На пороге киберхаоса: почему бизнес готовится не к тем угрозам

Сражение со вчерашними угрозами

На уровне принятия решений корпоративная безопасность часто выглядит как строительство крепости с надежными стенами и прочными замками. Проблема в том, что преступники давно научились открывать двери изнутри — с помощью сотрудников.

Порой фокус хакеров полностью смещается с технических уязвимостей на человеческий фактор. Современные атаки уже далеко не всегда требуют особого кода — достаточно манипуляций с сотрудником, особенно если у него есть расширенные привилегии доступа. По сути, вместо поиска багов в ПО киберпреступники все чаще ищут «баги» в поведении людей.

Иногда хакерам в принципе не нужно ничего делать. Ведь сотрудники могут самостоятельно преднамеренно передавать данные третьим лицам. Мотивы бывают разными — от желания заработать до стремления самоутвердиться. Так, в 2024 году возросло количество инцидентов по вине внутреннего нарушителя. Причем почти каждый пятый стал следствием преднамеренных действий персонала.

При этом риску подвержены как небольшие компании, так и крупные корпорации. Так, в 2023 году двое сотрудников Tesla сумели украсть более 100 Гб критически важной информации, включая персональные данные клиентов, не прибегая к изощренным хакерским трюкам. Это пример новой эпохи атак, где человеческое звено оказывается слабейшим.

Не доверяй никому

Большинство систем безопасности построено по принципу доверия. Администратор или разработчик с доступом к системам — это по умолчанию «свой человек». Но если именно он решает украсть данные или допускает ошибку, никакая классическая система защиты его не остановит.

Яркий пример — инцидент с авиакомпанией Pegasus Airlines. В 2022 году из-за ошибки IT-специалистов при настройке облачного хранилища 6,5 ТБ конфиденциальных данных компании оказались в открытом доступе. Среди них — 23 млн файлов, содержащих карты полетов, навигационные материалы и личную информацию экипажа.

Поэтому архитектура будущего — это отказ от самой идеи «доверия». Zero Trust не модный термин, а технологическая необходимость, эта модель исключает привилегии по умолчанию. Каждый доступ, каждый запрос должен быть проверен, независимо от статуса сотрудника. Минимум прав, максимум наблюдаемости и контроля. И это не паранойя, а фактически единственный способ защититься в реальности, где опасность может исходить изнутри.

Дипфейки, продвинутый фишинг и атаки будущего

Угрозы больше не выглядят как хакер в худи. В 2023 году один из сотрудников компании перевел мошенникам $25 млн после видеозвонка с «финансовым директором». Голос, манера общения, мимика — ничего не вызвало подозрений. Только это был deepfake — технология, позволяющая с помощью ИИ синтезировать изображение и голос жертвы с пугающей точностью.

Фишинговые письма тоже эволюционировали и больше не содержат орфографических ошибок или нелепых формулировок. Они пишутся нейросетями и подделывают стиль реального отправителя так, что отличить их от настоящих практически нельзя.

Даже шифрование, на которое компании порой полагаются как на последнюю линию обороны, уже не кажется нерушимым барьером. Это такой метод кодирования данных, который защищает их от несанкционированного доступа. То есть даже если информация окажется в руках хакеров, без специального ключа прочитать ее не получится.

Чтобы расшифровать данные, взломщики стремятся подобрать подходящий ключ. И если даже современным суперкомпьютерам на такую задачу могут понадобиться годы, то в будущем с помощью квантовых компьютеров с ней можно будет справиться за считаные минуты или даже секунды. Да, пока это всего лишь привлекательная для преступников теория, тем не менее хакеры уже сегодня занимаются так называемым скрейпингом данных — массовым сбором зашифрованной информации в надежде, что в будущем ее можно будет расшифровать с помощью подобных технологий.

Смена парадигмы мышления

Сегодня безопасность выстраивается на наборе разрозненных решений: одни системы отслеживают поведение пользователей, другие управляют доступом, третьи фиксируют аномалии. Но настоящая кибербезопасность не сумма технических решений, а архитектура, где данные просто не могут быть синтезированы вне защищенной среды. На первый взгляд, такой подход может показаться недостижимым, но технологии уже позволяют его реализовать.

Например, бизнес-приложения могут функционировать так, что любые нестандартные способы взаимодействия с данными будут блокироваться в автоматическом режиме. Это возможно, в частности, благодаря технологии User and Entity Behavior Analytics, которая анализирует поведение сотрудников в реальном времени. Так, если врач вдруг начинает обращаться к десяткам карточек пациентов каждую секунду, это может означать, что его учетные данные были скомпрометированы и кто-то пытается массово скачать базу. В этом случае система автоматически блокирует доступ и уведомляет службу безопасности. Другая ситуация — если тот же врач открывает медицинскую карту пациента, который не приходил в клинику и не записан на прием. Такая активность также может быть расценена как подозрительная и привести к проверке системой.

В этом контексте одним из наиболее перспективных направлений можно назвать системы класса Data Security Platform (DSP), или «платформы безопасности данных». Концепцию DSP представили аналитики Gartner в 2021 году. Это стало своего рода ответом на растущий спрос на интегрированные решения, способные охватывать весь жизненный цикл работы с чувствительной информацией и обеспечивать ее безопасность. Подобные системы объединяют ключевые инструменты защиты данных: классификацию, аудит и мониторинг, шифрование на всех уровнях, гибкое управление доступом, обнаружение угроз в режиме реального времени и автоматическое предотвращение утечек.

Но несмотря на высокий потенциал этого класса решений, российский рынок платформ безопасности данных пока остается неоднородным. На фоне растущего интереса некоторые вендоры пошли на уловки, фактически объединяя под этим термином набор разрозненных продуктов. Однако просто назвать решение «платформой безопасности данных» — еще не значит предоставить весь спектр технологических возможностей, заложенных в современную архитектуру DSP. Поэтому при выборе подобных систем важно проверять, соответствуют ли они ключевым требованиям Gartner и общемировым стандартам, ведь только в этом случае компания получит реальную защиту.

Именно проактивная безопасность, а не реагирование постфактум, становится новой нормой. И либо бизнес продолжает инвестировать в укрепление «стен», пока преступники ожидают, когда им откроют двери изнутри. Либо меняет саму философию защиты: исключает доверие, минимизирует доступ, изолирует критические данные и переходит к архитектурам, которые позволяют работать в условиях, когда атака — это уже не гипотеза, а постоянная реальность. Вопрос в том, кто какие позиции займет.

Мнение редакции может не совпадать с точкой зрения автора