давим на безопасность, тем меньше ее остается. Люди просто начнут пользоваться неконтролируемыми каналами связи. Это особенно ярко проявляется даже в госструктурах. Давить нельзя, иначе теряется контроль», — сказал модератор, предложив аудитории раскрыть тему далее.

Александр Попов (Правительство Ленинградской области), представляя госструктуру, поделился своим подходом. «Запреты — это не выход, люди найдут обходные пути. Важно защищать даже те технологии, где изначально нет встроенных механизмов безопасности. Это можно сделать с помощью сертифицированных инструментов и соответствия требованиям регуляторов», — заявил он. По его словам, такой подход позволит минимизировать угрозы и сохранить контроль. По мнению модератора абсолютной безопасности не существует, а концепция "планов B и C" становится неотъемлемой частью стратегии. «Я участвую в рабочей группе по созданию российского аналога ITIL, и защита там занимает только 20% внимания. Основной акцент — на реагировании и восстановлении. То есть мы признаем, что полностью защититься невозможно. Важно знать, что делать, когда атака уже развивается и как восстанавливаться после её завершения», — отметил Рустэм Хайретдинов. И предложил подумать, что выгоднее: попытки защитить всё или выстраивание эффективной системы реагирования и восстановления.

Александр Луганский согласен, что защитить всё на 100% невозможно, но считает, что в этом и нет необходимости. «Конечно, в идеальном мире под защитой должна находиться вся инфраструктура. В реальности же мы всегда ограничены факторами времени и денег. Во-первых, это невероятно дорого. И если потраченные на защиту средства не соответствуют стоимости утраченной информации, то для бизнеса подобная инвестиция не является целесообразной. Нужно уметь оценивать активы и понимать, что для бизнеса и клиентов действительно критично и уметь расставлять приоритеты», — подчеркнул он и привел пример из практики, когда самым защищаемым активом компании вдруг оказывались коммерческие предложения конкурентов. «Люди начинают думать: действительно ли это самый важный актив? И вот так, шаг за шагом, можно определить, что стоит защищать максимально, а что нужно просто быстро восстанавливать», — объяснил Александр. При этом в идеале распределение бюджета будет таким: 30-40% на защиту, остальное на реагирование и восстановление.

Жить с мыслью о взломе

А как в реальных организациях распределяются ресурсы между защитой, реагированием и восстановлением? На этот вопрос ответы участников были разнообразными, но все сводились к одному — абсолютной безопасности не существует.

«Мы можем написать любые инструкции, но кто их будет реализовывать, если специалисты уходят? Аутсорсинг рассматриваем, но насколько он будет эффективен в экстренной ситуации — большой вопрос», — призналась Елена Лукашина (Правительство Челябинской области). Она подчеркнула, что в госструктурах упор делается на защиту, но кадровый кризис подрывает усилия по реагированию и восстановлению.

Роман Цыганков смотрит на проблему через призму бизнеса: «Мы оцениваем риски. Что потеряет бизнес при инциденте, и сколько стоит этот риск закрыть? Он также отметил, что невозможно постоянно жить в иллюзии полной безопасности — важно понимать, что и как быстро можно восстановить.

Игорь Матвиенко (Positive Technologies) предложил иной взгляд: «Чем сложнее злоумышленнику пробираться через защиту, тем выше шанс его демотивировать. Автоматические системы реагирования уже позволяют человеку вмешиваться только в исключительных случаях». Однако и он признал, что сильная защита вовсе не исключает атак.

Ложку дегтя добавил Игорь Годин (СОГАЗ), заявив, что традиционные подходы устарели: «Атака неизбежна. Она будет незаметной, легитимной, а СЗИ пропустят её. Нужно понимать, что эшелонированная оборона из учебников 20-летней давности сейчас работает всё хуже. Нужно фокусироваться на процессах, дублировать критичные системы и всегда иметь план B. Пусть он будет медленным или даже бумажным, но сотрудники должны знать, как переключиться на резервный режим по красному сигналу».

