По мере усложнения технологических стеков и расширения искусственным интеллектом поверхности атаки, рутинные ИТ-ошибки становится все труднее обнаруживать, локализовывать и исправлять. ИТ-руководители справедливо обеспокоены состоянием своих технологических стеков. Хотя расхождения в конфигурациях, контроль доступа и теневые ИТ — не новые проблемы, они усугубляются агентным ИИ и мультиоблачными средами, отмечают опрошенные порталом InformationWeek эксперты.
Можно утверждать, что с ростом частоты кибератак безопасность входит в обязанности каждого, но она часто приносится в жертву скорости. ИТ-отделы постоянно находятся под давлением, требующим действовать быстрее, исправлять ошибки и добиваться большего с меньшими затратами.
Между тем, некоторые бизнес-руководители ставят под сомнение инвестиции в кибербезопасность. Например, Майк Либорг, CISO компании Swimlane, занимающейся автоматизацией безопасности с помощью ИИ, однажды столкнулся с такой проблемой на предыдущем месте работы: под угрозой оказались защита электронной почты и шлюзов, технологии и инструменты для совместной работы. Он уволился, потому что у него не было всего необходимого для выполнения своей работы. Впоследствии электронная почта компании была взломана, что привело к потере нескольких сотен тысяч долларов из-за действий злоумышленника.
«Многие компании терпят неудачу, потому что не осознают уровень риска, связанного с ИТ, — сказал Либорг. — Если они не выполняют базовые задачи по управлению идентификацией и доступом и аудиту, они не могут увидеть или отреагировать, когда что-то идет не так».
Основы кибербезопасности по-прежнему важны
Катастрофические инциденты, как правило, не являются результатом сложных атак. Вместо этого они возникают из-за небольших ошибок или недосмотров.
Брайан Блейкли, CISO инвестиционной компании Bellini Capital, приводит в пример фирму, чей бизнес потерпел неудачу из-за ошибки конфигурации, связанной с производительностью. В частности, пользователи жаловались на медленную работу сети, поэтому ИТ-отдел временно ослабил контроль и забыл об этом. Несколько недель спустя злоумышленник начал перемещаться по системам. «Сбои в безопасности редко связаны с одним неправильным решением. Обычно это длинная цепочка „вроде бы нормальных решений“, и эта цепочка обычно невидима, пока не разорвется», — говорит Блейкли. Хуже того, существует тенденция скрывать возникшие проблемы, вместо того чтобы делиться ими с командой, чтобы другие могли учиться, отмечает Рэнди Доэрти, CIO компании Trellix, занимающейся кибербезопасностью на основе ИИ.
Расхождение конфигураций и неправильные настройки
Неправильные настройки открыли двери для множества утечек и случайного раскрытия данных. Примером тому служит случай с компанией PetCo, когда в результате ошибочной настройки приложения были раскрыты конфиденциальные данные пользователей, включая номера социального страхования, номера водительских удостоверений и финансовую информацию. И, к сожалению, даже правильные конфигурации со временем могут перестать быть таковыми.
«В предыдущей компании я часто видел случаи, когда команды запускали что-то с благими намерениями, но не тратили время на то, чтобы заблокировать это или добавить параметр конфигурации», — рассказывает Джошуа Скотт, CISO платформы потоковых данных Hydrolix.
По словам Либорга, необходимо постоянно сканировать инфраструктуру и конфигурации, чтобы видеть, что применяется, даже к межсетевым экранам.
Джошуа Браун, CISO компании Spektrum Labs, занимающейся киберустойчивостью на основе ИИ, и бывший глобальный CISO в H&R Block, рекомендует подходить к кибербезопасности с точки зрения управления рисками, чтобы снизить их до приемлемого уровня.
«В каждом месте, где я когда-либо работал, невероятно короткая коллективная память о том, почему было принято то или иное решение, поэтому важно иметь полную видимость и запись вашего состояния, включая решения, которые вы принимаете в отношении этого состояния с течением времени», — говорит он.
Эта документация может помочь противостоять инстинкту искать крайнего — часто возлагая вину на CISO — когда что-то идет не так.
ИИ расширяет кибербезопасность и поверхность атаки
Многие организации по-прежнему испытывают трудности с управлением данными и в то же время стремятся внедрить ИИ. На фоне того, что их технологические стеки и без того сильно сложны, соотношение нечеловеческих и человеческих идентификаторов продолжает расти: по разным оценкам, в 2025 г. оно лежало в диапазоне от 43:1 до 144:1.
Удобство и скорость часто противоречат кибербезопасности, как показала критическая уязвимость платформы ServiceNow AI прошлой осенью. Компания выдавала одни и те же учетные данные каждому стороннему сервису, аутентифицированному через ее Virtual Agent API. Хуже того, уязвимость позволяла выдавать себя за другого пользователя, используя только адрес электронной почты.
Агентный ИИ расширяет поверхность атаки, поскольку он действует от имени людей. Так, например, если персональный помощник, такой как Microsoft Copilot, имеет доступ к электронной почте, использование уязвимости может затронуть движок ИИ, а не почтовый сервер.
