Роль высшего менеджмента в обеспечении кибербезопасности в компании
Поэтому отношение к кибербезопасности компаний стало меняться — на смену отрицанию пришло принятие. В статье рассказали, почему в кибербезопасности должен разбираться не только ИБ‑директор, но и топ‑менеджмент.
События 2025 года наглядно показали, что от кибератак не застрахован никто — ни крупный национальный авиаперевозчик, ни аптечная сеть, ни винный магазин возле дома. Вымогатели могут полностью парализовать бизнес, выкручивая жертвам руки — суммы выкупа начинаются от 50 000 долларов. Утечки баз данных растут, а количество строк в них уже превысило количество жителей нашей страны. Ни один бренд не может быть спокоен — ежедневно мошенники генерят по 13 фишинговых и 7 скам‑ресурсов под каждую торговую марку.
Отношение бизнеса к кибербезопасности: как меняется ситуация
Еще около 10‑15 лет назад для многих российских предприятий и организаций цифровая безопасность не являлась приоритетом. Часто топ‑менеджеры были уверены, что их компании не интересны атакующим хакерам, и киберинциденты их не коснутся. Кроме того, многие верили в бумажную безопасность, то есть меры для формального соответствия требованиям законов.
Долгое время бюджеты на информационную безопасность в российских компаниях распределялись по остаточному принципу. Исключение составлял финансовый сектор. Банки, страховые и финансовые организации раньше других столкнулись с серьезными киберугрозами — целевыми атаками, программами‑вымогателями, финансовыми махинациями. Это заставило их активно инвестировать в информационную безопасность, внедрять современные инструменты защиты. Сейчас финансовый сектор показывает наивысший уровень киберзащиты. По данным индекса кибербезопасности F6, самый высокий средний балл получили организации финансового сектора — банки, страховые компании, платежные и лизинговые организации — 5,8.
Ситуация кардинально изменилась после февраля 2022 года. С кибератаками столкнулись абсолютно все российские компании. Транспортная сфера, ТЭК, промышленность, IT, ритейл начали ощущать на себе последствия кибершпионажа, диверсий, DDoS‑атак и других угроз. Это изменило отношение к защите. Сейчас бизнес хорошо понимает, что кибербезопасность касается каждого и это базовый вопрос выживания компании. Поэтому передовые практики киберзащиты стараются внедрять во всех отраслях.
На изменение отношения к кибербезопасности также повлияли происходящие в России процессы импортозамещения, ужесточение регуляторики в области ИБ. Она включает защиту личных данных (152‑ФЗ), критической инфраструктуры (187‑ФЗ), юридическую значимость цифровых подписей (63‑ФЗ), блокировку опасного контента (398‑ФЗ, 90‑ФЗ, 281‑ФЗ) и общую «охрану порядка» (390‑ФЗ). С 1 сентября 2022 года операторы персональных данных обязаны сообщать в Роскомнадзор о фактах утечек, трансграничной передаче данных. С 30 мая 2025 года были увеличены штрафы за использование несертифицированных средств защиты (СрЗИ) — до 100 тысяч рублей для организаций. Были внедрены стандарты, техники и методы контроля (184‑ФЗ, 242‑ФЗ).
Рассылка: как вести бизнес в России
Пять полезных писем пришлем сразу после подписки. В них — бизнес‑идеи, готовые промпты для нейросетей, советы, как выбрать налоговый режим и получать пассивный доход
Зачем топ‑менеджменту разбираться в кибербезопасности?
Кибербезопасность — управляемый бизнес‑риск, который требует системного подхода и должен входить в стратегическое планирование, а обсуждение повестки информационной безопасности становится обязательным элементом управления. Поэтому важно, чтобы топ‑менеджмент разбирался в вопросах кибербезопасности и был вовлечен в ее обеспечение.
