НОВОСТИ 📰

Forwarded from Sachok

Новопассит для CEO

Гендиректор Innostage, IT-предприниматель и визионер Айдар Гузаиров в авторской колонке для Sachok рассуждает о составляющих спокойствия для CEO и CISO в период глобальной кибертряски.

В информационной безопасности я уже 25 лет. Начинал инженером, прошёл все ступени, вплоть до руководителя. За это время я видел, как меняются угрозы, но 2022 год стал точкой невозврата. Отечественный сегмент интернета превратился в поле боя: атакуют всех — от банков до стартапов, от госкорпораций до ИТ-компаний. Если вы работаете в этом мире, вопрос не в том, «придут ли за вами», а в том, когда.

Осознание этого приходит несразу. Я, например, ещё полтора года назад считал, что мы защищены. Наши системы внушали уверенность, я регулярно сверялся с внутренними ИБ-службами: что и как у нас устроено, какие есть новые атаки и как мы им противостоим. Я даже предложил выйти на багбаунти — программу, где белые хакеры целенаправленно ищут уязвимости. Но тогда услышал от коллег: «Айдар, мы не готовы».

Эти слова я запомню надолго. Мой мир раскололся. Я впервые по-настоящему задумался: а что, если всё это время я просто не знал, как на самом деле обстоят дела?

Испытание реальностью

Следующие девять месяцев стали уроком честности. Мы полностью пересмотрели подходы к безопасности, критически оценили свою инфраструктуру, пересобрали процессы. Это было болезненно — но неизбежно. Такие вещи убивают иллюзии: мысль «это случается с другими» исчезает навсегда. Ты понимаешь, что ты под прицелом, что расслабляться нельзя, и что никто, кроме тебя, за это не отвечает.

В процессе я пережил личную трансформацию. Если раньше я нырял в технические детали, проверял настройки и конфигурации, то теперь могу не задумываться об этом. За нас это делают почти тысяча белых хакеров. Они каждый день тестируют нашу систему, находят уязвимости и помогают нам становиться лучше.

Антихрупкость как стратегия

Этот опыт научил меня главному: безопасность — это не про технологии. Это про бизнес. И оценивать её нужно в бизнес-показателях.

Экономист и писатель Нассим Талеб говорил, что антихрупкость помогает выдерживать сильные воздействия или неожиданные события и получать пользу от их возникновения. Кибериспытания — из этой истории.

Простой пример: раньше я боялся, что нас могут взломать, украсть данные, деньги, парализовать работу. Сегодня я отношусь к этому спокойно. Лучше заплатить профессионалам, которые найдут уязвимости и покажут, где мы слабы, чем ждать атаки от реальных злоумышленников.

Но выгода не только в этом. Когда твоя система кибериспытаний работает, ты начинаешь воспринимать угрозы как часть игры. Твоё доверие к своим системам растёт. А с ним растёт и доверие клиентов. Это конкурентное преимущество: твоя антихрупкость становится твоей визитной карточкой.

Кому нужно ломать себя? Любой компании, которая зависит от ИТ. Если вам есть, что терять, вам пора посмотреть правде в глаза. Для начала — задайте себе вопросы: какие события для нас недопустимы? Что может уничтожить наш бизнес? Сколько мы стоим?

Когда вы оцифруете эти риски, решения придут сами. Если бизнес стоит, скажем, 500 миллионов, потратить 100 миллионов на защиту — это не трата, это страховка. Вы не просто выживаете, вы становитесь устойчивее, сильнее и спокойнее.

Этот подход меняет всё. Разговор с безопасниками больше не идёт вокруг «почему нам нужен этот бюджет». Он становится прагматичным: за какую сумму нас можно уничтожить? Это отрезвляет. Это даёт ясность. И, что самое важное, это работает.

Теперь я могу сказать с уверенностью: наша система безопасности не идеальна. Потому что идеальных систем не бывает. Но она ежедневно проверяется, её регулярно ломают и она снова становится сильнее.

И это даёт мне главный результат: я сплю спокойно. Потому что знаю — даже если что-то случится, мы готовы.

