По оценкам экспертов, за последний год количество успешных кибератак на российский бизнес выросло более чем в два раза. Адаптация к новым условиям требует значительных усилий и ресурсов. Для этого необходимо инвестировать в развитие цифровых технологий, обучение персонала и перенастройку своих бизнес-процессов. Как бизнес адаптируется к новым вызовам в киберпространстве; каких навыков, инструментов защиты не хватает корпорациям в противостоянии кибератакам в наши дни – эти вопросы обсудили эксперты в рамках круглого стола форума «Просто капитал».
Дмитрий Миклухо, старший вице-президент – директор департамента информационной безопасности ПСБ:
– К началу 2025 года количество кибератак на российские компании и организации государственного сектора продолжало стремительно расти. Согласно данным Лаборатории Касперского, в 2024 году в России было зарегистрировано почти 2 миллиона кибератак. Аналитики компании Red Security насчитали порядка 130 тысяч инцидентов, направленных на российские компании.
Под наибольшим ударом оказались организации критической информационной инфраструктуры, на которые пришлось около 64% от общего числа инцидентов за год. И сейчас IT-ландшафт всех компаний и государства подвергается непрерывным атакам.
Сегодня мы видим шквал негодования наших клиентов из‑за того, что их пытаются «развести» через соцсети – телеграм, ватсап и прочее, когда идет генерация не только текста, но и фотографий и видео. То есть мы живем в эпоху, когда злоумышленники нас опережают на несколько шагов вперед. Пока мы присматриваемся к любой генеративной сети, оценивая ее с точки зрения безопасности, они не гнушаются ничем. Обучают модель, а потом натравливают ее на незащищенные группы людей, на пенсионеров, например.
Мы смотрим в сторону проактивной безопасности. Даже не для того, чтобы предвосхищать какие‑то инциденты, но на начальном этапе видеть и нейтрализовать угрозу. Но не все пользуются такими концептами. Есть разные подходы. Кому‑то проще вкладываться и работать на опережение. Кому‑то – принять риск и потом восстанавливаться.
Иван Вассунов, генеральный директор RED Security:
– В последнее время произошло очень много запоминающихся инцидентов, затрагивающих крупные нефтяные компании, телеком, системных интеграторов, банки…
И здесь пугают три вещи. Первое – объем ущерба значительно вырос: компания неделю не может работать, пользователи банка несколько дней не могут пользоваться банковскими услугами.
Второе – методы, которые используют атакующие, становятся пугающими. Сначала они узнают все подробности: кто обеспечивает информационную безопасность (ИБ) организации, кто подрядчик, каковы топология сети, внешний периметр, какие используются средства защиты информации; и только потом атакуют. Как защититься от этого, не имея команды, работающей 24/7, которая будет даже не обороняться, а хотя бы останавливать идущие атаки?
И третье – технологически зрелые компании и организации, у которых достаточно бюджетов и стоят лучшие решения топовых игроков России, тоже подвержены таким инцидентам.
Что видим сейчас? Не будем пока оценивать средства защиты информации, а посмотрим только на сетевое оборудование иностранных вендоров – такое в России используется у многих операторов и интернет-провайдеров. А как вы думаете, это оборудование обновлялось с 2022 года? И сколько сетей у нас построено на таком оборудовании, которое три года как не обновлялось. Для хакера это – отличная уязвимость: достаточно просто поработать с сетью, и все «ляжет».
Как застраховаться? В первую очередь нужны бэкапы, постепенное разворачивание в сторону российских операционных систем, инвентаризация и диверсификация.
Методы, которые используют атакующие, становятся пугающими. Сначала они узнают все подробности: кто обеспечивает информационную безопасность (ИБ) организации, кто подрядчик, каковы топология сети, внешний периметр, какие используются средства защиты информации; и только потом атакуют.
Есть компании, которые готовы к тому, что вся информация будет удалена и ее придется восстанавливать. Но это, как правило, малое предпринимательство, продажа шавермы, например. Если мы говорим про более крупный бизнес (пиццерии, ритейл, телеком, банки), то среди них нет компаний, готовых к такому повороту. Поэтому они используют средства предотвращения, которые позволяют защититься от веерной атаки.
Надо учиться использовать средства защиты информации, предотвращающие или реагирующие – не принципиально. Важно, чтобы была экспертиза, выстроенные процессы и чтобы были компетенции и люди, которые этим пользуются.