Со стороны топ‑менеджмента есть заинтересованность в обучении, желание прокачать свои навыки. Модули по киберрискам встраивают в программы MBA и EMBA Сколково, РАНХиГС и МГИМО. Растет число специализированных программ для руководителей, СЕО и директоров по кибербезопасности. В обучающие программы включается все больше практики — живых симуляций. Во время таких практических заданий руководители сами принимают решение под давлением ситуации. Это позволяет им увидеть угрозу другими глазами — не как техническую абстракцию, а как бизнес- и репутационный риски. Такое обучение дает руководству понимание, где кроются реальные угрозы, как реагировать на инцидент, что делать в критической ситуации, как оценить последствия кибератаки. Прокачанный в вопросах кибербезопасности менеджмент не станет игнорировать проблемы и будет реже принимать поспешные решения.
Топ‑менеджмент или ИБ‑директор: кто отвечает за кибербезопасность?
В последние годы бизнес все больше приходит к пониманию того, что ИБ‑директор (CISO) — это не просто технический специалист, а стратегический лидер. Он отвечает за выработку программы информационной безопасности, управление рисками, соответствие требованиям регулятора.
В некоторых компаниях отчет CISO трансформировался в полноценные сессии по ИБ на уровне стратегических планерок. На них обсуждаются возможные сценарии угроз, финансовые и репутационные последствия. В годовых отчетах крупных компаний появляются разделы, посвященные оценке киберугроз, мерам защиты, которые предпринимает компания. Также увеличивается количество компаний, где ИБ‑директор подчиняется напрямую или входит в совет директоров.
Однако пока еще можно встретить ситуации, когда ИБ‑директор не имеет никаких реальных рычагов влияния. Так, только каждый пятый российский CISO имеют прямой доступ к архитектуре IT, а почти половина играет лишь консультативную роль, без возможности влиять на ситуацию. В случае инцидента топ‑менеджмент и CISO, IT и ИБ‑подразделения стараются избежать ответственности, перекладывая ее друг на друга.
В ближайшей перспективе: что ждет кибербезопасность
Продолжение активного импортозамещения, усиление регулирования, повышение понимания важности киберзащиты будут стимулировать развитие рынка, увеличивать спрос на отечественные продукты и услуги.
За последние годы рынок информационной безопасности, по оценкам различных аналитических агентств, рос на 25‑30% и в 2024 году составляет от 299 до 339 млрд рублей. И вырастет еще — По прогнозам экспертов, к 2030 году объем он может достигнуть 600‑700 млрд рублей. Сейчас в России работает порядка 200‑300 компаний, предлагающих ИБ‑решения, сервисы и услуги, и их количество продолжает расти. При этом на продукты и решения приходится порядка 70% рынка, а на сервис и услуги — 30%.
По нашим прогнозам, в ближайшие годы бюджеты на кибербезопасность в среднем вырастут на 15–30%, а в отраслях с высокими киберрисками можно ждать роста бюджетов на 30–40%. Более 62% российских IT‑компаний планируют увеличить бюджет на ИБ в 2025 году (против 50% в 2022‑м).
Компании будут увеличивать штат ИБ‑подразделений — начиная от CISO и заканчивая аналитиками SOC (центра мониторинга безопасности). Вырастут инвестиции в закупки решений для предотвращения кибератак Threat Intelligence, MXDR, EDR/XDR‑платформ для нейтрализации сложных и неизвестных киберугроз, инструментов для оценки поверхности атаки — ASM, систем управления событиями (SIEM). Можно ожидать увеличения бюджетов на аутсорсинг коммерческих SOC, проведение тестирования на проникновение.
Для того чтобы усилить кибербезопасность, сейчас необходимо адекватное бюджетирование и регуляторика, обучение и образование кибербезопасности управленцев, подготовка профессиональных кадров. Важно обучать не только IT‑специалистов, но и топ‑менеджеров, руководителей среднего звена для принятия ими правильных решений, и как следствие, для снижения вероятности атак и возможного ущерба. Руководители, которые прошли обучение по кибербезу, будут способствовать формированию культуры безопасности в своих компаниях.