Владимир Макаров (Кошелек) поддержал эту мысль, сосредоточив внимание на риск-ориентированном подходе. «Защититься от всего невозможно и, по сути, не нужно. Главное — концентрироваться на критичных активах. Мы знаем типовые векторы атак, и это позволяет нам быть на шаг впереди. Даже вирусы-шифровальщики — не новинка, это возвращение старых трендов вроде Червя Морриса», — заметил он.

Однако модератор не согласился с оптимизмом коллеги. «В безопасности нельзя говорить, что мы всё знаем. Старые атаки, да, отбиваются автоматически, но в какой-то момент может прилететь то, о чём мы даже не подозреваем», — подытожил он.

В итоге обсуждение свелось к единому выводу: даже если многое можно предвидеть, система должна быть готова к неизвестному. Главное — не абсолютная защита, а грамотная подготовка к любым сценариям, будь то атака или переход на резервные процессы.

Прагматичный подход, основанный на своем опыте, внёс в обсуждение Сергей Белан (Белорусская универсальная товарная биржа): «Эшелонированная оборона — это не архаизм из книжек 20-летней давности. Это инструмент, который работает, если применять его правильно». Так современный подход включает сегментирование сети, строгий контроль доступа и мониторинг действий пользователей. «Даже если взломают один сегмент, предприятие продолжит работать. Критичные пользователи под особым контролем: их привилегии отслеживаются, а действия фиксируются системами логирования», — объяснил он.

Особое внимание уделяется борьбе с фишингом, который, по его словам, остаётся причиной 80% атак. «Мы обучаем сотрудников: раз в квартал проводим инструктаж, помимо онлайн-курсов. Если у кого-то возникает подозрение, они не боятся сообщить об этом. Это ключ к предотвращению угроз», — отметил эксперт.

В то же время он подчеркнул важность превентивных мер. «На средствах защиты нельзя экономить. Угрозы нулевого дня, конечно, случаются, но эшелонированная оборона их смягчает. Если же всё преодолено, у нас есть планы восстановления», — добавил он, напомнив, что их система сертифицирована по международному стандарту ISO 27001. По его словам, профилактика всегда дешевле и эффективнее, чем восстановление после инцидента.

Шифрование, регламенты и здоровый компромисс

Компании часто ломают через удалёнку. Ограничивать её или усиливать защиту — это уже вопрос культуры, технологий и, конечно, безопасности. Что необходимо делать в организациях?

Елена Лукашина поделилась опытом госструктур: «Мы сначала экстренно настроили удалённый доступ во время ковида, но потом отключили. Люди, конечно, возмутились: им понравилось работать даже в отпусках и на больничных. Теперь внедряем защищённые контуры с криптографией, но упираемся в нормативы 90-х годов. Нам запрещают вынос криптографии за пределы контролируемой зоны, и это мешает полноценному развитию удалёнки». Она отметила, что многое зависит от региональных регуляторов. «Где-то подключили решения сразу, у нас же это оказалось сложнее. Тут нужен пересмотр нормативной базы», — подчеркнула она.

Обсуждение вызвало оживление: тема удалённого доступа оказалась болезненной для всех участников. Вопросы удобства, поиска специалистов в других регионах и экономии на офисах столкнулись с реальными рисками взломов и неподготовленностью нормативов. Участники признали, что проблема требует как изменений со стороны регуляторов, так и новых подходов со стороны производителей решений.

Сергей Дурягин (ИнфоТеКС) подчеркнул, что удалённый доступ остаётся одной из самых уязвимых точек. «Мы всегда говорим: при подключении к вашим информационным системам с удалённых устройств, в том числе с мобильных или с ноутбуков, запрещайте любые связи на данных устройствах, кроме шифрованных. Если украли ноутбук или забыли его где-то — это уже организационный риск, и он должен быть строго прописан», — добавил он. И также обратил внимание на правовые и технические ограничения в госструктурах. «Для подключения к ГИС требуется аттестация, которую нельзя провести для домашнего компьютера. В пандемию мы предоставляли временные лицензии, но это скорее исключение, чем правило. Сегментирование и строгий контроль остаются единственными рабочими подходами», — заключил он.

Прозвучала мысль о том, что важно найти баланс между организацией процессов и техническими решениями, а ещё наладить диалог с регуляторами, чтобы они лучше понимали реальные потребности. Иначе многие вопросы так и останутся в подвешенном состоянии, особенно для госструктур, которым адаптироваться к изменениям сложнее, чем бизнесу.

Дискуссия об удалённом доступе получила новые акценты благодаря выступлениям участников, которые затронули организационные, технологические и даже потребительские аспекты проблемы.

Основная часть проблем информационной безопасности лежит в организационной плоскости: «Взломы чаще всего происходят через оконечные устройства или подрядчиков. Никто не ломает VPN или протоколы — ломают ноутбуки и подрядчиков, которые игнорируют безопасность. Это вопрос правильных политик и регламентов, а не технологий», - заявил Владимир Макаров. Он предложил решение: использовать защищённые устройства вроде Astra Linux для оконечных точек и строже контролировать подрядчиков.

Роман Цыганков поддержал коллегу, но подчеркнул, что для бизнеса это не проще: «С одной стороны, у нас был полный доступ, с другой — полный запрет. Оба варианта не работают. Мы ищем компромисс: доступ строго по необходимости, сегментация и ограничение прав. Но чувство незащищённости всё равно остаётся».

По мнению Игоря Бедерова (T.Hunter), SMS как технология вполне может заменить мессенджеры, особенно если добавить шифрование. «Это реальная альтернатива, учитывая, что западные сервисы не только следят за нами, но и потенциально угрожают безопасности. Важно думать не только о корпоративном сегменте, но и о массовом потребителе. Уровень защиты обычных смартфонов и ноутбуков сейчас критически важен», - пояснил он.

Участники пришли к выводу, что безопасность удалённого доступа требует комплексного подхода: организационных изменений, технологических решений и внимания к конечным устройствам. Особое внимание уделялось поиску компромисса между удобством и защитой, а также необходимости учитывать интересы не только бизнеса, но и рядовых пользователей.

Старые системы, новые проблемы

Дискуссия плавно перешла к теме замены унаследованных западных систем, которые перестали обновляться и могут нести потенциальные угрозы. Ключевой вопрос: что делать со старыми системами? Держать их, пока работают, или отключать, даже если это приведёт к деградации функционала?

Игорь Годин поделился своим подходом: «Мы выделили критичные системы и начали миграцию постепенно. Системы, которые уже не поддерживаются, как, например, софт Microsoft, замещаем в первую очередь. Те, что менее критичны, меняем позже». Он отметил, что в сфере безопасности легче переходить на отечественные или open-source решения: «Всё, что связано с SIEM, базами данных, хранилищами — можно заменить, хоть и не всегда просто. Open-source помогает справиться с уходом вендоров».

Однако он отметил, что замена — это не просто процесс, особенно в случае сложных решений: «Правила для SIEM-систем переносятся не так легко. У заказчиков с длинной историей и специфичными правилами корреляции переход может быть очень трудоёмким».

Общий вывод: миграция на новые платформы — это долгий и болезненный процесс, который требует чёткого планирования. Первым шагом должно быть выделение наиболее критичных систем и их замена, будь то на отечественные аналоги или open-source решения. При этом переход требует не только технической, но и организационной адаптации, что особенно важно для крупных компаний с унаследованными сложными инфраструктурами.

Наталья Никольская (Правительство Республики Карелии) с лёгкой иронией ответила на вопрос о переходе с Windows и западных решений: «Мы почти всё заменили, но давайте честно, что лучше — знакомый враг или незнакомый друг?» Она напомнила, что западные системы, несмотря на свои уязвимости, десятилетиями оттачивались гениями, включая наших соотечественников. «Мы знаем, как они работают, где их слабые места. А когда мы всё выключаем и переходим на что-то новое, то встречаем ещё больше неизвестности, даже от наших вендоров», — отметила она.

По ее словам замена западных систем должна быть взвешенной и параллельной: «Если западное решение стабильно работает в изолированном режиме, без обновлений, то зачем менять его прямо сейчас? Особенно когда речь идёт о сложных системах, вроде SAP. У наших разработчиков нет такой базы, они бегут вперёд, пытаясь закрыть задачи, но банальные вещи ещё не успевают доделывать». Наталья выступила за плавный переход: «Параллельная инфраструктура — это ключ. Переезд должен быть постепенным и аккуратным, особенно если система серьёзная. Бизнесу в этом плане проще, а вот государству при ограниченности ресурсов-финансовых, кадровых, временных и жёсткому подходу регуляторов, приходится намного тяжелее».

