Найти в Дзене
Secure Defence - Ваша кибербезопасность
425 подписчиков

Шок-цифра: свыше 50% российских компаний - на самом деле не смогут восстановиться после атаки

11 мин
😱 Шок-цифра 2025 года: свыше 50% российских компаний, уверенных в своей киберустойчивости, на самом деле не смогут восстановиться после атаки вовремя. Они уже накопили «долг устойчивости», который не прощает ошибок. Я видел это в банках, телекоме и на заводах — всё идёт по одному сценарию, пока не грянет гром. Знаете, что самое неприятное в моей работе SOC-директора? Видеть, как умные люди делают одни и те же глупости. Вкладывают миллионы в «железный» периметр, покупают дорогущие EDR, но планы восстановления пылятся в SharePoint с позапрошлого года. А потом случается инцидент, и начинается паника. Вспоминается один случай из практики в крупном ритейле: их команда три дня не могла поднять резервные копии, потому что каталог был тихо испорчен ещё месяц назад. Потеряли около 90 миллионов — просто из-за того, что не проверили работоспособность бэкапов. И это, к сожалению, не исключение. Если говорить просто, resilience debt — это разница между красивыми слайдами в презентации для совета д
Оглавление
Они уже накопили «долг устойчивости»
Они уже накопили «долг устойчивости»

Признайтесь честно: сколько дней проработает ваша компания после серьёзной кибератаки?

😱 Шок-цифра 2025 года: свыше 50% российских компаний, уверенных в своей киберустойчивости, на самом деле не смогут восстановиться после атаки вовремя. Они уже накопили «долг устойчивости», который не прощает ошибок. Я видел это в банках, телекоме и на заводах — всё идёт по одному сценарию, пока не грянет гром.

Знаете, что самое неприятное в моей работе SOC-директора? Видеть, как умные люди делают одни и те же глупости. Вкладывают миллионы в «железный» периметр, покупают дорогущие EDR, но планы восстановления пылятся в SharePoint с позапрошлого года. А потом случается инцидент, и начинается паника. Вспоминается один случай из практики в крупном ритейле: их команда три дня не могла поднять резервные копии, потому что каталог был тихо испорчен ещё месяц назад. Потеряли около 90 миллионов — просто из-за того, что не проверили работоспособность бэкапов. И это, к сожалению, не исключение.

Что это за зверь — «долг устойчивости», и почему он вас уже, скорее всего, съедает?

Если говорить просто, resilience debt — это разница между красивыми слайдами в презентации для совета директоров и суровой реальностью серверной в момент атаки. Исследование Dell Technologies (2025) лишь подтвердило то, что мы в индустрии видим годами: 99% организаций заявляют о стратегиях устойчивости, но больше половины не смогут их реализовать, когда придёт час Х.

Представьте, что вы построили роскошную яхту, но забыли положить спасательные жилеты и не проверили, есть ли в шлюпках весла. В штиль всё прекрасно, вы даже проводите экскурсии. Но как только налетает шторм, выясняется, что спасаться нечем. Вот «долг устойчивости» — это и есть отсутствие этих вёсел и жилетов, о которых все забыли, потому что «море и так спокойное».

На практике этот долг копится тихо и незаметно.

Вы обновляете ERP, мигрируете в облако, запускаете новые филиалы, но ваши регламенты DR (Disaster Recovery) и BCP (Business Continuity Planning) остаются в версии 2019 года. Администраторы меняют пароли, но забывают обновить их в скриптах автоматического восстановления. Сеть сегментировали, но сегмент с резервными хранилищами оставили с доступом из VLAN управления. Это как проверить проводку ночью: всё тихо, пока не искрит и не начнётся пожар.

Атаки нового поколения: они бьют не только «в лоб», но и по рукам

Знаете, что сейчас самое модное у продвинутых threat actors? Целенаправленный саботаж систем резервного копирования. Это уже не просто шифрование файлов ransomware-ом. Это sophisticated attacks, где злоумышленники сначала тихо портят ваши бэкапы (backup sabotage, catalog corruption), ждут неделю или месяц, и только потом атакуют основные системы. Вы пытаетесь восстановиться — а восстанавливать нечего, или ещё хуже, восстанавливаете уже заражённые образы.

