Информационная безопасность: как защищать данные от атак и ошибок

Российский рынок облаков развивается быстрее среднемирового: по нашим оценкам, к 2028 году его объём достигнет 516 млрд рублей. При этом ключевыми драйверами роста выступают сервисы PaaS и SaaS. Но вместе с этим увеличивается и число кибератак: в 2024 году на облака пришлось 45% всех атак в России. Особенно часто под удар попадают госсектор и банки.

В статье разберём, что такое информационная безопасность (ИБ) и зачем она нужна бизнесу. Покажем, какие бывают угрозы: от случайных ошибок сотрудников до целенаправленных атак, объясним, чем отличаются атаки в облаке и локальных системах. Расскажем, какие меры защиты бывают и покажем, как работает подход «безопасность как услуга».

Что такое информационная безопасность

Информационная безопасность — это комплекс мер и средств, направленных на обеспечение конфиденциальности, целостности и доступности информации от угроз.

Цели и принципы информационной безопасности

Чтобы защита работала, компании следуют целям: сохранить конфиденциальность, целостность и доступность данных. Это называют триадой CIA (Confidentiality, Integrity, Availability):

К триаде добавляют и другие свойства:

Как компании защищают данные

Чтобы обеспечить безопасность, компании выстраивают защиту на нескольких уровнях. Вот ключевые принципы:

• Многоуровневая защита. Используются сразу несколько видов контроля: административный, технический и физический. Если один уровень даёт сбой, остальные продолжают защищать данные.
• Минимальные привилегии (Zero Trust). Пользователи, сервисы и процессы получают только те доступы, которые нужны для работы. Все остальные по умолчанию запрещены.
• Разделение обязанностей. Важные операции распределяются между разными ролями или требуют двойного подтверждения, чтобы исключить злоупотребления.
• Безопасность по умолчанию и Security by Design. Системы изначально настроены безопасно: порты закрыты, анонимные API‑запросы запрещены, шифрование по умолчанию. Доступ открывается только при явном разрешении.
• Непрерывный мониторинг. Безопасность оценивают постоянно — через автоматизированный сбор и анализ ключевых метрик защищённости (Information Security Continuous Monitoring — ISCM), анализ уязвимостей и контроль за угрозами.
• Обучение и адаптация. Постоянная подготовка сотрудников, включая программы по повышению осведомлённости о безопасности (Security Awareness), помогает снизить влияние человеческого фактора. Эти программы обучают основным принципам информационной безопасности, адаптированным под разные роли в компании, и способствуют быстрому реагированию на новые угрозы.

Угрозы информационной безопасности

Угрозы ИБ принято разделять на внешние и внутренние. Они постоянно развиваются, охватывая как традиционные ИТ‑системы, так и облачные решения. При грамотной организации процессов облако обеспечивает высокий уровень защищённости — но требует экспертизы, учитывающей его особенности и отличия от классической ИБ.

Согласно исследованию нашей команды вредоносное ПО остаётся одним из самых популярных видов атак — в эту категорию входят шифровальщики, инструменты удалённого доступа, загрузчики и другие угрозы. Среди вредоносных программ, активно используемых для атак на облачные среды в России, лидируют:

• Kinsing — атакует Linux‑контейнеры, использует более 40 уязвимостей популярных приложений.

• SmokeLoader — ориентирован на Windows‑инфраструктуру и проксирует C2 через облачные ресурсы.

Инструменты вроде gsocket изначально разрабатывали специалисты по информационной безопасности — команды Red Team, которые имитируют действия злоумышленников, чтобы выявить уязвимости в инфраструктуре компании. Однако эти же инструменты часто используют хакеры: с их помощью они проникают в сети и управляют скомпрометированными системами, оставаясь незамеченными. Это подчёркивает важность регулярного мониторинга событий безопасности и быстрого реагирования на инциденты. Для этих задач используют:

• SIEM‑системы (Security Information and Event Management — системы управления событиями и информацией безопасности): собирают и анализируют логи, выявляют подозрительную активность;

• EDR‑решения (Endpoint Detection and Response — обнаружение и реагирование на угрозы на конечных устройствах): фиксируют действия на компьютерах и серверах, помогают расследовать атаки;

• MDR‑сервисы (Managed Detection and Response — управляемое обнаружение и реагирование): внешние команды экспертов, которые круглосуточно следят за инфраструктурой и реагируют на угрозы.

Внешние и внутренние угрозы

Большинство серьёзных утечек (83%) совершают внешние злоумышленники. В 95% случаев ими движет финансовый интерес. Промышленный шпионаж лежит в основе только 5–8% инцидентов. Внутренние участники тоже играют роль: сотрудники и подрядчики вовлечены в 19% утечек. При этом половина таких случаев происходит из‑за ошибок, а не по злому умыслу.

В России наиболее частыми целями атак на облако остаются еком и ритейл, разработка ПО, профессиональные сервисы, а также образование и сфера развлечений. В ритейле высок интерес к данным пользователей и платёжной информации, а в B2B‑секторах атаки часто становятся частью сложных цепочек поставок.

Облачные угрозы

Облачные технологии упрощают работу с инфраструктурой, но требуют особого внимания к настройке ресурсов. Одна из главных угроз — неправильная настройка ресурсов. По данным Cloud Security Alliance (CSA), почти 43% организаций сталкивались с утечкой данных из‑за ошибок конфигурации.

В 2024 году топ‑3 векторов атак на облако выглядели так:

• Попытки несанкционированного доступа через вредоносное ПО — 40%.
• Мисконфигурации облачной инфраструктуры и уязвимости — 30%.
• DDoS‑атаки — 18%.

Мисконфигурации часто связаны с неправильной настройкой сетей и прав доступа: ресурсы становятся доступны из интернета, появляются неротированные IAM‑ключи, отсутствует шифрование в хранилищах S3. DDoS‑атаки вышли на третье место — это связано с публичностью облачных ресурсов и важностью своевременного подключения защиты от DDoS ещё до инцидента.

Для анализа каналов проникновения, построения моделей угроз и оценки защищённости инфраструктуры используют матрицу MITRE ATT&CK^™ — открытую базу знаний о тактиках и техниках, которые применяют злоумышленники на разных этапах атаки.

Мы проанализировали самые цитируемые отчёты об инцидентах за последний год. Во всех них совпадают ключевые векторы первичного доступа — чаще всего атакующие используют одни и те же пять техник из MITRE ATT&CK^™:

1. Exploit Public‑Facing Application (T1190): злоумышленники эксплуатировали уязвимые веб‑порталы, VPN‑шлюзы и API, чтобы сразу получить шелл на периметре. В отчёте M‑Trends 2024 техника дала 28,7% всех начальных компрометаций.
2. Valid Accounts или External Remote Services (T1078 или T1133): вход с легитимными учётками, купленными или добытыми фишингом/лог‑скиммингом. Отчёт IBM X‑Force показывает 30% инцидентов, связанных с использованием украденных паролей.
3. Spear-Phishing Link или Attachment (T1566.002 или T1566.001): доставка малвари через письма, OneDrive‑ссылки и макросы. Компания в области кибербезопасности Secureworks отмечает, что фишинг обеспечивает до 33% первичных доступов в системы организаций.
4. Brute Force (T1110): массовый перебор паролей к RDP/VPN. Компания в области кибербезопасности Sophos указывает на рост атак на MFA‑незащищённые сервисы, а M‑Trends 2025 фиксирует оценку в 6,3%.
5. Supply Chain Compromise (T1195): редкая, но резонансная техника (MOVEit, 3CX). В M‑Trends 2025 за 2024‑й она встретилась лишь в 0,2% кейсов.

В 2024 году 99% взломов в облаке начинались с проблем с доступом — утечки учётных данных или избыточные права. Это могли быть переданные стороннему пользователю ключи API или уязвимая учётная запись администратора.

Третья по частоте причина инцидентов — небезопасные интерфейсы и API. Злоумышленники могут использовать их, чтобы обойти защиту и получить доступ к данным.

Ещё один риск — многоарендная инфраструктура. Если злоумышленник найдёт уязвимость на уровне платформы, он может получить доступ сразу к нескольким клиентам.

Наконец, компании зависят от стабильности облачного провайдера. Если он столкнётся с техническими проблемами, остановится работа всех клиентов.

