Когда программы-вымогатели поражают предприятие в странах Залива, первый вопрос руководства обычно один и тот же: наши резервные копии в целости? Для растущего числа организаций в регионе ответ — да, но этого недостаточно. Исследование DataNumen показало, что 69% жертв программ-вымогателей считали себя адекватно подготовленными до атаки. Однако после инцидента эта уверенность упала более чем на 20 процентных пунктов. Этот разрыв — не технологический сбой, а сбой в планировании, с которым предприятия стран Залива сталкиваются все чаще. Региональная уязвимость делает ставки реальными. Согласно отчету Microsoft «Digital defence report», Объединенные Арабские Эмираты (ОАЭ) заняли девятое место в мире и второе на Ближнем Востоке и в Африке по частоте случаев, когда клиенты пострадали от киберактивности в первой половине 2025 года. Саудовская Аравия заняла пятое место в регионе. Фирма по кибербезопасности Cyble за тот же период зафиксировала более 90 уникальных записей на сайтах утечки данных в даркнете, связанных с организациями из стран Залива, охватывающих нефтегазовый сектор, авиацию и здравоохранение. Данные Sophos показывают, что организации ОАЭ выплачивают 92% требований о выкупе — выше среднемирового показателя в 85%. Этот уровень выплат указывает на более глубокую проблему. Элиад Кимхи, старший исследователь безопасности в Acronis, утверждает, что предприятия часто вкладывают серьезные средства в инфраструктуру резервного копирования, ни разу не протестировав полное восстановление в реалистичных условиях. «Они не симулировали фактический сценарий восстановления, восстанавливая производственные системы из резервной копии, пока среда частично скомпрометирована, находясь под давлением времени», — сказал он. Задания резервного копирования, сообщившие об успехе, в итоге исключили критические состояния системы. Процедуры восстановления, которые выглядели простыми на бумаге, требуют зависимостей, которые никто не документировал. Архитектурная проблема глубже, чем дисциплина тестирования. Современные операторы программ-вымогателей нацеливаются непосредственно на репозитории резервных копий. Организации, которые не изолировали свои резервные копии, не проверили целостность восстановления и не убедились, что системы резервного копирования находятся вне зоны поражения скомпрометированного домена, узнают об этом в самый неподходящий момент. Только 10% жертв программ-вымогателей восстановили более 90% своих данных, согласно отчету Veeam «Ransomware trends report», и этот показатель сохраняется даже среди организаций с формальными программами резервного копирования. Фред Леру, технический директор по полевым операциям для EMEA и развивающихся рынков в Everpure, считает, что необходимо пересмотреть основное предположение. «Самое большое заблуждение заключается в том, что многие организации по-прежнему считают, что наличие резервных копий автоматически означает, что они могут быть восстановлены в приемлемые сроки», — сказал он. Сдвиг, описываемый Леру, является архитектурным: традиционная инфраструктура резервного копирования создавалась для изолированных сбоев и операционных ошибок, а не для общекорпоративных киберинцидентов. Более устойчивые среды переходят к неизменяемым снимкам на основном хранилище и изолированным средам восстановления, где чистые данные могут быть проверены независимо от скомпрометированной сети. Регуляторные требования в регионе подкрепляют этот сдвиг. Основные элементы управления кибербезопасностью Саудовской Аравии прямо требуют от организаций продемонстрировать способность быстро восстанавливать данные и системы после киберинцидента и предписывают периодическое тестирование эффективности восстановления из резервных копий, тем самым переводя восстанавливаемость из внутреннего ИТ-предположения в документированное обязательство по соблюдению нормативных требований. Утверждение Кабинета министров ОАЭ Национальной стратегии кибербезопасности в феврале 2025 года дополнительно подчеркнуло устойчивость как национальный приоритет, сигнализируя о том, что возможности восстановления будут подвергаться растущему контролю как на уровне предприятий, так и на государственном уровне. Вопрос, на который ИТ-руководителям стран Залива необходимо ответить, больше не заключается в том, сделаны ли их данные резервными копиями. Вопрос в том, сколько времени потребуется для восстановления критически важной системы в реальных условиях и тестировал ли кто-либо это предположение до того, как инцидент вынудит дать ответ.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор –
