Год атакующей кобры или дохлого ужа? Делайте вашу ставку!

Идея подводить итоги ушедшего года в феврале выглядит достаточно странно (страннее только публикация списков трендовых уязвимостей спустя месяц после их обнаружения; какие же они тогда трендовые?). Давать прогнозы в наше нестабильное время… тоже выглядит так себе идеей. Поэтому я буду просто рассуждать о том, что занимало меня в 2024 году, и поделюсь выводами из проектов, которыми я занимался. Кроме того, попробую дать немного советов, которые помогут обеспечить собственную устойчивость в это непростое время.

Однако начну я с небольшого ликбеза по экономике, которая не часто занимает умы специалистов по безопасности (если вы не CISO, который должен понимать, откуда приходят и куда уходят деньги в компании). Знать это и в тучные времена неплохо, а в нестабильное время крайне важно. Текущий 2025-й год точно будет непростым, а для кого-то и достаточно печальным.

Делайте вашу ставку!

Прошлый год ознаменовался растущей ключевой ставкой Банка России. Для личных вкладов это хорошая история, так как позволяет положить деньги под больший процент, а вот на корпоративный бюджет и бюджет конкретно ИБ рост ставки может повлиять не так положительно. С повышением ставки не только увеличивается стоимость заемных средств, но и снижается вероятность получения кредитов на развитие, что касается любого предприятия и его ИБ-функции в том числе. Это ведет к следующим возможным последствиям для бюджета (и принятию финансовыми директорами компаний непопулярных решений):

• Увеличение стоимости кредитов. Если компания использует заемные средства для финансирования новых проектов или текущей деятельности, повышение ставки увеличивает процентные расходы. Это может привести к росту финансовой нагрузки на бюджет, к чему CFO могут быть не готовы. Привлечение новых кредитов для расширения бизнеса или финансирования текущих операций тоже будет под вопросом.
• Снижение доходов. Высокие процентные ставки могут замедлить общую экономическую активность в отрасли, что, в свою очередь, может сказаться на продажах и доходах компании, особенно если ее бизнес зависит от потребительского спроса. А это может привести к урезанию бюджетов, в том числе на фонд оплаты труда.
• Отток средств на обслуживание долга. Увеличение ставки увеличивает расходы на обслуживание существующего долга, что может сократить потенциально доступные для других целей финансовые ресурсы.

Компания и ее финансовый директор в этом случае будут следовать разным стратегиям. Они будут зависеть от того, насколько предприятие зависимо от заемных средств, в каком состоянии находятся его финансы, каков обычный график прихода денежных средств в компанию. Например:

• Отказ от капиталоемких проектов или их отсрочка. Финансовые директора могут откладывать запуск новых дорогостоящих проектов, которые требуют значительных инвестиций или заемных средств, ожидая более выгодных условий в будущем. В контексте ИБ это может означать отказ от импортозамещения (если оно еще не проведено) и перехода на отечественные средства кибербезопасности, а для ИБ-вендоров — перенос разработки новых продуктов до лучших времен.
• Оптимизация текущих расходов. Часто принимаются меры по сокращению операционных и капитальных затрат, чтобы сохранить ликвидность компании в условиях возросшей стоимости заимствований. Это, скорее всего, приведет к сокращению персонала, который не может показать свою эффективность и результативность в достижении бизнес-целей, а для ИБ-компаний — к увольнению достаточно дорогих специалистов, зарплаты которых очень сильно росли в последние годы.
• Фокус на повышении операционной эффективности. В условиях роста процентных расходов компаниям важно оптимизировать внутренние процессы, повышать маржинальность и искать возможности для увеличения рентабельности без значительных дополнительных инвестиций. От службы информационной безопасности в компаниях потребуется более эффективно использовать существующие ИБ-решения и заниматься большей автоматизацией, а не искать новые и дорогостоящие игрушки.
• Альтернативные источники финансирования. Возможно, компании будут искать другие источники финансирования, такие как выпуск облигаций, привлечение стратегических инвесторов или даже IPO, чтобы избежать высокой стоимости банковских кредитов. Для отечественного ИБ-рынка это означает, что на биржу могут выйти новые игроки, желающие привлечь деньги инвесторов для поддержания текущих проектов и развития новых. Те, кто будет готов войти в эту реку, должны будут перестроить многие свои процессы, чтобы они стали более прозрачными и открытыми. На это смогут согласиться далеко не все российские вендоры, привыкшие к тишине и незаметности.
• Укрепление ликвидности и придерживание кэша. В периоды высокой ставки часто предпочтительнее аккумулировать наличные средства, а не инвестировать их в рискованные или капиталоемкие проекты. Это позволяет компании выдержать повышенные расходы на обслуживание долга и снизить риски нехватки ликвидности.

