«Кібербезпека — це не лише про ІТ, це інвестиція в бізнес-модель»: враження від Cybersecurity Dialogue
Більшість компаній дізнаються про свої проблеми з кібербезпекою лише в момент інциденту — і конференція Cybersecurity Dialogue в Києві була саме про те, як перестати жити за цією логікою і куди інвестувати, щоб бізнес був готовий до наступного виклику.
31 березня в Genesis Space з ініціативи Diia.City Union та DarkCloud зібралися ті, хто формує підходи до кібербезпеки, та ті, хто щодня захищає інфраструктуру українських компаній.
SharksCode виступив партнером конференції. Для нас це усвідомлений вибір, тому що кібербезпека давно вийшла за межі ІТ і стала питанням виживання бізнесу.
Україна сьогодні — жива лабораторія кіберстійкості, і головний урок цього досвіду полягає в одному: інвестувати варто в систему, здатну витримувати будь-які удари. Ключовими інсайтами Cybersecurity Dialogue ділиться Станіслав Андрєєв, CОО в SharksCode.
Станіслав Андрєєв, CОО в SharksCode
Безпека — це система, а не набір інструментів
Український бізнес досі часто розглядає кібербезпеку як покупку: придбали програмне забезпечення, налаштували його і, здавалося б, вирішили питання.
На практиці інвестиції в кібербезпеку вимагають значно більш комплексного підходу. Необхідно бачити ризики і реагувати на них – дуже бажано ще до настання інциденту.
Понад 90% успішних атак відбуваються через базові помилки — а отже, інвестувати потрібно не тільки в програмне забезпечення, а й у системність, яка полягає в ухваленні рішень, комунікації та злагодженій роботі команди в момент кризи.
Люди — головна вразливість і головна сила
Багато спікерів на заході говорили про те, що будь-яка система виходить з ладу через людську поведінку і відновлюється також завдяки людям.
За останні роки кількість фішингових атак зросла у 12 разів. ШІ зробив соціальну інженерію переконливішою та дешевшою. Звичні поштові розсилки, дипфейки та інші маніпуляції з людським фактором виходять на зовсім інший рівень.
Але саме люди, на яких розраховані ці атаки, і можуть стати найсильнішою ланкою у захисті від них. Водночас важливо розуміти: ефективний захист — це не лише про проходження тестів чи формальні тренінги. Люди, які справді протистоять кібератакам, мають окремий, критично важливий навик — здатність діяти в умовах реальної загрози в реальному часі. Це інший рівень мислення: швидка оцінка ризику, розпізнавання нетипових сигналів, прийняття рішень під тиском.
Добре навчена команда багаторазово зменшує збитки. У кризовий момент усе вирішують людські зв’язки — партнери, підрядники, внутрішні команди.
Саме тому інвестиції в навчання перестають бути звичайним soft skill. Люди, що діють у логіці сучасної кібербезпеки, стають критичним елементом захисту, без якого бізнесу просто не вижити.
Базова кібергігієна важливіша за складні системи
Багато компаній інвестують у багаторівневий захист, але ігнорують базові речі — саме ті, через які й відбувається більшість інцидентів. Відсутня багатофакторна аутентифікація, паролі слабкі або використовуються повторно, доступ не скасовується вчасно, аудит прав не проводиться.
Повсякденна недбалість, банальний людський фактор, базова «кібергігієна» стають більшою загрозою, ніж складні хакерські сценарії.
Ситуація ускладнюється, якщо система захисту ще й незручна у повсякденному використанні. Тоді люди просто знайдуть спосіб її ігнорувати, тим самим ще більше підвищуючи ймовірність успішної атаки ззовні.
ШІ вже змінив правила — як для атак, так і для захистуC
Тема штучного інтелекту перестала здаватися футурологією; сьогодні це повсякденна реальність, у якій алгоритм атакує алгоритм.
Понад 90 % інцидентів уже містять сліди використання штучного інтелекту; атаки стали швидшими, масштабнішими та дешевшими.
Було б помилкою думати, що протистояти цьому напливу можна лише за рахунок технологій. Часто буває, що захист технічно достатньо досконалий, але в момент атаки підводить організація процесів реагування.
Бюрократія, повільні та неавтоматизовані процеси всередині компанії, людський фактор гальмують реакцію сильніше, ніж відсутність потрібного софту.
Швидкість прийняття рішень та адаптивність організації відіграють не меншу роль, ніж технології штучного інтелекту. І ми знову приходимо до висновку, що для кібербезпеки потрібен системний підхід. У певному сенсі, це вже рівень CEO, а не лише CISO чи CTO.
Малий бізнес — це не «нецікава мета», а зручний шлях до великого бізнесу
Цю тему на конференції підняли несподівано гостро. «Ми маленькі — нас не атакуватимуть» — одна з найнебезпечніших помилок.
Кіберзлочинці дедалі частіше не атакують великий бізнес безпосередньо, обираючи більш витончену стратегію проникнення через його оточення — підрядників, партнерів, компанії в ланцюжку поставок.
Логіка тут проста. Навіщо зламувати велику компанію, якщо можна зайти через дрібного партнера, у якого вже є доступ до її систем?
У цьому сценарії малий бізнес стає слабкою ланкою і несе ризики не тільки для себе, але й для всіх, з ким працює.
Це не означає, що навіть найменшому підряднику потрібно створювати власний кібердепартамент. Але дотримуватися базових правил і залучати зовнішніх експертів — життєво необхідно.
Кібербезпека — це процес, а не проект
Не існує простого рішення, яке «усуне всі ризики», адже системами керують люди. На практиці кібербезпека — це еволюційна модель, у якій люди, процеси та технології постійно оновлюються.
Що реально дає результат: Zero Trust, багатофакторна аутентифікація (яку, до речі, досі ігнорує безліч компаній), регулярний аудит доступів, сегментація інфраструктури та постійне вдосконалення.
Все це працює, як перебірки в кораблі, що не дають одній пробоїні потопити його.
Кібербезпека має стати частиною культурного коду компанії, бути на порядку денному щодня. Інвестиції в неї — це не разові витрати на проєкт із датою завершення, а постійне вкладення в стійкість бізнесу.
Коли кібербезпека стає бізнес-моделлю
Сьогодні Україна — це жива лабораторія кібербезпеки.
Через безперервні удари по критичній інфраструктурі, масштабні DDoS-кампанії та атаки на енергосистему, що відбувалися останніми роками, країна накопичила унікальний досвід і сформувала потужну експертизу.
Ми на власному досвіді дізналися, що виграє той, хто швидше адаптується, навчає людей і інвестує в систему, здатну витримати збій.
Для нас кібербезпека перестала бути просто функцією ІТ. Тепер це невід’ємна частина бізнес-моделі, функція якої далеко виходить за межі старої парадигми про те, що «може статися атака». На заміну прийшла нова – “що ми будемо робити, коли атака станеться”. Бо без системного підходу до кібербезпеки та відповідних інвестицій бізнес просто не витримує зіткнення з реальністю.
Повідомити про помилку
Текст, який буде надіслано нашим редакторам: