АнтиХакер | как без ИБ-отдела защитить бизнес

Картина из жизни. Компания среднего размера. На совещаниях звучит уверенно: — У нас всё серьёзно с информационной безопасностью! — Есть мониторинг, отчёты по киберугрозам, пентест проводили, всё как у больших. Но однажды утром: ИТ показывает красивые графики, отчёты: «Вот тут был инцидент, вот тут мы видим атаку». Где лежали бэкапы, в каком они состоянии, пробовал ли их кто-то когда-нибудь восстанавливать — никто точно сказать не может. И в этот момент уже не так важно, сколько стоит подписка на модный SOC и сколько страниц у отчёта по пентесту (тесту на проникновение)...

У системных администраторов есть любимая шутка: «Админы делятся на тех, кто ещё не делает резервные копии, и тех, кто уже делает». В ИТ-среде она звучит весело. Это такой профессиональный юмор, который объединяет «своих»: все хоть раз обжигались, все понимают, о чём речь. Но есть нюанс: в этой истории страдает не админ, а тот, у кого он работает — собственник или топ-менеджмент. Максимальный риск для ИТ-специалиста после крупного инцидента — увольнение и поиск новой работы. Для бизнеса ставка другая:...

Представим очень банальную ситуацию. Не “атака века” и не кино про хакеров. Просто ключевой человек недоступен: заболел, уехал, выключил телефон, уволился, попал в конфликт. И в этот же день 1С не запускается. Или сервер не включается. Или файлы компании внезапно “не открываются”. В этот момент все разговоры про “у нас всё под контролем” сжимаются до одного простого вопроса: “Сможете поднять 1С и вернуть работу компании без этого человека?” Если ответ неясный или начинается с “ну вообще-то…” — это не повод паниковать...

В чате появляется короткая фраза от ИТ: “1С не поднимается. Похоже, базу не восстановить.” И дальше — тишина. Потому что в этот момент никто не думает про “киберугрозы”. Думают про очень земное: У этой фразы есть неприятная особенность: она почти никогда не про “сложную технику”. Она про то, что контроль был “на доверии”, а не по фактам. Коротко: обычно это означает одно из двух: И вот тут почти всегда начинается бесполезная часть: спор. “Да у нас всё нормально, бэкапы же есть” — с одной стороны...

Пятница 17:32: Сервер упал. 1С не работает. В чате летят сообщения от начальства “Бухгалтерия встала, отгрузки встали. Когда вернемся в работу? У нас же есть резервные копии?” А бэкапы на сервере. И вот тут становится видно, что “у нас есть бэкапы” — это не факт, что мы восстановимся, а лишь файл для душевного спокойствия. Потому что если бэкапы доступны тем же путём, теми же правами и из той же сети — в реальном инциденте они умирают вместе с продом. Не “иногда”. А достаточно часто, чтобы эта история была вечной...

Есть фраза, которая звучит успокаивающе почти в любой компании: “Бэкапы есть. Всё хорошо.” И вот где подвох: эта фраза отвечает только на один вопрос — что-то где-то сохраняется. Она не отвечает на главный вопрос бизнеса: “Если завтра всё ляжет — как мы вернём работу?” План возврата в работу — это как раз про вторую часть вопроса, о которой многие забывают. Это не про “ещё один бэкап”, не про “ещё один отчёт”, и уж точно не про бюрократию. Это про порядок действий, роли и критерии, которые превращают бэкапы из абстрактной надежды в управляемую способность вернуть 1С и ключевые сервисы...

Дальше почти всегда один и тот же диалог, который ИТ слышали десятки раз: — “Но у нас же бэкапы есть?” — “Есть…” — “Тогда почему не восстановили?” И вот тут возникает главный парадокс. Бэкапы действительно “есть”. Отчёты зелёные. Джобы успешные. Ротация настроена. А восстановление — внезапно “почему-то” не работает. Или работает, но не так, не то, не туда, не теми доступами, не в те сроки. И в этот момент крайним становится не бэкап-программа или подрядчики, которые сделали, «что-то не то», а ИТ-отдел...

Есть один неприятный факт, который ИТ обычно понимают раньше бизнеса: бэкапы чаще всего умирают не потому, что “плохой софт”, а потому что они умирают вместе с продом — одним и тем же событием. Шифровальщик в сети? Он шифрует всё, куда есть запись. Компрометация админки? Удаляют всё, что можно удалить. Ошибся человек? Сносит “не то” и ретеншн добивает хвост. Площадка умерла или серверы увезли? Уехали и бэкапы. Поэтому “неубиваемые бэкапы” — это не “купить что-то большое и красивое”. Это сделать две...