Привет, я работаю в сфере информационной безопасности уже восьмой год. И каждый день я вижу — и слышу в историях от коллег! — одно и то же. Одно и то же. Все угрозы давно известны, все правила давно написаны и лежат в интернете — бери, пользуйся, потрать пять минут времени, чтобы потом не плакать. Не берут, не пользуются, игнорируют. Потом плачут. В общем, делюсь тем, что накипело по этой теме.

Как обстоят дела с ИБ в 2025

С компаниями и организациями в плане ИБ-грамотности в последние годы начало налаживаться, хотя все еще есть куда расти — полноценный центр мониторинга киберугроз есть лишь у 20% компаний. А вот с простыми гражданами все намного запущенней — на весну 2025 года менее 30% опрошенных россиян вообще принимали хоть какие-то меры по ИБ. Причем это число по сравнению с прошлым годом еще и снизилось.

Это цифры. А наглядная реальность, которую я наблюдаю каждый день, такая: большинству и людей, и компаний безразлична кибербезопасность. Каждую неделю в новостях кейсы: взломали, вывели, обманули. Но это всегда происходит с кем-то другим, не с тобой — да кому мы нужны, мы мелкий бизнес, мы частные лица — поэтому можно продолжать быть беспечным. А когда инцидент происходит с тобой, уже слишком поздно.

Почему проблема именно в людях, а не в общей низкой культуре ИБ

Например потому, что и государство, и бизнес кричат про кибербезопасность из каждого утюга. За 5 лет количество ИБ-компаний в России выросло почти на 40%, а 6 из 10 коммерческих организаций запланировали в 2025 рост бюджета на информационную безопасность. МВД и Госуслуги распространяют предупреждения о мошенничестве и фишинге в SMS, на сайтах, даже расклеивают листовки в общественном транспорте.

Банки публикуют уведомления об SMS‑фишинге и дают инструкции, как его распознать — прямо на сайтах, в самих банках тоже везде физически висят памятки. А 30 мая 2025 года вообще начал действовать федеральный закон, жестко усиливающий административную ответственность компаний за утечку персональных данных, вплоть до оборотных штрафов в сотни миллионов рублей.

Количество публикаций в СМИ на тему киберинцидентов и кибербезопасности постоянно растет (на 30% с 2022 по 2024 год). Но на те же самые 30%, к сожалению, за 2024 год выросло и число утечек персональных данных, а число DDoS-атак хотя и осталось на прежнем (высоком!) уровне, они стали гораздо хитрее и изощреннее. Участились инциденты с использованием уязвимостей для дефейса (замены главной страницы на другую по выбору атакующего) государственных сайтов.

Чтобы в автоматическом режиме находить эти и другие уязвимости в IT-инфраструктуре, мы разработали собственное решение — DDG Vulnerability Management.

DDG Vulnerability Management (DDG VM) — сервис контроля уязвимостей и мониторинга защищенности IT-активов. Он в автоматическом режиме находит уязвимые места в IT-инфраструктуре, которые позволяют хакерам проводить DDoS-атаки, фишинговые рассылки и другие виды атак. DDG VM помогает соблюдать требования ФСТЭК и ФСБ к проверке ресурсов на уязвимости и оценить готовность инфраструктуры к сетевому нападению.

Но не только госсайты и компании под угрозой: сегодня подвергнуться кибератаке может практически каждый. Несмотря на все предостережения со стороны государства и памяток от ИБ-экспертов, количество целевых фишинговых атак в России уже увеличилось на 32% в первые три месяца 2025 года по сравнению с аналогичным периодом прошлого года. Атаки с использованием ИИ и вредоносных Android-приложений, которые имитируют легитимные, вошли в топ-5 самых распространенных киберинцидентов.

В общем, угрозы постоянно растут, а вот киберобразованность населения — к сожалению, нет.

Люди игнорируют угрозы

Чтобы сэкономить вам и себе время, не буду в сотый раз рассказывать, какие бывают киберугрозы (это вы можете почитать на нашем сайте в Базе знаний или Блоге, да практически везде). Пройдусь по самым верхам для бизнеса и рядовых юзеров.

Топ-3 косяка компаний

Про фишинг, пароли, ошибки и уязвимое или не обновленное ПО, всем, надеюсь, сразу понятно. Теперь более предметно о рисках:

1. Отсутствие иерархии доступа к данным. Все сотрудники имеют доступ «на всякий случай», никто не контролирует, кто скачивает файлы, кто куда передает базы данных. Помним, что большинство серьезных утечек происходят не от внешних хакеров, а изнутри — и когда это уже случилось, неважно, случайно-неслучайно. Чем меньше контроль, тем выше риск.

2. Отсутствие шифрованных бэкапов. Данные хранятся в открытом виде на серверах, в облаке, в базе данных, в архиве бэкапа. Иногда вместе с паролями. Ну такое себе.

