Не аудит, а учебная тревога: как проверить компанию на прочность в условиях «кибервойны»

Рассказывает Анастасия Русакова, генеральный директор Ассоциации «Национальное объединение внутренних аудиторов и контролеров» (НОВАК), член Общественного совета Минфина России.

Мы составляем отчеты о соответствии политикам парольной сложности, в то время как целые отрасли — от ритейла и логистики до госорганов — останавливаются из-за шифровальщиков, а базы данных клиентов утекают в даркнет. Российский бизнес, оказавшийся в эпицентре кибервойны, больше не может позволить себе роскошь аудита «для галочки».

Новая цель внутреннего аудита и контроля — киберустойчивость. Это не про «защищенность» в статичном смысле, а про способность организации выдерживать, восстанавливаться и продолжать операции в условиях постоянных и изощренных кибератак. Это сдвиг парадигмы от «предотвратить любой ценой» к «признать, что атака неизбежна, и быть к ней готовым».

Почему NIST и ISO 27001 недостаточно? 

Международные рамки (NIST CSF, ISO 27001) задают отличную основу, но они не учитывают ключевые российские реалии 2025 года:

1. Целевой характер атак. Противник сегодня — это не случайные хакеры, а часто высокомотивированные государственные или квазигосударственные группировки, действующие в рамках гибридной войны. Их цель — не денежная выгода, а максимальный операционный и репутационный ущерб.

2. Смена технологического ландшафта. Массовый переход на отечественное ПО и «железо» создает «серые зоны» в безопасности. Новые, малоизученные платформы (российские ОС, СУБД, офисные пакеты) имеют неизвестные уязвимости, а сообщество хакеров, которые взламывают системы с разрешения их владельцев, чтобы найти уязвимости и помочь их устранить, еще не сформировано.

3. Регуляторный прессинг. Компании вынуждены готовить большой пакет документов для соответствия требованиям ФСТЭК, ФСБ и ЦБ. При этом у компаний зачастую не хватает ресурсов, чтобы строить живые процессы обнаружения и реагирования.


@Freepik (лицензия INV-C-2024-8250540)

Приведу в пример реальный кейс из российской практики. Крупный федеральный ритейлер, прошедший сертификацию по всем требованиям ФСТЭК для ИСПДн, стал жертвой атаки на цепочку поставок. Вредоносный код был внедрен в легитимное обновление одного из немногих оставшихся зарубежных системных продуктов. Статичные средства контроля не сработали. 

Компания потеряла возможность проводить онлайн-платежи на 3 дня, ущерб исчислялся миллиардами рублей. Вывод такой – компания проверяла «стерильность» своей среды, но не оценивала устойчивость всей экосистемы, включая доверенных, но уязвимых поставщиков. 

Какие практические шаги должен предпринять внутренний аудитор

Аудит должен оценивать не столько артефакты (политики, настройки), сколько процессы и их живое исполнение в кризисной ситуации.

1. Аудит подготовки - фокус на осведомленность и архитектуру

● Тестирование «человеческого фактора». Вместо отчета о проценте прошедших обучение нужно проводить симуляцию целевой фишинг-атаки против топ-менеджмента и финансового блока. Оценивать не количество кликов по ссылке, а скорость и правильность реагирования на инцидент теми, кто «повелся».

● Аудит архитектуры «нулевого доверия». Следует проверить, реализован ли принцип «никому не доверяй, проверяй всегда» не на словах, а на деле. Например, как у вас происходит доступ к критичным данным (чертежи, персональные данные, финансовая отчетность) извне? Используется ли многофакторная аутентификация везде, или есть «белые списки» для удобства?

● Оценка должной проверки киберрисков у поставщиков (особенно облачных). Ответьте себе на вопросы: как оценивается киберзрелость контрагента? Есть ли в договорах пункты об аудите безопасности, о размере гарантий и компенсаций в случае утечки данных по вине поставщика?


