„Помните ли малкия Кевин от филма „Сам вкъщи“? Точно като него трябва да се подготвяте в киберзащитата. Той посрещна бандитите в пълна бойна готовност и вие трябва да правите също като него“. Казва го Павел Рибжик, един от лекторите на InfoSec SEE 2026 – тазгодишното издание на голямата конференция за киберсигурност, която всяка пролет събира в Правец няколкостотин топ-специалисти в сферата на виртуалната защита. „Нулевото доверие вече не е достатъчно“, отсича Рибжик.
Да, нулевото доверие се оказва недостатъчно. Днес нападателите имат арсенал от AI инструменти и го използват, за да атакуват по-бързо и по-агресивно от всякога. Бизнесът често пъти е недостатъчно подготвен за сблъсъка с модерните кибератаки. А компаниите, които още не са преживели тежък пробив, понякога живеят в съвсем различна реалност от онези, които вече са били атакувани.
„Виждате ли, кибернападателите нямат проблеми като вашите – те нямат бюджети и бюджетни ограничения, изисквания за регулаторно съответствие, закони и директиви, разрешения за покупка, „proof-of-concept“ процедури и така нататък. Просто започват да използват AI и извличат максимум ползи от него“, обяснява Павел, който е главен изпълнителен директор на Labyrinth Security Solutions. По думите му, защитниците са обременени от вътрешни процеси и административни цикли, докато атакуващите действат без ограничения.
Очаквай, предвкусвай
Променя се и самата философия на киберзащитата. Вярно е, че в последно време индустрията масово говореше за „zero trust“ архитектури. Ала днес повече експерти смятат, че този модел вече не е достатъчен.
„Всеки ден се откриват zero-day уязвимости, случват се грешни конфигурации, а хората са претоварени“, казва Рибжик. Според него, организациите трябва да преминат към т.нар. „очаквателна киберсигурност“ – модел, в който се приема, че нападателят рано или късно ще проникне в инфраструктурата.
Именно тук Павел прави сравнението с филма „Сам вкъщи“. „Кевин чакаше нападателите и се опитваше да забави атаката, вместо просто да укрепва ключалките на вратата“, казва експертът. „Това е промяната в стратегията. Приемаш, че нападателят рано или късно ще влезе. Тогава какво можеш да направиш? Можеш да забавиш атаката. Можеш да подведеш нападателя“.
Не става така, както го мислехме
Промяната е особено важна заради реалното състояние на корпоративната готовност. Според участниците в дискусията на InfoSec SEE 2026, огромна част от организациите все още не са тествали плановете си за реагиране при инциденти. Плановете съществуват на хартия. Но когато настъпи реален пробив, може да се окаже, че не работят.
„Миналата година имахме около 1500 ангажимента за реагиране при инциденти“, казва Майк Харт от Google Cloud. „Значителен процент от тези организации си имаха планове за реакция при инцидент. Имаха си планове за кризисен мениджмънт. Те просто не проработиха в реална ситуация“.
Причините са прозаични. „Тествали са ги веднъж преди това, но после някой е напуснал, конфигурацията се е променила или инфраструктурата е различна, а плановете не са били адаптирани“, обяснява Харт.
Липсата на регулярни симулации и проигравания, според експертите, е сред най-сериозните слабости в индустрията. „Ако този хотел, в който ние се събираме за InfoSec SEE, никога не е правил противопожарна тренировка, то всички ние сме в риск,“ казва Ян Шуп, експерт киберсигурност в Trellix. „Ако я правят веднъж годишно, е добре. Същото е и при киберсигурността“, казва той.
По думите му, организациите следва редовно да провеждат тестове срещу различни сценарии и непременно да включват висшия мениджмънт в т.нар. упражнения „на игрална маса“.„Поставете CFO и CEO в тестова ситуация: какво ще стане, ако утре станем водеща новина в медиите заради пробив? Какво правим тогава? Как комуникираме с пресата? Как докладваме на държавата?“, реторично пита Шуп.
Претоварени до прегаряне
Реалността често изглежда различно. Главните отговорници по киберзащитата често са толкова претоварени, че просто не смогват да правят и тези проигравания, казва Ева Пуерта – доскоро CISO в една от най-големите банки – Banco Santander, a отскоро – експерт „от другата страна на барикадата“, в компанията за киберзащита Check Point.