Добавьте сюда классические, но от того не менее опасные угрозы:

  • Ransomware, который научился находить и шифровать не только боевые сервера, но и сети хранения резервных копий (Snapshot Tampering).
  • Человеческий фактор и кривые руки: ошибки конфигурации, которые приводят к тому, что бэкапы якобы делаются, но их целостность нарушена.
  • Самая обидная причина — «бумажная» готовность. Регламенты, которые никто не читал, процедуры, которые не работают в новой инфраструктуре, и команда, которая в последний раз проводила учения два года назад на стенде, не имеющем ничего общего с продом.

Я всегда говорю команде: «Ребята, если ваш план восстановления не был проверен в условиях, максимально приближенных к бою, считайте, что его у вас нет». Суровая правда? Именно так.

Технический бастион: что на самом деле работает в 2026 году?

Давайте от слов перейдём к делу. Что можно и нужно делать на техническом уровне, чтобы не краснеть перед гендиром во время инцидента?

  1. Изолированные киберхранилища (Cybervaults, Immutable Backups). Это must-have. Резервные копии должны физически и логически храниться там, куда не может дотянуться злоумышленник из скомпрометированной основной сети. Air-gap, отдельные учетки, аппаратные хранилища с защитой от записи. Если у вас всё лежит на общем NetApp, к которому есть доступ у половины ИТ-отдела, — это не резервная копия, а мина замедленного действия.
  2. «Чистое восстановление» (Clean Restore) с помощью AI/ML. Современные решения уже умеют не просто копировать данные, а анализировать образы на предмет скрытых угроз. Представьте: система перед восстановлением сама проверяет, не затаился ли в бэкапе руткит или шифровальщик. Это уже не фантастика, а реальные инструменты, которые мы внедряем. Честно говоря, это недёшево, но считайте, что это страховка, которая точно сработает.
  3. Автоматизация рутины. Проверка целостности бэкапов, тестовый прогон сценариев DR — это должно быть не «раз в квартал по пятницам», а ежедневная автоматическая процедура. Если ваши скрипты восстановления упали — вы узнаете об этом не в час ночи во время атаки, а утром, за чашкой кофе, из автоматического отчёта.
  4. Жёсткая сегментация и принцип наименьших привилегий. Сеть для бэкапов — это святая святых. Доступ туда — по выделенным каналам, с многофакторной аутентификацией, только для узкого круга лиц. И, ради всего святого, уберите оттуда доступ по SSH для всех подряд!

К слову, мы недавно проводили аудит для одной производственной компании. Оказалось, их резервный сервер был в том же сегменте, что и станки с ЧПУ, на которые как раз и пришла атака. Восстанавливать, по сути, было нечего. Теперь они строят отдельный cybervault.

Организация и люди: самая слабая и самая важная линия обороны

Техника — это лишь инструмент. Без правильных процессов и подготовленной команды она бесполезна. Вот на что я обращаю внимание в первую очередь:

  • Учения, учения и ещё раз учения. Не настольные (tabletop exercises), хотя и они нужны, а полноценные fire drills, с реальным отключением серверов и восстановлением из бэкапов. Хотя бы раз в квартал. Это стресс, нервы, но именно так выявляются все слабые места. Я сам два раза попадал в ситуации, когда на учениях всё шло идеально, а в реальном инциденте «вдруг» оказывалось, что ключевой специалист в отпуске, а пароль от хранилища знает только он.
  • Ответственность наверху. Ответственный за актуализацию планов DR/BCP должен сидеть не на уровне сисадмина, а как минимум на уровне руководителя ИТ-департамента. И его KPI должны быть жёстко завязаны на метрики RTO (Recovery Time Objective) и RPO (Recovery Point Objective). Если RTO растёт — это проблема, которую нужно решать на уровне всего бизнеса, а не только ИТ.
  • Баланс бюджета. Удивительно, но многие до сих пор 90% бюджета кибербезопасности тратят на превенцию (файрволы, антивирусы), и лишь жалкие крохи — на восстановление. В 2026 году это прямая дорога к катастрофе. Делите бюджет хотя бы 70/30. Поверьте, способность быстро восстановиться сейчас ценится бизнесом выше, чем гипотетическая способность остановить любую атаку (что, по правде, невозможно в принципе).

