Бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий, выступая на Всероссийском форуме «ИнфоБЕРЕГ-2022», объяснил, как он разграничивает, какую историю с точки зрения ИБ нужно считать критичной, а какую нет.
«Мы для себя выделяем недопустимые события, проконсультировавшись с бизнесом, который знает, что для него допустимо, а что нет. К примеру, все ругают Роскомнадзор, который оштрафовал «Яндекс.Еду» всего на 60 тысяч рублей. Во-первых, у РКН полномочий больше нет – это предусмотрено КоАПом и больше наказать почти нельзя. А самое главное, давайте говорить честно, утечка этих данных серьезного ущерба не наносила. «Яндекс» хорошо из этого вышел: они расписали, как они проводили расследование, извинились перед клиентами, но с точки зрения бизнеса «Яндекса» утечка этих данных – это, наверно, не критичная история», – высказал своё мнение эксперт.
Лукацкий сравнил эту ситуацию с недавним взломом системы «Яндекс.Такси», когда злоумышленники направили большое число машин по заказам, которых не существовало и в отдельном районе Москвы произошел коллапс. «Яндекс» наверняка предпримет меры, чтобы не повторилось это недопустимое событие, потому что с Кутузовского это можно перенести куда-нибудь в Ново-Огарево или распространить на масштаб всей Москвы. И тогда мало не покажется всем», – подчеркнул Алексей Лукацкий.
В рамках анализа рисков такие риски являются ключевыми, подчеркнул эксперт.