Что происходит, когда ИБ держится на "героях"?
В компаниях малого и среднего бизнеса информационная безопасность часто держится на одном-двух специалистах. Пока они на месте, система кажется устойчивой. Но как только один человек уходит в отпуск или становится недоступен, выясняется, что защита держалась не на процессе, а на конкретном человеке.
Именно поэтому модель «безопасность на героях» — это критическая единая точка отказа.
Один из самых показательных примеров — инцидент 2018 года в Сингапуре с государственной медицинской организацией SingHealth, где были скомпрометированы данные 1,5 миллиона пациентов.
Расследование показало, что критически важные процессы кибербезопасности фактически держались на одном специалисте, которого зовут Эрнест Тан. В момент его отпуска дублирующего сотрудника не назначили, алерты остались без реакции, а злоумышленники успели получить доступ к базе данных 🤒
Этот кейс важен потому, что проблема была не в отпуске, а в том, что защита была завязана на одного человека.
Почему такая модель ломается:
➡️ Первая причина — отсутствие дублирования критических функций.
Если никто не принимает алерты, не проверяет инциденты и не имеет полномочий на реагирование в отсутствие ключевого специалиста, система фактически остается без защиты в самый обычный рабочий момент.
➡️ Вторая причина — “усталость от тревог”.
Во время слушаний Эрнест Тан пояснял, что в его смену поступало по 40–50 алертов о вредоносном ПО ежедневно, и большинство из них были ложными срабатываниями. Это классический alert fatigue: когда поток шума настолько велик, что реальная угроза теряется среди фоновых сигналов. В компаниях, где ИБ-специалистов мало, на качественную настройку систем и фильтрацию ложных срабатываний часто просто не хватает ресурса.
➡️ Третья причина — отсутствие обязательного регламента передачи полномочий.
Если на время отпуска, болезни или другой плановой недоступности не оформлен handover / takeover, критически важные обязанности просто “зависают”.
ЧТО ЭТО ЗНАЧИТ ДЛЯ СРЕДНЕГО БИЗНЕСА
Самый опасный самообман здесь звучит так:
"У нас есть человек, который все знает, значит, все под контролем."
На деле это означает другое:
если этот человек недоступен, компания может не увидеть инцидент вовремя, не понять его масштаб и не среагировать в тот момент, когда ущерб еще можно было избежать.
Поэтому вопрос не в том, есть ли у вас сильный специалист. Вопрос в том, может ли система работать без него хотя бы несколько дней без потери управляемости.
Что делать вместо модели "героя":
1️⃣ Дублировать критические функции
У каждого ключевого ИБ-специалиста должен быть подготовленный сотрудник или внешний подрядчик, который на время отпуска или отсутствия получает доступ к системе безопасности с получением уведомлений об инцидентах.
2️⃣ Снижать нагрузку за счет автоматизации
Процессы мониторинга и первичной фильтрации инцидентов нужно автоматизировать. Это уменьшает количество ложных срабатываний и снижает риск пропустить реальную угрозу.
3️⃣ Рассматривать SOC как услугу
Для малого и даже среднего бизнеса содержать достаточное количество специалистов для непрерывного мониторинга часто слишком дорого. Передача функций мониторинга и реагирования на инциденты внешней команде позволяет закрыть режим 24/7/365 и снизить зависимость от одного внутреннего сотрудника.
💬 Инцидент в SingHealth наглядно продемонстрировал: отпуск, болезнь или недоступность ключевого специалиста — не бытовая ситуация, а операционный риск, если безопасность построена вокруг одного "супергероя". Нельзя рассчитывать, что критичный сигнал подождет до его возвращения. Если процессы ИБ не дублируются, не автоматизированы и не передаются по понятному регламенту, вопрос только в том, в какой момент такая модель даст сбой.
Если у вас ИБ до сих пор держится на одном-двух ключевых людях, мы можем помочь оценить эту точку риска, выстроить дублирование функций и собрать более устойчивую модель без перегрузки команды.