@Freepik (лицензия INV-C-2024-8250540)

2. Аудит обнаружения и реагирования - фокус на скорости и слаженности

● Группа этичных хакеров под руководством внутреннего аудита. Не путать с техническим пентестом. Это комплексное моделирование многоступенчатой атаки реальной группы нанятых компанией хакеров. 

Цель — проверить не только техническую оборону, но и координацию между ИБ-службой, юридическим департаментом, PR и правлением. Кто, когда и как принимает решение о публичном раскрытии инцидента? Как компания взаимодействует с силовыми структурами (МВД, ФСБ)?

● Аудит центра управления безопасностью. Аудит должен фокусироваться не на красоте технологий, а на их способности быстро находить и останавливать атаки. Оцениваем в данном случае не дороговизну оборудования, а ключевые метрики: среднее время обнаружения, среднее время на реагирование. Системно разбираем реальные инциденты за последний квартал. Почему на угрозу реагировали 4 часа, а не 15 минут? Потому что не было сценария ответа или потому что ответственный был в отпуске?

3. Аудит восстановления и адаптации - фокус на уроках и эволюции

● Тестирование планов аварийного восстановления и непрерывности бизнеса. Здесь должна подразумеваться не проверка документа, а полноценные учения с отключением реального ЦОД или ключевой системы. Восстанавливаем работу из бэкапа не в идеальных условиях, а с имитацией нехватки персонала (например, ключевой инженер «госпитализирован»).

● Анализ замкнутого цикла улучшений. Задайтесь вопросом - после реального инцидента проводится ли детальный разбор полетов без поиска виноватых? Фиксируются ли извлеченные уроки и меняются ли процессы? Или же все списывается на «происки врагов», а система остается хрупкой?


@Freepik (лицензия INV-C-2024-8250540)

Зарубежный опыт 

Системный подход, где бизнес и государство действуют согласованно, демонстрирует Китай. Внутренним аудиторам российских компаний с госучастием есть чему поучиться.

● Закон о кибербезопасности («Правило мультиуровневой защиты») обязывает компании не просто выполнять требования, а ежегодно проходить аудит на проникновение силами аккредитованных государством организаций. Результаты влияют на возможность работы с государственными данными. Это создает рынок квалифицированных и лояльных аудиторских команд.

● Фокус на самообеспечении и экосистеме. Китайские компании (Huawei, Tencent, Alibaba Cloud) строят замкнутые, но чрезвычайно защищенные экосистемы. Аудит безопасности в них закладывается на этапе проектирования архитектуры, а не добавляется потом.

● Государственно-частное партнерство в разведке потенциальных угроз. Китай поощряет обезличенный обмен информацией об угрозах между компаниями в рамках отраслей под эгидой государственных CERT (Computer Emergency Response Team). Это резко повышает скорость реакции на новые типы атак.

---

Читайте также: Когда доверие оборачивается уязвимостью: как ритейлу защититься от атак на цепочку поставок

---

Что делать российским компаниям сейчас 

Для внутреннего аудитора переход к аудиту киберустойчивости — это серьезный вызов и возможность. Начните с малого:

1. Добавьте одну нестандартную процедуру в ежегодный план, например, симуляцию фишинга для правления или сценарную сессию по реагированию на утечку данных с участием юристов и PR.

2. Измените язык отчетов. Вместо «установлены все заплатки» пишите «способность компании обнаружить и нейтрализовать атаку средней сложности оценивается как низкая, время простоя критичных систем может составить до 72 часов».

3. Требуйте от ИБ-службы не отчетов о выполнении требований ФСТЭК, а метрик устойчивости (например, скорости реагирования).

Киберустойчивость — это марафон, а не спринт. И внутренний аудит должен стать тем, кто не только проверяет форму бегуна, но и оценивает его подготовку к долгой и сложной гонке, где финишная лента — это непрерывность бизнеса в условиях перманентной цифровой бури.

Анастасия Русакова, 
генеральный директор Ассоциации 
«Национальное объединение внутренних аудиторов и контролеров» (НОВАК), 
член Общественного совета Минфина России.

Для NEW RETAIL