На форуме CNews FORUM Кейсы 2026 в рамках секции «Информационная безопасность» спикеры и собравшиеся в зале эксперты обсудили, какие изменения происходят в сфере ИБ и как на них необходимо реагировать для того, чтобы защитить бизнес от киберугроз, финансовых и репутационных потерь. На примере конкретных кейсов участники мероприятия представили лучшие практики лидеров рынка и поделились опытом их внедрения.
Что происходит на рынке ИБ
Количество информационных угроз для бизнеса и государства растет, и они качественно развиваются. Но при этом меняется и сама ИТ-инфраструктура, например, постепенно происходит интеграция в бизнес-среду ИИ, в том числе автономных ИИ-агентов в корпоративные сети и мобильные устройства сотрудников.
Неудивительно, что начинает меняться сама парадигма обеспечения ИБ с учетом повышения экономической отдачи на вложенный в нее капитал. Например, виден интерес к концепции Zero Trust, к ИБ-аутсорсингу и переносу части критичной ИТ-инфраструктуры в облака. При этом на глазах меняется роль ИБ-аудита и страхования киберрисков.
Фокус ИБ смещается от идеи полной неуязвимости к киберустойчивости, а человеческий фактор перестает рассматриваться как наиболее критический риск благодаря повышению прозрачности ИТ-инфраструктуры. Все это так или иначе нашло свое отражение в состоявшейся дискуссии.
Экономичная мобильная безопасность
Дмитрий Костров, начальник отдела по защите информации «Сиб Мир», открыл секцию докладом «Мобильная безопасность», в котором обозначил, что проблематика обеспечения ИБ мобильных устройств приобретает особую значимость, поскольку и планшеты, и смартфоны становятся неотъемлемой частью бизнес-процессов, обрабатывая критически важные корпоративные данные.
«А как системы управления мобильными устройствами (MDM) и унифицированные платформы управления конечными точками (UEM) помогают обеспечить безопасность? Какие требования нормативные акты, например, приказ ФСТЭК №117, устанавливают по отношению к мобильным устройствам, используемых для доступа к информационным системам? Почему, если у вас более 10 мобильных устройств имеют доступ к ГИС, вам необходимо внедрить систему MDM?», — задал один из векторов своего выступления спикер.
Но при этом он обозначил и второй вектор дискуссии — могут ли те компании, компании, которые уделяют должное внимание обеспечению информационной безопасности, при внедрении ИБ-систем подобных классов получить существенную экономию по сравнению с традиционными методами?
Оба этих вектора удалось свести к одному в кейсе внедрения системы UEM в компании «Рив Гош»: при парке из 1,25 тыс. мобильных устройств удалось сократить ручные операции с 3,75 тыс. час. в год до 10 час., что дало экономический эффект в размере 19–26 млн руб. И это только за счет автоматизации централизованного управления и контроля за мобильными устройствами.
По словам спикера, в условиях современных угроз, таких как взломы и утечки данных, необходимо внедрять многоуровневую систему защиты, которая включает не только защиту на уровне приложений, но и управление бизнес-средой, в которой они работают. Отечественные UEM-платформы научились брать на себя управление устройствами, обеспечивая строгий контроль и защиту данных.
IAM-система окупается примерно за год
Михаил Ванин, генеральный директор компании Identity Blitz, в докладе «Как внедрить IAM и на этом заработать?» продолжил дискуссию об экономических показателях современных ИБ-систем.
В частности, внедрение систем управления идентификацией и доступом (IAM) является стратегической инициативой, которая напрямую влияет на экономику компании за счет снижения издержек и повышения производительности труда. Проекты в этой области уникальны тем, что они окупают сами себя, выходя далеко за рамки простого соответствия требованиям комплаенса или обеспечения безопасности.
Экономическое обоснование строится на нескольких ключевых факторах. В организации, например, с 1 тыс. сотрудников автоматизация процессов позволяет сократить количество обращений в службу поддержки по вопросам паролей, что экономит около 12 млн руб. в год. Автоматизация кадровых событий, таких как найм и увольнение, высвобождает ресурсы ИТ-департамента и приносит еще около 1 млн рублей экономии. Упрощение входа в системы для рядовых сотрудников дает дополнительную выгоду порядка 13 млн руб. за счет экономии рабочего времени. Отказ от платных СМС-сообщений для многофакторной аутентификации и оптимизация неиспользуемых SaaS-лицензий добавляют к общей сумме еще более 1,5 млн руб. Совокупный экономический эффект превышает 27 млн руб. в год, что обеспечивает полную окупаемость проекта внедрения IAM-системы примерно за год.
