Многие специалисты по безопасности убеждены, что киберинцидент неизбежен — неясно лишь, когда он произойдет. Это убеждение отражается в распространенном выражении: вопрос не в том, «случится ли» атака, а в том, «когда» она произойдет.
Однако растущее число CISO (руководителей по информационной безопасности) ожидают инцидента скорее раньше, чем позже: в отчете Voice of the CISO Report 2025 от Proofpoint около 76 процентов респондентов заявили, что в ближайшие 12 месяцев столкнутся со значительной кибератакой. В прошлом году этот показатель составлял 70 процентов.
Кроме того, 58 процентов опрошенных CISO считают, что их компании не готовы к такому развитию событий. Помимо общего ощущения почти неизбежности атаки, руководители служб безопасности признают, что в их работе существуют различные препятствия. В первую очередь они выделяют четыре проблемы:
1. Члены команды недостаточно уполномочены действовать в соответствии с приоритетами
Многие CISO открыто признают, что их команды по безопасности перегружены работой. Это приводит к сильному стрессу: в CISO Pressure Index 2025 от Nagomi Security около 80 процентов CISO сообщили о высоком или экстремальном давлении, а у 87 процентов это давление усилилось за последние 12 месяцев. Более того, 67 процентов респондентов заявляют о еженедельном или ежедневном выгорании.
«Каждый CISO чувствует себя сильно перегруженным», — подтверждает Омар Хаважа, руководитель отдела Field Security в Databricks. «Чтобы справиться с этим, CISO научились расставлять приоритеты». По словам Хаважи, для большинства из них главный приоритет — снижение максимальных рисков для компании.
«Однако слишком часто CISO не обучают членов своей команды принимать компетентные решения и предпринимать действия, соответствующие этим приоритетам», — отмечает бывший CISO из Highmark Health. В результате руководителям приходится принимать все решения о приоритетах, что замедляет работу всей команды.
CISO должны стремиться к тому, чтобы члены их команды знали, когда и как расставлять приоритеты в своих областях ответственности, «чтобы каждый сотрудник был сосредоточен на самом важном», — добавляет Хаважа.
«Для этого необходимо создать четкие механизмы и инструкции для поддержки принятия решений», — объясняет он. «Должны быть критерии или факторы, определяющие, имеет ли запрос от команды безопасности высокий, средний или низкий приоритет. Тогда каждый член команды сможет проанализировать любой поступающий запрос и расставить приоритеты безопасно и эффективно».
2. Неспособность поспевать за инновациями и внедрением ИИ
Руководители и сотрудники в равной степени стремятся внедрять искусственный интеллект (ИИ), привлеченные ожиданиями, что ИИ преобразует рабочие процессы и сэкономит время, деньги и усилия.
Однако большинство CISO не успевают за темпами внедрения ИИ своими коллегами из бизнес-подразделений.
Согласно опросу 921 ИТ-специалиста и эксперта по кибербезопасности в рамках отчета 2025 State of AI Data Security Report от Cyera, 83 процента компаний используют ИИ. Но только 13 процентов имеют четкое представление о том, как эти системы получают доступ к конфиденциальным данным или как они с ними работают; лишь 16 процентов рассматривают ИИ как отдельную сущность (identity); только одиннадцать процентов компаний могут автоматически блокировать рискованные действия ИИ; и только семь процентов имеют выделенную команду по управлению ИИ (AI Governance).
«Большинство CISO борются с вопросом, как обезопасить использование ИИ», — подчеркивает Роберт Т. Ли, директор по ИИ и руководитель отдела исследований в SANS.
По словам Ли, многие CISO по-прежнему запрещают предлагаемые варианты использования ИИ из соображений безопасности — то, что он называет «каркасом безопасности под запретом» (Security Framework of No), — или замедляют внедрение, пока оценивают безопасность ИИ.
«Существует общий недостаток знаний о том, как работать с ИИ», — говорит Ли. «Справедливости ради стоит отметить, что компании не всегда помогают CISO в этом вопросе», — замечает эксперт.
Еще один момент — часто меняющаяся стратегия ИИ во многих компаниях. «Выходит новая версия ИИ, и повестка дня меняется; месяц спустя выходит что-то новое, и она снова меняется. Таким образом, это подвижная цель, которую должна защищать команда безопасности», — объясняет Ли.
Тем не менее, по мнению Ли, очевидно, что неспособность команды безопасности поспевать за инновациями в области ИИ и желание бизнеса быстро внедрять эти технологии создают проблемы. «Замедление трансформации не только мешает повестке дня компании», — считает эксперт по ИИ. «Это также препятствует успеху отдела безопасности, поскольку бизнес часто полностью обходит службу безопасности, вместо того чтобы замедлить или остановить собственную разработку ИИ».
В результате CISO и их компании, по словам Ли, в конечном итоге сталкиваются с теневым ИИ (Shadow AI), неконтролируемыми агентами и непрозрачными потоками данных, что приводит к плохо защищенной, расширенной атаке.
