P&L кибератаки #опытэкспертов

Делимся опытом Георгия Руденко, CISO крупного банка и автора Telegram-канала "Кибербез & Бизнес".

Большинство таргетированных кибератак (в отличие от сегмента массовых атак) имеют своего заказчика, цели, ресурсы и сроки реализации. Поэтому можно рассматривать такие кибератаки как условные "проекты", для которых можно посчитать метрику P&L = (доходы – расходы) за отчетный период.

В нашем контексте под P (Profit) будем понимать совокупную выгоду, которую получает атакующий по результатам кибератаки. А под расходами L (Loss) — совокупный объем ресурсов, необходимых для ее реализации. Давайте более подробно разберем каждую составляющую:

🟡 P (Profit) — что получает хакер?

Прямые выгоды (реальные деньги или активы):
➖Получение выкупа за зашифрованные/удаленные данные;
➖Прямое хищение денежных средств (например, со счетов компании/клиентов);
➖Продажа похищенных данных (база клиентов, логины/пароли, коммерческая тайна и т.п.);
➖Продажа доступов к внутренним системам и ресурсам;
➖Получение оплаты за реализацию атаки по заказу (crime-as-a-service);
➖Монетизация за счет добавления взломанных ресурсов в ботнет.

Косвенные выгоды (нематериальная польза/эффект):
➖Причинение прямого ущерба компании по личным причинам (остановка работы сервисов, уничтожение инфраструктуры, ухудшение репутации компании, получение компанией штрафов и т.п.);
➖Использование украденных данных для других схем (фишинг, мошенничество);
➖Улучшение своего бренда в публичной среде и на черном рынке;
➖Получение инсайдерской или другой полезной информации;
➖Увеличение экспертизы и опыта для повышения эффективности при новых атаках;
➖Закрепление в инфраструктуре компании для последующих атак.

🟡 L (Loss) — на что тратит хакер?

Прямые затраты (реальные деньги):
➖Покупка 0-day уязвимостей, эксплойтов и других инструментов;
➖Аренда или покупка инфраструктуры для атаки (серверы, ботнеты и т.п.);
➖Затраты на сбор информации о жертве (анализ открытых источников, инсайды);
➖Оплата труда/услуг специалистов, участвующих в атаке;
➖Расходы на вывод денег после реализации кибератаки.

Дополнительные риски:
➖Финансовые (превышение исходного бюджета на атаку, потеря вложенных средств, невозможность получить прибыль);
➖Репутационные (снижение репутации при провале атаки);
➖Юридические (раскрытие личности и привлечение к ответственности согласно законодательству);
➖Временные (нарушение планируемых сроков реализации атаки).

При неограниченных ресурсах и сроках можно взломать практически любую компанию. Но в реальности у большинства атакующих, даже имеющих не только финансовые, но и личные/политические мотивы, существуют определенные ограничения.

🟡 Что с этим делать дальше?

Если говорить про малый и средний бизнес, то стоит реализовать базовые меры защиты (т.к в этом случае более актуальна защита не от таргетированных, а от массовых кибератак).

Если говорить про крупный бизнес, то помимо реализации базовых мер защиты, нужно выделять наиболее релевантные сценарии таргетированных атак, которые актуальны для вашего бизнеса (о том, как именно это делать, будет отдельный пост).

А уже после определения этих сценариев в каждом отдельном случае нужно проработать дополнительные меры, которые позволят снизить совокупный Profit для атакующего и увеличат его Loss, чтобы снизить общий P&L анализируемого сценария кибератаки.

🏔 ПРОФИ не за горами

Пока мы полным ходом готовим юбилейный ПРОФИ в Дагестане, спешим напомнить вам важную информацию 👇🏻

Пул номеров в местах проведения практикума забронирован до конца этой недели. Если планируете ехать на ПРОФИ и хотите быть в центре общей тусовки — успевайте к нам присоединиться.

В этом году мы будем в двух локациях:

🟡В Каспийске
AZIMUT Парк Отель, ул. М. Халилова, д. 3
🟡И высоко в горах
Село Хариколо, ​Глэмпинг Harikolo escape hotel, Хунзахский район

Так как места уже активно разбирают, найти проживание позже будет проблематично.

Также напомним, что сейчас действует минимальная цена участия, поэтому решение о поездке не стоит откладывать в долгий ящик.

ПРОФИ — это маленькая жизнь, эксклюзивный формат, в котором сочетаются мастер-классы от признанных экспертов отрасли и практиков из ведущих компаний, а также незабываемые приключения в самых живописных местах страны.