В современных условиях этот шаг приобретает критическую важность в связи с переходом на концепцию Zero Trust и грядущей интеграцией автономных ИИ-ассистентов. Старый подход, основанный на защите периметра, больше не работает, поскольку злоумышленники научились его обходить. Будущее корпоративных процессов неразрывно связано с использованием ИИ-агентов, которые будут действовать от имени пользователей.
Без централизованной системы управления доступами компания рискует оказаться в роли догоняющей, столкнувшись с неконтролируемым ростом цифровых сущностей. Централизованный контроль позволяет идентифицировать агента, применять к нему принцип минимальных привилегий, выдавая только необходимые права, а также строго контролировать и аудировать все его действия, обеспечивая безопасность и управляемость новой цифровой среды.
«Кроме всего прочего, когда клиенту легко зарегистрироваться и удобно войти в ИТ-систему, это может поднять конверсию услуг бизнеса и принести компании дополнительную прибыль. Повышение конверсии хотя бы на процент за счет IAM — это уже существенная статья прибыли. С другой стороны, проблемы с доступом часто ведут к оттоку клиентов. Я, например, могу пойти в другую компанию, воспользоваться ее услугой, если забыл логин и пароль, а восстановить их трудно. В итоге прибыль получат другие», — подвел итог своего выступления Михаил Ванин.
ИБ в рамках бюджета
Сафрон Дандаев, директор по развитию сервисов кибербезопасности банка ПСБ, представил доклад «Стратегический аутсорсинг кибербезопасности: когда отдавать и что оставить внутри?»
Сочетание роста киберугроз и экономической турбулентности делает вопрос о стратегическом аутсорсинге кибербезопасности особенно актуальным. Не секрет, что привлечение подрядчиков и аутсорсинг ИБ-функций позволяют банкам и оптимизировать затраты, и повышать уровень защиты. Однако этот подход требует тщательного анализа как экономических, так и организационных аспектов.
Например, собственная ИБ-команда требует значительных инвестиций. Это не только зарплаты специалистов, но и расходы на инфраструктуру, лицензии, обучение и поддержание актуальности технологий. В условиях постоянного роста киберугроз, особенно в финансовом секторе, компании сталкиваются с необходимостью выполнения множества регуляторных требований, что также увеличивает финансовую нагрузку. В этом контексте аутсорсинг может стать экономически целесообразным решением, позволяя сократить затраты на содержание команды и инфраструктуры, а также получить доступ к более широкому спектру экспертизы и технологий.
Однако, несмотря на экономические преимущества, важно учитывать риски, связанные с аутсорсингом. Привлечение подрядчиков может увеличить вероятность атак, если не будут соблюдены принципы минимальных привилегий и требований концепции Zero Trust. Поэтому необходимо тщательно контролировать доступ подрядчиков к критически важным системам и данным.
С другой стороны, внутренние ИБ-команды часто сталкиваются с проблемой усталости и эмоционального выгорания. Постоянная нагрузка, однообразие задач и высокая степень ответственности могут привести к снижению бдительности и эффективности. В этом контексте аутсорсинг может помочь разгрузить внутреннюю команду, позволяя ей сосредоточиться на стратегических задачах и более эффективно управлять рисками.
«На основе вышеизложенного, можно выделить несколько ключевых функций, которые целесообразно передать на аутсорсинг. Во-первых, мониторинг и реагирование на инциденты (SOC) — это позволяет обеспечить круглосуточное покрытие и снизить затраты на содержание штата. Во-вторых, это пентесты и Red Teaming — внешние специалисты могут предложить свежий взгляд на безопасность и выявить уязвимости, которые могут быть упущены внутренними командами. И, наконец, облачная безопасность и резервное копирование — это позволяет использовать опыт провайдеров и снизить затраты на инфраструктуру», — рекомендует Сафрон Дандаев.
В тоже время, стратегические функции, такие как управление рисками, архитектура безопасности и контроль привилегированных пользователей, должны оставаться внутри компании. Эти функции требуют глубокого понимания бизнес-процессов и корпоративной культуры, а также высокой степени доверия. В итоге: бизнесу больше не важно, как называется исполнитель — важно, снижает ли он риски и ущерб в рамках бюджета.
