Киберустойчивость как стратегический актив

23 марта хакеры взломали онлайн-сервисы "Укрзализныци". Хотя персональные данные пользователей остались в безопасности, а поезда продолжали движение, инцидент перегрузил кассы и повлиял на доходы от грузовых перевозок.

Атака на "Киевстар" стоила компании 100 млн долл. В январе масштабной кибератаке подвергся агрохолдинг МХП. Сбои затронули серверы, email-систему, внутренние сервисы и цепи поставок. В Великобритании Marks & Spencer из-за кибератаки терял по 3,8 млн фунтов ежедневно, а за неделю - более 700 млн рыночной стоимости.

Евросоюзовские страны уже ввели законодательные требования к бизнесу по антикризисному планированию на случай кибератак. Украина только начинает внедрять государственную систему киберустойчивости и в этой ситуации именно бизнесу приходится брать на себя ответственность за защиту и репутацию. Как подготовиться к инциденту, чтобы не только восстановить техническую способность, но и удержать доверие?

Наблюдая за международными кибербезопасными форумами, я не раз замечала: эта сфера до сих пор существует в параллельном измерении с коммуникациями. На технических событиях не хватает голосов PR-специалистов, а пиарщики часто не имеют представления об алгоритмах реагирования на инциденты. Это проблема.

Когда случается атака, реагирует не только ИТ-отдел. К делу привлечены юристы, финансисты, коммуникационщики, топ-менеджмент. Скоординированная коммуникация в момент кризиса - это не бонус, а базовое условие минимизации убытков. Она помогает сохранить доверие, стабилизировать ситуацию и защитить финансовую модель компании.

Как в Евросоюзе

В 2025 году в ЕС начали действовать ключевые нормативные акты: Digital Operational Resilience Act (DORA), который требует от финансовых учреждений и ИТ-подрядчиков иметь готовые сценарии реагирования на кибератаки, и NIS2 Directive, охватывающий 18 критических секторов (от энергетики до здравоохранения) и обязывающий компании разработать киберстратегии, ввести отчетность, определить ответственных лиц в руководстве.

В ЕС больше не оставляют вопросы кибербезопасности на усмотрение компаний. Стремительный рост атак и их разрушительные последствия заставили правительства закрепить требования законодательно.

Как в Украине

В марте Верховная Рада приняла законопроект, предусматривающий создание государственной системы реагирования на киберугрозы. Его принятие - одно из условий программы финансовой помощи Ukraine Facility Plan от Евросоюза. Согласно ей, Украина должна адаптировать свое законодательство к требованиям NIS2.

Однако этот закон охватывает преимущественно государственные структуры. Частный сектор остается в зоне саморегулирования и, соответственно, высоких рисков. Тем временем количество атак растет: в 2024 году - на 70% по сравнению с предыдущим. Под прицелом - органы власти, объекты критической инфраструктуры, бизнес любого масштаба.

Что влияет на восстановление

Когда происходит кибератака, компания часто оказывается в информационном вакууме. Она не понимает, кто должен коммуницировать, через какие каналы, что говорить клиентам и партнерам. Между тем, согласно исследованию, 75% пользователей готовы отказаться покупать у бренда, который подвергся кибератаке.

Недавний опрос украинских бизнесов показал, что 62% компаний не имеют четкой стратегии действий на случай атаки, 39% не имеют никакого антикризисного коммуникационного плана, а треть компаний никогда не проводила оценки рисков.

При этом бизнесы, которые подвергались кибератакам, демонстрируют более высокую готовность. Они регулярно проводят тренинги и имеют антикризисный коммуникационный план.

Во время атаки клиентам нужны не извинения, а уверенность, что их данные в безопасности, что ситуация контролируется, что компания принимает меры. В коммуникационном кризисе побеждает тот, кто признает проблему, четко формулирует действия и демонстрирует прогресс.

Как подготовиться к киберинциденту

Киберустойчивость должна стать частью стратегии на всех уровнях бизнеса: техническом, финансовом, коммуникационном. Построение киберустойчивой организации должно начинаться с обучения персонала, регулярных тренингов по распознаванию фишинговых писем, симуляции кибератак и кризисных ситуаций. Советую прибегнуть к следующим шагам.

1. Провести оценку рисков, продумать возможные угрозы и расписать комплексные антикризисные планы реагирования на каждый из них.

2. Сформировать антикризисную кроссфункциональную команду. Важно не только восстанавливать систему после кибератаки силами технической команды, но и коммуницировать прогресс наружу. Поэтому в команду стоит включить представителей всех звеньев: руководство компании, специалистов по ИТ и кибербезопасности, юридический отдел, PR.

3. Определить каналы коммуникации. Если хакеры взломают сайт, стоит продумать, как вы донесете пользователям информацию о ходе кризиса, ваши действия для его разрешения и рекомендации по безопасности, если под угрозой окажутся персональные данные.

4. Определить перечень спикеров, которые будут комментировать ситуацию: писать об этом в собственных соцсетях, коммуницировать с партнерами и медиа.

5. Сформировать набор сообщений для стейкхолдеров. Хотя кибератака может отличаться от сценария, который вы прорабатывали на внутренних тренингах, всегда лучше иметь черновой вариант, чем писать все с нуля под давлением кризиса.

6. Помнить о посткоммуникации. Когда кризис пройдет, нужно проинформировать стейкхолдеров о последствиях; инвесторам или совету директоров следует предоставить подробные отчеты, провести внутреннюю коммуникацию с командой для работы над ошибками.

Не менее важно регулярно симулировать кризисы, как учебные тревоги в школах или пожарные учения в ТЦ. Сценарии нужно пересматривать и обновлять в соответствии с новыми угрозами. Военные сравнивают это с мышечной памятью: во время сильного стресса люди действуют рефлекторно. В интересах вашей компании, чтобы этот рефлекс был отработан до того, как произойдет кибератака. Вопрос не в том, произойдет ли кибератака. Вопрос - когда это произойдет и будет ли ваша компания к ней готова.