Совет: пройдите какой-нибудь курс «Финансы для нефинансовых менеджеров», чтобы понять основы корпоративных финансов и то, как мыслят CFO и COO, становящиеся главными лицами в компаниях в 2025-м году. Ну и заодно поинтересуйтесь в своей компании, какой путь выбрала она.

Дерусь просто потому, что я дерусь ©

Что значит этот финансовый ликбез и зачем он в журнале по кибербезопасности? Очень странно жить в мире капитала и быть свободным от него. Современный специалист по безопасности привык к постоянно растущим зарплатам, бюджетам (хотя бы в абсолютном выражении), новым игрушкам, пониженным ставкам по ипотеке, отсрочке от армии и другим «плюшкам» — и даже не задумывается, откуда это все берется. Красивые фразы о том, что с бизнесом надо разговаривать на его языке, обычно так и остаются ничем не подкрепленными. И вот сейчас настал момент, когда тучные времена взяли паузу, а специалистам по кибербезопасности пора задуматься: что позволит им остаться на плаву? Как защитить себя от увольнения? Как доказать свою нужность? Не пора ли прекратить следовать девизу мушкетеров: «Дерусь просто потому, что я дерусь», — или принципу самурая, у которого нет цели, только путь?

Совет: выпишите все результаты своей работы и посмотрите, для чего это все было нужно. Для реализации требований нормативки? Для ускорения каких-либо процессов? Для снижения потерь и расходов? Для роста доходов компании? В чем измеряется результат вашего труда? Вы можете ответить на вопрос, как ваша деятельность влияет на NPS, CSAT, CRR, EBITDA? Только два примера — внедрение беспарольной аутентификации снижает customer retention rate (CRR), то есть уменьшает текучесть клиентов, при этом CAPTCHA тоже снижает, но уже конверсию заходов на сайт в заказы. Казалось бы, два механизма защиты, но какое разное влияние на бизнес-результаты

Все пропало! Гипс снимают, клиент уезжает!.. ©

В ушедшем году я провел немало обучений топ-менеджеров российских предприятий. На одном из таких тренингов один из генеральных директоров сказал, что он не знает, что именно и насколько эффективно делают два подразделения в его компании. Речь шла об отделах маркетинга и кибербезопасности. И почти все руководители первого и второго уровня иерархии в компаниях сходятся во мнении, что они не понимают, что делают их безопасники, на что уходят деньги, какую пользу они приносят бизнесу и как оценивать не только самих ИБ-шников, но и реальную защищенность предприятия (ведь, в конце концов, именно ее и обеспечивают подразделения кибербезопасности).

Значит ли это, что все, кирдык и денег не дадут? Нет. Просто при обосновании бюджета ИБ-шникам придется погружаться в совершенно иные материи, часто далекие от привычных тем, связанных с классической ИБ, — угроз, шифровальщиков, SIEM-решений, мониторинга, управления уязвимостями и т. п. Надо погружаться в операционную эффективность проектов по ИБ, их влияние на достижение бизнес-целей компаний, снижение расходов (главное, чтобы стоимость такого снижения не была больше самого снижения), уход в OPEX'ные модели вместо CAPEX'ных (привет, облачные ИБ-сервисы), а также самостоятельно искать источники финансирования своих проектов (как вы думаете, зачем Positive Technologies запустила программу финансирования ИБ-проектов у своих заказчиков?). И касается это абсолютно любого специалиста, какое бы место в иерархии он ни занимал. Пора уже от вопросов «ЧТО делать?» (уровень исполнителей) и «КАК делать?» (уровень руководителей ИБ-подразделений) переходить к главному вопросу — «ЗАЧЕМ делать?» (уровень реальных CISO). Именно он и позволяет быть на одной волне с топами компании, с ее бизнес-целями… и с правильным распределением финансовых средств, которые позволят ответить именно на вопрос ЗАЧЕМ, а не ЧТО или КАК.

Совет: попробуйте порефлексировать — сесть и подумать, что из того, что вы делаете ежедневно на работе, может быть связано с бизнес-целями компании. Достаточно просто провести декомпозицию этих целей до отдельных проектов и инициатив, оценив свой вклад в них.