«Сырые» продукты мешают импортозамещению
Георгий Кораблев, заместитель генерального директора компании «Амикон», выступил с презентацией «Импортозамещение», в которой сопротивление этому процессу в сфере ИБ связал с несколькими ключевыми факторами.
Во-первых, это боязнь изменений и неопределенности, которые влекут за собой новые требования. Ответственные сотрудники часто испытывают стресс из-за необходимости адаптироваться к новым процессам и технологиям, что может привести к откладыванию решений на потом. Во-вторых, отсутствие бюджета на реализацию импортозамещения является серьезным препятствием. Многие компании надеются на то, что их не затронут жесткие меры, и предпочитают не инвестировать в новые решения.
Кроме того, незрелость российского ПО также вызывает опасения. Многие компании не готовы внедрять «сырые» продукты, которые могут негативно сказаться на их бизнес-процессах. Отсутствие аналогов для некоторых зарубежных решений, особенно в области сложных инфраструктурных систем, усугубляет ситуацию.
«Для борьбы с сопротивлением импортозамещению необходимо активно информировать сотрудников о предстоящих изменениях и их последствиях. Обучение и повышение осведомленности о новых технологиях помогут снизить уровень стресса и подготовить кадры к работе с отечественными решениями. Важно также рассмотреть различные схемы финансирования, включая рассрочку и постоплату, чтобы облегчить финансовую нагрузку на компании», — считает Георгий Кораблев.
Компания «Амикон» предлагает комплексные решения для поддержки бизнеса в процессе импортозамещения. Например, проводит аудит ИТ-систем, обучает сотрудников и предлагает гибкие финансовые условия.
Риски плохо измеряются до сих пор
«Концепция создания единой методологии оценки киберподготовки организаций в рамках развития системы страхования киберрисков» стала темой презентации Алексея Янова, директора департамента информационной безопасности компании «Национальная страховая информационная система» (НСИС).
По мнению спикера, риск в сфере ИБ по-прежнему плохо измеряем из-за отсутствия единой методологии и стандартов, что затрудняет объективную оценку киберустойчивости организаций. В настоящее время существует несколько регуляторных требований, однако они не охватывают все аспекты, необходимые для комплексной оценки. Например, для ГИС и коммерческих организаций, подключающихся к ним, применяются разные подходы, что создает дополнительные сложности.
Отсутствие единой методики оценки ущерба также является серьезной проблемой. Хотя предпринимаются попытки создать универсальную формулу для оценки киберустойчивости, на практике этот вопрос до сих пор остается открытым. Компании, столкнувшиеся с киберинцидентами, часто не сообщают о них, что затрудняет сбор актуальной статистики и анализ реальных последствий. Это создает разрыв в понимании того, как именно происходят инциденты и какой ущерб они наносят.
Кроме того, для адекватной оценки рисков недостаточно просто заполнить анкету. Необходимо проводить глубокий анализ, который может включать в себя технические проверки и аудит. Однако многие компании опасаются делиться конфиденциальной информацией с аудиторами и страховщиками, что также затрудняет процесс. В результате, несмотря на наличие страховых продуктов, рынок киберстрахования все еще находится на стадии формирования, и его развитие требует более четкой методологии и взаимодействия между участниками.
Privacy by Design на практике
Константин Коротнев, заместитель CISO компании Hoff Tech, погрузил аудиторию в тонкости концепции «Архитектура подхода к снижению рисков обработке данных. Вклад каждого в общее дело».
Анализ текущего контекста обработки персональных данных (ПДн) выявляет ряд системных вызовов: отсутствие единого источника инвентаризации активов, стремительный рост числа кибератак (+30% год к году) и связанных с ними утечек, а также ужесточение регуляторных требований, включая введение оборотных штрафов. Сложная внутренняя структура крупных компаний приводит к неконтролируемому распространению данных между юридическими лицами, командами и ИБ-системами, что создает значительные риски. Для их минимизации необходим комплексный подход, включающий как технические, так и организационные меры.
Ключевыми техническими мерами являются сетевая сегментация, строгое управление доступом на всех уровнях инфраструктуры, шифрование данных при хранении для защиты от компрометации учетных записей администраторов, а также обеспечение безопасности веб-приложений и внедрение двухфакторной аутентификации. Операционная деятельность должна включать непрерывный мониторинг инцидентов и контроль передачи данных вовне.