10 железных правил киберустойчивости 2026 года (выпишите их на стену)

  1. Проверяйте бэкапы так, будто завтра апокалипсис. Не наличие файлов, а именно возможность восстановить из них рабочую систему.
  2. Храните «золотую копию» в киберхранилище (cybervault). Неприкосновенность (immutability) — ваш лучший друг.
  3. Автоматизируйте тесты восстановления. Если процесс нельзя автоматизировать — упростите его, а потом снова автоматизируйте.
  4. Учения должны быть неожиданными и немного жестокими. Вбрасывайте нештатные ситуации: «ключевой специалист в больнице», «основной дата-центр отключён».
  5. Документация живёт в Confluence или аналоги, а не в Word-файлах. И она обновляется после каждого изменения в инфраструктуре.
  6. Сегментируйте сети для резервного копирования как ЦОД ФСБ. Шутка, но в каждой шутке есть доля правды.
  7. Внедряйте технологии Clean Restore. AI для анализа бэкапов — это уже не роскошь, а необходимость.
  8. Свяжите KPI ИТ и бизнес-подразделений с RTO/RPO. Если бизнес-процесс не может простаивать больше 4 часов, RTO должно быть меньше.
  9. Аудит, аудит и ещё раз аудит. Состояние резервов, логи доступа к хранилищам, актуальность регламентов.
  10. Примите как данность: инцидент случится. Ваша цель — не предотвратить его любой ценой (это утопия), а сделать его стоимость для бизнеса пренебрежимо малой.

Если вы дочитали до этого места и хотя бы по одному пункту почувствовали холодок по спине — не откладывайте.

Нужна помощь?
Оставьте заявку на Бесплатную консультацию на сайте: https://securedefence.ru/
Пришлём чек-лист + дорожную карту + КП
Первые 5 заказов каждый месяц — расширенный аудит на 12 страниц в подарок!

Процессы, которые спасут репутацию (и ваш сон)

Всё упирается в процесс. Вы можете купить лучшие технологии, но без чётких регламентов они превратятся в груду дорогого железа. Что должно работать как часы?

  • Документирование и ревизия. После любого, даже мелкого инцидента, а лучше — после любых изменений в инфраструктуре, вы должны пересматривать сценарии восстановления. Добавили новый модуль в 1С? Проверьте, входит ли он в бэкап и как его восстанавливать.
  • Постоянный аудит состояния. Не раз в квартал, а постоянно. Системы мониторинга должны отслеживать целостность резервных копий, их актуальность и доступность.
  • Честная отчётность по метрикам. RTO и RPO — не просто циферки для отчёта. Это ваши реальные цели. Если RTO на критичной системе составляет 6 часов, а на последнем учении вы восстановились за 10, это ЧП. И его нужно разбирать так же серьёзно, как реальную атаку.

Мне часто задают вопрос: «А как же ГОСТы, ФСТЭК, 152-ФЗ?» Это важный каркас, но, если честно, формальное соответствие часто создаёт ту самую иллюзию защищённости. Вы можете иметь все необходимые политики на бумаге и пройти аттестацию, но ваши фактические процессы восстановления будут в ужасном состоянии. Реальная устойчивость всегда чуть сложнее, чем того требует регулятор.

Самые частые ошибки, или «Как я чуть не потерял...»

Давайте по-братски. Глядя на десятки компаний, я могу выделить топ-5 ошибок, которые встречаются с пугающей регулярностью:

  1. «У нас есть план». Но его никто не тестировал в реальных условиях. Это даже не ошибка, это самообман.
  2. Общая среда. Хранение резервов в той же сети, что и основная инфраструктура — это как хранить запасной ключ от сейфа в ящике стола рядом с ним.
  3. Люди — не солдаты. Неподготовленный персонал, который в панике забывает все инструкции. Учения снимают 90% этой проблемы.
  4. Слепая зона изменений. Инфраструктура эволюционирует, а планы восстановления — нет. Вы мигрировали базу данных, а в сценарии DR всё ещё прописан старый сервер.
  5. Бюджетный дисбаланс. Всё на профилактику, ничего на «скорую помощь». А когда случается инфаркт, оказывается, что дефибриллятор не заряжен.

