В истории организационных сбоев прослеживается некая закономерность, которая повторяется слишком часто, чтобы быть простой случайностью: система работает бесперебойно в течение длительного времени, что приводит к росту доверия к ней со стороны всех. Почти всегда это также незаметно подрывает бдительность, которая изначально обеспечивала бесперебойную работу системы. И затем система выходит из строя — именно в тот момент, когда все участники процесса сказали бы вам, что она находится в отличном состоянии.
Как бы это ни звучало противоречиво, стабильность сама по себе может быть дестабилизирующим фактором. Она порождает самоуспокоенность, которая затем приводит к сокращению инвестиций в меры готовности и увеличивает разрыв между реальным и воспринимаемым риском. Автор Морган Хаузел сжал эту закономерность в шесть слов: «Спокойствие сеет семена безумия». Это проявляется довольно наглядно и с почти клинической регулярностью на финансовых рынках, но, поскольку это вплетено в саму ткань человеческой психологии, кибербезопасность от этого ни в коем случае не избавлена.
И вот так компания, которая не подвергалась взломам, склонна считать свою систему безопасности адекватной. Спокойствие воспринимается как доказательство того, что опасность миновала, что изменяет поведение таким образом, что опасность возвращается. Это предположение незаметно укрепляется, даже если никто не формулирует его явно: если ничего не пошло не так, значит, наши меры контроля должны быть превосходны. Но в некоторых случаях это может быть ошибочным приравниванием отсутствия доказательств к доказательству отсутствия.
Или, если посмотреть с другой стороны, отсутствие видимых инцидентов — это просто тишина, а тишина может означать многое. Компания с безупречной репутацией действительно может иметь первоклассную защиту. Но она также могла просто избежать внимания тех, кто еще не проявил достаточной злонамеренности и целеустремленности — в конце концов, в море много рыбы.
Это поднимает как минимум два вопроса, которые стоит задать: знаете ли вы, что ваша среда настолько безопасна, насколько это возможно, от угроз, циркулирующих сейчас? Или вы знаете только то, что ваши (базовые) меры контроля на месте? Многие организации отвечают на второй вопрос, полагая, что ответили и на первый. Они могут прибегать к системам обеспечения соответствия, хотя те не обязательно проверяют, являются ли меры адекватными в отношении угроз, циркулирующих прямо сейчас. Таким образом, компания может одновременно соблюдать нормативные требования и оставаться уязвимой. (Не чувствуете ли и вы парадокс кошки Шредингера?)
Еще больше ловушек
Формальное состояние безопасности организации легко измерить и — если все идет хорошо — легко почувствовать себя уверенно. А вот то, продаются ли учетные данные сотрудников на рынках даркнета или может ли инструмент EDR вашей организации в некоторых случаях быть обезврежен легкодоступным «анти-инструментом» — это сложнее оценить, не заглянув в места, о которых многие организации и не думают.
Действительно, человеческая склонность, если ее не корректировать сознательно, заключается в том, чтобы опираться на легкодоступную информацию, чтобы построить то, что, по его мнению, является связной историей. Это происходит в ущерб труднодоступной информации и с блаженным пренебрежением к тому, какая из двух категорий более поучительна. Что особенно важно, ум не отмечает того, чего не хватает — картина кажется полной, и уверенность кажется заслуженной, несмотря ни на что. Покойный психолог Даниэль Канеман придумал аббревиатуру для этой привычки: WYSIATI (What You See Is All There Is — «То, что вы видите, — это все, что есть»).
Проблема может усугубиться, если учесть, как многие лица, принимающие решения, относятся к риску: если что-то нельзя измерить, это не имеет значения. На практике часто ближе к истине обратное, до такой степени, что лежащая в основе проблема приобрела статусзаблуждения. Не углубляясь в эту тему, достаточно сказать, что как только вы заметите хотя бы некоторые из этих ловушек, вы уже не сможете их «не видеть».
В своем отчете «Расследования утечек данных 2025» компания Verizon количественно оценила, насколько большим может быть разрыв между воспринимаемой безопасностью и фактической уязвимостью: она обнаружила, что домены 54 % жертв программ-вымогателей появлялись по крайней мере в одном журнале инфостилера или в публикации на нелегальном рынке еще до атаки. Данные доступа уже циркулировали — а в некоторых случаях утечка, возможно, уже произошла — даже когда все казалось в порядке.
Такого рода «слепые зоны» наносят наибольший ущерб компаниям, чьи системы безопасности не способны выявлять следы поведения злоумышленников, такие как попытки отключить процессы безопасности. Для устранения этой проблемы необходимо изменить то, что видно, и использовать правильные инструменты — такие, которые не ограничиваются подтверждением наличия средств контроля, а сигнализируют о том, что что-то в среде ведет себя подозрительно.
Когда доверие рушится
Все это имеет значение еще и потому, что проникновение программ-вымогателей — это событие, влияющее на непрерывность бизнеса, последствия которого распространяются далеко и широко. Когда в 2024 году Change Healthcare стала жертвой программ-вымогателей, последствия для больниц и аптек длились месяцами, не говоря уже о том, что инцидент затронул почти все население США. Общая стоимость ущерба составила, по оценкам, 3 миллиарда долларов. Атака программ-вымогателей на Jaguar Land Rover в 2025 году нанесла аналогичный финансовый ущерб.
Между тем, по оценкам IBM, средняя стоимость утечки данных составляет около 5 миллионов долларов, включая простои, восстановление и последующий ущерб. Специально для организаций здравоохранения средний показатель составляет почти 10 миллионов долларов. И эти цифры не отражают долгосрочные последствия, такие как невозобновленные контракты с клиентами или резкий рост страховых взносов.
Ущерб нарастает в течение месяцев и лет, особенно в тех случаях, когда похищенные данные попадают на специализированные сайты утечек (DLS), как это часто бывает в наши дни. Публичное раскрытие корпоративных данных само по себе вызывает кризис, поскольку выложенные контракты, электронные письма и личные данные становятся пищей для последующих атак, таких как фишинг и мошенничество с компрометацией деловой электронной почты (BEC).
Вскоре вступают в силу и нормативные обязательства. В то же время клиенты и партнеры начинают задавать вопросы, на которые у компании зачастую нет возможности ответить. И есть еще одно предостережение, о котором должны помнить специалисты по защите: данные отражают только то, что преступники решают «рекламировать» — считается, что данные лишь небольшой части жертв программ-вымогателей попадают на эти сайты.
Дисциплина — это все
Помимо правильных инструментов и людей, безопасность, которая сохраняется с течением времени, основана на привычке наблюдать и адаптироваться. Все это основано на осознании того, что происходит в среде угроз, не говоря уже о вашей собственной ИТ-среде.
Конечно, постоянная бдительность в отсутствие видимой и острой угрозы обходится дорого — в психологическом плане. Людям трудно оставаться начеку в отношении событий, которые не кажутся неминуемыми, а переход к самоуспокоенности происходит настолько постепенно, что редко воспринимается как сознательное решение.
Но поскольку сторона угроз в этом «уравнении» никогда не стоит на месте, сторона защиты тоже не может этого делать. Аналитика угроз, особенно та, которая предоставляет множество сигналов об активных кампаниях, является основой этой осведомленности. Именно ее инструменты безопасности могут «превратить» в обнаружения и предупреждения, которые позволяют командам безопасности действовать вовремя. Без нее разрыв между тем, что организация думает о своей безопасности, и тем, что на самом деле происходит, может продолжать увеличиваться — пока его не устранят, причем довольно дорого, киберпреступники.