ОРГАНИЗАЦИОННО-УПРАВЛЕНЧЕСКИЕ МЕХАНИЗМЫ ОБЕСПЕЧЕНИЯ КИБЕРБЕЗОПАСНОСТИ РОССИЙСКИХ КОМПАНИЙ Текст научной статьи по специальности «Экономика и бизнес»

ЭКОНОМИКА И ПРЕДПРИНИМАТЕЛЬСТВО

Организационно-управленческие механизмы обеспечения кибербезопасности российских компаний

Мартынюк Максим Сергеевич,

аспирант, Негосударственное образовательное частное учреждение высшего образования Московский финансово-промышленный университет Синергия E-mail: take_over_control@mail.ru

В современных условиях экономической нестабильности и политической напряженности одним из первых вопросов, решаемых как на уровне предприятий, так и на уровне всего государства, является вопрос обеспечения национальной безопасности. При этом наиболее пристальное внимание уделяется кибербезопасности, а активные процессы цифровизации, происходящие в России, повышают риск возникновения кибе-ругроз.

В статье представлены подходы к определению понятия «ки-бербезопасность». Рассмотрены проблемы обеспечения ки-бербезопасности в современной России, а также пути решения выявленных проблем. Автор приходит к выводу, что причинами низкой защищенности предприятий от кибератак являются недостаточная безопасность, отсутствие глубокой защиты; ошибки в кодировании, неадекватное тестирование письменного и библиотечного кода, неправильно зашифрованные данные; устаревшие правила антивирусного программного обеспечения; отсутствие многофакторной аутентификации. Современным решением указанных и других проблем в области обеспечения кибербезопасности является внедрение концепции результативной безопасности. Данная концепция предполагает качественно и количественно измеримую систему защиты информации, которая обеспечивает сохранность активов компании и препятствует наступлению недопустимых событий, благодаря непосредственному включению высшего руководства компании в процесс обеспечения кибербезопасности.

Ключевые слова: кибербезопасность, цифровизация, национальная безопасность, безопасность информации, киберугрозы.

Понятие кибербезопасности не прописано в российском законодательстве и нормативных актах, как, например, понятие информационной безопасности [2, 3]. Еще в 2014 году бизнес-сообщество России предприняло попытку изменить концептуальный подход руководства страны к информационной безопасности. В частности, была предложена национальная стратегия кибербезопасности, в рамках которой бизнес и гражданское общество участвовали бы в разработке стандартов политики кибербезопасности, расширялось международное сотрудничество в области кибербезопасности, учитывался опыт других государств [7]. Однако данная стратегия, как слишком открытая, подверглась критике со стороны Федеральной службы безопасности (ФСБ) РФ и поэтому не была принята. Вместо этого двумя годами позже была принята Доктрина информационной безопасности Российской Федерации [3], которая вообще не предусматривала участия бизнес-сообщества в разработке стандартов кибербезопасности, но устанавливала общие принципы, такие как защита конституционных прав, защита критической информационной инфраструктуры России, развитие российской науки и информационных технологий, предоставление достоверной информации о государственной политике России. То есть Доктрина информационной безопасности ориентируется на понятие информационной безопасности и рассматривает кибербез-опасность как одно из средств, обеспечивающих такую информационную безопасность.

Не однозначно определяется данное понятие и в российских научных источниках, так как оно введено в оборот относительно недавно. В научных источниках было выявлено три подхода к определению сущности кибербезопасности [6, 10-12]:

- кибербезопасность в качестве состояния информационной системы, когда отсутствует опасность для ее функционирования, определенное состояние защищенности;

- кибербезопасность в качестве конкретного свойства информационной системы, которое характеризуется защищенностью от киберу-гроз и атак;

- кибербезопасность в качестве определенной способности информационной системы защищаться и устранять различные киберугрозы. Согласно зарубежному стандарту ISO 27032

от 2012 года, кибербезопасность представляет со-

сз о

со £

m Р сг

СТ1 А

=Е

бой свойство защищенности активов от различных угроз конфиденциальности, целостности, доступности в рамках киберпространства [13]. Кибербез-опасность проявляется как элемент информационной безопасности и занимается защитой подключенных к Интернету систем, включая аппаратное обеспечение, программное обеспечение, программы и данные, от потенциальных кибератак. Он защищает целостность сетей от несанкционированного электронного доступа.

