Опыт 1С-Битрикс: роль маркетинга в ИБ

Как ИБ перестала быть задачей только для технарей

Александр, в какой момент стало понятно, что просто информировать пользователей об уязвимостях уже мало? Когда кибербез для вас стал зоной ответственности маркетинга?

В 2023 году мне пришлось глубоко вникнуть в результаты расследований инцидентов со взломами сайтов на нашей CMS. Для меня стало настоящим откровением, что компании могут не обновлять платформу и веб-окружение буквально десятилетиями. В 95% случаев сайты взламывали именно так. Я лично общался с владельцами бизнесов, которые запустили сайты в 2013 году и с тех пор не устанавливали ни одного обновления безопасности.

Это был важный урок. В отчётах об инцидентах часто мелькают слова «халатность», «игнорирование», «отсутствие кибергигиены». Однако за каждым инцидентом стоит личная история, часто из области психологии. Устраивать охоту на ведьм постфактум просто бессмысленно. Стало понятно, что над формированием ИБ-гигиены нужно работать системно. В том числе нам как вендору.

Как сейчас устроено в вашей компании взаимодействие маркетинга и ИБ-отдела? Вы всё ещё два разных мира?

Мы уже связаны неразрывными процессами. Маркетинг стал для ИБ первой линией взаимодействия с рынком. Мы приносим обратную связь от клиентов, мониторим тренды и вопросы в публичном пространстве. Безопасники, в свою очередь, дают нам экспертизу, которую мы транслируем клиентам и партнёрам. Это уже не просто информирование об обновлениях, а системная работа по ликвидации цифровой безграмотности.

В «1С-Битрикс» есть роль «бизнес-партнёра по ИБ». Что конкретно делает этот человек и какой бэкграунд ему нужен?

Когда мы всерьёз занялись пересмотром бизнес-процессов в публичной ИБ, то столкнулись с главной проблемой — безопасники и пиарщики говорят на разных языках. А нам нужно было сократить время реакции для таких процессов до нескольких минут. Без прозрачных коммуникаций это невозможно.

В больших tech-компаниях гибридные роли на стыке ИБ и коммуникаций существуют давно, просто называются по-разному: технический PR, security advocate, продакт-маркетолог с ИБ-бэкграундом. Мы не изобрели велосипед, а просто собрали этот функционал в одну точку ответственности и подчинили её ритму инцидент-менеджмента, а не медиаплана.

Бизнес-партнёр по ИБ — это связующее звено. Он берёт техническую фактуру от инженеров и быстро переводит её на человеческий язык, выстраивая стратегию коммуникации для разных аудиторий и сегментов рынка. Для этого нужны практический опыт в области кибербезопасности и — одновременно — умение мыслить в контексте клиентов, учитывать их бизнес-логику и процессы принятия решений, говорить с ними на одном языке. Что касается образования такого специалиста, то тут нет универсального рецепта. Важнее его способность одновременно понимать, что произошло с технической точки зрения и что про это услышит клиент.

Про трудности апдейтов

Вы привлекали психолога, чтобы разобраться в поведении клиентов. Какой когнитивный барьер оказался самым непреодолимым перед кнопкой «Обновить»?

Барьеров много, но главный вывод звучит так — никто не любит делать незаметную сложную работу без осязаемого результата. За обновлением PHP или настройкой бэкапов не будет позитивных эмоций. Поэтому срабатывает принцип «работает — не трогай».

Однако через некоторое время разрыв между версиями становится таким значительным, что устанавливать обновления пользователям становится просто страшно — продукт уходит далеко вперёд, последствия непредсказуемы.

Но слепо винить людей в этом нельзя. Так устроен человеческий мозг. Отсюда следует неочевидный совет руководителям компаний: поддерживайте своих айтишников в «бесячих» рутинных процессах в сфере кибербезопасности. Организовать бэкапы — не менее крутая задача, чем запустить систему. Нужна мотивация.

Как маркетинг может закрепить эту рутинную ИБ-гигиену?

Навык, который особенно важен для маркетолога, — умение доносить идеи, установки и модели поведения до аудитории. Обычно этот инструмент используют для роста продаж, но тот же подход может работать и для формирования культуры кибергигиены и безопасного поведения. Если хорошему маркетологу поставить цель «уговорить клиентов ставить апдейты», да ещё и дать измеримый KPI, то он найдёт способы заложить необходимость обновлений в мышление пользователя. Рекламные посевы, видео, мемы, креативное информирование — могут быть использованы любые инструменты.