Александр Попов отметил успех Ленинградской области в переходе на российское сетевое и серверное оборудование, но признал, что есть ниши, которые пока остаются проблемными. «Наши разработчики пока не могут предложить что-то, что полноценно закроет их функционал. Да, у нас экраны стоят в изолированном сегменте, не обновляются, но работают надёжно. Однако лицензия ФСТЭК истекает в 2025 году, и нас уже давят с заменой», — рассказал он. Александр добавил, что отечественные производители межсетевых экранов нередко завышают характеристики своих решений. Например, реальные показатели пропускной способности и производительности зачастую не соответствуют заявленным.

Тестируйте, сравнивайте, улучшайте — рецепт успешной замены

Роман Цыганков развил тему, обратив внимание на бизнес-аспекты импортозамещения: «Для бизнеса это не цель, а средство. Мы всегда сравниваем: что получим за те деньги, которые вложим в отечественные решения? Если выгоды нет, зачем переходить?» Он подчеркнул, что компании часто оказываются в ситуации, когда приобретается множество решений, из которых используется лишь малая часть. «ИТ рискует стать бездонной бочкой, в которую мы вкидываем деньги, а результатом оказывается полка с недоиспользуемыми продуктами», — отметил он.

По мнению эксперта подход к замене должен быть взвешенным, а разработчики обязаны учитывать реальные потребности и возможности пользователей, чтобы избежать неоправданных затрат.

Дискуссия о замене западных решений накалилась, когда речь зашла о российских продуктах NGFW (Next-Generation Firewall). Рустэм Хайретдинов подкинул «мяч» производителям: «Ну что, ответите на критику?»

Игорь Матвиенко честно признал: «Два года назад мы сами сидели на Check Point. Сейчас разрабатываем свой продукт. Переходить на российское нужно, но с умом. Мы всегда говорим: тестируйте, пробуйте, а потом принимайте решение. Мы, как производители, даём инструменты, чтобы выбор был взвешенным и осознанным».

«Хороший продукт появляется, когда его активно используют. Все внедрения сейчас — это наработка опыта, который позволит следующим пользователям получить более зрелые и проверенные решения. Поэтому важно сравнивать, тестировать и принимать осознанные решения»,- сделал акцент на важности обратной связи Александр Луганский.

Но Сергей Дурягин сдержанно заметил: «Если кто-то из наших вендоров заявляет, что полностью соответствует западным аналогам, — он явно привирает. У нас есть отставание, связанное с финансами и ресурсами. Минцифры пытается разработать единые методики оценки, но это сложно. Каждый измеряет показатели по своей системе».

Игорь Годин задал неудобный вопрос: «Как вы собираетесь создать хороший продукт для такой маленькой экономики, как наша? У мировых гигантов, вроде Check Point и Cisco, рынок огромный, а у вас он гораздо меньше. Как вы будете конкурировать? У нас есть шанс на успех или мы все "умрём"?»

Ответы участников показали, что путь к полному импортозамещению тернист, но возможен. Главный вывод: нужны осознанные подходы, тестирование решений и тесное взаимодействие производителей с бизнесом и госструктурами. Однако конкуренция на маленьком рынке остаётся ключевым вызовом для отечественных разработчиков.

Роман Цыганков предложил взглянуть на ситуацию с позиции заказчика: «Мы часто критикуем российских вендоров, но ведь долгое время сами не ориентировались на них. Ожидать, что они за два года догонят то, что создавалось десятилетиями, — это абсурд». Он также отметил, что в 2022 году отечественные производители порой вели себя с позиции силы: «Вам деваться некуда, пользуйтесь тем, что есть». Однако затем ситуация изменилась: «Они начали давать продукты на тестирование, стали лучше ориентироваться на запросы пользователей». Эксперт подчеркнул важность обратной связи: «Мы требуем от вендоров совершенства, но сами часто не даём конструктивной обратной связи. Тестируйте, предлагайте, помогайте улучшать. Продукты несовершенны, но это совместная работа».