Следовательно, на основании представленных подходов можно отметить, что сущность кибербез-опасности состоит в обеспечении некоторого состояния, характеризующегося отсутствием угроз в киберпространстве, защищённостью и способностью защищаться у информационной системы. Основной целью таких мероприятий является защита информации с помощью предотвращения или снижения уровня рисков со стороны киберугроз, утечки, а также повреждения информации.

В России в последние годы возрастает проблема наличия киберугроз, необходимости обеспечения безопасности и снижения вероятности потери тех или иных цифровых данных. Это обусловлено ростом количества мошенничеств в процессе ускоренной цифровой трансформации российского бизнеса, а также связанного с этим ростом количества киберпреступлений.

Еще недавно специалист по информационной безопасности или кибербезопасности выполнял по большей части формальные функции в организации. Они были направлены на соответствие различным нормативным документам ЦБ РФ, координация и участие в прохождении различных проверок (аудиторских, налоговых и т.д.), работа с системой защиты информации на базе автоматизированной систему учета. Более того, среди инструментов и методов защиты информации использовались только простые, базовые, не предназначенные для выявления и устранения сложных угроз. Например, системы анализа трафика используются только у трети компаний [5]. Реальная необходимость защиты информационных данных не осознавалась руководителями российских компаний. Кибербезопасность в принципе не попадала в фокус внимания руководителя. А привлечение ресурсы для повышения защищенности систем и устранения уязвимостей по факту проведения атаки [8]. За последние несколько лет ситуация значительно изменилась: количество утечек информационных данных возросло и объем потерь в результате утечек в мире, по некоторым оценкам, исчисляется десятками миллиардов долларов. При этом наносимый в результате утечек информационных данных ущерб составляет более 2,5 трлн долларов в год. Общая сумма расходов крупных предприятий мира в области обеспечения кибер-= безопасности и защиты персональных данных сое ставляют более 170 млрд. долларов [6]. Я Что касается России, то в течение крайних пяти ° лет количество кибератак, зафиксированных спе-1 цорганами, возросло почти в 30 раз. Из них коли-

чество успешных атак выросло почти в 2,5 раза (рис. 1).

Ситуация осложняется тем, что уровень кибер-преступности, отмечаемый в России, является низ-кораскрываемым (каждое десятое преступление) [12].

Рис. 1. Динамика количества успешных кибератак в 2018-2023 гг. Источник: составлено по данным [8]

Необходимо отметить активизацию киберпре-ступности, которая произошла в условиях пандемии коронавируса в 2020 году. В связи с необходимостью нахождения граждан в домашних условиях и перевода бизнеса в удаленные каналы взаимодействия повысился риск взломов и кибератак. Влияние пандемии коронавируса на деятельность компаний можно отследить, согласно проведенному исследованию центра НАФИ, результаты которого представлены на рисунке 2.

Изменения в связи с пандемией СОУ11>19 отсутствуют

Всестороннее тестирование к и беру стой ч и в ости организации с учетом маловероятных, но серьезных кибер-угроэ

Более частые взаимодействия между директором по информационной безопасности, генеральным директором и советом директоров

Введение нового процесса бюджетирования инвестиций в кибербезопасность

Кибербезопасность и конфиденциальность данных учитываются в каждом бизнес-решении

Более тщательная и детальная количественная оценка киберрисков

0% 10% 20% 30% 40% 50% 60% ■ Мир ■ Россия

Рис. 2. Результаты опроса центра НАФИ в области обеспечения кибербезопасности в связи с пандемией COVID-19

Источник: [9]

Результаты опроса показывают, что 10% руководителей российских компаний отрицают какое-либо влияние пандемии на их бизнес. По миру данный показатель составляет 4%. Остальные опрошенные находят те или иные последствия в результате пандемии коронавируса. Так, 32% в России и 43% опрошенных компаний в мире стали проводить тестирование киберустойчивости в нестабильных условиях. Более частое взаимодействие с директором по информационной безопасности отмечают 36% опрошенных в России и 43% - в мире. Половина компаний в России стали учитывать кибербезопасность

при принятии управленческих решений. По миру такой показатель значительно ниже и составляет 27%.

