Российская индустрия кибербезопасности разработала новую методику количественной оценки защищённости компаний от кибератак, основанную на доказательстве невозможности нанесения неприемлемого ущерба.

Российская индустрия кибербезопасности разработала и внедряет принципиально новую методику количественной оценки защищённости компаний от кибератак. Её суть заключается в переходе от поиска отдельных уязвимостей к доказательству невозможности нанесения неприемлемого ущерба. Об этом заявил сооснователь фонда развития кибербезопасности «Сайберус» и компании Positive Technologies Юрий Максимов, выступая на форуме «Цифровые решения».

По его словам, отрасль последние годы развивалась в двух ключевых направлениях. Первое — консервативное: экстренное замещение ушедших с рынка западных продуктов отечественными решениями. Второе и, по его оценке, главное достижение — формирование «индустрии людей». Эксперт подчеркнул, что именно сообщество специалистов, а не продукты или компании, составляет основу IT-отрасли.

Однако российский рынок остаётся небольшим, а локальный потребитель не всегда достаточно требователен, что заставляет отечественных разработчиков прилагать экстраусилия для достижения мирового уровня качества. При этом глобальная проблема кибербезопасности не решена, и цифровизация жизни значительно опередила безопасность.

Ключевым изменением в подходе к безопасности стала возможность её количественного измерения. Максимов подробно остановился на эволюции Bug Bounty. Российская методика кибериспытаний существенно расширяет этот функционал. «Мы говорим, что цель исследования — не просто найти уязвимости, а продемонстрировать саму возможность нанести организации неприемлемый ущерб. Только тогда можно ставить новую, конечную цель — сделать нанесение такого ущерба невозможным», — пояснил он.

В рамках такого подхода компания последовательно увеличивает вознаграждение для хакеров-исследователей — от 1 млн до 10 млн рублей и более, — пока те не докажут возможность нанести неприемлемый ущерб. Достижение порога, когда исследователи не могут этого сделать, и становится количественной мерой защищённости, подчеркнул Юрий Максимов.

Этот подход влечёт за собой структурные изменения в отрасли. Максимов провёл параллель с финансами, где аудит отделён от непосредственной работы с деньгами. «В индустрии кибербезопасности те, кто оценивает результат, и те, кто его обеспечивает, — это по сути одни и те же люди. Мы же разделяем эти функции», — заявил он.

Ещё одним следствием внедрения количественной оценки становится трансформация рынка страхования киберрисков. «Уже сейчас мы договорились с рядом страховых компаний: организация, проходящая кибериспытания, получает снижение тарифов на порядок и многократное увеличение страхового покрытия», — сообщил эксперт.

Внедрение новой методологии, по словам Максимова, сталкивается с серьёзными вызовами. Во-первых, это внутриотраслевое сопротивление, так как подход требует перехода от продажи привычных продуктов к созданию принципиально новых решений. Во-вторых, существует регуляторный риск: деятельность хакеров-исследователей, использующих методы, схожие с действиями преступников, является чувствительной темой.