«Поверхность риска резко меняется в зависимости от всего, что подключено», — говорит Мори Хабер, главный советник по безопасности компании BeyondTrust, занимающейся защитой идентификационных данных.
Нечеловеческие идентификаторы должны присваиваться и отслеживаться, чтобы можно было отследить действия в случае возникновения проблем. Эти идентификаторы также следует рассматривать как корпоративный актив.
Одна из потенциальных ловушек, которую следует учитывать, — это договорные положения об использовании данных. Без надлежащего управления данными их использование может быть несанкционированным, даже если они агрегированы или анонимизированы. «Все начинается с управления данными, понимания того, как выглядят хранение, классификация и обработка данных, а также наличия надлежащих мер контроля, которые соответствуют риску, который бизнес готов принять», — говорит Блейкли.
По словам Либорга, в работе с агентным ИИ должен участвовать человек. Например, если агент изменяет строку кода, человек проверяет ее, чтобы убедиться в правильности изменения.
Риски теневых ИТ и теневого ИИ
Теневые ИТ живы и процветают, и ситуация принимает пугающий оборот: люди загружают информацию о компании в свои личные учетные записи ИИ, чтобы быстрее выполнять свою работу. Хотя некоторые ИТ-руководители пытаются управлять теневыми ИТ, создавая внутренние магазины приложений или устанавливая ограничения для внедрения технологий, ничто не работает идеально всегда.
Когда уязвимость Java привела к утечке данных аутентификации 140 тыс. пользователей Oracle Cloud, виной всему были теневые ИТ-системы. В этом кейсе облачные экземпляры были забыты, не санкционированы или не управлялись.
Скотт однажды лично убедился в том, что ситуация может выйти из-под контроля, когда на совещании присутствует ИИ-конспектировщик. Во время общего собрания сотрудников одного из его бывших работодателей были раскрыты детали плана развития компании, а конспектировщик записывал сказанное и делал скриншоты, которые затем были опубликованы по общедоступной ссылке.
Предоставление избыточных привилегий — распространенная проблема взаимосвязанных систем, и часто она проявляется в несвоевременном отзыве учетных данных. Хабер столкнулся с этим на собственном опыте в начале своей карьеры, когда партнерская организация не отозвала доступ, позволявший пользователям загружать корпоративное ПО.
«Самая распространенная ошибка — это когда что-то было установлено, это было удобно, а затем стало представлять угрозу безопасности», — говорит он.
По словам Либорга, его компания пометила все свои данные CRM таким образом, что если кто-то попытается войти в Salesforce без необходимых разрешений, он не сможет это сделать, независимо от того, сколько заявок в ИТ-отдел он создаст. Хотя на завершение такого проекта уходит несколько лет, усиление защиты хранилищ данных и конечных точек помогает снизить риски. Это также смягчает последствия взлома.
На теневые ИТ также влияет поведение CIO и CISO, особенно когда эти функции становятся синонимом слова «нет». По словам Брауна, ему важно знать, что пытаются сделать пользователи, чтобы предложить им приемлемое решение.
«Я думаю, что идея контроля ложна. Даже если пользователи понимают возможные последствия, они будут делать то, что для них является наиболее эффективным способом выполнить свою работу, поэтому безопасность должна быть партнером в определении того, какие пути не приемлемы», — говорит он.
Пробелы в управлении идентификацией и доступом
В современных ИТ-средах почти все связано с чем-то еще. Это означает, что злоумышленники могут использовать уязвимость и перемещаться по сети, чтобы похищать данные или причинять другой вред. Поэтому крайне важно понимать, где происходит или должна происходить передача данных, почему и какие уровни доступа должны быть.
Некоммерческая страховая организация Blue Shield of California случайно раскрыла личные данные 4,7 млн. клиентов, когда из-за неправильной настройки Google Analytics данные были переданы в Google Ads. Несанкционированное использование данных продолжалось почти три года, пока связь наконец не была разорвана.
Хабер рассказывает, что в его предыдущей компании электронная почта секретаря была взломана и использована для распространения детской порнографии по всей организации. По закону, в таком случае следует уведомить надзорные органы и весь контент на устройствах должен был быть удален, прежде чем их можно будет снова подключить к сети. «Я твердо верю в формализованный контроль изменений, чтобы ИТ-отдел ничего не вносил, если это не было должным образом одобрено командами», — говорит Хабер.
Многие организации не уделяют времени проверке правильности потока данных. Поддерживая открытые каналы связи и обсуждая подобные вопросы, руководители служб информационной безопасности могут выявлять ошибки в ИТ-инфраструктуре и нежелательное поведение, например, когда сотрудник маркетинговой команды загружает данные о клиентах из внутренней базы данных в Google Drive, а затем экспортирует их в HubSpot, чтобы сторонний подрядчик мог создать список рассылки.
«Если вы не понимаете потоки данных, как вы можете внедрить необходимые средства контроля и технологии для их поддержки?» — вопрошает Блейкли.