Эти угрозы требуют пересмотра подходов к безопасности: защита в облаке должна учитывать не только сетевые и физические уровни, но и архитектуру приложений, распределение прав и процессы безопасной разработки — DevSecOps.

Распространённые атаки и уязвимости

Многие атаки начинаются не со взлома, а с доверия — 74% инцидентов связаны с человеческим фактором. Чаще всего злоумышленники используют пять приёмов:

• украденные учётные данные,
• фишинг,
• слабые парольные политики,
• отсутствие двухфакторной авторизации,
• нарушение принципа минимальных привилегий.

Ещё один популярный сценарий — компрометация деловой переписки. Он составляет более половины всех инцидентов социального инжиниринга. Злоумышленники притворяются сотрудниками компании и убеждают адресата перевести деньги или выдать доступ к системам.

Распространены и атаки на уязвимое ПО. Необновлённые системы особенно уязвимы к:

• вредоносным программам, в том числе шифровальщикам,
• DDoS‑атакам — распределённый отказ в обслуживании,
• атакам на данные — утечкам конфиденциальной информации и интеллектуальной собственности.
• «OWASP Top 10» — списку десяти наиболее критичных рисков безопасности веб‑приложений.

В 2024 году DDoS впервые стали самым частым типом инцидента в Европе. Против таких атак помогает только комплексный подход: использование средств защиты от DDoS- и веб‑атак.

Особое внимание стоит уделить атакам на цепочку поставок. В 2024 году этот вектор стал одной из наиболее заметных угроз на российском рынке: такие инциденты могут затронуть сразу многих клиентов облачного провайдера. Для контроля рисков внедряют комплексные процессы SDL и DSPM — для мониторинга секретов и проверки подрядчиков.

В нашей команде постоянный мониторинг аномалий позволяет оперативно выявлять подозрительные действия со стороны партнёров или внешних поставщиков. Неоднократно удавалось обнаружить нарушения на ранних этапах — ещё до появления публичных инцидентов у других облачных провайдеров. Такой подход помогает защищать инфраструктуру на шаг впереди и поддерживать устойчивость сервисов.

Виды информационной безопасности

Информационную безопасность делят не только по уровням — от личной до государственной, — но и по типам защиты: физическая, техническая и административная. Отдельная история — облачные системы: у них свои угрозы и логика защиты.

Персональная, корпоративная, государственная безопасность

Начальный уровень — персональный. Это защита устройств и личных данных: антивирусы, сложные пароли, VPN и другие инструменты, которые снижают риск взлома.

Дальше — корпоративная безопасность. Здесь другие масштабы: тысячи и десятки тысяч сотрудников, внутренние сети, собственные серверы. Компании строят системы контроля доступа и соблюдают требования законодательства и отраслевых стандартов.

На верхнем уровне — государственная безопасность. Её цель — защитить ключевые инфраструктуры: транспорт, энергетику, финансы. Для этого используют регламенты, национальные CERT‑центры и киберразведку. Это вопрос устойчивости и независимости целых отраслей.

Физическая, техническая и программная защиты

Физическая защита — это про двери, камеры и тревожные кнопки. Кто и когда заходит в серверную, не случится ли пожара или отключения света — всё это регулируют системы доступа, видеонаблюдение и аварийное питание.

Техническая — про сети и железо. Тут на страже стоят файрволы, системы шифрования, IDS/IPS, которые замечают подозрительную активность, и средства, ограничивающие, например, подключение флешек к корпоративным ноутбукам.

Административная — про то, что внутри: приложения, базы, учётные записи. Антивирусы, шифрование, регулярные бэкапы — всё это стандарт. Но важнее всего, чтобы уязвимости не появлялись вообще. Поэтому безопасную разработку важно начинать с первого коммита.

Информационная безопасность в облачных системах

В облаке безопасность делится пополам: за железо — серверы, сети, дата‑центры — отвечает провайдер. За остальное — приложения, данные, настройки — клиент. Поэтому важно не просто выбрать сервис, а правильно его настроить: ограничить доступ, включить мониторинг и регулярно проверять, что всё работает как нужно.