Алексей Мартынцев, директор департамента защиты информации и IT-инфраструктуры «Норникель»:
– Недавно я был на конференции по искусственному интеллекту: в зале 400 человек, выступали в основном представители IT. И один спикер рассказывал бизнес-кейс, как он загружает корпоративные данные в chatGPT, где ИИ проводит глубокий анализ и выдает ответ. У бизнесменов в зале загорались глаза, а я думал о том, скольким службам безопасности теперь придется столкнуться с попытками внедрения подобных кейсов.
Сейчас атаки стали дешевыми и простыми. Плюс усиливает угрозу искусственный интеллект, а значит, атаки будущего будут отличаться от тех, что мы видим сегодня.
Игорь Сметанев, директор по стратегическому развитию компании R-Vision:
– С каждым годом атаки усиливаются, и мы к этому привыкаем. Как клиента меня пугает, когда происходит слив баз данных, в которых может быть и моя фамилия. А как вендора – когда происходят инциденты, связанные с партнерами и заказчиками. И очень важно оценить, почему это произошло – нас привлекают, чтобы разобрать инцидент, помочь с расследованием. И конечно, это сигнал проверить и наши проекты на наличие утечки, связи с пострадавшей компанией.
Также пугает интенсивность атак, которая нарастает с каждой неделей. Поэтому мы тщательно отслеживаем тенденции, триггеры, тактики и техники, которые используют злоумышленники.
Надо заниматься безопасной разработкой. 80–90% вендоров выстраивают этот процесс, потому что есть определенные требования сертификации, и регулятор их ужесточает. Поэтому так или иначе процессы безопасной разработки внедряются. Надо смотреть на взаимодействие ИБ-решений с IT, которые сейчас используются или замещают технологии зарубежных вендоров.
При этом IT-вендоры, мне кажется, пока еще до этого не дошли. Поэтому большой риск для заказчика появляется на стыке взаимодействия инфраструктурных решений и решений бизнес-задач с ИБ, через API (набор правил и протоколов, которые позволяют различным программным приложениям взаимодействовать друг с другом. – Прим. ред.).
Взаимодействие вендора с заказчиком по тестированию и инвентаризации всех серверов и инсталляций, с которыми они контактируют, даже тестовых, позволит минимизировать эти риски.
У вендора должны быть зрелые процессы. Должно быть короткое реагирование и, соответственно, компетентные люди. А дальше мяч на стороне заказчиков.
Сейчас реалии таковы, что 56% уязвимостей приходится на Microsoft, а сколько среди них Zero-Days (неустраненные уязвимости, а также вредоносные программы, против которых еще не разработаны защитные механизмы. – Прим. ред.).
Кроме того, важна скорость реагирования. Хакеры расценивают AI как инструментарий, ускоряющий их действия и повышающий эффективность. Согласно последнему отчету OpenAI, за chatGPT следит отдельная киберкоманда, которая анализирует: кто, как и какие промты пишет, какие ответы получает, что с ними делает. То есть атрибутируют вплоть до группировок APT (тип целевой кибератаки, характеризующейся длительным и скрытным проникновением в систему. – Прим. ред.), которые используют эти LLM (вид нейронной сети, обученный на огромном количестве текстов для понимания и генерации человекоподобного текста. – Прим. ред.) для производства вредоносного кода, отладки, перевода на иностранные языки, для сбора разведданных, подготовки фишинговых атак на незнакомом языке. Это инструмент, который дает огромные возможности без особых усилий.
И на эти вызовы надо реагировать. Их уже нельзя игнорировать. Соответственно, надо анализировать то, чем пользуются злоумышленники, и использовать в своих интересах уже как средство защиты.
Анна Кулашова, вице-президент «Лаборатории Касперского» по развитию бизнеса в России и странах СНГ:
– Самой атакуемой отраслью сейчас стала промышленность. Она хорошо защищается, но здесь действительно не хватает специалистов. И главное, что многие инциденты происходят через атаки в цепочке поставщиков. То есть, как бы хорошо ни был защищен периметр предприятия, важно отслеживать и происходящее вокруг. Так что работы впереди еще очень много.
Сейчас уже все российские организации поняли, что киберриски – не абстракция. Хотя еще пять лет назад они не входили в перечни рисков, которые рассматривали советы директоров.
Чем были хороши ушедшие вендоры? Они десятилетиями разрабатывали свои системы, поэтому в них многое было отработано. Нам эти десятилетия нужно пройти за несколько лет. Конечно, у нас есть опыт, мы набьем свои шишки, а дальнейшее – вопросы доверия между заказчиками, вендорами, скорости обратной связи, реагирования и так далее. Но другого пути нет, и нам придется пройти его вместе.
