29 января | Мария Ушакова

Кибербезопасность. Наталья Воеводина — о белых хакерах и потенциальных рисках в будущем

Современные технологии несут не только новые возможности, но и новые угрозы, а те, в свою очередь, — новые способы борьбы с сетевыми преступлениями

Наталья Воеводина — в 2024 году стала генеральным директором проекта «Кибериспытание». Эксперт с большим управленческим опытом (Росбанк, Райффайзенбанк, Ренессанс Капитал, Банк России) фото № 1
Наталья Воеводина — в 2024 году стала генеральным директором проекта «Кибериспытание». Эксперт с большим управленческим опытом (Росбанк, Райффайзенбанк, Ренессанс Капитал, Банк России)
О смене карьерного вектора

В течение 25 лет я работала на руководящих позициях в банковской сфере и, кажется, за это время поняла про финансы и управление все. Однако с последней своей роли СЕО банка я унесла один незакрытый гештальт: как  руководителю бизнеса понять, насколько компания защищена от киберугроз и достаточно ли мы в это инвестируем? Или переинвестируем? В банках любят объективные метрики и бенчмарки, которые позволяют сравнить свою компанию с другими. Не можешь померить — не сможешь управлять. В случае информационной безопасности это оказалось непростой задачей. Информационная безопасность всегда была длинным списком мер и аббревиатур, малопонятной и дорогой. Мне никак не удавалось подобрать хороший способ оценки эффективности затрат на ИБ. Хотя в целом мне было спокойно: мы были частью западной группы с низким риск-аппетитом и развитой риск-культурой. В 2022 году банк сменил собственника и попал под санкции. А киберугроз стало в разы больше: с ними столкнулись все крупнейшие российские компании. Кибербез стал возникать в повестке все чаще: и в контексте импортозамещения, и в диалогах про инвестиции и бюджет. Я была обеспокоена, скорее, тем, что бюджет на ИБ в структуре затрат рос, а я в этом росте не могла оценить его бизнес-ценность. Я заказала бенчмарк, но и он не ответил мне на вопрос, насколько мы эффективно тратим на ИБ? Мне, как и прежде, не хватало нескольких вещей: компетенций и времени.

Такой паттерн я наблюдаю в разных отраслях и компаниях: у СЕО и директора по информационной безопасности слишком разные повестки и разные уровни обобщения. Но нынешний уровень цифровизации и угроз требует от СЕО  значительно большей осведомленности, компетенций и вовлеченности в вопросы информационной безопасности. 

О деятельности и целях «Кибериспытания»

Кибербезопасность. Наталья Воеводина — о белых хакерах и потенциальных рисках в будущем фото № 2
Мы создаем методологию, которая помогает любой компании объективно оценить, насколько она защищена от киберугроз. Это и есть кибериспытание. Мы хотим, чтобы такой подход был признан всей отраслью кибербезопасности России и полезен для топ-менеджеров крупнейших компаний. Сейчас мы запустили грантовый фонд, ориентированный на средний бизнес, чтобы хакеры смогли проверить, можно ли их взломать за 1 млн рублей. Компания выбирает одно из шести недопустимых событий, мы помогаем установить его критерии и размещаем на партнерской площадке bug bounty. Туда приходят  белые хакеры, которые заинтересованы в получении вознаграждения и пытаются в течение трех месяцев найти способ  реализовать недопустимое для бизнеса событие, например кражу персональных данных или остановку производства. Если хакеры показывают результат, мы выплачиваем вознаграждение из своего фонда. Бизнес же бесплатно получает оценку защищенности и может потом улучшить свои процессы или технологии. Мы хотим, чтобы компании совершенствовали свою защищенность через кибериспытания постоянно, повышая уровень вознаграждения. Чем он выше, тем бизнес устойчивее к угрозам.   Объективная оценка рисков может работать не только на уровне компании, но и в масштабе страны. Мы хотим построить новую архитектуру безопасности в России и помочь с этим другим государствам. 

О белых хакерах

Чтобы понять, могут ли вас взломать, нужно мыслить, как хакеры: использовать их технологии и навыки. Они постоянно совершенствуются, как и системы защиты. Вы наверняка читали о новых схемах мошенничества, в том числе с использованием синтезированной речи знаменитостей; раньше такого не было. Точно таким же образом развиваются технологии в сфере кибербезопасности. Белые хакеры работают со всем инструментарием, который сейчас доступен, только не наносят реального ущерба. На сегодняшний день их услугами пользуются лишь десятки компаний. Но нуждаются в этом сотни и даже тысячи, в том числе, все крупнейшие фирмы, от которых зависит устойчивость экономики страны.

Кибербезопасность. Наталья Воеводина — о белых хакерах и потенциальных рисках в будущем фото № 3

О потенциальных рисках в будущем

Злоумышленники всегда будут искать новые способы взлома — этот процесс не остановить. Атаки уже становятся все сложнее и изощреннее. Теперь они персонализированные: мошенники используют искусственный интеллект, например, дипфейки. Поднимается вопрос о квантовой компьютерной безопасности. Сейчас уже можно создать компьютер, который за несколько минут уничтожит любую защиту, подберет ключи шифрования ко всей текущей мировой IT-инфраструктуре. Поэтому бизнесу нужно всегда быть на шаг впереди: следить за трендами и перестраивать защиту под новые угрозы. Думаю, в связи с этим у белых хакеров будет больше задач и платить им станут больше. Через 10 лет эта профессия окажется даже более востребованной, чем профессия разработчика. Просто представьте: за попытку взлома команда из 5–7 человек сможет получить десятки миллионов рублей.

Кибербезопасность. Наталья Воеводина — о белых хакерах и потенциальных рисках в будущем фото № 4

О сфере кибербезопасности в России и в мире

Мы считаем, что российская кибербезопасность — одна из сильнейших в мире, на уровне США и Китая. Из-за ухода западных компаний в российской индустрии начинается масштабный рост, отечественный бизнес создает свои технологии, которые либо не хуже, либо лучше, чем у конкурентов. За счет отсутствия шор мы сейчас можем пересмотреть, как строить защиту, какие технологии действительно нужны, а от каких стоит отказаться. С 2022 года наши компании переживают натиск хакеров. Были случаи, когда какой-то крупный бизнес на некоторое время останавливался. Но коллапса не случилось. Поэтому и запрос на нашу экспертизу огромный, в том числе на Западе. Наши коллеги готовы учиться и обмениваться опытом. У фонда «Сайберус» уже есть программа международных стажировок, своеобразный кибер-«Артек», в рамках которой в Москву приезжают студенты из других стран. Также есть и образовательные онлайн-программы, сейчас в основном ориентированные на партнеров из Юго-Восточной Азии, Латинской Америки, стран Ближнего Востока и СНГ.

Источник фотографий: Пресс-материалы, соцсети

Подборка: НОВЫЙ МИР


Instyle

Телефон:
+7 (495) 974-22-60

Marksistskaya Street, 34/10, office 403 Moscow, Russia, 109147