Почему защита больше не гарантирует безопасность: от предотвращения к устойчивости

Классическая модель безопасности строится вокруг предотвращения угроз. Основная задача — обнаружить попытку атаки и заблокировать её.

Однако современные ИТ-ландшафты включают:

• десятки и сотни систем;
• облачные сервисы;
• интеграции с партнёрами;
• внешние платформы;
• удалённых сотрудников.

Каждый новый элемент инфраструктуры увеличивает поверхность потенциальной атаки. Даже при наличии современных средств защиты полностью исключить инциденты невозможно. Поэтому попытка построить «абсолютную защиту» становится экономически и технологически неэффективной.

В последние годы в профессиональной среде всё чаще используется понятие киберустойчивости (cyber resilience). В отличие от традиционной модели безопасности, она отвечает не только на вопрос «Как предотвратить атаку?», но и на более важный вопрос: «Как бизнес продолжит работать, если атака всё-таки произойдёт?».

Таким образом, целью становится не только защита, но и способность системы быстро адаптироваться, ограничивать ущерб и восстанавливаться.

Что включает киберустойчивость (расширенный список)?

Основываясь на лучших практиках (NIST Cybersecurity Framework, MITRE ATT&CK, ISO 27001), киберустойчивость строится вокруг пяти ключевых функций:

Идентификация (Identify)

• Понимание критических процессов: какие системы и данные критичны для операций.
• Инвентаризация активов, оценка рисков.
• Назначение владельцев активов.

Защита (Protect)

• Традиционные средства (контроль доступа, шифрование, обучение).
• Но в контексте устойчивости — защита, которая не мешает восстановлению (например, неизменяемые бэкапы).

Обнаружение (Detect)

• Мониторинг аномалий, SIEM, EDR.
• Важно: метрика среднее время обнаружения (MTTD) — стремимся к часам, не к дням.

Реагирование (Respond)

• Подготовленные сценарии (playbooks) для различных типов атак (ransomware, утечка, DDoS).
• Распределение ролей (кто принимает решение об изоляции, кто связывается с юристами и PR).
• Метрика: среднее время реагирования (MTTR) — целевое значение должно быть известно и проверяться.

Восстановление (Recover)

• Регулярное резервное копирование с проверкой (RTO и RPO должны быть измерены).
• Изолированные (immutable) бэкапы — чтобы злоумышленник не мог их зашифровать.
• Планы восстановления после инцидента (включая восстановление бизнес-операций, а не только серверов).

Киберустойчивость невозможно построить только техническими средствами.

Она требует участия руководства компании, потому что связана с:

• операционной моделью бизнеса;
• архитектурой систем;
• управлением рисками.

Фактически речь идёт о способности организации сохранять управляемость даже в условиях инцидентов.

Практический тест для компании:

Проведите tabletop exercise (настольное учение) по сценарию: «Зашифрованы все серверы в пятницу в 17:00». Спросите команду: знают ли они, кого вызывать первым? Где лежат неизменяемые бэкапы? За сколько часов восстановят критический сервис? Если ответы нечёткие — киберустойчивость не обеспечена.

Современная безопасность больше не ограничивается защитой инфраструктуры. Главным показателем зрелости становится способность компании:

• обнаруживать атаки (не «если», а «когда»);
• ограничивать последствия (локализация, изоляция);
• быстро восстанавливать операции (часы, а не дни).

Именно поэтому киберустойчивость постепенно становится новым стандартом управления цифровыми рисками, зафиксированным в регуляторных требованиях.

Запишитесь на консультацию — и давайте сделаем ваш бизнес надежным и безопасным.

Переходите на сайт агентства — там вас ждут кейсы, которые уже работают, и стратегии, которые выстроят ваш путь к росту.