Оценка кибербезопасности дает возможность оценки уровня защиты персональной информации в процессе ее передачи путем использования открытых каналов. Для такой оценки используется Пентест (penetration testing), который является методом тестирования наличия и видов уязвимо-стей в киберпространстве организации. Пентест предполагает тест на проникновение в сеть, тест на проникновение приложений, тест на физическое проникновение [15].

В последние годы заметно меняются требования компаний к проведению многочисленных проектов по тестированию на проникновение, поскольку сопоставить результаты пентестов с реальными последствиями для бизнеса становится все сложнее. По данным исследования практикующей компании в области обеспечения кибербезопасности Positive Technologies, в 2021 году появился запрос на верификацию недопустимых для организации событий: в каждом третьем проекте клиенты указывали целевые системы, для которых необходимо было проверить определенные возможности атакующих (например, АСУ ТП, системы управления банкоматами, системы межбанковских переводов SWIFT, «1С» и др.). В 2022 году 47% компаний указывали конкретные цели, которых нужно было достичь при проведении работ, причем в 27% организаций специалисты проводили верификацию недопустимых событий.

Указ Президента РФ № 250 [2] вынудил многие российские компании пересмотреть подход к обеспечению своей кибербезопасности, а также впервые обозначил тот факт, что ответственность за ки-бербезопасность теперь лежит на плечах руководящего звена и первых лиц компании. Ощутим рост внимания и к защите личной информации граждан: например, новые требования Федерального закона № 152-ФЗ [1 ] обязывают компании в течение суток уведомлять ФСБ и Роскомнадзор о произошедших утечках персональных данных.

Однако множество предприятий в России, как и ранее, не уделяют внимания оценке уровня кибербезопасности и мероприятиям по устранению киберугроз. Так, за 2020 год удельный вес предприятий, имеющих собственный центр мониторинга кибератак увеличился до 7%, но является низким, а удельный вес компаний, обладающих специальными программами защиты информации в интернете, увеличился до 14%, что также является низким показателем [9]. Согласно исследованиям в 2023 году, руководители высшего звена видят возросшие угрозы для своей организации и беспокоятся, что они не в полной мере готовы к их устранению. Так, 38% ожидают более серьезных атак через облако в 2023 году, 45% руководителей служб безопасности и ИТ ожидают дальнейшего роста числа атак с использованием программ-вымогателей. Причинами этому являются следующие проблемы обеспечения кибербезопасности на предприятиях [6, 11, 14]:

- недостаточная безопасность, отсутствие глубокой защиты;

- ошибки в кодировании, неадекватное тестирование письменного и библиотечного кода, неправильно зашифрованные данные;

- устаревшие правила антивирусного программного обеспечения, не позволяющие обнаружить вредоносное ПО;

- отсутствие многофакторной аутентификации. На сегодняшний момент защититься абсолютно от всех киберугроз невозможно, и все больше организаций осознают необходимость построения бизнес-ориентированной модели обеспечения кибербезопасности. Ее основная задача - защитить наиболее важные активы компании и предотвратить наступление недопустимых для нее событий. В современных организация появляется результативная кибербезопасность - принципиально иной подход, характерный для организаций со зрелой информационной базой [8].

Результативная безопасность предполагает качественно и количественно измеримую систему защиты информации, которая обеспечивает сохранность активов компании и препятствует наступлению недопустимых событий. Этот подход подразумевает непосредственное включение высшего руководства в развитие информационной безопасности компании, необходимость его участия в формировании перечня недопустимых событий. Реальные опасения и потребности бизнеса становятся основой для постановки конкретных целей кибер-безопасности на предприятии.

