Для начала поговорим вкратце о киберугрозах в целом. За последние годы и в мире, и в России выросло не только количество кибератак, но и их сложность. По вашим наблюдениям, как при этом меняется мотивация злоумышленников с течением времени?
Алёна Скляренко: По моему мнению, резкая смена геополитического фокуса после начала СВО напрямую повлияла в том числе на мотивацию мошеннических сообществ, которые пытаются атаковать наши организации. Атаки стали носить более организованный характер, и мы уже можем рассматривать злоумышленников как бизнес-юниты, работающие по заказу, которые имеют бюджет, рассчитывают экономическую составляющую каждой атаки, чтобы получить максимальную выгоду. Здесь стоит, наверное, поговорить про такую тенденцию как экономическая обоснованность атаки: атака не может проводиться, если это невыгодно, в связи с чем необходимо выстраивать защиту таким образом, чтобы атаковали не нас — чтобы это было дорого и злоумышленник выбирал ту организацию, до которой он может добраться, задействовав минимум ресурсов.
Понятно, что мы не рассматриваем атаки нулевого дня, которые могут стоить от 500 млн. Мы сейчас говорим про истории, связанные с типовыми атаками, с которыми мы сталкиваемся ежедневно. Вспоминая статистику: с 2024 по 2025 гг. уровень атак на РФ вырос в 3 раза и составил 1,5 трлн рублей, то есть речь о кратном росте. И для защиты необходимо выстраивать точечные векторы сопротивления — чтобы сделать атаку максимально дорогой.
Шалва Гогуа: Стоит добавить, что помимо экономической выгоды для злоумышленников есть мотивация и неэкономическая — политическая, геополитическая. Речь о создании напряженности в обществе за счет атак на критическую инфраструктуру. Здесь в качестве цели преследуется остановка инфраструктуры, чтобы повлечь серьезные последствия, создающие напряжение в обществе. И зачастую такие группы действуют с молчаливого согласия в том числе государственных официальных лиц. Мы уже перешли в плоскость, где хактивизм — это не просто способ заявить о себе и показать свои возможности по взлому, а еще и способ заработать, и дать инструменты, чтобы на этом могло заработать великое множество других людей. Сейчас таких инструментов появилось много, и порог входа в данную индустрию стал очень низким.
Появления каких новых или модифицированных угроз можно ожидать в ближайшем будущем, по вашему мнению?
Алёна Скляренко: В первую очередь, стоит рассматривать хайповую тему, связанную с искусственным интеллектом, и все, что связано с усовершенствованием фишинговых атак. Зачастую не только мы уже не можем отличить звонок злоумышленника от звонка мамы или папы, но и даже те специалисты, которые напрямую работают с киберугрозами. Дело в том, что уровень голосовых подделок сейчас очень высок, и уровень качества и количества сбора информации, ее обработки LLM-моделями кратно увеличивает векторы атак. Это приводит к состоянию угрозы для всех граждан страны, то есть речь уже не только про организации. ИИ позволяет менять вектор атаки прямо во время нее: можно не идти по какому-то одному запланированному сценарию. Если вдруг не проходит один сценарий, то его можно сразу поменять на другой, чтобы достичь конкретной цели. То есть основное усиление работы злоумышленников сейчас — это помощь ИИ с ростом количества возможностей атаки.
Вопрос в том, как с этим бороться. Противостоять мощному роботу может только такой же робот, который ставит блокировки на атакующие элементы. Если вдаваться в детали, связанные с ИИ, то сейчас нет средств, способных защитить, обезопасить LLM-модели как от внешних проникновений, так и от применения их внутри организации. Иногда пользователи в организации даже не замечают, что они подверглись воздействию злоумышленников, и уровень восприятия атак от ИИ сейчас находится на низком уровне. Поэтому требуется отдельная проработка как в культуре компаний, так и в обществе, чтобы люди начали реагировать и думать, что такое возможно. Сейчас это массово не распространено.