Представьте, что завтра ваш CEO спрашивает: «Мы восстановимся за 4 часа, как мы планировали?» Что вы ответите? Если есть сомнения — действовать нужно было ещё вчера.

Что делать прямо сейчас, пока не поздно?

Не откладывайте. Прямо сегодня или завтра с утра:

  1. Соберите экстренное совещание с ключевыми специалистами по инфраструктуре и безопасности.
  2. Запустите пробное восстановление не самой критичной, но важной системы из вашего последнего бэкапа. Не глядя в старые инструкции. Засеките время.
  3. Проверьте изоляцию своего хранилища резервных копий. Кто и откуда имеет к нему доступ?
  4. Найдите самый старый документ с планом DR/BCP. Когда он обновлялся в последний раз?
  5. Задайте себе вопрос по метрикам: какие у нас реальные RTO и RPO по самым важным бизнес-процессам? И совпадают ли они с теми, что на бумаге?

Это займёт день, но может спасти компанию от многомиллионных убытков и вас — от сердечного приступа в момент реального инцидента.

FAQ: жёсткие ответы на неудобные вопросы

1. «Долг устойчивости» — это просто модный термин или реальная угроза?
Это абсолютно реальная угроза, которая материализуется в виде простоя бизнеса, потери данных и денег. Это не теория, а ежедневная практика в SOC.

2. Мы и так тратим много на безопасность. Зачем ещё что-то?
Если вы тратите только на превенцию, вы строи́те дом с отличной сигнализацией, но без пожарного выхода. Атаки неизбежны. Вопрос в том, насколько быстро и с какими потерями вы из них выйдете.

3. С чего начать, если всё в запущенном состоянии?
С инвентаризации. Прямо сейчас составьте список самых критичных для бизнеса систем (не ИТ-систем, а именно бизнес-процессов!). Для каждой определите, как она восстанавливается, кто отвечает и за какой срок. Вы удивитесь, как много белых пятен откроется.

4. Хватит ли для соответствия 152-ФЗ и ФСТЭК просто иметь документы?
Для формального соответствия — возможно. Для реальной безопасности — точно нет. Регулятор проверяет бумаги, а злоумышленник — ваши реальные слабые места.

5. Насколько часто нужно проводить учения?
Для критичных систем — не реже раза в квартал. Можно в разных форматах: настольные, частичные, полномасштабные. Главное — регулярность и реалистичность.

6. Immutable Backups — это дорого?
Сейчас есть решения на любой бюджет. Дороже — потерять все данные и остановить бизнес на неделю.

7. Кто в компании должен быть главным по устойчивости?
Тот, кто несёт ответственность за непрерывность бизнеса. Часто это CIO или CISO, но в идеале — отдельная должность с прямым подчинением первому лицу.

8. Как убедить руководство выделить бюджет на восстановление?
Проведите учебную тревогу с имитацией реальной атаки. Покажите в цифрах, сколько будет терять компания каждый час простоя. Это лучший аргумент.

9. Облако делает нас устойчивее автоматически?
Нет. Облако — это лишь другая инфраструктура. Вы по-прежнему отвечаете за свои данные, их резервное копирование и планы восстановления. Общая ответственность модели (shared responsibility) никто не отменял.

10. Мы маленькая компания. Нас это не коснётся?
Коснётся в первую очередь. У вас меньше ресурсов на восстановление, а последствия могут быть фатальнее. Простые и недорогие меры (например, правило 3-2-1 для бэкапов) должны быть внедрены в первую очередь.

Устали бояться кибератак и читать страшилки? Пора переходить к действиям.

══════

Нужна помощь?
Оставьте заявку на Бесплатную консультацию на сайте: https://securedefence.ru/
Пришлём чек-лист + дорожную карту + КП
Первые 5 заказов каждый месяц — расширенный аудит на 12 страниц в подарок!

Работаем с банками, ОКИИ и госкорпорациями. Знаем российскую специфику от и до. Пишите, обсудим.

══════

Больше материалов: Центр знаний SecureDefence.