Автоматизация и искусственный интеллект

Честно признаем: к тому моменту, как мы сможем ответить на главный вопрос, кто-то уже покинет компанию, как балласт, который не дает ей подняться. Но объем задач в области ИБ не уменьшится. Учитывая увеличение объема нормативки и числа проектов по цифровизации, работы станет только больше. А значит, надо активнее смотреть в сторону автоматизации, которая может быть достигнута не только за счет покупки новых ИБ-средств (называйте их хоть SOAR, хоть метапродукты, хоть как-то еще), но, скорее, за счет самостоятельной разработки скриптов, автоматизирующих рутинные задачи, а также применения искусственного интеллекта. Не ошибусь, если скажу, что 2025-й станет годом расцвета ИИ-агентов (и мультиагентских ИИ), которые будут активно применяться для решения совершенно разных задач — в мониторинге угроз и управлении инцидентами, в управлении идентификационной информацией и уязвимостями, в управлении персоналом, обучении и взаимодействии с сотрудниками, а также во множестве других доменов кибербезопасности. При этом нельзя сказать, что это сложная и неподъемная задача. На Hugging Face уже выложено немало готовых моделей, которые можно использовать для разработки собственных ИИ-агентов. Кроме того, доступны и различные фреймворки для этого (CrewAI, LangChain или LlamaIndex).

Совет: пройдите курс по искусственному интеллекту и программированию и попробуйте написать чат-бота или ИИ-агент для решения какой-либо задачи, например бота для приема сообщений об аномалиях или инцидентах от сотрудников с автоматическим разбором получаемых индикаторов. А еще можно провести внутреннюю олимпиаду по программированию, что заставит и вас самих подтянуться в этом вопросе, и лучше понять возможности хакеров, которые все чаще будут использовать ИИ в своих кампаниях. И не забывайте про рост числа рисков, связанных с ИИ-решениями, особенно с плагинами для браузеров. На момент написания статьи было известно о 16 скомпрометированных ИИ-расширениях для Chrome с кормовой базой пользователей в 600 тысяч человек. Стоит продумать стратегию контроля установки расширений на компьютеры пользователей.

Консультант сначала предлагает «решение», а затем придумывает проблему ©

В LinkedIn ходит история о том, как начались сокращения консультантов в McKinsey & Company. В комментариях люди пишут, что это проблема не конкретной консалтинговой компании, а почти всех, так как в этом году сильно изменится работа консультантов по ИТ, ИБ, по бизнесу и другим направлениям. То, что раньше считалось ноу-хау и инновацией, превращается в коммодити и доступно любому человеку, способному воспользоваться ChatGPT или Perplexity. Это снижает затраты клиентов и ценность самих консультантов. Число аналитиков начального уровня может сократиться на 50–75%, а исследователей — на 90–95%, так как ИИ возьмет на себя функции обработки данных и структурирования проблем, а также более быстрой генерации качественных идей для тех, кто знает, как правильно задавать вопросы.

Для консультантов это тревожный сигнал. Клиенты больше не будут платить за общие советы. Консультант, который не берет на себя ответственность, — это просто посетитель с собственным мнением. Как-то Стив Джобс в своем выступлении высказался подобным образом о консультантах, и это стало распространяться по интернету как пример негативного отношения к ним основателя Apple. Но Джобс имел в виду совсем иное: он был против специалистов, которые дают советы и уходят, не видя, как они воплощаются в жизнь, и не учась на результатах. Это важное напоминание: настоящая ценность консалтинга — в том, чтобы быть рядом с клиентом на всех этапах, от идеи до реализации.

Быть консультантом — значит относиться к бизнесу клиента как к своему. Это не просто выдать рекомендации и уйти, это значит нести ответственность за результат. Когда вы берете на себя эту ответственность, вы начинаете понимать ДНК компании, чувствуете личную заинтересованность в успехе и остаетесь, чтобы довести свои рекомендации до конца. Такой подход позволяет не только делиться знаниями, но и учиться как на успехах, так и на неудачах. Настоящий консалтинг — это не повторение общих решений, вычитанных в учебниках, что сейчас прекрасно может выполнить практически любая LLM-модель, а глубокое понимание уникального контекста бизнеса, ответственность за последствия предложенных идей и готовность внедрять их так, будто это ваш собственный проект.

Совет: привлекая консультантов по кибербезопасности, включите в договор с ними пункт об их ответственности за тот результат, который они вам обещают. Или хотя бы пусть сопровождают вас до самого конца проекта. Например, если речь идет о проекте безопасной кибертрансформации, то пусть консультанты выведут вас на кибериспытания или bug bounty, чтобы подтвердить корректность своих рекомендаций и невозможность вашего взлома. А если речь идет об аутсорсинге каких-либо функций (SOC или сканирование периметра на уязвимости), то почему бы не разделить с подрядчиками финансовую ответственность за результат или не договориться платить им меньше в случае реализации необнаруженного инцидента или проникновения через неидентифицированную уязвимость?..