Шалва Гогуа: Да, это действительно хайповая тема. И мы видим, что появляется много компаний, которые заявляют о создании продуктов, которые с помощью ИИ защищают от ИИ. Здорово, что рынок на это реагирует. А если дополнить, то есть еще массовый способ атак: здесь ставится цель поразить большое количество различных организаций, структур через цепочки поставщиков. Речь про атаки на тех, кто разрабатывает ПО или занимается обслуживанием, предоставляет услуги. В инфраструктуру подрядчиков бывает легко попасть и распространить векторы атаки на их клиентов.
И есть еще тема, которая пока несильно распространена, но в будущем, как мне кажется, будет актуальна — это история с квантовыми вычислениями. Здесь есть риск, что квантовые компьютеры позволят обходить существующие алгоритмы шифрования, поэтому в эту сторону тоже многие смотрят, и в том числе постквантовое шифрование сейчас также активно развивается.
Из того, что вы видите у своих партнеров по части разработки инструментов защиты от ИИ, насколько в перспективе ближайших нескольких лет это уже сложится как новый отдельный сегмент рынка решений ИБ?
Шалва Гогуа: Он уже складывается. Приходят вендоры, которые над этой темой активно работают и именно туда идут.
Алёна Скляренко: Тут я хотела бы дополнить, что если говорить о прогнозе на несколько лет, то нужно учитывать тот факт, что в принципе еще не проведены исследования, которые подтверждают целесообразность использования ИИ. В создание LLM вкладываются огромные ресурсы — как в «железо», так и в сотрудников — но выгода пока неясна. То есть все это делают, но окажется ли это «пузырем» в будущем — вот в чем вопрос. Поэтому рынок защиты ИИ от ИИ может начать формироваться, но он также быстро может и остановиться в своем развитии, когда мы поймем, что нам просто невыгодно делать некоторые вещи.
Шалва Гогуа: Действительно. Если вспомнить историю с увольнением огромного количества сотрудников в других странах: их сначала уволили, а потом начали возвращать, потому что оказалось, что не все так здорово, зато капитализация растет.
Человек пока еще остается важным «слабым звеном» в цепочке информационной безопасности. Что является ключевым в минимизации влияния этого фактора на безопасность?
Шалва Гогуа: Человеческий фактор остается одним из слабых мест в любой компании. Об этом много говорится, и государство активно подключается к этой истории: есть уже огромное количество информации вокруг о том, что не надо на что-то нажимать, куда-то переходить, рекомендации перепроверять и проч. И в целом самое важное — непрерывный процесс обучения сотрудников с актуальной информацией. Сейчас довольно много решений, которые позволяют это делать, в том числе в игровой и понятной форме даже для простого обывателя, как работать, как вести себя в цифровом пространстве.
А с точки зрения ИБ в компании стоит в первую очередь вести речь о проверке доступов — надо проанализировать и, возможно, что-то минимизировать. То есть речь про аудит, с этого стоит начинать. Немаловажно и культивирование цифровой гигиены внутри компании. Это вроде бы простые вещи. Глобально всегда есть риск, просто вопрос в управлении этими рисками.
Алёна Скляренко: Соглашусь. Я всегда говорю, что необходимо взращивать культуру ИБ в обществе. Мы ведь каждое утро чистим зубы, но, тем не менее, все пароли зачастую записаны в блокноте в телефоне, что никуда не годится. Кроме того, службы ИБ, помимо того чтобы заниматься обучением и тренировками пользователей, должны еще подстраховывать их: например, в банке по принятию решений есть два ключа — когда какое-то действие подтверждает еще один сотрудник, напрямую не связанный, не подключенный к той системе, в которой это действие производится. Это нужно, чтобы если даже кто-то ошибся, была возможность подстраховать и не допустить ошибку. Здесь необходимо работать с обеих сторон — как воспитания, так и со стороны построения грамотной информационной безопасности, которая не будет висеть обузой над пользователем, а будет реально помогать не допускать ошибки.