Организационно снижение рисков достигается за счет выстраивания процессов взаимодействия с субъектами персональных данных и регуляторами, поддержания актуальности внешней документации и внедрения принципа Privacy by Design при разработке новых продуктов. Учитывая сложность архитектуры крупных холдингов, автоматизация этих процессов через системы Privacy Management становится жизненно необходимой.
«Практика показывает, что избыточный сбор данных является одной из главных проблем. Типичные примеры включают забытые маркетинговые лендинги, неограниченное хранение информации рекрутинговыми службами и накопление данных подразделениями антифрода после истечения срока их служебной необходимости. Минимизация собираемых сведений напрямую снижает потенциальный ущерб от их утечки», — поделился опытомКонстантин Коротнев.
Не менее важным является изменение архитектуры хранения данных путем их централизации. Бизнес-системы должны оперировать идентификаторами, обращаясь за ПДн к защищенному центральному хранилищу по мере необходимости, избегая создания локальных копий. Особое внимание следует уделять обезличиванию данных в средах разработки, тестирования и аналитических системах.
Эффективная реализация такой стратегии требует участия всех заинтересованных подразделений. Однако все эти усилия будут неэффективны без ключевой роли высшего руководства, чья поддержка обеспечивает необходимые ресурсы и приоритизацию задач, формируя основу для успешного управления рисками обработки ПДн.
Под колпаком рекламных сетей
Георгий Петросюк, директор департамента информационных технологий НИЦ «Институт имени Н.Е. Жуковского», член АРСИБ, эксперт BISA, представил доклад: «Таргетированная реклама: актуальная угроза ИБ».
Как считает докладчик, сущность этой угрозы заключается в сборе и анализе данных о пользователях через экосистему Real-Time Bidding (RTB) — аукциона в реальном времени. При каждом обращении к веб-ресурсу данные о пользователе, включающие более 2 тыс. параметров от геолокации до политических взглядов (массив ADINT), передаются тысячам участников рынка. В 2022 году данные о каждом пользователе транслировались в среднем раз в минуту (Германия), 340 раз в день (Франция) и 747 раз в день (США).
Практические риски многообразны. Вредоносная реклама стала основным инструментом доставки вредоносного ПО, фишинговых страниц и мошеннических схем, на нее приходится 41% всех кибератак. Данные RTB-аукционов становятся объектом интереса для иностранных спецслужб и криминала, используются для разведки и слежки. Технологии применяются для политических манипуляций и влияния на общественное мнение, а также для финансовых хищений через фишинг.
В условиях отсутствия отечественных комплексных решений организации вынуждены реализовывать многоуровневую стратегию защиты. Необходимо ужесточать настройки операционных систем и приложений, централизованно управлять политиками безопасности и отключать сбор геолокации. Следует использовать встроенные средства приватности и блокировщики рекламы, хотя их эффективность снижается из-за новых стандартов браузеров. Одним из наиболее зрелых методов является фильтрация DNS-запросов с помощью публичных или корпоративных серверов, что позволяет блокировать рекламные ресурсы на сетевом уровне и снижать нагрузку на каналы связи. Применение отечественных антивирусных продуктов с функцией веб-контроля также помогает ограничивать доступ к вредоносным ресурсам.
Законодательно предлагается ограничить перечень собираемых данных, запретить их передачу за пределы РФ и обязать владельцев сайтов минимизировать отслеживание пользователей. «Фильтрация DNS-запросов должна стать обязательным элементом безопасности организаций. Минимизация сбора данных и блокировка рекламных трекеров не только повышают уровень ИБ, но и снижают нагрузку на сеть», — сделал выводГеоргий Петросюк.
Внедрение ненужных решений опасно
Екатерина Беспалова, управляющий партнер Московской коллегии адвокатов «M-Partners», рассказала об «Ошибках цифровой трансформации: как ИТ-проекты приводят к финансовым и уголовным рискам».
В основе этих рисков лежат две основные категории причин. Первая — это специальные составы, связанные с неправомерным доступом к компьютерной информации, утечками данных и нарушениями в сфере кибербезопасности. Вторая, наиболее обширная категория, связана с финансовыми операциями и подпадает под действие статьи о мошенничестве. Это касается привлечения инвестиций, работы с государственными контрактами и корпоративными заказами, а также нецелевого расходования средств.
Екатерина Беспалова считает: «Особое внимание следует уделить проектам с государственным участием. Работа с бюджетными средствами или заказами госкорпораций создает зону повышенного риска, где любая финансовая ошибка может привести к обвинениям в нецелевом расходовании. Привлечение инвестиций также требует безупречной прозрачности в вопросах использования средств, сроков реализации и отчетности».