Впрочем, буду честен: одним маркетингом эту проблему не решить. Поведенческие изменения в B2B-среде, особенно у владельцев бизнеса, которые часто даже не соприкасаются с нужной частью системы напрямую, невозможно обеспечить одними мемами или коммуникационными кампаниями. В какой-то момент неизбежно подключаются принудительные механики со стороны вендора: завершение поддержки старых версий, ограничения совместимости и т. д. Задача маркетинга здесь — не заменить собой эти меры, а подготовить почву и смягчить переход: объяснить причины изменений, снизить тревожность и помочь клиенту пройти обновление без ощущения хаоса и давления.

В компаниях часто возникает ситуация «диффузии ответственности», когда все думают, что обновит кто-то другой. Как вы с этим боретесь?

Это актуальный вопрос. Разработчик сделал сайт и после сдачи передал его на поддержку маркетинговому отделу. Контент-менеджеры регулярно заходят в админку, видят уведомление о новой версии, но нажать кнопку «обновить» боятся — не хватает технической уверенности и понимания последствий. При этом они уверены, что вопрос находится в зоне ответственности разработчиков. У разработчиков, наоборот, компетенций достаточно, но после передачи проекта они уже не заходят в админку и не следят за уведомлениями. Владелец бизнеса в этой цепочке обычно вообще не знает о необходимости обновлений, конечно, до тех пор, пока сайт не взломают.

Работать здесь нужно сразу со всеми аудиториями. Через охватные каналы — радио, ТВ, массовые кампании — важно доносить до владельцев бизнеса сам факт существования проблемы и формировать потребность в безопасности заранее, а не после инцидента. Сотрудникам-гуманитариям нужно повышать базовые технические знания (рилсы и мемы тут отлично работают). Отдельная задача — выстраивать удобные и понятные каналы коммуникации для разработчиков и интеграторов. Это та аудитория, у которой реально есть руки и доступы, чтобы что-то обновить. Звучит очевидно, но часто по умолчанию считается, что разработчик сам должен помнить про каждый свой проект. А это не так.

Воронки, метрики и инфлюенсеры

Как доказать руководству эффективность траты рекламного бюджета на то, чтобы действующий клиент просто обновил CMS? Это ведь не приносит прямых доходов.

Прямого влияния на выручку тут действительно нет. Но мы научились оценивать их косвенный эффект — просто по другой логике, а не через привычную цепочку «бюджет → лид → сделка».

Есть метрики, которые позволяют видеть результат: доля инсталляций на актуальной и предыдущей версиях, время между выходом патча и его установкой, количество обращений в поддержку. Но даже при наличии таких данных часть бюджета всё равно приходится отстаивать на доверии. Просто потому, что некоторые риски слишком велики, чтобы ждать идеальной атрибуции и точного доказательства эффекта постфактум.

Даже при банальной лидогенерации не всегда получается оценить возврат инвестиций. Это факт, с которым приходится защищать любой маркетинговый бюджет.

Как выглядит маркетинговая воронка, где целевое действие — это установленный патч?

На поверхности логика та же — «показ — клик — действие». Например, увидел предостережение и перешёл на пост про важность 2FA, затем — на статью, включил 2FA. Но есть три принципиальных отличия от классической воронки.

Во-первых, в обычной воронке маркетолог видит лид и сделку. Здесь целевое действие остаётся невидимым для нас — конец ИБ-воронки достраивается косвенно. Во-вторых, цикл длинный и нелинейный. Между постом и действием (реально включил 2FA) может пройти полгода. Человек должен дозреть, столкнуться с напоминанием ещё раз пять, услышать про чужой инцидент и т. д. Атрибуция последнего касания здесь вообще не работает. В-третьих, нет момента «купил». Классическая воронка заканчивается деньгами. Здесь же лучший финал — это привычка.

Как продавать и продвигать идею обновлений и кибербезопасности через инфлюенсеров, чтобы это не выглядело нативно-искусственно?

