Нулевая уязвимость: сколько российский бизнес тратит на защиту от киберугроз

Российская сеть ресторанов «Перчини» в апреле 2023 года впервые столкнулась с кибератакой. Неизвестные заблокировали сайт компании, через который можно было, например, заказать доставку еды. Вместо привычного интерфейса пользователи видели политические лозунги. Команда не раскрывает размер ущерба для бизнеса от действий злоумышленников, но называет его минимальным: сотрудникам удалось возобновить работу ресурса за сутки. 

«Перчини» — не единственная компания, которая стала жертвой хакеров за последние полтора года. Подобные инциденты стали типичными для российского бизнеса после начала «спецоперации»*. Согласно исследованию разработчика IT-продуктов Positive Technologies, за прошедший год число успешных кибератак выросло на 20,8% — с 2418 до 2921. Чаще всего злоумышленники блокировали доступ к сайту компании или меняли контент на площадке на собственные сообщения. Это, в свою очередь, ограничивало работу бизнеса и приводило к утечкам данных. 

Positive Technologies прогнозирует, что за 2023 год число киберпреступлений вырастет минимум на 10% год к году. Forbes поговорил с предпринимателями и узнал, как они готовятся к возможным атакам. 

Атаки и сливы

На сегодня кибербезопасность — один из ключевых вопросов российских компаний, говорит директор по развитию бизнеса в центре противодействия цифровым угрозам Solar JSOC Алексей Павлов. После начала февральских событий атакам массово подверглись крупные предприятия из топливно-энергетического сектора, финансовой отрасли, телеком-индустрии. Среди них — «Газпром», «Лукойл», «Норникель», «Сибур», Сбербанк и др. 

От действий хакеров страдал и бизнес поменьше. По данным интегратора IT-решений К2Тех (среди прочего проводит аудиты цифровых продуктов), в 2022 году жертвой киберпреступников могла стать любая российская компания — от корпорации до микропредприятия. Например, больше половины представителей среднего бизнеса столкнулись с различными типами угроз, включая фишинг, DDOS-атаки и пр.

Почти половина взломов организаций приводила к утечкам конфиденциальной информации, говорят в  Positive Technologies. Например, в начале марта 2022 года пользователи обнаружили в интернете сайт с данными клиентов «Яндекс.Еды». А в мае в сети появились данные 30 млн клиентов  лабораторий «Гемотест». Впоследствии об атаках и сливах сообщали сервис доставки Delivery Club, оператор «Билайн», и сеть магазинов «ВкусВилл» и др.

Всего, по подсчетам аналитической компании InfoWatch, за прошлый год в сеть утекло более 667 млн записей с информацией о пользователях российских сервисов — это в 2,7 раз больше, чем годом ранее. При этом сливы совершались не ради выкупа, а ради максимального ущерба бизнесу и его клиентам. 

Positive Technologies прогнозирует, что в 2023 году тренд сохранится. Согласно данным аналитиков, количество кибератак за I квартал 2023-го уже выросло на 7% по сравнению с IV кварталом прошлого года. Из них 44% привели к нарушениям деятельности компаний, а более половины — к утечкам конфиденциальной информации. 

Цена ошибки 

В ответ на эти проблемы бизнес усиливает защиту. Например, «Яндекс» развивает программу «Охота за ошибками» — вознаграждает сторонних пользователей за сообщения об уязвимостях в сервисах и продуктах компании. Проект существует с 2012 года. Но в 2023-м на фоне атак и утечек технологический гигант увеличил призовой фонд в 2,5 раза — до 100 млн рублей в год.

Расходы на безопасность наращивает и малый бизнес. Например, компания по интерьерному и ландшафтному озеленению Botanicals за 2022 год вложила более 1,5 млн рублей в усиление своего сайта. Команда, в частности, установила более дорогую защиту от вторжений (IPS, Intrusion Prevention System). Она включает спам-фильтр, файервол (предотвращает несанкционированный доступ к корпоративной сети) и антивирус. Стоимость обслуживания IPS выросла с 30 000 рублей до 100 000 рублей в год, рассказала Forbes основательница Botanicals Полина Евсеева. По ее словам, бизнес сталкивался с единичными DDoS-атаками в прошлом. Но за 2022 год ситуация «заметно обострилась»: сайт атаковали минимум раз в один-два месяца. Размер ущерба предпринимательница не раскрыла. 

Усилить безопасность после атак пришлось и «Перчини». В 2023 году ресторанная сеть перешла на более дорогие серверы и разработала систему уведомлений сотрудников. С помощью чат-бота в Telegram компания теперь оповещает руководителей направлений о любых ошибках или сомнительных действиях на ресурсах «Перчини». В связи с этим годовые расходы на информационную безопасность в организации выросли на четверть, говорит ее бренд-директор Елена Носова. Абсолютные цифры и другие детали она называть отказалась. 