Сколько вешать в граммах? ©

За последние пять лет размер ИБ-бюджета в процентном соотношении от его ИТ-брата вырос с 8,6% в 2020-м до 13,2% в 2024-м. На первое место среди топ-3 статей расходов вышла оценка защищенности. При этом давайте вернемся к вышеупомянутому мнению генерального директора на тренинге (кстати, не хотите организовать такое в своей компании?) о непонимании способов оценки ИБ. Сегодня практически любой генеральный директор спрашивает своих безопасников: «А чем докажешь, что мы реально защищены?» И ответ «А у нас аттестат соответствия (сертификат, заключение аудитора) есть!» уже мало кого устраивает.

Поэтому набирают популярность разные способы проверки реальной защищенности: пентесты, red teaming, bug bounty, кибериспытания… Если вас не могут взломать квалифицированные (это ключевой фактор) белые хакеры, значит, и черные, скорее всего, не смогут. А вот получение бумаги о соответствии неким бумажным требованиям не гарантирует ничего: хакеры вообще могли не читать стандартов, на соответствие которым вас проверяют аудиторы.

Совет: попробуйте в 2025 году запустить программу bug bounty для какой-нибудь своей системы или проекта. С одной стороны, это недорого, а с другой — покажет реальный выхлоп от деятельности службы ИБ и поможет наладить многие процессы, ранее выстроенные только на бумаге в соответствии с требованиями очередного высокоуровневого стандарта.

Платон мне друг, но истина дороже ©

Думаю, многие слышали о том, что атаки через подрядчиков — это основной бич российских организаций на протяжении последних трех лет. И вряд ли ситуация изменится в этом году. Но вот на что стоит обратить внимание, так это на нашу зависимость от поставщиков услуг с точки зрения их киберустойчивости. Помните историю с CrowdStrike летом 2024-го и с Tenable в декабре 2024 года? В обоих случаях неудачное обновление средств защиты привело к существенным потерям для клиентов ИБ-вендоров. И ведь это не злонамеренное действие — просто так случилось. А обрывы подводных интернет-кабелей прошлой осенью и зимой? Сбой магистрального провайдера в начале января 2025 года, а также множественные атаки с последующим уничтожением инфраструктур отечественных провайдеров услуг и удостоверяющих центров на протяжении всего года дракона. Список можно продолжать.

Впору быть готовым к плану Б, который, конечно же, первым делом ляжет на плечи ИТ-службы, и дистанцироваться от этой темы специалистам по ИБ нельзя. В конце концов, непрерывность функционирования и операционная надежность — это медаль с двумя сторонами (ИТ и ИБ). Возможно, децентрализация смогла бы помочь в решении и этого вопроса (все, что вокруг темы Web3, которая найдет свое отражение и в программе майского PHDays Fest), но в ряде случаев (хостинг, услуги связи, серверы обновлений и т. п.) это зависит не от вас.

Кстати, если ИБ-бюджет — это только 10% от ИТ, то, может быть, пора перестать жить как кошка с собакой и наладить нормальные взаимоотношения со службой информационных технологий? В конце концов, многие инициативы, ранее бывшие исключительно ИБ-шными (управление уязвимостями, антивирусы, межсетевые экраны, управление идентификацией, сегментация, патчинг и т. п.), уже ушли в ИТ. Не случайно в Positive Technologies родилась методология ХардкорИТ, которая как раз является связкой двух ранее не друживших между собой департаментов.

Совет: наладьте взаимодействие между ИТ и ИБ. Помните, что без этой связки киберустойчивость предприятия не обеспечить и с инцидентами эффективно не побороться. Кстати, личный план Б нужен и для отдельных специалистов по ИБ, но это отдельная тема. Ну и раз уж я упомянул инцидент с CrowdStrike, в этом году прогнозируется повтор схожих историй, но запущенных уже с умыслом. Хакеры увидели, что можно сделать с помощью обычного обновления, а значит, будут стремиться атаковать ИБ-компании. Стоит начать проверять все обновления и всерьез задуматься о реализации концепции zero trust в своей компании.

Пора подводить итоги, но не года, а статьи. В книге «Не торопитесь посылать резюме: Нетрадиционные советы тем, кто хочет найти работу свой мечты» есть такая фраза: «Любую работу можно оценить в долларах. И всякая работа имеет ценность. Вы должны тщательно обдумать, каким образом ваша работа создает экономические ценности. В ходе собеседований задавайте вопросы и отвечайте так, чтобы ваша „долларизированная“ полезность стала очевидна для нанимателя».

Наступивший год будет непростым. И не только потому, что 2025 — это полный квадрат (452), сумма 45 первых нечетных чисел, сумма всех цифр в квадрате и сумма кубов всех цифр. Хочется надеяться, что вам не придется внезапно искать работу и вторая часть высказывания выше вам не понадобится. Но сегодня ИБ-шнику уже нельзя не понимать бизнес, в котором он работает, в котором работает его компания, и нельзя не демонстрировать свою ценность. Ну или, как говорил Остап Бендер, придется переквалифицироваться в управдомы.