Эксперт выделила ряд системных ошибок, ведущих к таким последствиям. Например, продолжение проекта любой ценой, то есть дальнейшее вложение средств в заведомо провальный продукт из-за уже понесенных затрат, является прямой дорогой к финансовым убыткам и создает риск привлечения к уголовной ответственности, если руководство скрывало от собственников реальное положение дел.
Не менее опасно внедрение ненужных решений, когда цифровая трансформация не учитывает реальные потребности бизнеса и приводит к созданию неработающих систем, а оплата за фиктивные услуги в таком случае может быть квалифицирована как мошенничество. Серьезные последствия влечет за собой и непроработанный тендер: выбор подрядчика без должной проверки его компетенций, но со «связями», создает риск потери аванса и может повлечь обвинения в растрате.
Слабая проработка проекта, выраженная в отсутствии детального технического задания и документации, усугубляет ответственность в случае инцидента с утечкой ПДн, а при наличии авансирования может быть вменена как мошенничество.
Пренебрежение базовыми мерами ИБ, в свою очередь, ведет к взломам и простоям, что грозит руководителям прямой ответственностью. Игнорирование санкционных рисков, например, продолжение закупок импортного ПО при знании о прекращении его поддержки, может повлечь ответственность за злоупотребление полномочиями. Наконец, увольнение ключевых сотрудников на финальном этапе приводит к потере контроля над системой и создает риск продажи инсайдерской информации конкурентам.
Для управления этими рисками необходимо внедрять комплексный подход. ИТ-проект должен рассматриваться как бизнес-проект с личной ответственностью владельца процесса за каждый этап. Ключевыми инструментами являются предварительный правовой аудит контрагентов, использование эскроу-счетов и поэтапная оплата только за принятый результат. Крайне важно обеспечить уголовно-правовую защиту команды: привести в порядок всю внутреннюю документацию, чтобы в случае проверки продемонстрировать должную осмотрительность и добросовестность.
От центра затрат к реальным ценностям
Руслан Талипов, руководитель центра киберзащиты «МТС Финтех», заинтриговал аудиторию презентацией «WAF куплена, а защита — нет», в основе которой был анализ того, почему формальный подход к внедрению средств защиты информации, в частности Web Application Firewall (WAF), недостаточно для обеспечения реальной безопасности в финтех-секторе.
Ключевая проблема заключается в том, что современный периметр организации перестал быть статичным. Он представляет собой сложную экосистему, включающую сотни внешних ресурсов: от систем и платежных шлюзов до маркетинговых лендингов и интеграций с партнерами. Попытка защитить лишь 3–5 основных ресурсов, как это часто делается на начальном этапе, оставляет огромную часть инфраструктуры уязвимой. Покупка WAF «как сервиса» у вендора позволяет закрыть лишь малую долю трафика (2–3%), что для банка является неэффективной тратой бюджета и не решает задачу безопасности.
«Чтобы WAF стал реальным инструментом защиты, а не просто статьей расходов, необходимо изменить сам подход к его внедрению. Процесс должен начинаться с полной инвентаризации внешнего периметра и осознания того, что WAF — это не просто устройство, а критически важный сервис», — высказал свою позицию Руслан Талипов.
Внедрение должно проходить поэтапно. На первом этапе WAF ставится «в разрыв» для анализа трафика в режиме мониторинга (detection-only), что позволяет выявить реальные угрозы и настроить правила без риска блокировки легитимных пользователей. На последующих этапах покрытие расширяется до 50% и затем до 100% трафика с постепенным ужесточением политик — от базовых правил OWASP до кастомизированных правил для защиты конкретных API. Критически важным при этом является отказоустойчивость системы.
В конечном счете, зрелый WAF перестает быть просто «точкой, которая тратит деньги». Он становится ядром комплексной системы безопасности. Обладая полной видимостью трафика и способностью его расшифровывать, WAF может интегрироваться с другими системами, такими как антифрод. Это позволяет строить предиктивные модели поведения клиентов, передавать сигналы о подозрительной активности и проводить глубокий анализ защищенности приложений для разработчиков.
Таким образом, переход от формального наличия средства защиты к его полноценной работе — это сложный и длительный процесс, требующий глубокой интеграции с ИТ-инфраструктурой и бизнес-процессами. Только пройдя этот путь, можно доказать бизнесу эффективность инвестиций в кибербезопасность и превратить службу ИБ из центра затрат в подразделение, приносящее реальную ценность.