Обновить сайт пришлось сервису по ремонту автомобилей «КарданБаланс». С октября 2022 года компания вложила в перезапуск площадки 811 542 рублей, рассказал Forbes директор по развитию компании Александр Приходько. Команда, в частности, перенесла сайт на новый, более дорогой сервер. Расходы на обслуживание хостинга выросли почти втрое — с 6000 рублей в год до 17 000 рублей в год. 

Приходько уточняет, что сервер пришлось менять из-за регулярных атак на российский бизнес в 2022 году. По его словам, автомобильная отрасль редко становится целью злоумышленников — DDoS-атака совершается на хостинг, чтобы «положить» новостные и политические ресурсы или сайты крупных торговых компаний. Но из-за действий преступников «валятся» и другие сайты, расположенные на сервере. Проблема коснулась и «КарданБаланс».

Сейчас компания намерена подключить еще несколько серверов. А это увеличит расходы на годовое обслуживание до 40 000 рублей. Но команда экономить не планирует: «Если раньше выбор хостинга был вопросом цены и простоты в обслуживании, то сейчас в приоритете безопасность и устойчивость [перед атаками]», — поясняет Приходько.  

Осознанная защита

На фоне атак растет и спрос на штатных специалистов по информационной безопасности. По данным К2Тех, о расширении команд задумывались 77% представителей среднего бизнеса в 2022-2023 годах. Согласно результатам опроса HeadHunter (есть у Forbes), проведенного в мае-июне 2023 года, эксперты по информационной безопасности входят в топ-6 самых востребованных IT-специалистов. 

По количеству открытых вакансий лидирует IT-сектор, говорят в HeadHunter. За первые пять месяцев 2023 года компании разместили 4000 предложений о работе для специалистов по информационной безопасности. Это на 7% больше, чем в аналогичный период 2021 года. По словам заместителя директора по безопасности HeadHunter Ксении Трохимец, высокий спрос со стороны IT-отрасли — норма для рынка. Традиционно на сектор приходится треть вакансий в области киберзащиты. Это связано с необходимостью проводить аудит любого IT-продукта и сервиса на предмет уязвимостей, поясняет эксперт. 

Спрос на информационную безопасность заметно вырос со стороны госструктур, отмечают в HeadHunter. С января по май 2023 года число вакансий в отрасли выросло на 45%, до 389 предложений. Причина — в «кратном увеличении» атак на российские государственные сервисы после начала «спецоперации», поясняет Трохимец. Например, в марте 2022 года неизвестные взломали главные страницы арбитражных судов и разместили оскорбления в адрес президента и россиян. Текст также содержал требования импичмента, суда в Гааге и призыв к освобождению политзаключенных. 

При этом закрыть вакансии непросто, уверяют эксперты. По данным HR-отдела К2Тех, на это уходит в среднем месяц в случае специалиста начального уровня, а опытного сотрудника могут искать два-три месяца. Процесс может затянуться и на полгода, говорят в Qrator Labs. Компания зарабатывает сервисы для защиты от киберугроз.

Дефицит квалифицированных специалистов в области информационной безопасности подтверждает Федор Дбар, коммерческий директор разработчика средств защиты информации «Код безопасности». Однако это не новая проблема для отрасли, отмечает он.  С этим согласна старший бизнес-партнер департамента управления персоналом Positive Technologies Анна Римская. По ее словам, недостаток кадров связан с качеством обучения в вузах и на программах переподготовки: «Немногочисленным выпускникам направлений, связанным с кибербезопасностью, часто недостает квалификации».

О кадровом голоде говорит и основатель Qrator Labs Александр Лямин. По его наблюдениям, специалисты неохотно идут в сферу из-за  низких зарплат. По данным HeadHunter, в среднем специалисты по информационной безопасности получают на 50 000 рублей меньше, чем разработчики.  

Компании отчасти закрывают потребность в «безопасниках», переводя на новые задачи штатные IT-кадры и обучая сотрудников, говорят в К2Тех. Однако это сказывается на эффективности защиты, считает руководитель направления консалтинга по вопросам ИБ Анастасия Федорова. По ее словам, зачастую непрофильные сотрудники на старте не понимают, какие угрозы характерны для конкретного бизнеса. На это обращают внимание и в Positive Technologies. По словам старшего бизнес-партнера департамента управления персоналом Positive Technologies Анны Римской, компании смогут минимизировать атаки, если будут подходить к защите информационных активов «системно», «осознанно» и с учетом специфики бизнеса: «В ином случае построить грамотную систему безопасности не получится».

* Согласно требованию Роскомнадзора, при подготовке материалов о специальной операции на востоке Украины все российские СМИ обязаны пользоваться информацией только из официальных источников РФ. Мы не можем публиковать материалы, в которых проводимая операция называется «нападением», «вторжением» либо «объявлением войны», если это не прямая цитата (статья 57 ФЗ о СМИ). В случае нарушения требования со СМИ может быть взыскан штраф в размере 5 млн рублей, также может последовать блокировка издания.