Мартовская атака на Укрзалізницю и реестры Министерства юстиции стала еще одним доказательством: кибербезопасность — критически важный элемент государственной устойчивости. Во время апрельского заседания НКЦК неоднократно подчеркивалось, что будущие атаки будут масштабными и заранее спланированными. И именно руководители объектов критической инфраструктуры — как государственных, так и частных — должны обеспечить не только их защищенность, но и готовность людей к реагированию.

Это сигнал и для бизнеса. Кибербезопасность перестает быть исключительно технической задачей, а киберустойчивость становится основой стабильности и обсуждается на самом высоком уровне управления. Пока одни компании внедряют политики безопасности и обучают сотрудников, другие до сих пор воспринимают киберзащиту как прерогативу IT-отдела. Но статистика и реальные кейсы доказывают: такой подход ошибочен и опасен.

Посмотрим на мировые тенденции киберугроз. Что мы там видим? По данным исследования Стэнфордского университета, 88% киберинцидентов происходят из-за человеческого фактора. Europol акцентирует внимание на росте количества атак через фишинг и deepfake-видео. Это снижает порог входа для киберпреступников, потому что атаковать бизнес становится проще и дешевле. И пока система уязвима, компания рискует не только деньгами, но и доверием клиентов и репутацией.

Читайте также
Инвестиции, которые убивают. Как российский бизнес уничтожает украинскую экономику изнутри

На мой взгляд, именно владельцы бизнеса должны стать драйверами изменений и строить стратегию security-first. Мне часто встречаются примеры, когда компания технически "вооружена", но в команде отсутствует цифровая гигиена. Люди используют одни и те же пароли, игнорируют двухфакторную аутентификацию или открывают подозрительные письма. Это не ошибка людей — это ошибка владельцев бизнеса, которые игнорируют вопросы кибербезопасности и полностью делегируют их CISO или IT-отделу.

Что может сделать руководитель уже сегодня:

1. Проведите аудит кибербезопасности

Аудит помогает выявить слабые места до того, как ими воспользуются злоумышленники. Это позволяет оценить уровень киберготовности, определить уязвимости в бизнес-процессах и сформировать план по снижению рисков. Системный аудит становится основой для обоснованных решений по инвестициям в защиту, обучению команды и обновлению технологий. По данным IBM, компании, имеющие четкую подготовку к инцидентам, экономят в среднем $1,5 млн в случае утечки данных.

2. Подготовьте четкие протоколы реагирования на киберинциденты

Во время кибератаки время на принятие решений ограничено. Важно иметь утвержденную политику безопасности: кто за что отвечает, как происходит информирование об инцидентах, какие технические и коммуникационные шаги необходимо предпринять. Также важно создать антикризисную команду, в которую входят IT-специалисты, юристы, PR-эксперты и руководители подразделений. Именно они должны координировать действия в первые часы после атаки. Отсутствие четких протоколов может усугубить кризис и увеличить убытки компании.

3. Регулярно обучайте команду

Как я уже подчеркивал, человеческая ошибка остается главной уязвимостью бизнеса, поэтому обучение должно быть не разовым мероприятием, а постоянной практикой. Важно проводить тренинги для всех уровней команды: от топ-менеджмента до офис-менеджеров, бухгалтеров, юристов. Четкое понимание базовых принципов безопасности помогает минимизировать риски в критические моменты.

4. Проводите обучающие фишинг-кампании и симуляции кибератак

Практические тренировки позволяют проверить готовность сотрудников реагировать на угрозы в реальном времени. Согласно исследованиям, 80% компаний, регулярно практикующих такие тренинги, отмечают значительное снижение риска инцидентов. Киберустойчивость вырабатывается именно через опыт, симуляции и рефлексию на ошибки.

5. Интегрируйте кибербезопасность в стратегическое управление

Кибербезопасность сегодня — это стратегический бизнес-риск, наравне с финансовыми или репутационными. Успешные компании интегрируют безопасность на всех уровнях принятия решений. В ЕС регламент DORA обязывает финансовые учреждения управлять киберрисками на уровне руководства и совета директоров. В США SEC требует от публичных компаний отчитываться о киберинцидентах и роли топ-менеджмента в управлении безопасностью.

На мой взгляд, в Украине уже начинает формироваться системная практика киберустойчивости: в 2025 году одним из важных шагов стало внедрение стандартов NIS2 для защиты критической инфраструктуры. Это приближает нас к европейским стандартам безопасности.

Читайте также
В США тысячи чиновников ошибочно получили доступ к планам здания Белого дома – WP

В то же время я убежден, что настоящая устойчивость невозможна без проактивной позиции бизнеса — владельцы компаний должны интегрировать безопасность в свои стратегии и процессы, ставя киберзащиту на тот же уровень приоритетности, что и прибыльность или финансовая стабильность.

Хотите стать колумнистом LIGA.net - пишите нам на почту. Но сначала, пожалуйста, ознакомьтесь с нашими требованиями к колонкам.

Статьи, публикуемые в разделе "Мнения", отражают точку зрения автора и могут не совпадать с позицией редакции LIGA.net
киберугрозыкибербезопасностьIT-технологии