«Почините крышу, пока светит солнце».
– пословица
В сфере кибербезопасности есть привычное выражение, предвещающее приближение бури: «Взлом — это вопрос не «если», а «когда». Хотя эта суровая поговорка отрасли, вероятно, никогда не была более верной, иногда кажется, что с годами она утратила часть своей остроты. Все согласны с тем, что «на горизонте может появиться туча», но достаточно ли этого, чтобы заставить их разработать или пересмотреть свой план действий на случай чрезвычайных ситуаций в сфере ИТ? Иными словами, готовы ли организации принять на себя тот уровень операционных затруднений, который они смогут выдержать во время атаки?
Конечно, киберинцидент не сообщит никому дату, к которой нужно подготовиться. Организации могут только предполагать, что он наступит — рано или поздно, в той или иной форме и с той или иной стороны. Но одного этого осознания явно недостаточно, чтобы подготовиться к отражению атаки. Любое предупреждение имеет значение только тогда, когда оно побуждает к действию, и компании, у которых больше всего шансов выйти из ситуации невредимыми, — это те, кто использовал спокойные часы для того, чтобы трезво оценить ключевые риски и подготовиться так, как будто дата уже известна.
Пробелы и огромные дыры
Индекс киберготовности малых и средних предприятий ESET 2026 был разработан для измерения разрыва между тем, как часто малые и средние предприятия попадают в поле зрения злоумышленников, и тем, насколько уверенно они считают, что смогут выдержать удар. В ходе опроса 4 400 руководителей в США, Канаде, Европе, на Ближнем Востоке и в Японии было установлено, что 45 % малых и средних предприятий (МСП) зафиксировали как минимум один киберинцидент за последние двенадцать месяцев.
Еще более интересным открытием является то, что происходит с уверенностью после реального инцидента. Во всем мире 75 % респондентов описывают себя как очень или немного уверенных в своей устойчивости, а среди тех, кто уже подвергался более чем одному инциденту, этот показатель возрастает до 81 %. В США и Канаде уровень уверенности еще выше: 86 % среди всех респондентов и 91 % среди тех, кто подвергался взломам более одного раза.
Другими словами, уверенность, похоже, растет с частотой инцидентов, а не вопреки ей. Стали ли повторно пострадавшие рассматривать свои столкновения с киберинцидентами как доказательство того, что «то, что не убивает, делает сильнее»? Или они смирились с нарушениями как с частью ведения бизнеса? Вероятно, ни то, ни другое — опрос показал, что многие малые и средние предприятия стали лучше подготовлены, чему способствовали требования страховых компаний, давление со стороны органов регулирования и более качественное обучение по вопросам кибербезопасности.
Тем не менее, те же данные указывают на устойчивый разрыв между ощущением готовности и наличием базовых мер предосторожности. Таким образом, атака, которая не выводит организацию из строя, действительно может сделать ее сильнее — при условии, конечно, что организация извлечет правильные уроки. С другой стороны, атака может также ослабить ее и снизить способность избежать дорогостоящих последствий в будущем. Именно здесь могут помочь дополнительные выводы из отчета.
Как на самом деле начинается большинство инцидентов
Что касается первопричин киберинцидентов, данные ESET указывают на менее «броские» категории: фишинг (26%), незакрытые уязвимости (23%), пробелы в мониторинге (22%) и слабые пароли (20%). Именно эти категории на протяжении многих лет требуют наибольшего внимания, но в сознании людей они часто вытесняются той угрозой, которая доминирует в новостных заголовках. Несмотря на все разговоры об ИИ, автоматизации и изощренности злоумышленников, многие инциденты в малых и средних предприятиях по-прежнему начинаются с привычного сценария.
Это несоответствие проявляется в том, чего боятся малые и средние предприятия: вредоносное ПО на базе ИИ является самой часто упоминаемой угрозой во всем мире (31%), опережая программы-вымогатели и другое вредоносное ПО (29%) и фишинг (26%). Михал Янкех, вице-президент ESET по работе с крупными предприятиями, малым и средним бизнесом и MSP, формулирует это прямо: «Мы обнаружили, что опасения малых и средних предприятий часто формируются заголовками о новых угрозах, таких как атаки на базе ИИ, в то время как более рутинные риски — фишинг, незакрытые уязвимости и отсутствие мониторинга — недооцениваются. Это указывает на то, что многие респонденты неверно оценивают свой уровень безопасности и устойчивость».
Между тем, отчет Verizon «Расследования утечек данных 2026» (DBIR) фиксирует обратную приоритетность со стороны злоумышленников: лишь 2,5% функций вредоносного ПО с поддержкой ИИ использовали редкие или новые методы. Другие выводы DBIR также указывают на то же самое: впервые за девятнадцатилетнюю историю отчета использование уязвимостей обогнало кражу учетных данных как ведущий вектор первоначального доступа (31 % утечек), в то время как среднее время до исправления уязвимостей выросло с 32 до 43 дней в годовом исчислении. Что касается конкретных действий, затрагивающих малые и средние предприятия, то на первое место вновь вышли программы-вымогатели, кража учетных данных и использование уязвимостей.