Нужно быть, а не казаться. Люди мгновенно считывают фальшь, особенно в такой интимной теме, как безопасность. Второй момент — важно отделять «терапию» от «лечения». Вирусный мемный трек с блогером про важность 2FA— это отлично. Но выпускать его в качестве реакции на реальный инцидент — это фиаско. Третье — нужно вызывать эмоции. Причем это не только страх перед взломом, но и любопытство, узнавание себя. Добрая самоирония по поводу собственного «обновлю потом» работает лучше, чем очередной ролик про злых хакеров с черепами на мониторе.

ИИ и чужой PR

Нейросети становятся основным источником ответов. Как вендору сделать так, чтобы ИИ брал факты об уязвимостях из официальных данных, а не из жёлтых заголовков?

Здесь две стороны. Коммуникационная: вендор должен проактивно транслировать свою позицию в удобных для всех каналах. Журналисты и ИБ-компании делают свою работу — им нужны громкие заголовки и сгущение красок. Это их хлеб. Поэтому, если вендор молчит неделю, место в инфополе занимают они, и любая LLM подтянет именно ту версию событий, которая попала в индексы первой.

Техническая сторона интереснее. LLM собирают факты не из воздуха — у них есть обучающие корпуса и retrieval-пайплайны (поиск в реальном времени). Поэтому карточки уязвимостей вендора должны быть идеально структурированы: CVE, дата, затронутые версии, статус патча. Это то, что хорошо подхватывают и классические поисковики, и retrieval у LLM. Кроме того, нужно вести официальный sec-блог с RSS. Это просто базовая гигиена. Если не «кормить» поисковики структурированной информацией от авторитетных источников, то ИИ будет учиться по пересказам с форумов.

Как выстраивать отношения с ИБ-компаниями, которым выгодно громко подсвечивать ваши уязвимости?

Нужно разделять независимых багхантеров и коммерческие ИБ-компании.
 Багхантеры находят дырки в безопасности и сообщают о них вендору. Это не критики, а эксперты. Мы поддерживаем тех, кто к нам приходит с находками, и стараемся отвечать в адекватные сроки. Идеально ли это работает? Нет, не идеально — иногда тормозим, иногда не дотягиваем по выплатам до западных bug bounty. Но направление правильное, и здесь мы будем только усиливаться.

С ИБ-компаниями ситуация сложнее. Особенно с теми, кто упаковывает чужие или свои находки в громкие инфоповоды для собственного маркетинга. Многие производители софта говорят о том, что их мнение при обсуждении проблем безопасности часто не учитывается. И в этом есть доля правды: рынок живёт по своим законам, у всех есть коммерческие интересы и собственные риски. Но можно понять и другую сторону — никто не хочет, чтобы именно его бренд в итоге оказался козлом отпущения в публичной истории о взломе или уязвимости ради чужого PR.

На самом деле большинство участников рынка готовы слышать вендоров и учитывать их мнение, если взаимодействие строится конструктивно. Мы учимся быть полезными этому рынку: делаем совместные проекты, поддерживаем компании со своей стороны в освещении инфоповодов, готовим общие методички по ликбезу, программы поддержки для клиентов. В итоге это всегда работает вин-вин. Несколько неприятных кейсов не должны стать системой.

Как разговаривать с клиентом

Слово «халатность» звучит токсично. Как маркетологам доносить риски, не скатываясь в обвинения?

Самое важное — сменить точку зрения. «Халатность» — это позиция судьи, который смотрит на клиента сверху, здесь в принципе невозможно ничего донести, потому что человек инстинктивно закрывается. Такое взаимодействие сейчас модно называть «пассивной агрессией». Надо разговаривать с клиентом как с человеком, у которого есть рациональные причины не обновляться — страх сломать, нехватка времени, размытая ответственность и прочее. Технически это разворачивается в три простых правила.

1. Говорите про последствия, а не про вину. Не «вы халатно отнеслись», а «вот что происходит с такими сайтами через год».
2. Давайте выход из ситуации, а не выносите приговор. Заканчивайте коммуникацию понятным следующим шагом — не «обновите всё немедленно», а «включите сегодня» 2FA.
3. Признавайте, что это сложно, и помогайте, например, силами собственной техподдержки.

В общении не нужна снисходительность, только разговор на языке аудитории и в её каналах. Других секретов нет.