Цугцванг по-российски. Как штрафы за утечки превратили бизнес в игрока, который проигрывает в любом раскладе

Цугцванг по-российски. Как штрафы за утечки превратили бизнес в игрока, который проигрывает в любом раскладе

Представьте, что вы играете в шахматы. Любой ваш ход ухудшит позицию, но не ходить тоже нельзя — проиграете. Это и есть цугцванг. Теперь замените шахматную доску на российский бизнес, а фигуры — на защиту данных и штрафы за их утечки. Вуаля! Добро пожаловать в реальность, где компании, обрабатывающие персональные данные, оказались в роли игрока, которому законодатели предложили головоломку без правильного решения.

Количество утечек данных стремительно растёт. Системного решения проблемы на государственном уровне не нашлось, поэтому задачу делегировали бизнесу, действуя по принципу «больше боли — больше результата». Наказания ужесточили так, что у руководителей компаний начал развиваться нервный тик. Ведь даже предыдущую редакцию штрафов сложно назвать гуманной.

Отраслевые эксперты засуетились, массово выпуская гайды, чек-листы и таблицы с новыми санкциями — всё, чтобы помочь бизнесу не угодить под каток. Но если отбросить суммы штрафов, возникает вопрос: а что, собственно, изменилось? Как это поможет в борьбе с массовой компрометацией конфиденциальной информации? Проблемы-то остались теми же.

Дефицит квалифицированных кадров

Если представить российский рынок ИТ и информационной безопасности как ресторан, то он напоминает заведение с бесконечным потоком гостей, но всего двумя поварами на кухне. Один из них увлечённо жарит яичницу, а второй пытается на коленке собрать молекулярный десерт. А посетители тем временем стучат вилками и кричат: «Где наш стейк?» Примерно так выглядит ситуация с кадрами: спрос зашкаливает, а предложение едва тлеет.

Процитирую CNews.

«... в России дичайший дефицит ИБ-специалистов. (…) Все хорошие уже заняты, а вузы выпускают "сырых". Количество резюме сокращается при одновременном росте числа открытых вакансий. На борьбу с дефицитом ИБ-кадров уйдут годы, и даже рост предлагаемых зарплат пока не помогает решить проблему. Все хорошие специалисты уже трудоустроены, а выпускников вузов нужно дообучать».

Почему дефицит стал хроническим?

Теория без практики — как суп без соли.

Вузы долгое время готовили специалистов по шаблонам 2000-х: лекции о сетях на примере Windows XP, курсы по защите данных без упоминания облачных технологий. Пока учебные программы проходили согласования, мир уже перешёл на DevOps, AI и Zero Trust.

В итоге выпускники приходят в компании с багажом устаревших знаний, и работодателям приходится тратить месяцы на их обучение. Многие предпочитают не связываться с новичками без опыта и перекупают готовых специалистов, которых и так не хватает. Получается замкнутый круг. Специалистов мало, новички никому не нужны, потому что ничего толком не умеют, но научиться им негде, потому что их не берут на работу.

ИБ — это сложно, дорого и не так интересно, как показывают в фильмах.

Специалисты по безопасности — это «врачи» ИT-мира: их ценят, только когда случилось что-то серьёзное — взлом, утечка, шифровальщик. Но чтобы влиться в ряды спецов по ИБ, нужно:

постоянно учиться: хакеры не спят, а законодатели придумывают новые требования;
работать в условиях стресса: один промах — и компания платит миллионные штрафы.

При этом зарплата junior-аналитика ИБ часто меньше, чем у junior-разработчика. И это обидно. А ещё ответственность, куча бумажной работы, от которой никуда не денешься, беспечные пользователи и суровые руководители. И никакой романтики, никаких сражений с коварными хакерами.

Компании экономят на безопасности

Как правило, руководство воспринимает ИБ как статью расходов, а не инвестиций. Зачем платить 150 тыс. руб. специалисту, если можно назначить «ответственным за всё» сисадмина за 80 тысяч? Зачем покупать новое оборудование, если у нас ещё старое не амортизировано (реальный вопрос от главного бухгалтера)? В результате настройка файрвола превращается в бесконечный квест «как бы не сломать», а проактивная защита остаётся мечтой.

Миф о «всемогущем аутсорсе»

Малый и средний бизнес часто нанимает ИБ-специалистов на аутсорсе, экономя бюджет. Но одна компания-подрядчик может обслуживать десятки клиентов, раскидывая ресурсы тоньше папиросной бумаги. Когда случается инцидент, оказывается, что «ваш куратор в отпуске», а резервных специалистов нет. А если и есть, им нужно время, чтобы погрузиться в детали вашей инфраструктуры и понять, что происходит.

Последствия

«Дырявые» системы и штрафы как норма жизни

Без квалифицированных кадров компании внедряют защиту «для галочки». Сертифицированный ФСТЭК шлюз настроен так, что пароль от админки — 123456, а к сетевому оборудованию можно подключиться из интернета через telnet. Результат предсказуем: утечки, штрафы, репутационные потери.

Перегрузка и выгорание

Один квалифицированный специалист тащит на себе три проекта, ночной мониторинг и поддержку SIEM. Рано или поздно он либо увольняется, либо допускает роковую ошибку. По данным опросов, больше половины ИБ-специалистов в РФ жалуются на хроническую усталость.

Рост киберпреступности

Хакеры прекрасно знают о кадровом голоде. Они атакуют малый бизнес и госсектор, где защита слабее всего. По данным Positive Technologies, «в III квартале 2024 года количество инцидентов увеличилось на 15% по сравнению с III кварталом 2023 и незначительно уменьшилось (на 4%) по сравнению с предыдущим кварталом. Утечки конфиденциальных данных наблюдались более чем в половине (52%) случаев успешных атак на организации. Нарушение основной деятельности наблюдалось на 5% чаще в связи с увеличением активности групп вымогателей».

Импортозамещение в ИБ: когда «сделано у нас» не значит «сделано хорошо»

Представьте, что вам нужно построить крепость, но вместо бетона и стали вы получили глину, солому и добрые напутствия. Примерно так выглядит попытка защититься от утечек данных с помощью импортозамещённых решений. Сертификаты есть, патриотичный логотип и запись в реестре Минсвязи — тоже, но функциональность напоминает швейцарский сыр: дырок больше, чем самой защиты. Почему же «российское — значит надёжное» пока остаётся больше лозунгом, чем реальностью?

Технологическое отставание: не догоним, так хоть согреемся

Большая часть отечественных ИБ-решений, присутствующих в реестре Минцифры, создавались в спешке, под давлением санкций и политики цифрового суверенитета. Результат?

«Копипаст-технологии». Многие продукты представляют собой переупакованный open-source с добавлением пары модулей «для галочки». Например, DLP-системы, которые не умеют анализировать контекст сообщений, а лишь ищут шаблонные фразы вроде «секретно».

Слабая интеграция. Российский SIEM может не «дружить» с корпоративной почтой или CRM, превращая защиту в набор разрозненных инструментов.

По данным ежегодного исследования «СёрчИнформ» за 2024 год, основной трудностью импортозамещения остаются проблемы совместимости решений с текущим софтом и оборудованием и необходимость организации новой ИТ-архитектуры.

Тендеры: где побеждает не качество, а цена

Эту проблему знают все, но никто не придумал, как её решить. Госзакупки выигрывает самое дешёвое предложение. Это может показаться оправданным, поскольку у многих организаций нет денег на дорогие решения, даже если они более эффективны. Но тут появляется риск купить примитивное решение, которое в современных условиях обеспечивает лишь иллюзию защиты. Или получить систему без поддержки.

Обновился — остался без сертификата

Ещё один тонкий момент — сертификация ФСТЭК. Для некоторых организаций использование сертифицированного оборудования и ПО обязательно. Но есть проблема. Сертификация предполагает фиксацию состояния ПО. Любое обновление меняет это состояние.

Таким образом, обновление — риск. Если вендор выпустит патч для закрытия уязвимости, продукт может потерять сертификат. Если не выпустит — систему могут взломать. Компании вынуждены выбирать между безопасностью или законностью.

Сделано в РФ, но… из китайских деталей

Даже «настоящее» импортозамещение часто зависит от иностранных компонентов. Российские серверы и маршрутизаторы собираются на чипах, закупленных через третьи страны. При санкциях поставки останавливаются — и производство встаёт.

Многие «отечественные» решения используют зарубежные библиотеки или фреймворки. Если GitHub или другой репозиторий заблокирует доступ, обновления превратятся в непроходимый лабиринт.

«Мы не умеем этим пользоваться»

Даже идеальное оборудование бесполезно без специалистов. Многие ИБ-специалисты учились на зарубежных продуктах (Cisco, Palo Alto). Переход на российские аналоги требует переподготовки, которую никто не оплачивает.