3. Отсутствие защиты в тестовых средах и песочницах. Больше касается среднего и крупного бизнеса. Копии продукта разворачиваются в виртуале, но не защищаются извне. Что плохо приколочено — будет украдено, вопрос времени. Сюда же дешевые хостинги без нормальной безопасности у малого бизнеса (что уж говорить про защиту от DDoS, которая зачастую там просто отсутствует как класс).

Топ-3 косяка юзеров

Про безопасные пароли даже не будем начинать, все равно это бесполезно (и каждый год исследования показывают одно и то же: самые популярные пароли у россиян это 123456, qwerty и тому подобная красота).

1. Бэкап на то же самое устройство или флэшку, а не в облако. При атаке шифровальщика или даже просто ситуации, когда жесткий диск сгорел, пропадает все. Невероятно. Кто мог подобное предположить! Делайте бэкапы по золотому правилу 3-2-1: 3 копии данных (основная + 2 резервные), 2 разных типа носителя (например: SSD + облако), 1 копия вне помещения/сети (например, облачный бэкап).

2. Любые ответы на фишинговые письма, даже в шутку, даже если не кликаете по ссылкам. Молодец, ты подтвердил, что почта активна, читается человеком, и у тебя есть привычка отвечать. То же самое со звонками и мессенджерами.

3. Эмоциональная внушаемость. Жадность (подарки от маркетплейсов, распродажи), страх («ваш аккаунт заблокирован, перейдите по ссылке, чтобы исправить это»), жалость («помогите ребенку, собачке, незнакомцу»). Интернет непрерывно бомбардирует нас эмоциональными выстрелами, нужно уметь держать свою голову в холоде.

Почему люди игнорируют правила ИБ

Как отлично сформулировали еще 25 лет назад в книге «Securing Java» IT-эксперты Гари Мак-Гроу и Эдвард Фельтен:

То есть, если человек хочет получить желаемый контент, его не остановят никакие предупреждения антивируса и других программ безопасности.

Журналист Марк Потье в 2009 году, полемизируя с цитатой, высказал интересную мысль, почему дело обстоит именно так:

[Эта ситуация возникает, потому что] пользователям никогда не предлагают безопасность, ни саму по себе, ни как альтернативу чему-либо. Им предлагают длинный, сложный и постоянно увеличивающийся набор советов, правил и инструкций, который никогда не обещает безопасности, но вместо нее несет туманные предположения об уменьшении риска.

Мне кажется, это отличное наблюдение. В конце концов кто читает все эти списки, написанные бюрократическим языком? Вы должны, вы обязаны, непременно надо, еще угрожают потом штрафами от государства, пугают утечками, заставляют чувствовать себя неполноценно, если вы не будете постоянно выполнять кучу сложных, времязатратных действий (которые все равно в итоге не гарантируют полной безопасности!).

Понятно, что многие пользователи игнорируют правила ИБ уже просто из чувства внутреннего протеста, который могут даже не осознавать. Ах вот так ты про меня думаешь, что я кибернеграмотный? Я тогда вообще твои советы все игнорировать буду. И игнорирует (а потом страдает).

Как с этим бороться? Ну, например:

• Наверное, надо экспериментировать с тоном статей и инструкций по ИБ, который сейчас уже стал клишированным и неинтересным. Надо нащупать, как сделать, чтобы это давало эффект, а не просто заниматься формальной отпиской.

• Может быть, стоит поучиться чему-то у медиков и писать скорее наглядные кейсы, какой кошмар бывает от элементарного несоблюдения гигиены (в данном случае цифровой) — и как просто было бы этого избежать.

• Ввести новую этику откровенности, где утечки данных или другие проблемы – это не что-то постыдное, что надо спрятать, а серьезная угроза, компания столкнулась и таким-то образом вышла из ситуации.

А вы что думаете?

Плюсы и минусы облачных технологий
Что такое облачные технологии и как они работают?

Облачные технологии — это такой крутой способ хранения и обработки данных через интернет. Представьте себе: вместо того чтобы забивать свой комп или сервер компании кучей документов, вы отправляете всё это в «облако». Ну, это такие удаленные серверы, которыми управляют сторонние ребята. Работает это так: вы подключаетесь к интернету, закидываете свои файлы и пользуетесь ими с любого устройства, когда захотите.

Преимущества использования облака: масштабируемость, доступность, экономия
Плюсов у «облака» реально много! Во-первых, **масштабируемость**. Нужно больше места или мощностей? Пожалуйста! Просто докупите ресурсы у провайдера. Во-вторых, **доступность**. Ваши данные всегда с вами, на любом гаджете — хоть на ноуте, хоть на планшете, хоть на смартфоне. И, наконец, **экономия**. Вы платите только за то, что использовали, а за всё остальное — поддержку инфраструктуры и безопасность — отвечает провайдер. Круто, да?

Недостатки и потенциальные риски
Но, к сожалению, есть и обратная сторона медали. Первый минус — это безопасность. Есть шанс, что кто-то посторонний получит доступ к вашим данным. Второй момент — это зависимость от интернета. Если вдруг интернет отрубило, то и доступ к вашим данным накрылся. Еще один минус — переход от одного провайдера к другому может быть сложным, потому что платформы и сервисы у всех разные.