Средства и методы обеспечения информационной безопасности

Мы единственный российский облачный провайдер, внедривший собственный открытый стандарт по безопасности облака. Сервис прошёл аттестацию в соответствии с требованиями 152‑ФЗ о защите персональных данных. Инфраструктура открыта для проверки: допускается независимое сканирование на уязвимости и проведение внешнего пентестинга без дополнительных согласований — работает bug bounty.

Организационные меры и стратегии защиты

Первым делом прописывают внутренние правила, создают инструкции, формализуют, кто и как управляет доступом к данным и что делать, если случится инцидент. Но важно не просто написать документы — их встраивают в ежедневную работу, чтобы правила работали на практике.

Компании регулярно учат сотрудников цифровой гигиене: объясняют, как распознать фишинг, где хранить пароли, почему нельзя отправлять важные документы в соцсетях или мессенджерах. Важный элемент — постоянная оценка и управление рисками: именно эти процессы помогают своевременно выявлять уязвимости и корректировать меры защиты.

Ещё один пласт — требования извне. Стандарты ISO/IEC 27001, PCI DSS, ГОСТ 57580 и 152 ФЗ задают рамки: как строить защиту, как работать с персональными данными, что документировать. Следование этим нормам — не просто галочка для отчёта, а часть логики всей системы безопасности. Они формируют подход к защите информации и влияют на все процедуры обработки данных.

Программные средства и технические решения

Среди технических решений выделяются следующие группы:

• Средства контроля доступа и идентификации: системы управления доступом, менеджеры привилегированных учётных записей, многофакторная аутентификация, Single Sign‑On (SSO).
• Криптографические средства: шифрование данных на дисках и в хранилищах, шифрование сетевого трафика (VPN, TLS/SSL), цифровые подписи и инфраструктура открытых ключей.
• Сетевые экраны (файрволы): контроль и фильтрация сетевого трафика, защита от внешних атак и угроз приложений.
• Системы обнаружения и предотвращения вторжений: мониторинг сетевой активности, выявление и автоматическое предотвращение угроз на основе поведенческого анализа.
• Защита конечных устройств: антивирусные решения, системы класса Endpoint Detection & Response, контролирующие активность и поведение приложений.
• Системы резервного копирования и восстановления данных: регулярные резервные копии, хранение копий в изолированных средах, наличие планов аварийного восстановления.
• Мониторинг и аудит безопасности: системы сбора и корреляции событий, позволяющие оперативно выявлять и реагировать на инциденты.
• Средства тестирования безопасности: сканеры уязвимостей, регулярные пентесты, программы поиска багов.

Защита в облаке: специфические средства для облачных решений

Облачные провайдеры предлагают базовые инструменты безопасности — например, шифрование, управление ключами, защиту веб‑приложений и другие. Но главная идея в облачной безопасности — совместная ответственность. Провайдер отвечает за безопасность инфраструктуры, клиент — за настройки, доступы и контроль за своими данными.

Для дополнительной защиты используют специализированные решения:

Защита гибридных IT‑сред: локальные и облачные решения

Современная защита данных — это не один инструмент, а набор решений, которые работают вместе. Их можно разделить на три группы: защита локальной инфраструктуры, защита в облаке и их интеграция.

Защита локальной инфраструктуры

На локальных серверах, как и в облаке, используют:

• Аппаратные средства — файрволы, системы обнаружения и предотвращения атак, фильтрацию трафика, шифрующие устройства.
• Программные решения — антивирусы, системы аудита и мониторинга, контроль доступа, резервное копирование с хранением в изолированной среде.

Защита в облаке

В облаке безопасность зависит от чёткого разделения обязанностей, о котором провайдер обычно рассказывает в документации и договоре. Он следит за безопасностью платформы, включая серверы и базовые сервисы. При этом клиент решает задачи, которые меняются в зависимости от модели использования:

• IaaS (инфраструктура как услуга): клиент отвечает за безопасность операционной системы, приложений и данных.
• PaaS (платформа как услуга): провайдер управляет инфраструктурой и платформой, а клиент — приложениями и данными.
• SaaS (программное обеспечение как услуга): провайдер обеспечивает безопасность приложения, а клиент фокусируется на управлении доступом и защите данных.