За рубежом такой подход уже имеет свои результаты. Как показало исследование компании PWC, по итогам 2022 года более 70% опрошенных отметили множество улучшений в системе кибербезопасности в результате инвестиций в данную сферу и сотрудничества с руководством компаний. Около 70% респондентов ответили, что организациям удавалось предвидеть и устранить новые ки-берриски, связанные с цифровыми инициативами, еще до возникновения негативного влияния на партнеров или клиентов.

Больше половины руководителей (51%) отметили, что для внедрения любого крупного изменения в бизнесе или операционной деятельности им требуется план управления киберрисками. Кроме того, больше половины (52%) заявили, что они намерены возглавить важные инициативы, такие как оптимизация цепочки поставок и отказ от продуктов, ослабляющих позицию предприятия в киберпространстве [14].

В российском сообществе концепция результативной кибербезопасности на данный момент активно развивается. По результатам исследования, проведенного компанией Positive Technologies в начале 2023 года, 71% опрошенных специалистов информационной безопасности и руководителей знаком с общей концепцией результативной кибербезопасности, 59% хорошо понимают, что значит недопустимое событие в контексте результативной безопасности. Среди них 87% уже определили или планируют

сз о

со £

m Р сг

СТ1 А

=Е

û_ e

сч

09

определить недопустимые для своей компании события.

В 22% случаев респонденты ответили, что их компаниям удалось выстроить процессы для поддержания киберустойчивости, например мониторинг и противодействие киберугрозам (рис. 3).

27%

37%

22%

20%

■ Затрудняются с ответом Не планируют

■ Планируют реализовать Уже реализовали

Определены Проведен харденинг Выстроены процессы Проведены недопустимые инфраструктуры для поддержания киберучения или события киберустойчивости запущена программа

багбаунти

Рис. 3. Реализация элементов результативной

безопасности компаниями (доля респондентов),% Источник: составлено автором на основе [8]

В каждом пятом случае компаниям удалось внедрить проведение киберучений или запустить программу поиска уязвимостей за вознаграждение - багбаунти (программа, в рамках которой привлекается множество внештатных исследователей кибербезопасности для поиска уязвимостей в программном обеспечении, веб-приложениях и IT-инфраструктуре).

При этом наиболее востребованными услуги поиска уязвимостей за вознаграждение оказались в следующих отраслях: IT-компании (16%), онлайн-сервисы (14%), сфера услуг (13%), торговля (11%), финансовые организации (9%) и блокчейн-проекты (9%) [8].

Эксперты ожидают разворот этого тренда и на такие сегменты, как государственные организации, страхование, транспорт.

Таким образом, роль кибербезопасности в устойчивости бизнеса и государства становится все более значимой, и потребность в результативной безопасности оказывается одной из ключевых идей для достижения высокого уровня защищенности. Сейчас на рынке повышается потребность в измеримой кибербезопасности, направленной на достижение гарантированного результата -невозможности реализации кибератак с недопустимыми последствиями. Несмотря на видимый прогресс в данной сфере, множество предприятий в России, как и ранее, не уделяют внимания оценке уровня кибербезопасности и мероприятиям по устранению киберугроз. Причинами низкой защищенности предприятий от кибератак являются недостаточная безопасность, отсутствие глубокой защиты; ошибки в кодировании, неадекватное тестирование письменного и библиотечного кода, неправильно зашифрованные данные; устаревшие правила антивирусного программного обеспечения, не позволяющие обнаружить вредоносное ПО; отсутствие многофакторной аутентификации. Современным решением указанных и других проблем

в области обеспечения кибербезопасности является внедрение концепции результативной безопасность. Данная концепция предполагает качественно и количественно измеримую систему защиты информации, которая обеспечивает сохранность активов компании и препятствует наступлению недопустимых событий, благодаря непосредственному включению высшего руководства компании в процесс обеспечения кибербезопасности.