Обзор популярных облачных сервисов: AWS, Google Cloud, Azure
На этом рынке заправляют несколько крупных игроков. Вот, например, **AWS (Amazon Web Services)** — это вообще первопроходец и самый популярный поставщик облачных услуг. Второй крутой сервис — **Google Cloud** от Google. Он отлично интегрируется с другими сервисами компании, такими как Google Docs и Google Drive. А еще есть **Microsoft Azure** — это универсальная платформа с мощной поддержкой от Microsoft, и она особенно популярна у корпоративных клиентов.

Вывод
Облачные технологии — это, безусловно, про удобство и гибкость. Но стоит быть внимательным к вопросам безопасности и доступности интернета. Выбирайте провайдера с умом, и пусть ваш бизнес расцветает без лишних проблем!

Думаю производственному сектору РФ нужна волонтерская помощь ИТ-шников...

Ссылка на комент #comment_231893890

Автор поста пишет:

Если интересно могу отправить фото профильных изделий.

Мой ответ:

Вы так нихрена не наладите связи - точечными отправками инфы.

нужна ПУБЛИЧНАЯ, доступная для поиска из интернета, база данных (БД) производимой продукции и что немаловажно что можете потенциально производить. Это для расширения.

Возможно стоит организовать волонтерское движение для обеспечения процесса опубличивания информации о производствах.

Я имею ввиду следующее: люди работающий на производстве зачастую очень плохо дружат с информационными технологиями и недооценивают фактор публичности информации, да и производство это вещь затратная, не всегда есть финансы для поддержания информационных порталов и найма ИТ-ника для и хорганизации и поддержания.

Однако есть порталы которые бесплатно готовы разместить инфу.

Это к примеру респозитарии исходных кодов github или наш https://gitflic.ru + https://gisp.gov.ru/gisplk/

Сам изначальный пост: Ковка, поковка!

В детстве прочитал книгу о суворовцах, где был такой эпизод: в училище пришел новый преподаватель, который перед первым занятием с суворовцами нарисовал себе план класса с расположением парт, выяснил у учителей, кто из учеников сидит за какой партой, и записал в план. На первом занятии вначале устроил перекличку, сверяя реальное местоположение учеников с планом, а потом (заглядывая в план) свободно называл учеников по имени и фамилии, вызывая их к доске или на ответ с места. Суворовцы были весьма удивлены и преисполнились уважением к новому учителю (думаю, что пикабушникам-учителям можно было бы эту идею взять на вооружение).

А вспомнил я об этом эпизоде, когда недавно бывшая коллега напомнила мне похожую идею, которую я воплощал в трудовую жизнь, и которую она у меня переняла. Довелось мне по жизни в двух организациях руководить подразделениями (от 15 до 30 человек), которые размещались в нескольких комнатах. Работа была коллективная, почти все работали над проектами в тесной взаимосвязи. Естественно, была текучесть кадров – кто-то увольнялся, кто-то переходил в другое подразделение и т.п. Часто в штат принимали новых сотрудников (мы, например, на полставки брали студентов с перспективой принятия их к нам после окончания вуза). А новому сотруднику непросто было запомнить ФИО коллег и наладить нужные коммуникации. Я в этом ему помогал по возможности. У меня была схема комнат с расположением столов и ФИО сотрудников, сидящих за этими столами. С этой схемой я новичка и знакомил, кое-что рассказывал о коллегах и при необходимости давал ему экземпляр схемы. Нужные контакты налаживались легче.

Иногда приходится по какой-то необходимости приходить в незнакомое учреждение и отыскивать нужного человека. Ходишь мимо безликих кабинетов, куда-то заглядываешь, кого-то спрашиваешь, где найти искомое. А насколько проще было бы, если бы около кабинета висела схема с расположением столов и ФИО сотрудников, за ними сидящих.

В сентябре слегка ковиднулся и на полмесяца попал в больницу. В палате 5 человек, регулярно кто-то выписывается или переводится в другую палату, поступают новые пациенты. Инфекционное отделение занимает длинный этаж. Медсестры, конечно, не могут запомнить пациентов, заходят ставить системы, делать уколы, давать таблетки, приносят передачи и выкрикивают фамилии пациентов. А мы, в основном, только свои фамилии знаем, а если кто-то в это время отсутствует в палате, то не можем сказать, тот ли это человек, который нужен медсестре. Я на третий день пребывания в палате на стенку над кроватью прилепил листок со своей фамилией, написанной крупным жирным шрифтом. И вскоре все мои сопалатники мою фамилию знали наизусть, показывали рукой и говорили медсестре: «Вон, на стенке написано!». Ну и некоторые медсестры заучили, глядя на стенку. Но вот интересно: никто в палате моему примеру не последовал, то ли непривычно было, то ли стеснялись и скрывали свои персональные данные. :))