Получается, что ключом к улучшению отечественных решений является не только усиленная работа производителей, но и активное участие заказчиков. Переходный период сложен, но обе стороны начинают находить точки соприкосновения.

Игра в прятки

Нужно ли скрывать, какими средствами защиты пользуются компании? Часто производители сталкиваются с отказами на предложение рассказать о внедрении успешных решений: «Никто не должен знать, чем мы защищаемся. Иначе нас легче будет взломать», - поднял животрепещущую тему Рустэм Хайретдинов.

Сергей Белан ответил лаконично: «Чем меньше мы говорим, какие у нас пушки, тем легче ими пользоваться». Он привёл пример: «Например есть один иностранный продукт. В мае они выпустили заплатку для серьёзной уязвимости, о которой мы им сообщали. Это пример, почему иногда лучше не афишировать свои решения».

Игорь Годин, однако, раскритиковал подход security through obscurity: «Это не работает в долгосрочной перспективе. Специалисты увольняются, информация всё равно попадает на рынок, да и закупки часто открыты». Он также отметил, что современные угрозы идут от технических разведок крупных государств, и скрытность тут не поможет. «Они не просто хотят нас взломать, а готовы, при необходимости, отключить энергетику, финансовые системы, переводы — весь апокалиптический сценарий. Это реальность, и мы должны её учитывать», — подчеркнул он. Эксперт привёл пример из банковского сектора начала 2010-х, когда массовое закрытие банков привело к утечкам информации от бывших сотрудников. «Тогда мошенники узнали о слабых местах банкоматов и использовали это для атак. Кто им сказал? Бывшие работники. Это доказывает, что security by obscurity — ложная надежда», — заявил он. Скрытность — не универсальный инструмент, а осознанность, адаптация и устойчивость к угрозам — вот что действительно важно.

Кто в ответе за взлом?

Обсуждение ответственности за информационную безопасность завершило круглый стол на философской ноте. «Если взлом неизбежен, значит и наша ответственность неизбежна. Как вы справляетесь с этой обречённостью?», - задал вопрос участникам модератор.

Игорь Бедеров поделился личным опытом: «Я трижды участвовал в совещаниях после хакерских атак на предприятия с госучастием. В каждом случае звучал вопрос: «Давайте заплатим?». Меня поражает, насколько легко это обсуждается, хотя всем понятно, что это деньги террористам. А ещё мы видим в Телеграме и Даркнете, как хакеры угрожают вылить всю информацию о переговорах и выплатах. Это серьёзный риск, и многим стоит заранее подготовиться».

«Если бизнес не выделяет деньги, я считаю, что это моя ошибка. Значит, я не смог убедить. Меня так воспитали: отвечать за свои действия и принимать последствия как часть профессии», - Роман Цыганков отметил, что воспринимает ответственность как неотъемлемую часть своей работы.

Александр Попов добавил: «Ответственность несёт тот, кто отвечает за безопасность. Если что-то случится, хакера могут поймать, но полетит тот, кто допустил инцидент».

Рустэм, с долей юмора, напомнил: «Иногда ответственность прилетает не через суд. Если найдёшь хакера, будь готов к последствиям».

***

Дискуссия завершилась на философской ноте: безопасность — это постоянный компромисс, где идеальных решений нет. Участники признали, что в условиях, когда взломы становятся нормой, приходится лавировать между защитой данных, удобством сервисов и ограничениями бюджета. Кто-то говорил о необходимости менять правила игры, чтобы регуляторы лучше учитывали реальность, кто-то делился личным опытом блокировки небезопасных сервисов. Прозвучал даже неудобный вопрос: а готовы ли вендоры и регуляторы разделить ответственность с теми, кто ежедневно сталкивается с киберугрозами?

Общий вывод прост: проблем много, решений пока меньше, но главное — это постоянный диалог и готовность адаптироваться. Ведь безопасность — это не про идеал, а про способность вовремя реагировать и учиться на ошибках.