Но даже самостоятельно изучить не получится: инструкции к отечественному ПО иногда написаны так, будто их переводили с китайского через Google Translate. А изучить тестовую версию «российского ПО» тоже не получится: у большинства вендоров просто нет возможности загрузить пробные версии продуктов.

В итоге получается, что после внедрения российской SIEM сотрудники ЦОД не могут понять, как настроить правила корреляции. И героически сражаются с ложными алертами вместо того, чтобы заниматься действительно полезными вещами.

Человеческий фактор как главная угроза ИБ

Ещё одна нерешённая проблема. Представьте: компания потратила миллионы на суперсовременную систему защиты с квантовым шифрованием и встроенным ИИ для анализа аномалий. А потом сотрудница бухгалтерии Нина Ивановна, получив письмо с текстом «Ваш пароль скомпрометирован! Срочно смените его, или будете уволены», вводит учётные данные для входа в корпоративную сеть на фишинговом сайте. И всё — крепость пала, враг проник в инфраструктуру.

Человеческий фактор как дыра в бронежилете: можно купить самую дорогую защиту, но пуля всё равно попадёт в незащищённое место. Люди остаются людьми: доверчивыми, любопытными, ленивыми и… обиженными на начальство.

Инсайдеры

Сотрудники сливают данные не только из-за доверчивости или лени. Причины бывают разными:

1. Корысть. Продать базу клиентов на чёрном рынке, оказывать услуги по платному «пробиву».
2. Шантаж. «Либо ты устанавливаешь нам софт, либо твоей дочери будет плохо».
3. Месть. Перед увольнением сотрудник открывает доступ в корпоративную сеть и публикует логин и пароль на хакерском форуме.

Статистика: по данным «Информзащиты», в период с января по сентябрь 2024 года доля утечек данных из финансовых организаций из-за действий инсайдеров достигла 31%. Это на 34% ниже, чем за первые девять месяцев 2023 года, но на 28% выше, чем в 2022 году. А всего с января по сентябрь 2024 года в финансовом секторе зафиксировано около 500 случаев утечек данных.

А вот у регулятора другая статистика: Роскомнадзор зафиксировал за 2024 год 135 случаев утечки баз данных, в которых содержались более 710 млн записей о россиянах.

Защита мешает работать

Сотрудники ненавидят сложные пароли, которые надо менять каждые 30 дней, постоянные запросы на подтверждение действий. И уж тем более запрет на вход в личную почту с рабочего компьютера.

Итог: Нина Ивановна пишет пароль на стикере и клеит его на монитор или в секретное место — под клавиатуру. Чтобы не забыть.

Обучение? Нет, не слышали

Многие компании проводят «обучение ИБ» раз в год в формате «посмотрите этот 40-минутный ролик и распишитесь». Или даже просто проходят по кабинетам с бумажным журналом инструктажа и просят расписаться. Да, к сожалению, бывает и такое. Результат обескураживает:

• сотрудники путают фишинг с рыбалкой;
• двухфакторная аутентификация воспринимается как личное оскорбление;
• правило «не подключать флешки неизвестного происхождения» нарушается ровно через день после инструктажа.

Случай из жизни: «Мы проходили это в прошлом году. Зачем повторять? Всё и так понятно!» — говорит сотрудник, который только что ввёл логин-пароль на фишинговом сайте с опечаткой в адресе.

Защита от проверки, а не от взлома

Поскольку решить проблему дефицита специалистов по ИБ в ближайшие 3–4 года точно не получится, а что-то сделать, чтобы не получить штраф, нужно до 30 мая, компании строят потёмкинские деревни из сертифицированного оборудования и ПО, нормативов и регламентов.

Внешне всё выглядит красиво: выполнен комплекс «правовых, организационных и технических мер», как того требует закон. Назначены ответственные, выпущены приказы и регламенты, закуплены системы защиты (если хватило бюджета) или задействовано то, что есть (если подходит под требования закона).

Но только вот всё равно получилась бронированная дверь с сертификатом «Пуленепробиваемая!», в которую забыли врезать замок. Регламенты есть, бумаги подписаны, а злоумышленники всё равно гуляют по системе, как по парку. Почему? Потому что безопасность — это не про документы, а про то, как их исполняют.

Сертификация ≠ защита

Сертификат ФСТЭК или Минцифры — это как диплом о высшем образовании: он подтверждает, что продукт теоретически может работать. Но если админ настроил систему по мануалу 2015 года, не адаптируя её под текущие угрозы, поможет это примерно как изучение латыни перед экзаменом по квантовой физике.