Не пропустите возможность вырваться из рутины и провести несколько ярких дней в кругу единомышленников.

➡️ Код ИБ ПРОФИ | Дагестан | 15-19 апреля 2026

Смотрите, как круто было в прошлом году на Кавказе, и обязательно планируйте участие в новой незабываемой истории в Дагестане!

Автоматизация работы отдела ИБ с помощью платформы MEDOED в условиях кадрового голода

🗓 5 февраля в 11:00 (МСК)
➡️ Регистрация

Коллеги, давайте честно: сколько задач по ИБ вы сегодня «потеряли» в чатах или таблицах Excel?

У продажников есть CRM. У разработчиков — Jira. А что у специалистов по информационной безопасности? До недавнего времени — только бесконечные переписки, ручные проверки и хаос.

В MEDOED решили это исправить. На вебинаре, коллеги покажут, как превратить отдел ИБ из «пожарной команды» в швейцарские часы. Да, нехватку квалифицированных кадров на рынке мы тоже учли.

Почему это важно прямо сейчас? Статистика аудитов показывает, что более 50% мер защиты не работает. Не потому, что специалисты плохие. А потому, что про задачи просто забывают в потоке текучки. Начало года — идеальное время («тихий сезон»), чтобы раз и навсегда настроить процессы и перестать тушить пожары руками.

Тема вебинара:

• Убийца Excel: как собрать все задачи (контроль СЗИ, уязвимости, инциденты) в одном окне
• Автопилот для рутины: какие требования ФСТЭК, ЦБ и ФСБ можно закрывать автоматически, без вашего участия
• База знаний «из коробки»: как получить готовые шаблоны процессов, чтобы не изобретать велосипед
• Прозрачность для босса: как показать руководству реальный объем работы отдела в пару кликов

Для кого: Руководители направлений, департаментов ИБ и защиты данных, CISO, IT-директора, на которых «повесили» безопасность

Спикер: Музалевский Федор Александрович, генеральный директор платформы MEDOED

Реклама. ООО «НЕВА-АВТОМАТИЗАЦИЯ». ИНН 7839114604. erid:2W5zFGuQPpC

🫦Эксперты компании «КИТ» подготовили аналитический отчет по ключевым изменениям в законодательстве за 2025 год.

Материал посвящен комплексному анализу изменений нормативных правовых актов в сфере ИБ, защиты информации и обработки данных, вступивших в силу в 2025 году:

🧒Развитие и регулирование КИИ и ГосСОПКА
🧒Категорирование и оценка значимости
🧒Реестры доверенного и ПО для собственных нужд
🧒Государственные информационные системы
🧒Управление уязвимостями, тестирование и оценка защищенности
🧒Персональные данные
🧒Недопустимые события и реагирование

Изменения также затрагивают различные сферы промышленности, включая вопросы использования SCADA-систем собственной или заказной разработки.

👶Подробнее читайте на сайте «КИТ»…

Отчет доступен для скачивания.

🤕Кибер КИТ | 😩Сайт

Реклама. «КИТ». ИНН 6674301774. erid:2W5zFHgSwqr

🔍 Как найти угрозу в сети, не разоряя бюджет? iTPROTECT проведет вебинар, посвященный автоматизации обнаружения сетевых угроз и реагированию на атаки с помощью NDR

Вы уверены, что контролируете всё, что происходит в вашей сети? Если хакеры не штурмуют ваш периметр, то возможно они они уже тихо «живут» внутри, маскируясь под обычный трафик. Следы их активности теряются в тысячах легитимных событий, а ручной анализ съедает ресурсы команды и драгоценное время.

Классические средства анализа трафика (например NTA) могут показать, что подозрительного происходит. Но теперь нужен ответ на вопрос: «Что с этим делать?»

Именно этот качественный скачок обеспечивают NDR-системы (Network Detection and Response). Это не просто улучшенный мониторинг, а следующий этап эволюции NTA, где обнаружение дополнено реагированием.

На вебинаре 12 февраля коллеги разберут NDR не только на слайдах, но и в действии. На примере модуля NDR в составе платформы Kaspersky Anti Targeted Attack (KATA) вы увидите, как эта технология превращает разрозненные сетевые аномалии в понятную картину атаки с конкретными возможностями по реагированию.

📎 12 февраля | 11:00 (мск) | онлайн-трансляция
✅Участие бесплатное по предварительной регистрации

Реклама. АО «Инфозащита». ИНН 7719672244. erid:2W5zFHFJrME

Вебинар. Настоящий детектив: расследуем инциденты‑2025

❗️ Забудьте про скучные инструкции. Мы разберем реальные ИБ-инциденты 2025: от мемов в соцсетях до статей Уголовного кодекса.

