Подписаться
Читать в телеграм
Можем ли мы исключить технические сбои автомобиля в дальней дороге? Нет. Но мы точно знаем, что без профилактического осмотра вероятность поломки гораздо выше. Системы диагностируют реальные и потенциальные неполадки, прогнозируют поломки, предотвращают сбои в работе автомобиля и заменяют расходники, тем самым обеспечивая бесперебойное движение. Такая же логика применима и к предотвращению киберинцидентов.
В 2025 году команда Jet CSIRT расследовала серию резонансных киберинцидентов в ретейле, ИТ, на транспорте и в грузоперевозках, в здравоохранении и страховании. Атак становится больше, и при их успешной реализации в 70% случаев речь идет о наиболее разрушительных сценариях — применении вирусов-шифровальщиков (44%) и вайперов (32%), способных полностью уничтожить инфраструктуру и остановить бизнес-процессы. Под ударом оказываются компании, критически зависящие от доступности цифровых систем и непрерывности операций, — а значит, к таким кризисным сценариям необходимо готовиться заранее.
Топ киберугроз 2025 года по результатам расследований команды JET CSIRT
Жизнь в условиях постоянных кибератак уже не эксцесс, а новая норма. Преимущество получают компании, которые умеют быстро адаптироваться к инцидентам и восстанавливаться после них. Одним из инструментов такой адаптации становятся Tabletop-учения (TTX). Но как часто команды ИБ, ИТ и топ-менеджеры действительно собираются вместе, чтобы в одной комнате принимать решения в условиях кризиса? Tabletop-учения моделируют именно такую ситуацию в безопасной среде, где цена ошибки равна нулю, а ценность полученного опыта бесконечна.
Tabletop-учения — известный формат управленческого моделирования. Его основная цель — не техническая проверка систем, а именно проработка процессов, ролей, взаимодействий и принятия решений в условиях кризиса без воздействия на реальные ИТ-сервисы или инфраструктуру. В отличие от тестирований планов аварийного восстановления (DRP), когда инженеры отрабатывают технические навыки восстановления систем, Tabletop сфокусированы на возможных кризисных сценариях и обсуждении действий, а не на активном использовании инструментов. Это дискуссионная модель реакции и принятия решения.
От военных карт к цифровым кризисам
Идея настольных учений возникла не в ИТ, а в военной сфере. Военные давно применяли варгейминг для оценки стратегий, тактик и вероятных действий противника: такие сессии позволяли отрабатывать сложные сценарии без реальных боевых действий и тем самым снижать риски.
Сначала подход был адаптирован для проверки устойчивости компаний в условиях моделирования природных и техногенных катастроф, а с ростом цифровых угроз и зависимости бизнеса от информационных систем эту практику приспособили и для усиления киберустойчивости. Сегодня настольные тестирования уже закреплены на уровне международных стандартов и методических рекомендаций — это не «экспериментальный формат», а устоявшаяся практика. Так, European Union Agency for Cybersecurity (ENISA) разработало подробную методологию подготовки и проведения киберучений, включая Tabletop-формат, — от постановки целей и выбора сценариев до оценки результатов и последующего улучшения процессов.
В США Cybersecurity and Infrastructure Security Agency (CISA) публикует готовые сценарные наборы для отработки различных типов киберинцидентов — от атак с использованием программ-вымогателей до компрометации цепочки поставок. Эти материалы используются как основа для практических тренировок в организациях разного масштаба.
Одна из ключевых ценностей Tabletop-учений — возможность заранее проработать управленческие решения и подготовить к ним топ-менеджмент. В кризисной ситуации руководству так или иначе придется погружаться в детали — особенно если речь идет, например, об инциденте с вирусом-шифровальщиком. Когда кризис станет реальным, решения придется принимать быстро и под сильным давлением, а времени разобраться и взвесить риски может не оказаться.
«Такой формат учений позволяет в спокойной обстановке пройти всю цепочку реагирования — от первичного информирования до решений о восстановлении и внешних коммуникациях. Участники могут остановиться на спорных моментах, обсудить варианты, выработать взвешенные решения прямо во время учений или оформить их как домашнее задание по итогам сценария. Все нюансы и “мелочи”, которые неизбежно всплывают в ходе реального инцидента, здесь прорабатываются заранее — без стресса и с максимальной пользой для компании».
