«Аудит — это не формальность, а трезвый взгляд на себя»: Александр Скорик о безопасности, которую не видно

На самом деле, я бы не ждал никаких сигналов — потому что когда они появляются, часто бывает уже поздно. Аудит — это профилактика. Это возможность узнать свои слабые места раньше, чем их найдёт кто-то другой.

Но если говорить о конкретных ситуациях, то, конечно, есть «триггеры». Во-первых, это законодательные изменения: например, обновления в законах по персональным данным, требования ФСТЭК, Роскомнадзора, ЦБ. Во-вторых, технические инциденты — утечки, фишинг, взломы, подозрительная активность. В-третьих, любые изменения в структуре компании: рост, слияния, переход на новые платформы, облака. И, наконец, бывают «внутренние сигналы»: когда нет базовых политик по безопасности, сотрудники получают доступ ко всему подряд, а ПО обновлялось последний раз при царе Горохе.

Ну и требования партнёров — тоже причина. Особенно если речь идёт о госсекторе или медицине: там аудит — это уже часть договора.

Планово аудит стоит проводить хотя бы раз в год или два. А если есть высокий риск или что-то поменялось — значит, раньше.

Это два совершенно разных инструмента. Аудит — это как раз тот «медосмотр», про который вы сказали. Он охватывает всё: процессы, документы, политику, регламенты, соответствие требованиям законодательства.

А пентест — это уже симуляция атаки. Мы пробуем взломать систему, как это сделал бы хакер. И смотрим, получится ли.

Если вам важно понять, соответствуете ли вы требованиям — нужен аудит. Если хотите узнать, можно ли вас взломать — нужен пентест. А лучше — и то, и другое, потому что в связке они дают полную картину.

Всё начинается с контроля доступа. Кто, куда и зачем имеет доступ — это всегда первое. Часто сталкиваемся с ситуацией, когда у сотрудников слишком много прав, и никто этим не управляет. Следом идёт безопасность периметра — как настроены сетевые экраны, VPN, удалённый доступ. Потом — обновления систем, антивирусы, настройка рабочих станций и серверов.

Данные — это отдельная история. Мы смотрим, как они хранятся, шифруются, как делаются резервные копии. Проверяем, что происходит с персональными данными — кто к ним имеет доступ, как они передаются и защищаются.

Ну и, конечно, организационные вопросы: есть ли политики, как проводится обучение, как компания реагирует на инциденты. Многие уверены, что всё под контролем, пока не начинаем копать.

Мы регулярно сталкиваемся с самыми разными уязвимостями, но есть набор типичных, которые повторяются почти в каждой проверке. Это, в первую очередь, слабые пароли, устаревшее или не обновлённое программное обеспечение и операционные системы.

Внутри корпоративных сетей до сих пор используются программы с давно известными уязвимостями — те, о которых специалисты предупреждали ещё несколько лет назад. Из-за этого хакер может получить доступ к системе, запустить вредоносный код или даже получить повышенные права внутри сети.

Некоторые уязвимости позволяют обойти аутентификацию, читать файлы без разрешения или провести так называемые атаки через принуждение к авторизации.

По данным ФСТЭК, сейчас в их базе зарегистрировано более 70 тысяч уязвимостей и свыше 220 актуальных угроз. И это число продолжает расти. Поэтому системный подход к безопасности — это не роскошь, а необходимость.

Самый главный совет — не пытайтесь «прикрыть» слабые места. Это не проверка на оценку. Задача — показать, что есть на самом деле. Аудит эффективен только тогда, когда компания открыта: рассказывает, как у неё устроено, делится реальными кейсами, не скрывает проблемы. Так и эксперту проще разобраться, и результат будет честным.

— Насколько вообще сейчас востребован аудит информационной безопасности? Или это история только для больших компаний?

— Наоборот. Сейчас аудит заказывают и крупные корпорации, и средний бизнес, и госструктуры. Потому что кибератаки становятся всё изощрённее, а требования регуляторов строже. Мир становится цифровым — и ИБ становится обязательным.

К тому же партнёры и клиенты стали внимательнее. Если ты не можешь гарантировать безопасность данных — с тобой просто не будут работать.

Важен подход. Если вы просто заказываете аудит, чтобы «отчитаться» — толку от него не будет. А если вы заранее понимаете, зачем вам это нужно — тогда и результат будет ощутимым. Например, вы хотите понять, где слабые места, или готовитесь к сертификации, или только выстраиваете процессы. Цель должна быть конкретной. И тогда по итогам вы получите не просто отчёт, а внятный план действий.

— А бывает, что проблем слишком много, и руководство говорит: «Нет, мы это не потянем»? Что делать в такой ситуации?

— Бывает. И довольно часто. Но это не повод сдаваться. Просто нужно трезво оценить риски — и финансовые, и репутационные. Лучше потратить деньги на устранение проблем, чем потом на ликвидацию последствий.

В таких случаях мы помогаем выстроить приоритеты: что критично и требует немедленных мер, а что можно отложить. Главное — двигаться поэтапно.

Есть проверенная стратегия:

Первое — закрываем то, что можно быстро и самостоятельно.

Второе — расставляем приоритеты: что действительно критично.

Дальше — составляем чёткий план, кто и что делает.

Обязательно контролируем, как устраняются уязвимости.

И, конечно, смотрим на корень проблемы — как не допустить повторения.

Важно, чтобы это не превратилось в хаотичную суету. Уязвимость — это симптом, а не диагноз. Надо лечить причину.

Я бы предложил просто задать себе один вопрос: что будет, если ничего не делать?

Если страшно сразу идти в большой аудит — начните с малого. Проверьте, как у вас обстоят дела с персональными данными. Это уже покажет общую картину.

И помните: аудит — это не наказание. Это возможность сделать безопасность осознанной. А осознанная безопасность — это устойчивый бизнес.