Золотой час
В неотложной медицине аналогичный промежуток времени называют «золотым часом» — периодом, в течение которого скорость реагирования определяет, можно ли устранить ущерб. В кибербезопасности выбор в равной степени зависит от технических и процедурных факторов. Чтобы остановить распространение «инфекции», часто необходимо знать, как действовать, в том числе когда речь идет о том, чтобы пойти на гарантированный самовызванный сбой сейчас, чтобы избежать более серьезного сбоя позже. Тот, кто может принять или санкционировать такое решение — например, отключить производственную базу данных или перевести платежи в офлайн-режим — должен быть доступен в течение нескольких минут.
Программы-вымогатели — угроза, постоянно нависающая над организациями любого размера, но непропорционально часто нацеленная на малые и средние предприятия — также вступают в разговор на раннем этапе. Согласно DBIR, средняя сумма выкупа в настоящее время составляет 140 000 долларов, и 69 % жертв отказываются платить. В связи с этим рекомендации ESET по чрезвычайным ситуациям и большинство правоохранительных органов прямо заявляют: не платите.
Одновременно запускается еще один отсчет времени. Например, в соответствии с GDPR утечка персональных данных запускает 72-часовой срок для уведомления надзорного органа, независимо от того, завершено ли расследование. Журналы и другие доказательства необходимо собирать параллельно, поскольку их запросят киберстраховщики и правоохранительные органы, а то, что не будет сохранено в первые часы, позже может оказаться невозможным восстановить.
Почему подготовка — это решение
Основные рамки реагирования на инциденты, такие как SP 800-61 NIST, ISO/IEC 27035-1 и Cyber Assessment Framework (CAF) NCSC, уделяют первостепенное внимание подготовке, рассматривая реагирование на инциденты как непрерывную деятельность по управлению рисками. Но ожидание — вера в то, что этот час наступит — конечно же, не то же самое, что подготовка. Последнее — это осознанное решение о том, что, если/когда этот час наступит, компания уже будет знать, как оперативно решать насущные вопросы, и сможет продолжать функционировать, несмотря на неудачи, что само по себе является способностью, лежащей в основе истинной киберустойчивости.
Безусловно, правильные ответы варьируются в зависимости от сектора: производственное предприятие рассматривает доступность как практически первостепенную задачу, поскольку простои приносят убытки с каждой минутой; в то же время больнице, где неправильное отключение может стоить жизни, возможно, придется делать иные расчеты. В любом случае, решения о том, кто имеет полномочия отключить среду, генерирующую доход, или какие услуги могут быть восстановлены в первую очередь, должны приниматься в спокойные часы, а не только после того, как «разразится ад».
Сегодня поверхность атаки обширна, зачастую слишком обширна, и реальная подготовка требует от организации сокращения числа доступных уязвимостей. Известно, что в ИТ-средах накапливается операционный «жир», такой как неподдерживаемые устаревшие системы, недокументированные API или забытые виртуальные машины, от которого не всегда легко избавиться. Однако организациям необходимо приучиться минимизировать свое присутствие в Интернете, поскольку невозможно защитить актив или исправить уязвимость, о существовании которой ИТ-команда не знает.
Интеграция цепочки поставок создает свой собственный вид разрастания, без четкого владельца и с чрезмерным следом разрешений. Отчет ESET оценивает эту стоимость в цифрах: 21% малых и средних предприятий называют сложность интеграции вторым по величине препятствием для улучшений — сразу после, как вы догадались, бюджета. Согласно DBIR, участие третьих сторон в настоящее время составляет 48% всех нарушений, что на 60% больше, чем в прошлом году.
Между тем, дисциплина все чаще навязывается извне. В общей сложности 71% малых и средних предприятий по всему миру теперь имеют киберстраховку, а в Северной Америке этот показатель достигает 84%, причем число страхователей резко растет среди тех, кто неоднократно становился жертвой атак. Более половины застрахованных компаний с многократными инцидентами в истории — 55% по всему миру и 71% в Северной Америке — имеют в своих полисах закрепленные конкретные меры контроля: MFA, управление идентификацией и доступом, EDR или MDR. Только 31% малых и средних предприятий считают, что одной только страховки достаточно для защиты, а 67% во всем мире называют монокультуру одного поставщика в качестве проблемы.
Когда пыль осядет
Анализ после инцидента — это время для вопросов, в том числе неприятных, о мерах предосторожности, которые не были приняты, и мерах по восстановлению, которые считались надежными, но не были протестированы. Организации не должны по умолчанию считать, что злоумышленники обладали необычайными навыками. Иногда это так, но часто реальность гораздо прозаичнее.
Хотя фраза «не «если», а «когда»» никогда не была более верной, одного этого недостаточно, чтобы подготовить бизнес к невзгодам. Предупреждение становится полезным только тогда, когда оно меняет то, что происходит до того, как «наступит срок». Крышу легче починить до того, как начнет идти дождь.
