В 2025 году в России зафиксирован рекордный с 2022 года рост подтвержденных инцидентов информационной безопасности (ИБ) — более 33 тысяч событий. Подозрений на инцидент зафиксировано еще больше — 1,16 млн. При этом эксперты прогнозируют, что в 2026 году количество успешных кибератак может вырасти на 30–35% по сравнению с 2025 годом.
На этом фоне приоритетом для бизнеса становится не только выстраивание надежной защиты от киберрисков, но и понимание всех аспектов информационной безопасности.
Почему на информационную безопасность требуется большой бюджет?
Выстраивание информационной безопасности подразумевает реализацию не отдельного проекта, а целой системы, которая сможет обеспечивать стабильность и защиту всего ИТ-контура компании. То есть система информационной безопасности должна покрывать каждый продукт, инструмент, интеграцию и даже бизнес-процесс компании — в противном случае защита будет неполноценной. Именно этим во многом обусловлено то, что на безопасность иногда требуется больший бюджет, чем на отдельную команду разработки. Вместе с тем, это оправданно, ведь никакая новая разработка не имеет смысла, если выпускаемые продукты будут иметь уязвимости и могут стать причиной, например, утечки данных пользователей, простоев бизнеса и штрафов.
Возможно ли гарантировать полное отсутствие утечек данных?
К сожалению, полностью исключить риски невозможно. Но можно минимизировать их вероятность и потенциальные последствия — в этом и заключается основная задача систем информационной безопасности. Во многом это определяет и типовую архитектуру защиты: обычно в рамках системы применяется множество контуров безопасности, где каждый слой защищает от конкретной угрозы и снижает общие риски. Например, в VK Cloud:
● для предотвращения несанкционированного доступа к учетным данным и защиты корпоративной инфраструктуры пользователей облака на уровне конечных устройств используется архитектура нулевого доверия (Zero Trust Architecture);
● для безопасности экзабайтов пользовательских данных — инструмент DSPM;
● для безопасности приложений — сервис Security Gate;
● для защиты инфраструктуры и безопасности сетей — SIEM и ZTA.
«Лучшей практикой» считается положение, когда стратегии безопасности ориентированы не только на отражение атак, но и на быстрое устранение последствий — например, чтобы сервисы условного ритейлера оставались доступными пользователям даже во время атак отказа в обслуживании.
Возможно ли выпустить продукт в прод в обход ограничений ИБ?
Теоретически такой обход возможен. Однако подобные действия могут повлечь за собой огромные последствия с точки зрения нарушения общей информационной безопасности всего ИТ-контура компании. Зачастую для реализации таких рисков не нужно много времени.
Для понимания — инфраструктуру некоторых компаний злоумышленники могут сканировать круглосуточно в поиске уязвимостей и ожидании ошибок. Например, одной из наиболее частых целей такого мониторинга становятся крупные ритейлеры, для которых любые утечки корпоративной информации или персональных данных покупателей потенциально грозят огромными репутационными рисками, штрафами и другими издержками. Поэтому любой сознательный обход ограничений ИБ ради быстрого релиза может привести к масштабным инцидентам.
Насколько может быть опасен полный отказ от ИБ?
Потенциально такой отказ может привести к потере всего бизнеса. Без систем безопасности ИТ-ландшафт компании просто остается беззащитным перед внешними угрозами, а все данные, в том числе корпоративные, быстро могут оказаться в свободном доступе. Снова возьмем для примера условную компанию-ритейлера. Отказ от ИБ для нее будет значить, что злоумышленники смогут без каких-либо проблем получить информацию об инвесторах, партнерах, подрядчиках, покупателях и не только.
Но и это не всё. Нельзя забывать, что есть целый набор регуляторных требований: PCI DSS, ISO, ФЗ-152. Их несоблюдение не просто скажется на безопасности компании, а повлечет за собой вполне реальные юридические последствия.
Поэтому к безопасности следует относиться не как к функции, которую можно отключить, а как к ключевому условию существования бизнеса в принципе. К слову, многие это уже понимают и используют комплексные решения — например, разворачивают «Частное облако» (Private Cloud) в собственных ЦОДах, выбирают аттестованную защищенную облачную платформу для ГИС и ИС VK Secure Cloud, применяют сервис Security Gate для безопасной разработки ПО.
Действительно ли специалисты по ИБ читают письма сотрудников?
Это неправда. Это не имеет никакого смысла и даже технически невозможно, ведь объем внутреннего трафика в компаниях может превышать сотни гигабайт в день. ИБ интересуют не люди, а паттерны поведения систем. Поэтому безопасность корпоративной корреспонденции в большинстве компаний обеспечивается с помощью специальных инструментов. Но они не читают и не анализируют содержимое переписки — их интересуют исключительно метаданные: адрес отправителя, вложения, тип передаваемых файлов, подозрительные ссылки. Так системы помогают предотвращать фишинг, утечки и заражения.