Регламенты, которые никто не читал

Компании гордятся толстой папкой «Политик ИБ», но на деле:

• документы пишутся под копирку, без учёта специфики бизнеса;
• правила вроде «нельзя передавать пароли» соседствуют с практикой «Нина Ивановна, дайте мне ваш логин, я отчёт быстро заполню»;
• обновления регламентов откладываются до «после проверки», которая случится через год.

Случай из жизни. Сотрудник внутреннего контроля филиала банка просил сделать ему папку с документами, подписанную фамилией ИТ/ИБ-аудитора из головной организации, и положить туда все документы, которые требуется предъявить проверке, чтобы не было замечаний. Как всё организовано на самом деле, никто не проверял.

Админ-зомби: «Я месяц не спал, мне всё равно»

Бывает, что за настройкой защиты часто стоит перегруженный специалист, который в итоге настраивает SIEM-систему в три часа ночи, путая правила «разрешить» и «запретить», а затем отключает часть функций, потому что «это тормозит систему, а начальник кричит».

Случай из жизни. В банке админ, спасая сервер от перегрузки, отключил проверку подозрительных исходящих подключений. Через неделю хакеры выкачали данные клиентов через тот самый порт.

На тесты нет времени, работать нужно

Многие компании проверяют защиту только в двух случаях: перед проверкой Роскомнадзора («Быстро сгенерируйте отчёт, что всё работает!») и после утечки («Как так вышло? Мы же купили систему защиты!»). Пентесты проводятся редко или никогда, потому что это дорого и нет времени. Да ещё и если найдут проблемы, придётся их устранять.

В итоге получается, что система считается безопасной, пока хакеры не докажут обратное.

Опасная иллюзия: «У нас всё по стандарту»

Следование стандартам и отраслевым практикам — это хорошо. Но когда компания фокусируется только на соответствии, забывая о сути, может получиться та самая бумажная безопасность, когда готовится папка «Для аудита», но работают как получится: резервные копии делаются, но не проверяются на восстановление, шифрование данных есть, но ключи хранятся в файле «passwords.txt» на рабочем столе.

Итог

Ситуация не слишком вдохновляющая. Выполнять требования закона нужно, иначе можно стать жертвой утечки и получить за это суровое наказание. Что конкретно нужно делать — не очень понятно, если говорить о технической части требований закона. Людей, которые знают и могут настроить эффективную защиту от утечек, катастрофически мало. И если крупные компании с большой вероятностью найдут нужных специалистов среди штатных сотрудников, средний и малый бизнес вынужден будет привлекать аутсорсеров. Которых на всех не хватит.

Непростая ситуация с импортозамещённым оборудованием и ПО — многие продукты из реестра Минцифры (пока?) уступают в функциональности и совместимости западным аналогам. «Отечественные» форки open-source-софта никто толком не умеет обслуживать, кроме их «создателей».

«Защита от проверки» работает до первого инцидента. Чтобы регламенты не стали фикцией, нужно настраивать системы под реальные угрозы, а не под требования бумажек, регулярно тестировать и обновлять защиту, обучать специалистов и беречь их время, не отвлекая бесконечным потоком посторонних задач.

Но даже если все эти проблемы каким-то чудом удастся решить, остаётся ещё одна угроза, которую принимают в расчёт по остаточному принципу, — человеческий фактор. Нейросети, блокчейн и квантовое шифрование не спасут от действий или бездействия людей. Причём речь не только об условной сотруднице бухгалтерии, но и о суровом админе, который забыл вернуть безопасные настройки файрвола или не установил патч для критической уязвимости.

Сейчас компании, словно игроки в русскую рулетку, крутят барабан (пишут регламенты, издают приказы и назначают ответственных), надеясь, что пуля (читай: утечка или проверка) пролетит мимо. И дело не в том, что бизнес ленив или глуп. Просто очевидно, что даже идеальное следование правилам не гарантирует защиты — только отсрочку до следующего «выстрела».

Сертификаты, гайды, чек-листы, приказы и регламенты — это современные амулеты. Компании надеются, что с их помощью они отпугнут злых духов (Роскомнадзор), но забывают, что на хакеров ритуалы не действуют.

Соответствие формальным требованиям не спасает от хакеров, хотя и создаёт иллюзию контроля. Как говорил Оноре де Бальзак, «закон — это паутина. Крупные мухи сквозь неё прорываются, а мелкие — застревают».