Литература

1. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

2. Указ Президента Российской Федерации от 01.05.2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».

3. Указ Президента РФ от 5 декабря 2016 г. № 646 «Об утверждении Доктрины информационной безопасности Российской Федерации»

4. Указ Президента РФ от 2 июля 2021 г. N 400 «О Стратегии национальной безопасности Российской Федерации»

5. Как российские компании защищаются от целевых атак // Positive Technologies. - URL: https://www.ptsecurity.com/ru-ru/research/analyt-ics/kak-rossijskie-kompanii-zashchishchayutsya-ot-celevyh-atak/ (дата обращения: 10.06.2023).

6. Ковалев, О.Г., Семенова Н.В. Кибербезопас-ность современной России: теоретические и организационно-правовые аспекты // Столыпинский вестник. - 2021. - № 3. - С. 14-19.

7. Концепция стратегии кибербезопасности Российской Федерации. Проект // Itu. - URL: https:// www.itu.int/en/ITU-D/Cybersecurity/Documents/ National_Strategies_Repository/Russia_2014_ Orig_Draft_41d4b3dfbdb25cea8a73.pdf (дата обращения: 10.06.2023).

8. Новая кибербезопасность: от процесса к понятному результату // Positive Technologies. -URL: https://www.ptsecurity.com/ru-ru/research/ analytics/new-cybersecurity-from-process-to-re-suit/ (дата обращения: 10.06.2023).

9. Пандемия и переход компаний на «удаленку». Индекс цифровизации малого и среднего бизнеса [Электронный ресурс] // Аналитический центр НАФИ. - URL: https://nafi.ru/analytics/ pandemiya-i-perekhod-kompaniy-na-udalenku-indeks-tsifrovizatsii-malogo-i-srednego-biznesa/ (дата обращения: 10.06.2023).

10. Платунина, Г.П., Ермоленко Д.С. Кибербезопасность: искусная защита цифровой экономики // Экономика и качество систем связи. -2021. - № 2. - С. 30-40

11. Сафонова, М.Ф., Ципляева С.А. Кибербезо-пасность: проблемы и решения // Естественно-гуманитарные исследования. - 2019. -№ 24(2). - С. 63-68.

12. Шевко, Н.Р., Казанцев С.Я. Кибербезопас-ность: проблемы и пути решения // Вестник

34%

19%

34%

34%

29%

27%

0%

экономической безопасности. - 2020. - № 5. -С.185-189.

13. DS DS/ISO/IEC 27032-2012 Information technology - Security techniques - Guidelines for cyber-security. Информационные технологии. Методы обеспечения безопасности. Руководящие указания по кибербезопасности: Международный (зарубежный) стандарт от 11 сентября 2012. -URL: https://docs.cntd.ru/document/431889511 (дата обращения: 10.06.2023).

14. A C-suite united on cyber-ready futures. Findings from the 2023 Global Digital Trust Insights PWC. - URL: https://www.pwc.com/us/en/servic-es/consulting/cybersecurity-risk-regulatory/library/ global-digital-trust-insights.html (date of application: 10.06.2023).

15. Aldorisio, J Best Practices for Cybersecuri-ty Auditing [a Step-by-Step Checklist] [Electronic resource] // Securityscorecard. - URL: https:// securityscorecard.com/blog/best-practices-for-a-cybersecurity-audit (date of application: 10.06.2023).

ORGANIZATIONAL AND MANAGERIAL MECHANISMS FOR ENSURING CYBERSECURITY OF RUSSIAN COMPANIES

Martynyuk M.S.

Moscow University for Industry and Finance «Synergy»

In modern conditions of economic instability and political tension, one of the first issues to be resolved both at the level of enterprises and at the level of the entire state is the issue of ensuring national security. At the same time, the most attention is paid to cybersecu-rity, and the active digitalization processes taking place in Russia increase the risk of cyber threats.