От неуязвимости к киберустойчивости
Александр Товстолип, руководитель управления ИБ «Ассоциации Финтех», обратился к теме «Облака в банках: где проходят границы допустимого риска?» поскольку для банков облака уже стали новой инфраструктурой, позволяющей решать задачи цифровой трансформации, обеспечивать устойчивость сервисов и оптимизировать затраты. Однако миграция в облако — это не только вопрос эффективности, но и вопрос управления принципиально новыми рисками.
Ключевая особенность банковской сферы — высокая концентрация критичных данных и строгие требования к непрерывности обслуживания. В этих условиях любой технологический риск может трансформироваться в операционный, финансовый, регуляторный или репутационный. Вопрос заключается не в том, безопасно ли само облако как технология, а в том, способен ли банк выстроить зрелый процесс управления новыми типами рисков, которые оно приносит.
К основным категориям таких рисков относятся: потеря прямого контроля над инфраструктурой и ее зависимостью от процессов провайдера; риск концентрации, при котором сбой у одного гиперскейлера становится системной угрозой для множества финансовых организаций; риски третьих сторон, связанные с интеграцией провайдера в критическую инфраструктуру банка; вопросы управления данными, хранения и контроля над криптографическими ключами; а также высокая скорость изменений, увеличивающая поверхность для потенциальных атак.
Важно понимать, что переход в облако не устраняет риски, а перераспределяет их. Модель контроля меняется: на смену полному физическому контролю приходит концепция разделяемой ответственности. Провайдер отвечает за физическую инфраструктуру и базовую доступность, но банк сохраняет полную подотчетность перед регулятором и клиентами. Ответственность за управление доступами, конфигурациями, данными и мониторингом остается на стороне финансовой организации.
Поэтому граница допустимого риска определяется не технологией, а зрелостью внутренних процессов. Перед принятием решения о миграции банк обязан получить ответы на ключевые вопросы: каковы сценарии восстановления при отказе провайдера, кто контролирует ключи шифрования и имеет доступ к данным и логам, как обеспечивается прозрачность аудита. «Фокус смещается от идеи полной неуязвимости к киберустойчивости. Зрелость процессов определяет готовность банков работать с облачными провайдерами», — полагает Александр Товстолип.
Человеческий фактор — не проблема
Павел Пархоменко, методолог по обучению ИБ компании «билайн», поделился презентацией «От awareness к киберкультуре». Современный ландшафт киберугроз претерпел фундаментальные изменения. Технический барьер для злоумышленников снизился: фишинговые шаблоны генерируются нейросетями в один клик, а вредоносное ПО создается автоматически. Атаки масштабируются быстро и дешево. В ответ на это в «билайне» произошла полная трансформация подхода к ИБ, затронувшая SOC, защиту данных и инфраструктуры. Ключевым элементом этой трансформации стало формирование направления киберкультуры, отвечающего за безопасность с точки зрения человеческого фактора.
Классический подход awareness, основанный на теории, обязательных курсах при найме и карающих мерах, показал свою неэффективность. Он строился на нереалистичной цели снизить риск ошибки сотрудника до нуля, что контрпродуктивно.
«Люди — не роботы; они действуют на автопилоте, устают и поддаются импульсам. Злоумышленники эксплуатируют именно эти привычки через срочность, авторитет или рутину. Попытка перелома привычек провалилась, а страх наказания привел к сокрытию инцидентов, давая атакующим время закрепиться в инфраструктуре», — рассказал Павел Пархоменко.
А вот новая парадигма признает неизбежность ошибок и фокусируется на двух аспектах. Во-первых, снижение вероятности ошибки через формирование новых практических навыков. И, во-вторых, обеспечение мгновенной видимости атаки путем создания среды без страха последствий, где сотрудник сообщает об ошибке сразу.
Результатом перехода от awareness к киберкультуре в «билайн» стал радикальный сдвиг в скорости реакции на угрозы. Скорость первых сообщений о фишинге увеличилась в 15 раз. Если ранее пик репортов приходился на 2,5–4 часа после атаки, то теперь компания видит потенциальную угрозу в течение первых 10 минут. Это позволяет немедленно ограничить действия злоумышленника. Главным достижением стало создание среды, где люди продолжают совершать ошибки, но делают их видимыми для системы защиты, превращая человеческий фактор из главной уязвимости в активный элемент обороны.