Аскар Мусаев,
эксперт по непрерывности бизнеса компании «Инфосистемы Джет»
Зачем бизнесу Tabletop-учения
1. Усиление командного взаимодействия
Основные участники Tabletop-учений — команды ИБ и ИТ. На практике нередко складывается ощущение, что в рамках таких сценариев они видят друг друга впервые. Сразу появляется множество идей, гипотез и версий реагирования на инцидент. В повседневной работе эти команды чаще пересекаются во время регламентных процессов и редко — в условиях масштабных кризисов.
«Проживание инцидента в формате тренировки позволяет участникам синхронизироваться, лучше понять логику и приоритеты друг друга и, как результат, значительно усилить командное взаимодействие. Это нередко приводит к появлению новых, более взвешенных решений, которые сложно было бы выработать в одиночку».
Аскар Мусаев,
эксперт по непрерывности бизнеса компании «Инфосистемы Джет»
Один из показательных кейсов реального Tabletop-учения был связан с паролями администраторов. Если при шифровании инфраструктуры вместе с основными системами будет выведен из строя и менеджер паролей, как сотрудники, отвечающие за восстановление, получат доступ к критически важным ресурсам? В ходе учения команды ИТ и ИБ оценили масштаб риска и проработали возможные сценарии. В результате было предложено, а затем внедрено безопасное решение на случай кризиса — так называемый ноутбук судного дня, предназначенный для восстановления доступа в условиях полной компрометации инфраструктуры.
2. Выявление «серых зон»
«Серые зоны» во время Tabletop-учений обнаруживаются неизбежно. Таким аспектам раньше не уделяли должного внимания, но их можно и нужно «подсвечивать». Например, ИТ-команда может считать себя полностью готовой к инциденту, ссылаясь на наличие резервных копий и возможность быстрого восстановления.
«Сразу возникает логичный вопрос: кто и когда проверял защищенность контура, в котором хранятся эти резервные копии? Если такой проверки не было, она становится очевидным следующим шагом — например, в формате дополнительного тестирования или пентеста с прикладным фокусом. Еще один типичный конфликт приоритетов возникает на этапе восстановления. Для ИТ-специалистов зачастую важно как можно быстрее перезапустить сервер и вернуть сервисы в рабочее состояние. А с точки зрения ИБ, напротив, следует отключить систему, изолировать ее, зафиксировать следы компрометации, понять характер атаки и лишь после этого принимать решения о дальнейших действиях. Tabletop-учения позволяют заранее выявить такие расхождения и выработать общий, согласованный подход».
Аскар Мусаев,
эксперт по непрерывности бизнеса компании «Инфосистемы Джет»
В одном из кейсов во время тестирования топ-менеджмент сразу обозначил позицию: расследование инцидента должно быть доведено до конца, даже если это приведет к более длительному простою.
Такое решение, принятое в рамках учения, позволило заранее определить баланс между скоростью восстановления и глубиной анализа. В случае реального инцидента команды уже будут понимать приоритеты и действовать без дополнительных согласований.
3. Уровни реагирования
В формате Tabletop-учений теоретически можно проверить любой сценарий и план — вплоть до пожарной эвакуации. Сам по себе формат всегда остается одинаковым: участники собираются за столом и в дискуссии последовательно «проживают» развитие кризисного сценария.
«Ключевое различие заключается не в формате, а в уровне реагирования, который вы хотите протестировать. Именно этот уровень может и должен быть разным. В контексте Tabletop наиболее рационально фокусироваться на реакции топ-менеджмента. Маловероятно, что в реальной жизни у компании будут возможности или ресурсы “прожить” крупномасштабный инцидент, который полностью парализует бизнес, просто ради тренировки по принятию управленческих решений. Поэтому целесообразно заранее разделять сценарии по уровням реагирования, которые планируется тестировать. При этом проверка низкоуровневых процедур, таких как планы аварийного восстановления (disaster recovery plan), не всегда подходит для формата Tabletop. Эти документы, как правило, представляют собой четкие инструкции: что и в какой последовательности нужно делать. Гораздо эффективнее проверять их с помощью практических имитаций и технических текстов. При этом сам сценарий инцидента может быть практически любым — важно лишь, чтобы он соответствовал тому уровню реагирования, который вы хотите отработать».