Узнайте, как $500 в даркнете и новые законы меняют правила игры для всех — от технаря до гендира. Это будет живой диалог экспертов, где шутки резко сменяются разбором реальных угроз.

Ключевые темы:
▪️Разбор инцидентов 2025: Атаки через мемы и соцсети.
▪️Серьёзное ужесточение законов: Статьи УК РФ на практике.
▪️Личная ответственность руководителя и специалиста.
▪️Алгоритм действий на завтра.

Спикеры мероприятия:
✅ Ольга Попова, главный юрист продуктовой группы Контур.Эгида
✅Станислав Юдинских, руководитель проектного офиса Staffcop

Регистрируйтесь сейчас
Участие бесплатное.

Реклама. 16+. АО «ПФ «СКБ Контур», ОГРН 1026605606620. 620144, Екатеринбург, ул. Народной Воли, 19А. Erid:2SDnjcq5Hda

Лаборатория CISO, посвященная кризисному менеджменту и восстановлению, стартует уже на следующей неделе!

📌 Москва, 20-22 февраля
➡️ Регистрация

Лаборатория CISO — закрытый интенсив, где участники не просто слушают доклады, а через тесное взаимодействие с другими CISO и экспертами калибруют систему управления ИБ своей компании. Через симуляции, стресс-тесты планов и расследования на время.

Что вы сделаете в рамках практических сессий?

— Разберете обезличенные планы реагирования с Сергеем Рысиным (CEO АСИЕ-Групп, ex-CISO ГТЛК и HeadHunter)
— Проведете расследование инцидента и попробуете быстро принять решения в условиях взлома
— Составите план восстановления и отрепетируете его защиту с Виктором Бобыльковым (CISO MWS Cloud) и Всеславом Солеником (CISO СберТеха)
— Узнаете, как выстраивать кризисные коммуникации при взломе. Опытом поделятся Анна Иоспа (ex-PR-директор СДЭК) и Павел Куликов (ex-CISO СДЭК)

Результат — удостоверение о повышении квалификации и персональный набор инструментов для использования в вашей компании.

Смотрите полную программу Лаборатории CISO и планируйте участие. Позаботьтесь о киберустойчивости компании и собственном развитии уже сейчас.

CISO FORUM 2026 — главное событие для лидеров кибербезопасности!

🗓 28 апреля 2026
📍 Центр международной торговли, Москва

На форуме
• 1000+ участников — CISO, CIO, архитекторы и руководители SOC
• 4 трека
• Реальные кейсы атак
• Живые практикумы

В числе спикеров — представители топ-25 российских CISO 2025 и ведущие эксперты отрасли.

Участие бесплатно для специалистов по ИБ и ИТ.

➡️ Регистрация открыта

CISO FORUM 2026 — где безопасность встречается с бизнесом.

Реклама. ООО «Р-Конф». ИНН 9701165423. erid:2W5zFHoX4v4

«Если режут бюджет — не трогайте бекапы и людей»

На прошлой неделе в Красноярске состоялась первая в 2026 году Конференция Код ИБ. Открыла мероприятие насыщенная дискуссия «Экспертный совет CISO».

В рамках обсуждения директора по ИБ ключевых компаний региона рассказали о том, как выстраивают процессы, по каким принципам выбирают средства защиты, как реагируют на инциденты, формируют команды и выстраивают диалог с топ-менеджментом.

Экспертами выступили:
— Александр Жбанков, РУСАЛ
— Евгений Русских, Россети Сибирь
— Степан Поливцев, Красноярская региональная энергетическая компания
— Евгений Кошманов, СОГАЗ-МЕД
— Виталий Аверьянов, Командор-Холдинг
— Владимир Бабин, ГУ МВД по Красноярскому краю

📌 Основные тезисы дискуссии:

Атаки через средства защиты

Злоумышленники используют DLP, антивирусы и SIEM для перемещения внутри сети. То, что должно защищать, становится вектором атаки. В одном из инцидентов хакеры нашли стандарт ИБ компании и выделили желтым пункты, которые нарушили сами специалисты по безопасности.

Бюджет: что резать нельзя

При заморозке 20% бюджета неприкосновенны: кадры (без компетентных сотрудников системы не работают), резервное копирование (даже при нуле СЗИ бекапы позволяют подняться) и процесс мониторинга инцидентов. Обучение пользователей и антифишинг тоже нельзя останавливать — это закрывает массовые внутренние угрозы.

