«Приемлемый уровень риска» и человеческий фактор: эксперты обсудили диалог ИБ и бизнеса на SocioTech

На встрече эксперты рассмотрели ключевые вопросы кибербезопасности: текущий ландшафт угроз, роль человеческого фактора в возникновении уязвимостей, а также практические инструменты для диалога с руководством — карту критических рисков и экономическую модель оценки потенциального ущерба для обоснования бюджетов на защиту.

Программа форума строилась вокруг концепции человекоцентричной безопасности, ориентированной на повышение осведомленности персонала относительно киберрисков и норм поведения в киберпространстве. Тема информационной безопасности становится особенно актуальной на фоне участившихся кибератак на российские компании. Почти 42% отечественных организаций столкнулись с кибератаками на инфраструктуру в 2025 году. Увеличение числа подобных инцидентов лишь подчеркивает критическую важность внедрения надежных мер защиты информации.

На форуме также обсудили проблему взаимодействия между топ-менеджментом и специалистами по кибербезопасности, чьи интересы в развитии бизнеса и систем ИБ зачастую не совпадают. При этом сотрудники организаций оказываются в двойственном положении: они одновременно являются мишенью для хакерских атак и главным активом компании.

Исполнительный директор Phishman Юрий Терехин указал на высокое число кибератак, осуществляемых через рассылку по электронной почте.

«В бизнесе время и скорость — ключевые ресурсы, все делается на ходу, нужно успеть как можно больше за короткий срок. Это дает преимущество с точки зрения эффективности, но отключает критическое мышление. В этом и заключается человеческая уязвимость в ИБ: сколько ни эшелонируй оборону, один клик мыши сотрудника по фишинговой ссылке — и вся защита рухнет», — отметил Терехин.

Эксперт советует снижать угрозу развитием корпоративной киберкультуры на всех уровнях, от линейного персонала до топ-менеджмента — когда сотрудники не только формально ознакамливаются со справочными материалами, но понимают и осознают последствия своих действий.

Генеральный директор «Датаюниверс» Александр Макар для эффективной коммуникации между ИБ и бизнесом призвал безопасников оценивать «чувствительность к риску» руководства, так как ИБ может стать барьером для темпа развития бизнеса. «Важно понимать, какую меру риска менеджмент готов считать допустимым, и изменить подход с „мы снимаем все риски“ на „мы решаем бизнес-задачи с приемлемым уровнем риска“. Для этого полезно разработать реестр недопустимых событий и регулярно актуализировать его совместно с руководством», — поделился эксперт.

Тематику расчета рисков развил директор по информационной безопасности ГК «МЕДСИ» Виталий Медведев. Он предложил опираться на диапазон потенциального суммарного ущерба, куда входят актуальные угрозы: шифрование ключевых бизнес-систем, утечка персональных данных и другие критичные сценарии. На основе этих данных, оценки текущего состояния защиты и возможностей злоумышленников можно построить экономическую модель, которая покажет руководству реальную отдачу от вложений в безопасность.

Завершился форум панельной дискуссией в составе спикеров, модератора и приглашенного гостя, директора по безопасности Humans Владимира Копасова.

«Специалисты по ИБ не должны быть „продавцами страха“. Преувеличивать угрозы или привирать — значит рисковать своей репутацией в глазах менеджмента компании», — добавил Копасов.

Мероприятие прошло на Платформе современного искусства «Куб», в окружении арт-объектов и с добавлением в программу перфомативной части. По замыслу организаторов, камерное пространство подчеркнуло диалог ИБ и бизнеса как искусство и возможное восприятие киберкультуры компаний — не как регламенты, а как опыт, эмоции и коллективное взаимодействие.