„Хората, които отговарят за сигурността, нямат време за това. Те са заети с базовите неща, които още не са свършени. Те са заети да защитават пред борда въпроса защо киберсигурността е важна и как да получат бюджет“, казва тя.
По нейните думи, AI допълнително натоварва екипите, защото организациите се опитват едновременно да внедряват нови технологии и да ги контролират. „Ежедневните операции ни заслепяват и не ни позволяват да се фокусираме върху стратегията“, предупреждава Пуерта.
С особена сила това важи за Централна и Източна Европа, където организациите продължават да купуват продукти без ясна стратегия. „Компаниите купуват продукти. Те не мислят за стратегия, а после се опитват чрез решенията да изпълнят стратегия, която всъщност не съществува“, казва Павел Рибжик.
По думите му, проблемът невинаги е в бюджета. „По-скоро хората нямат време да мислят за тези неща. Те са претоварени с базови задачи и нямат възможност да погледнат от различна перспектива – какво ще стане, ако този сървър изчезне или ако инфраструктурата бъде компрометирана“.
Същия проблем вижда и Мо Кашман, CTO на Trelix . Според него, компаниите купуват технологии, но не смогват да изграждат процеси. „Има огромен фокус върху технологията – купуване на инструменти, внедряване. Но за да работят ефективно всичките тези неща като част от процес за реагиране при пробив, трябва време“, казва той.
„Много организации имат видимост и данни, но не могат последователно да преминат през цикъла: открихме проблем, обявихме инцидент, реагирахме“, допълва Кашман.
Особено уязвим остава индустриалният сектор. ИТ средите там продължават да изостават сериозно от класическите корпоративни системи, отчита Фран Гомес от Industrial Defender.
„Истината е, че не толкова много компании са стигнали достатъчно далеч в развитието на планове за реагиране при инциденти, на стратегии за непрекъсваемост и устойчивост процесите“, казва той. „Когато нещо се случи, те имат някакви отделни елементи и започват реагират хаотично“.
По думите му, индустрията в продължение на 25 години е инвестирала основно в защита – защитни стени, антивирусни решения и периметрова сигурност. Днес обаче моделът се измества към подходите на засичане и „допускане на пробив“, при които организациите активно търсят следи от нападатели в инфраструктурата си. „Всяка атака оставя трохички – следи, доказателства. Въпросът е дали събирате правилната информация и дали можете да я разчетете“, казва Гомес.
Пълна промяна: Преди и след
Най-рязкото разделение между организациите обаче не е по размер, сектор или бюджет. То е между тези, които вече са били атакувани, и тези, които още не са. „Животът се дели на „преди и след“ – виждаме огромна разлика“, казва Ева Абергейл, експерт от Radware.
Тя дава пример с малка онлайн платформа за обяви за покупко-продажби на коли. „Те са били хаквани толкова много пъти, че ще се изненадате колко подготвени са станали. Нивото им на готовност би засрамило и най-голямата организация с критична ИТ инфраструктура“, обяснява Абергейл.
В същото време, според нея, има огромни банки и критични организации, които са по-слабо подготвени, защото „още не са стигнали до деня на Страшния съд“.
Завали ли дъжд, това е дъжд от пари
Темата за бюджетите също звучи далеч по-цинично, отколкото обикновено се представя публично. Експертите признават, че тежките инциденти често отключват финансиране, което иначе би било невъзможно.
„Има два начина CISO да успее да получи бюджет“, казва Ева Пуерта. „Първият е организацията да бъде атакувана и пробита. Да, знам, че за мнозина това звучи потресаващо. Вторият начин е да има одитни препоръки. Тогава просто трябва да ги изпълните“.
Майк Харт използва още по-безпощадно описание. „Когато стане инцидент, облаците се струпват в небето отгоре, слънцето спира да грее, започва да вали… и знаете ли, валят пари“, казва той. „Въпросът е какво правите с тези пари“.
Иначе казано, „инцидентите определено са механизъм за привличане на финансиране“, без колебание потвърждава и Мо Кашман от Trellix.