Чтобы эффективно защищаться, надо понимать, что именно ты защищаешь. То есть вопрос в том, как хорошо вы знаете собственную инфраструктуру, как тщательно произведена инвентаризация, вычищены учетные записи людей, которые уже не работают, и многое другое. Это шаг номер ноль, который очень полезен и который, так или иначе, необходимо сделать серьезным организациям.
Конечно, средства защиты, которые применяются, отражают порядка 95−99% массовых атак. Но сейчас атаки шифровальщиков направлены не на то, чтобы вымогать деньги бизнеса, а на то, чтобы «уронить» инфраструктуру и нанести как можно больший ущерб, особенно если это объект критической инфраструктуры.
Поэтому здесь действуют совершенно другие уже принципы. Иногда и не хватает возможностей собственного СОКа (Security Operations Center, центр оперативной безопасности. – Прим.ред.). Тогда нужны дополнительно привлекаемые сторонние центры оперативной безопасности, которые могут быстро подключаться и реагировать.
Главное, что сейчас уже все российские организации поняли, что киберриски – не абстракция. Хотя еще пять лет назад они не входили в перечни рисков, которые рассматривали советы директоров.
Владимир Дрюков, директор центра противодействия кибератакам ГК «Солар»:
– Искусственный интеллект – наше все. Но сейчас основная проблема в том, что к нему обращаются бездумно. И сегодняшнее желание компаний загрузить свои данные в публичную нейросеть, чтобы получить интересный результат, – не первая подобная волна легкомысленного обращения с информацией, с которой мы сталкивались. Уже были этапы, когда ее загружали в облачные хранилища, выкладывали в публичные каналы. А сколько создано в Телеграме рабочих чатов, в которых пересылаются документы.
В среднем атака на большинство компаний может быть реализована за два часа или за 30 минут с одинаковой успешностью. И влияет на это даже не автоматизация, а то, что сотрудники организации, например, используют один и тот же пароль, что на персональной странице соцсети, что в службе доставки, что для входа в корпоративную сеть. Тут даже не нужен искусственный интеллект, «плохие ребята» в такой ситуации разберутся и без него.
На мой взгляд, ключевая сложность в работе с применением искусственного интерфейса – это прогнозирование. А прогнозные модели нужно обеспечить таким объемом данных, которых в российском кибербезе почти ни у кого нет. Ему нужно годами скармливать информацию, а он будет тебя годами обманывать, работая как метеослужба. И только на каком‑то этапе ИИ даст нормальные ответы, но для этого надо очень долго собирать данные. Поэтому такой искусственной деятельностью занимаются все подряд. И это неправильная история. Это должна быть либо централизованная коллаборация, либо поиск общих путей решения. Но точно не вариант, когда каждый что‑то собирает на DeepSeek.
Кибербез коммерческой компании не может стоить дороже, чем ее бизнес. Это невозможно. И команда, ведущая защиту от киберрисков 24/7, тоже не всегда нужна. Хотя я знаю не одну промышленную компанию, которая с начала СВО выключала свои веб-сайты и гасила внешний периметр на ночь и на выходные. Потому что сайт не является продающей частью организации. И там нет команд быстрого реагирования, работающих 24/7. Поэтому они работают 8 часов 5 дней в неделю. И это нормально, потому что бизнес важнее.
Если система ИБ дороже, чем сама инфраструктура, которую она защищает, значит, система безопасности делает что‑то не то. Поэтому должен быть правильный баланс. Но важно учитывать, что бывают бизнесовые риски, а бывают и небизнесовые. Можно ли к вопросам атомной промышленности применять бизнесовый подход? Сколько в этом случае будет стоить появление шифровальщика? Во избежание этого риска есть федеральный закон, требования регуляторов, где описано, что нужно делать, а иногда и сколько это должно стоить. Потому что если ты занимаешься чем‑то важным для страны, то должен нести некоторый оброк. И это честная политика.
Ключевая сложность в работе с применением искусственного интерфейса – это прогнозирование. А прогнозные модели нужно обеспечить таким объемом данных, которых в российском кибербезе почти ни у кого нет. Ему нужно годами скармливать информацию, а он будет тебя годами обманывать, работая как метеослужба.
Подготовил Евгений ГЕРАСИМОВ