Конечно, необходимость адекватной оценки и защиты внедрений ИИ сохраняется, подчеркивает он, добавляя, что компании не должны просто принимать на веру заверения поставщиков в том, что их компоненты ИИ безопасны.
По мнению Ли, CISO, которые следят за стратегией ИИ своей организации, придерживаются целостного подхода, а не работают по принципу «от случая к случаю». Они создают профили рисков для определенных данных, чтобы отделу безопасности не приходилось тратить много времени на оценку внедрений ИИ, а вместо этого сосредоточиться на сценариях использования ИИ, которые связаны с данными среднего или высокого риска.
Кроме того, они закрепляют сотрудников службы безопасности за отдельными отделами для мониторинга потребностей в ИИ. А также обучают команды безопасности навыкам, необходимым для оценки и защиты инициатив в области ИИ.
3. Ограниченное внедрение ИИ в меры безопасности
Как и их коллеги из бизнеса, некоторые CISO делают ставку на ИИ для трансформации своих операций, но, несмотря на преимущества, которые эта технология предлагает кибербезопасности, они явно не составляют большинства.
Исследование 2025 ISC2 Cybersecurity Workforce Study показывает, что только 28 процентов из 16 000 опрошенных руководителей компаний интегрировали инструменты ИИ в свои операции по обеспечению безопасности. Исследование показало, что 19 процентов находятся на этапе тестирования, а 22 процента — на ранней стадии оценки.
«CISO нужно наверстать упущенное в плане внедрения ИИ с той же скоростью, что и бизнес», — отмечает Джон Френс, CISO в ISC2, организации по обучению и сертификации в области кибербезопасности.
Этот медленный темп сохраняется, несмотря на то, что использование ИИ в операциях по обеспечению безопасности доказало свою эффективность, добавляет Френс, отмечая, что 63 процента тех, кто использует инструменты безопасности на базе ИИ, сообщают о значительном росте производительности.
В исследовании ISC2 40 процентов CISO заявили, что ИИ окажет наибольшее влияние на меры кибербезопасности в кратчайшие сроки, за ним следуют меры безопасности и тестирование безопасности (по 30 процентов), управление уязвимостями (29 процентов), моделирование угроз и защита конечных точек (по 28 процентов).
4. Нехватка необходимых талантов и навыков
CISO давно сообщают о трудностях с наймом достаточно квалифицированных специалистов по безопасности. Теперь они все чаще рассматривают эту проблему как ключевое препятствие для реализации своей стратегии безопасности.
В отчете Accenture «2025 State of Cybersecurity Resilience» 83 процента ИТ-руководителей назвали нехватку талантов в области кибербезопасности «серьезным препятствием на пути к достижению надежной позиции в области безопасности».
Проблема, согласно исследованию ISC2, двояка:
Во-первых, это дефицит кадров: 63 процента респондентов в 2025 году заявили о легкой или значительной нехватке специалистов по кибербезопасности, что является небольшим улучшением по сравнению с 68 процентами в прошлом году.
Во-вторых, растет дефицит квалификации. Согласно отчету, в 2025 году 59 процентов испытывают критическую или значительную потребность в определенных навыках (2024 год: 44 процента). 95 процентов сообщают как минимум об одной неудовлетворенной потребности в навыках — на 5 процентов больше, чем в прошлом году. Наиболее острыми компетенциями респонденты назвали знания в области ИИ (41 процент), за которыми следуют облачная безопасность (36 процентов), оценка рисков (29 процентов), безопасность приложений (28 процентов), технологии и управление безопасностью (по 27 процентов), а также риски и соответствие требованиям (также 27 процентов).
«Нам нужны люди, способные выполнять задачи современных функций безопасности», — говорит Френс.
Хаважа также называет нехватку «правильных навыков в команде безопасности» препятствием для успеха CISO. Однако он видит проблему не столько в отсутствии технических навыков или даже мягких навыков (soft skills), сколько в так называемых «средних навыках» (middle skills), таких как управление рисками и управление изменениями.
По мнению Хаважи, эти навыки становятся все более важными для лучшей интеграции безопасности с бизнесом, убеждения пользователей в принятии протоколов безопасности и, в конечном итоге, для повышения уровня защищенности компании. «При отсутствии этих навыков команда безопасности может сделать лишь ограниченный вклад».
Хотя CISO сталкиваются с рыночными условиями, которые в значительной степени находятся вне их прямого контроля и влияния, Хаважа считает, что существуют и другие меры, с помощью которых они могут противостоять нехватке талантов и навыков. «Четкая стратегия подбора персонала, сосредоточенная на найме сотрудников с определенными навыками и компетенциями, может помочь CISO получить то, что им необходимо для реализации своей стратегии безопасности» (jm)
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Mary K. Pratt