Понимание этих различий и знание защитных механизмов провайдера важно для обеспечения полной безопасности системы.

Интеграция локальной и облачной защиты

Многие компании сегодня работают в гибридной модели, объединяя локальные и облачные среды. Для создания целостной и эффективной системы безопасности в такой инфраструктуре полезно учитывать несколько ключевых аспектов:

• Единое управление доступом — через каталоги пользователей и федерацию аккаунтов. Разрозненный контроль доступа в разных средах может увеличить риск утечек данных и усложнить администрирование.
• Общая система мониторинга, которая собирает события из всех источников. Без единого обзора угрозы сложнее обнаружить вовремя, особенно если они возникают в разных частях инфраструктуры.
• Согласованные политики с одинаковыми правилами доступа и защиты для всех сред. Различия в стандартах могут создать уязвимости, которые легко использовать злоумышленникам.
• Интеграция реакции на инциденты — при атаке на одну часть системы важно проверять и остальные. Это позволяет остановить угрозу до её распространения.

Эти элементы помогают выстроить надёжную защиту, которая оперативно реагирует на инциденты, где бы они ни произошли. Например, сервисы вроде YCDR (Yandex Cloud Detection and Response) могут дополнить такую систему, предоставляя расширенные возможности мониторинга и реагирования на угрозы с использованием технологий Yandex Cloud.

Особенности защиты в облачных системах

Облачная платформа по умолчанию проектируется с учётом отказоустойчивости. Критичные сервисы и данные реплицируются минимум в несколько зон доступности, а при необходимости — и в разные регионы. Такой геораспределённый дублирующий слой помогает пережить локальные сбои и быстрее восстановить работу.

Провайдер централизованно обновляет безопасность. Благодаря этому окно между публикацией патча и его установкой заметно короче, чем в классических on‑premise‑средах. Это снижает риск эксплуатации новых уязвимостей.

Чем облако отличается от классической модели

В локальных системах безопасность строилась на периметре: «ты внутри — тебе можно». В облаке так не работает. Доступ проверяется для каждого пользователя и каждого ресурса.

Поэтому здесь работает Zero Trust: по умолчанию не доверяют никому, каждое действие проверяется. В больших распределённых системах это уже стандарт. Внедрение Zero Trust — поэтапный процесс: от базовой сегментации к автоматизации политик.

Дополнительно используют SASE (Secure Access Service Edge) — подход, который объединяет безопасность и сетевое управление вне зависимости от того, где находятся пользователи и приложения.

SECaaS: когда защита приходит по подписке

Вместо покупки и настройки своих решений компании всё чаще выбирают Security‑as‑a‑Service (SECaaS) — защиту по модели подписки. В этом случае контроль безопасности организуется через облачные сервисы провайдера.

Среди классов SECaaS наиболее востребованы такие решения:

• Облачный WAF и DDoS‑защита. Трафик фильтруется на периметре, атаки блокируются до попадания в инфраструктуру.
• Endpoint / AV‑as‑a‑Service. На каждое устройство устанавливается лёгковесный агент (приложение), который автоматически обновляет базы сигнатур (шаблонов обнаружения угроз) и в реальном времени блокирует или изолирует обнаруженные вредоносные процессы.
• SIEM. Журналы событий передаются в облачную SOC‑платформу, где выполняются нормализация, обогащение, корреляционный анализ и генерация алёртов.
• MDR / SOC‑as‑a‑Service. Провайдер берёт на себя функции SOC: 24×7 мониторинг, proactive threat hunting, containment / remediation по SLA (MTTD/MTTR), сквозная отчётность.
• CNAPP (Cloud‑Native Application Protection Platform). Интегрирует CSPM, CWPP, CIEM и контейнерную безопасность, обеспечивая непрерывное сканирование IaC, контроль привилегий и рантайм‑защиту workloads в облаке; направлена на предотвращение атак и устранение misconfig до инцидента.
• Identity‑as‑a‑Service (IDaaS). Федерация учётных записей и многофакторная аутентификация по модели подписки.

Одно из сильных преимуществ SECaaS — переход к операционным расходам вместо капитальных, масштабируемость и гарантии провайдера по SLA.