Автор: Айдар Гузаиров

@cybersachok

www.tgoop.com/Russica2/2966

49.5K viewsDec 16 at 12:05

Новопассит для CEO

Гендиректор Innostage, IT-предприниматель и визионер Айдар Гузаиров в авторской колонке для Sachok рассуждает о составляющих спокойствия для CEO и CISO в период глобальной кибертряски.

В информационной безопасности я уже 25 лет. Начинал инженером, прошёл все ступени, вплоть до руководителя. За это время я видел, как меняются угрозы, но 2022 год стал точкой невозврата. Отечественный сегмент интернета превратился в поле боя: атакуют всех — от банков до стартапов, от госкорпораций до ИТ-компаний. Если вы работаете в этом мире, вопрос не в том, «придут ли за вами», а в том, когда.

Осознание этого приходит несразу. Я, например, ещё полтора года назад считал, что мы защищены. Наши системы внушали уверенность, я регулярно сверялся с внутренними ИБ-службами: что и как у нас устроено, какие есть новые атаки и как мы им противостоим. Я даже предложил выйти на багбаунти — программу, где белые хакеры целенаправленно ищут уязвимости. Но тогда услышал от коллег: «Айдар, мы не готовы».

Эти слова я запомню надолго. Мой мир раскололся. Я впервые по-настоящему задумался: а что, если всё это время я просто не знал, как на самом деле обстоят дела?

Испытание реальностью

Следующие девять месяцев стали уроком честности. Мы полностью пересмотрели подходы к безопасности, критически оценили свою инфраструктуру, пересобрали процессы. Это было болезненно — но неизбежно. Такие вещи убивают иллюзии: мысль «это случается с другими» исчезает навсегда. Ты понимаешь, что ты под прицелом, что расслабляться нельзя, и что никто, кроме тебя, за это не отвечает.

В процессе я пережил личную трансформацию. Если раньше я нырял в технические детали, проверял настройки и конфигурации, то теперь могу не задумываться об этом. За нас это делают почти тысяча белых хакеров. Они каждый день тестируют нашу систему, находят уязвимости и помогают нам становиться лучше.

Антихрупкость как стратегия

Этот опыт научил меня главному: безопасность — это не про технологии. Это про бизнес. И оценивать её нужно в бизнес-показателях.

Экономист и писатель Нассим Талеб говорил, что антихрупкость помогает выдерживать сильные воздействия или неожиданные события и получать пользу от их возникновения. Кибериспытания — из этой истории.

Простой пример: раньше я боялся, что нас могут взломать, украсть данные, деньги, парализовать работу. Сегодня я отношусь к этому спокойно. Лучше заплатить профессионалам, которые найдут уязвимости и покажут, где мы слабы, чем ждать атаки от реальных злоумышленников.

Но выгода не только в этом. Когда твоя система кибериспытаний работает, ты начинаешь воспринимать угрозы как часть игры. Твоё доверие к своим системам растёт. А с ним растёт и доверие клиентов. Это конкурентное преимущество: твоя антихрупкость становится твоей визитной карточкой.

Кому нужно ломать себя? Любой компании, которая зависит от ИТ. Если вам есть, что терять, вам пора посмотреть правде в глаза. Для начала — задайте себе вопросы: какие события для нас недопустимы? Что может уничтожить наш бизнес? Сколько мы стоим?

Когда вы оцифруете эти риски, решения придут сами. Если бизнес стоит, скажем, 500 миллионов, потратить 100 миллионов на защиту — это не трата, это страховка. Вы не просто выживаете, вы становитесь устойчивее, сильнее и спокойнее.

Этот подход меняет всё. Разговор с безопасниками больше не идёт вокруг «почему нам нужен этот бюджет». Он становится прагматичным: за какую сумму нас можно уничтожить? Это отрезвляет. Это даёт ясность. И, что самое важное, это работает.

Теперь я могу сказать с уверенностью: наша система безопасности не идеальна. Потому что идеальных систем не бывает. Но она ежедневно проверяется, её регулярно ломают и она снова становится сильнее.

И это даёт мне главный результат: я сплю спокойно. Потому что знаю — даже если что-то случится, мы готовы.

Автор: Айдар Гузаиров

@cybersachok

BY НОВОСТИ 📰