Почему ИБ влияет на архитектуру решений, если зачастую не знает специфики разрабатываемых продуктов?
Это пример зрелого разделения зон ответственности: ИБ-специалисты не погружаются в особенности продукта, но лучше знают, где и какие уязвимости могут возникать. Исходя из этого, на этапе разработки архитектуры, которая определяет, где и как передаются данные, а также кто к ним имеет доступы, ИБ-специалисты должны быть уверены, что данные не лежат открыто, права доступа разграничены, шифрование работает, а резервные каналы защищены.
Отдельно важно отметить, что зачастую подобное «вмешательство» команды безопасности не усложняет задачи разработчиков, а упрощает их, помогая создавать изначально безопасные решения, а не бороться с последствиями после релизов. К тому же, если безопасность проверяется на каждом этапе, — она не тормозит процессы. Например, сервис Security Gate от VK Cloud позволяет проверять безопасность кода непосредственно в момент его написания.
Кто контролирует саму команду безопасности?
Контроль осуществляется комплексно.
● Во-первых, большинство команд ИБ придерживаются принципа взаимного аудита. Это значит, что решения не принимаются в одиночку, а действия одного специалиста проверяются коллегами.
● Во-вторых, многие компании, особенно крупные, организовывают независимые проверки. Например, чтобы получить независимую оценку защищенности своей облачной платформы VK Cloud проходит регулярные внешние и внутренние аудиты информационной безопасности, а также имеет одну из лучших в СНГ Bug Bounty программ для поиска и исправления уязвимостей. Причем свои Bug Bounty программы есть и у многих ритейлеров — например, у Wildberries, Ozon, Мегамаркета.
Возможно ли измерить эффективность команд ИБ?
Количество кибератак на российский бизнес непрерывно увеличивается. Так, в 2025 году высококритичные киберинциденты затронули компании из многих сфер:
● 31% атак пришелся на ритейл;
● 26% — на компании ИТ-отрасли;
● по 11% — на транспортные и телекоммуникационные компании, государственные организации.
Причем это только статистика по реализованным рискам — попыток кибератак в десятки, а то и сотни раз больше. То есть в фокусе злоумышленников потенциально находятся все компании. Поэтому лучший показатель эффективности работы команды ИБ — отсутствие инцидентов.
При этом, безусловно, есть внутренние метрики оценки есть — например, среднее время реакции, количество устраненных уязвимостей, доля успешных проверок, уровень осведомленности сотрудников.
Насколько оправдано то, что процедуры ИБ могут создавать неудобства сотрудникам?
Безусловно, такое может быть, поскольку один из ключевых механизмов защиты — ограничение прав доступа к системам и данным, особенно чувствительным. И это оправданно, поскольку без четких политик доступов и разграничений безопасность превращается в случайность.
Вместе с тем, лучшей практикой в работе ИБ-специалистов всегда является поиск баланса между удобством и защитой.
Почему нельзя полностью автоматизировать ИБ?
Инструментов обеспечения безопасности действительно много. Причем их можно комбинировать таким образом, чтобы выстроить сразу несколько контуров автоматической защиты. Например, так выстроена эшелонированная защита облачной платформы VK Cloud.
Но полностью отказаться от людей в ИБ нельзя, потому что даже автоматические системы:
● не умеют различать, где реальная атака, а где ложное срабатывание;
● не знают приоритетов бизнеса;
● не способны к интуиции, не умеют брать ответственность;
● не понимают контекста.
Поэтому ИБ-сервисы — лишь инструмент в руках ИБ-команды.
Что в итоге
Безусловно, ИБ не приносит бизнесу прямой прибыли, и даже наоборот, — иногда обеспечение защиты подразумевает большие расходы. Вместе с тем, без надежной системы информационной безопасности, с учетом существующих рисков, любые доходы компании могут оказаться временными, как и само ее существование. Поэтому к построению ИБ следует относиться не как к опции, а как к одному из фундаментальных условий ведения бизнеса в целом.
Пользуйтесь специальными предложениями VK Cloud — от поддержки стартапов до построения «второго плеча» и получения 2 000 000 бонусных рублей на апгрейд инфраструктуры.
___
Российское Ритейл Шоу/Russian Retail Show и Выставка Ритейл ТЕХ Экспо/Retail TECH Expo (21–23 апреля 2026 года) — главное мероприятие о трансформации отрасли розничной торговли. Российские и международные тренды, дискуссии на ключевые темы отрасли, кейсы, бизнес-практики и инновации:
