Итоги 2024 года в ИБ: что изменилось и что осталось прежним
Краткий разбор того, что 2024 год добавил в ландшафт информационной безопасности - для тех, кто принимает решения, а не только исполняет.
Конец года - хороший момент, чтобы посмотреть на ИБ-ландшафт не с точки зрения технических деталей, а с точки зрения того, что изменилось в рисках и обязательствах. Не как технический разбор, а как руководительский: что нового знать, что пересмотреть, что поставить в план на 2025.
Что 2024 год изменил в рисках
Самый резонансный инцидент года - CrowdStrike в июле. Его урок не про кибератаку, а про операционную хрупкость: защитный инструмент с широким охватом и глубоким доступом может сам стать источником масштабного сбоя. Это изменило разговор о концентрации вендоров и о том, как управляются обновления в критических компонентах.
Второй значимый сдвиг - ИИ как инструмент атаки. Фишинговые письма стали сложнее и менее заметными. Голосовые и видеодипфейки вышли за пределы экспериментов и стали инструментом социальной инженерии. Верификационные процессы, которые были достаточны год назад, могут требовать пересмотра.
Третий сдвиг - регуляторный. NIS2 перешла из фазы транспозиции в фазу применения. AI Act вступил в силу. Это добавляет к операционному риску регуляторный риск в тех секторах и юрисдикциях, где эти документы применимы.
Что осталось прежним - и почему это важно
Основные векторы атак не изменились. Уязвимые учётные данные, непатченные системы, неправильно настроенные облачные ресурсы, недостаточный контроль привилегированного доступа - это по-прежнему причины большинства успешных атак.
Это важно держать в голове на фоне обсуждения новых угроз. Если базовая гигиена не выстроена, разговор о дипфейках и ИИ-атаках преждевременен. Фундамент должен быть раньше надстройки.
Ещё одна постоянная: люди остаются самым слабым и самым сильным звеном одновременно. Социальная инженерия работает потому, что люди принимают решения в условиях давления и неполной информации. Технические меры снижают вероятность, но не устраняют вектор.
Что пересмотреть в начале 2025
Несколько конкретных пунктов, которые стоит проверить по итогам года.
Карта вендорных зависимостей: после CrowdStrike - есть ли у вас понимание, какие компоненты обновляются автоматически на весь парк? Есть ли критические компоненты без staging?
Процесс уведомления об инцидентах: соответствует ли он новым регуляторным требованиям в ваших юрисдикциях? 24 часа по NIS2 - это не много.
Верификационные протоколы для финансовых операций: достаточны ли они в мире, где голос и видео могут быть синтетическими?
Инвентаризация ИИ-систем: соответствуют ли системы, которые вы используете или разрабатываете, требованиям AI Act? Этот вопрос актуален уже сейчас, не только в 2026.
Один вопрос для начала года
Если из всего вышеперечисленного нужно выбрать один вопрос для внутреннего разговора в начале 2025, я бы выбрал такой: "Если завтра один из наших ключевых ИТ-компонентов или поставщиков выходит из строя - как долго мы будем восстанавливаться и кто принимает решения в первые часы?"
Ответ на этот вопрос показывает операционную зрелость ИБ лучше, чем любой аудит технических контролей.