Аскар Мусаев,
эксперт по непрерывности бизнеса компании «Инфосистемы Джет»
Как проходят Tabletop-учения
1. Анализ контекста компании
Зачем: понять, в какой реальности работает компания. Изучаются базовая ИТ-среда, ключевые бизнес-процессы, роль подрядчиков, отраслевые риски и регуляторные требования.
2. Формирование легенды инцидента
Зачем: заложить правдоподобный кризисный сценарий. На основе контекста разрабатывается легенда атаки — например, через подрядчика или фишинг. Сценарий проверяется на реализуемость и согласуется с компанией.
3. Разработка детального сценария
Зачем: смоделировать развитие кризиса шаг за шагом. Сценарий описывает эскалацию инцидента — от первых сигналов до критической фазы. Акцент делается на управленческих, коммуникационных и стратегических решениях.
4. Подготовка участников
Формируется межфункциональная команда: топ-менеджмент, ИБ, ИТ, PR, HR и бизнес. Определяются роли и зоны ответственности в кризисе.
5. Проведение Tabletop-учений
Зачем: прожить кризис в безопасной среде. Участники за одним столом поэтапно проходят сценарий и принимают решения в условиях неопределенности. Учения длятся более трех часов и строятся в формате дискуссии.
6. Проработка коммуникаций
Зачем: заранее договориться, с кем, как и когда говорить. Обсуждаются внутренние и внешние коммуникации, работа с паникой, слухами и запросами СМИ. Компания сама выбирает баланс между прозрачностью и осторожностью.
7. Итоги и рекомендации
Необходимо превратить учения в практический результат. По итогам готовится отчет с выявленными пробелами и рекомендациями. При необходимости формируется или дорабатывается план кризисного реагирования.
8. Типичные ошибки и заблуждения
Одна из самых распространенных ошибок при проведении Tabletop-учений — поверхностная проработка кризисного сценария. Он должен быть не абстрактным описанием, а детальным, пошаговым разбором развития событий — от первых сигналов и косвенных признаков до эскалации и управленческих решений. Без такой глубины учения теряют практическую ценность и превращаются в теоретическое обсуждение.
КЕЙС
В ходе одного из проектов у оператора связи модератор задал, казалось бы, простой вопрос: как вы планируете собрать команду реагирования при масштабной недоступности инфраструктуры, если все ключевые сотрудники пользуются связью собственной компании? В зале повисла тишина: готового ответа не оказалось. По итогам обсуждения топ-менеджмент оперативно принял решение выдать ключевым сотрудникам резервные SIM-карты альтернативного оператора.
И это показательный момент: если бы подобный сценарий развернулся не в формате Tabletop-учения, а в реальности, времени на поиск решения могло бы просто не быть.
«Вторая типичная ошибка — опора исключительно на внутреннюю экспертизу компании. Если в организации нет специалистов уровня SOC или DFIR (киберкриминалистов), которые регулярно работают с реальными инцидентами, сценарий часто получается оторванным от реальности. Всё может выглядеть логично на бумаге, но не отражать того, как атаки развиваются на самом деле».
Аскар Мусаев,
эксперт по непрерывности бизнеса компании «Инфосистемы Джет»
Именно поэтому в качественные Tabletop-учения обязательно вовлекаются внешние эксперты с практическим опытом реагирования. Их задача — сделать сценарий максимально приближенным к реальности, а не «придуманным из воздуха», а также учесть специфические трудности, с которыми уже пришлось столкнуться в ходе настоящих атак. Помимо перечисленных ошибок, распространенным заблуждением является ожидание быстрой отдачи в виде идеального плана реагирования. Нужно понимать, что практическая ценность учений — не в готовых ответах, а в выявлении слабых мест и проблемных зон, а также расхождений в понимании ролей.
Tabletop-учения как элемент зрелой киберкультуры
Tabletop-учения перестают быть разовой инициативой или формальным требованием безопасности и становятся полноценным элементом корпоративной культуры. Эта практика формирует здоровые киберпривычки — заранее думать о рисках, продумывать сценарии развития инцидентов и оценивать последствия решений. Главная задача — не предотвращать все возможные кризисы, а минимизировать потери компании: финансовые, репутационные и операционные. Чем лучше команда понимает, как действовать в условиях неопределенности, тем меньше возникнет хаоса и тем выше будут шансы пройти кризис максимально безболезненно.