The article presents approaches to the definition of the concept of «cybersecurity». The problems of ensuring cybersecurity in modern Russia are considered, as well as ways to solve the identified problems. The author comes to the conclusion that the reasons for the low security of enterprises from cyber attacks are insufficient security, lack of deep protection; coding errors, inadequate testing of written and library code, incorrectly encrypted data; outdated rules of antivirus software; lack of multi-factor authentication. A modern solution to these and other problems in the field of cybersecurity is the introduction of the concept of effective security. This concept assumes a qualitatively and quantitatively measurable information security system that ensures the safety of the company's assets and prevents the occurrence of unacceptable events, thanks to the direct involvement of the company's top management in the cyber-security process.

Keywords: cybersecurity, digitalization, national security, information security, cyber threats.

References

1. Federal Law № 152-FZ of July 27, 2006 «On Personal Data».

2. Decree of the President of the Russian Federation № 250 dated 01.05.2022 «On additional measures to ensure information security of the Russian Federation».

3. Decree of the President of the Russian Federation № 646 dated December 5, 2016 «On Approval of the Information Security Doctrine of the Russian Federation»

4. Decree of the President of the Russian Federation № 400 of July 2, 2021 «On the National Security Strategy of the Russian Federation»

5. How Russian companies protect themselves from targeted attacks // Positive Technologies. - URL: https://www.ptse-curity.com/ru-ru/research/analytics/kak-rossijskie-kompanii-zashchishchayutsya-ot-celevyh-atak / (date of application: 10.06.2023).

6. Kovalev, O.G., Semenova N.V. Cybersecurity of modern Russia: theoretical and organizational and legal aspects // Stolypin Bulletin. - 2021. - № 3. - Pp. 14-19.

7. The concept of the cybersecurity strategy of the Russian Federation. Project // Itu. - URL: https://www.itu.int/en/ITU-D/Cy-bersecurity/Documents/National_Strategies_Repository/Rus-sia_2014_Orig_Draft_41d4b3dfbdb25cea8a73.pdf (date of application: 10.06.2023).

8. New cybersecurity: from process to clear result // Positive Technologies. - URL: https://www.ptsecurity.com/ru-ru/research/an-alytics/new-cybersecurity-from-process-to-result / (date of application: 10.06.2023).

9. The pandemic and the transition of companies to «remote». Index of digitalization of small and medium-sized businesses [Electronic resource] // Analytical center of NAFI. - URL: https:// nafi.ru/analytics/pandemiya-i-perekhod-kompaniy-na-udalenku-indeks-tsifrovizatsii-malogo-i-srednego-biznesa / (date of application: 10.06.2023).

10. Platunina, G.P., Ermolenko D.S. Cybersecurity: skillful protection of the digital economy // Economics and quality of communication systems. - 2021. - № 2. - pp. 30-40.

11. Safonova, M.F., Tsiplyaeva S.A. Cybersecurity: problems and solutions // Natural sciences and humanities research. - 2019. -№ 24(2). - Pp. 63-68.

12. Shevko, N.R., Kazantsev S. Ya. Cybersecurity: problems and solutions // Bulletin of Economic Security. - 2020. - № 5. -pp.185-189.

13. DS DS/ISO/IEC 27032-2012 Information technology - Security techniques - Guidelines for cybersecurity. Information technology. Security methods. Guidelines on Cybersecurity: International (foreign) Standard of September 11, 2012. - URL: https://docs.cntd.ru/document/431889511 (date of application: 10.06.2023).

14. A C-suite united on cyber-ready futures. Findings from the 2023 Global Digital Trust Insights // PWC. - URL: https://www.pwc. com/us/en/services/consulting/cybersecurity-risk-regulato-ry/library/global-digital-trust-insights.html (date of application: 10.06.2023).

15. Aldorisio, J Best Practices for Cybersecurity Auditing [a Step-by-Step Checklist] [Electronic resource] // Securityscorecard. -URL: https://securityscorecard.com/blog/best-practices-for-a-cybersecurity-audit (date of application: 10.06.2023).