Как завоевать доверие топ-менеджмента

Лучший способ сделать финдиректора союзником — поймать его на фишинге. Личный опыт убеждает эффективнее отчетов. Второй ключевой партнер — HR: подбор адекватных кадров за адекватные деньги. С ИТ-подразделением дружба строится через пользу: ИБ должна упорядочивать хаос айтишников, а не только создавать им ограничения.

Кадры: кого искать

На рынке не хватает компетентных специалистов, понимающих бизнес-процессы. Научить настраивать firewall можно любого «белого листа», научить мыслить причинно-следственными связями — нет. Критично: готовность к внезапным выездам, работе вне кабинета и многостаночность. Если кандидат хочет быть только технарем и не писать «ни одной бумажки» — стоп-фактор.

Управление не делегируется

Руководитель оставляет за собой стратегическое и оперативное планирование (без него нет KPI и контроля), ежеквартальный аудит настроек СЗИ (чтобы понимать, как мыслят сотрудники, не с их слов) и выбор между интересами бизнеса и безопасностью — это бремя ответственности.

➡️ Запись дискуссии размещена в группе ВК — рекомендуем посмотреть для более детального погружения в темы обсуждения.

Конференция CyberSecurity SABANTUY 2026

🗓 12 марта | Начало в 9:30
📍 Уфа, ГК Башкирия, ул. Ленина, 25/29
➡️ Регистрация

В программе мероприятия:

▪️Совет CISO
Дискуссия с директорами по ИБ ключевых компании региона. Поговорим о том, как они выстраивают процессы, по каким принципам выбирают средства защиты, как реагируют на инциденты, формируют команды и выстраивают диалог с топ-менеджментом.

▪️Диалог с регулятором
Разъяснения актуальных вопросов от представителей регуляторов и возможность задать им вопросы напрямую.

▪️Секция "Технологии"
Передовые решения и кейсы от Яндекс 360, Secure-T, SkyDNS, RTCloud, Information Security Lab, UserGate, OVODOV CyberSecurity, АБП2Б, и других вендоров.

▪️Практический воркшоп
Работа в группах над реальными задачами по ИБ с разбором подходов и обратной связью от экспертов.

▪️Кибер-разбор с Советом CEO
Покажем приглашенным CEO средних и крупных компаний обезличенные результаты кибер-аудита одной компании и разберем, какие метрики для них кажутся незначительными, а какие точно заставят вложиться в кибербезопасность.

🪩 После деловой программы — неформальное общение на афтепати и насыщенная экскурсионная программа.

Регистрируйтесь уже сейчас! Участие бесплатное. Количество мест ограничено.

#РазговорыНЕпроИБ с генеральным директором компании QApp Антоном Гугля

🗓 13 февраля в 16:00 (МСК)
➡️ Ссылка на эфир

Встреча без рамок и формальностей: поближе познакомимся с Антоном и поговорим на разные "неИБшные" темы. Ожидайте интересные истории, эксклюзивные факты и, конечно же, полезные инсайты! До встречи на эфире в пятницу.

Hunt Hub: Больше никаких «чёрных ящиков» в детектировании

🗓 17 февраля в 11:00 (МСК)
➡️ Регистрация

Приходите на стрим 17 февраля в 11:00 (МСК), где специальный гость – Евсиков Виталий, Руководитель SOC «Норникель» вместе с экспертами «Лаборатории Касперского» Никитой Назаровым и Глебом Ивановым обсудят сценарии применения Kaspersky Threat Intelligence. А также продемонстрируют масштабное обновление портала Kaspersky Threat Intelligence Portal (TIP) – в разделе «Ландшафт угроз» (Threat Landscape) появилось хранилище правил детектирования (Hunt Hub) и карта покрытия матрицы MITRE ATT&CK защитными решениями «Лаборатории Касперского».

Hunt Hub фактически снимает «черный ящик» с механизмов обнаружения, предоставляя ИБ-специалистам четкое представление о том, как защитные решения детектируют киберугрозы. Прозрачность в этом процессе поможет организациям перейти от реактивного реагирования на алерты к модели информированного поиска угроз, а также заблаговременно управлять рисками.

Спикеры:
• Никита Назаров, Руководитель отдела расширенного исследования угроз «Лаборатория Касперского»
• Глеб Иванов, Ведущий вирусный аналитик «Лаборатория Касперского»
• Виталий Евсиков, Руководитель SOC «Норникель»

Необходима предварительная регистрация.

Реклама. АО «Лаборатория Касперского». 7713140469. erid:2W5zFJoMFsN