Ввиду того, что из России ушли многие иностранные производители ИТ- и ИБ-продуктов, зачастую сложно получить обновления, которые содержат улучшения по безопасности, в том числе. При этом переход на российские продукты не всегда возможен сразу. Как организации уменьшить влияние технологических ограничений на свою безопасность в подобном случае?
Шалва Гогуа: Мы, как центр экспертизы и дистрибуции цифровых технологий, часто сталкиваемся с этим вопросом. Бывает, что компании привыкли к какому-то ПО, на нем построено множество систем. Это вопрос привычки. Как перестроить критично важные системы, сегменты сети и перевести их на российское ПО? Здесь я всегда привожу аналогию с автомобилями: если на автомобиле не ездить и не тестировать его, то невозможно ничего усовершенствовать. Поэтому первое — не стоит бояться, надо пробовать и пилотировать, может быть, на каких-то отдельных изолированных сегментах. Важно, чтобы переход не был очень резким, иначе это может вызывать стресс, проблемы и даже остановки бизнес-процессов, угрозы безопасности.
Партнеры, интеграторы, уже прекрасно умеют с этим работать, и мы сможем бесшовно перейти на новое ПО. При этом важна обратная связь для производителей ПО, для этого нужно взаимодействие между производителями ПО и его партнерами, которые работают непосредственно с заказчиками. Понятно, что участие в пилотных проектах зачастую накладно — это время и ресурсы. Но без этого невозможно оценить, определить и сформировать для себя мнение касательно того или иного продукта. Мы здесь как партнер и дистрибутор готовы помогать и закрывать «боль» с точки зрения костов.
Алёна Скляренко: Здесь хотелось бы добавить, что у нас за последние несколько десятилетий воспиталось восприятие российских наработок как каких-то некачественных — как будто мы не умеем и не знаем, как будто бы на Западе лучше. Это ощущается до сих пор. Но в защиту отечественной разработки хочется сказать, что наше ПО закрывает те функциональные потребности, которые расписаны в основополагающих нормативных документах. Во-вторых, если мы уберем те фичи, которые западные вендоры годами создавали для красоты, то останется как раз российское ПО. Просто, раз мы уже пошли в стезю тотального импортозамещения, чтобы наши уважаемые клиенты понимали, что не очень симпатичное не всегда означает плохое, и со временем это тоже можно довести до состояния user-friendly.
Шалва Гогуа: Действительно, с 2022 года появилось огромное количество компаний, которые на волне хайпа импортозамещения многое заявляли, говоря, что они что-то делают также, как западные конкуренты, и они зарабатывали на этом. И зарабатывают. Но в целом мое ожидание из того, что мы видим на рынке — в последующие годы настанет прорыв для компаний, которые действительно проводили большую кропотливую работу вместе с заказчиками и партнерами, а не просто делали заявления ради продаж.
Мы проходим этот путь раз в 10 быстрее, чем иностранные разработчики ранее. Если, к примеру, посмотреть на историю создания крупных ИБ и других компаний, это было очень давно. А мы проходим это, условно говоря, за пятилетки и делаем это классно. Поэтому, мне кажется, у нас отличные перспективы в этом направлении.
На фоне растущих угроз и разработчики средств защиты информации не сидят, сложа руки: они совершенствуют свои продукты и сервисы в соответствии с новыми вызовами. При этом заказчики иногда покупают их, рассчитывая обеспечить 100% защиту своей инфраструктуры от злоумышленников. Возможен ли такой уровень защиты вообще? И будет ли когда-либо возможен, как вы думаете?
Алёна Скляренко: Да, сейчас такой уровень невозможен. Здесь, во-первых, вопрос скорости. Изменения угроз сейчас несутся с космической скоростью, и они всегда будут опережать развитие внутренней защиты, как бы мы не думали о каких-то предиктивных лабораториях и проч. Пока это утопическая история.
Выходом в данной ситуации служит комплексное построение ИБ, причем изначально для наиболее фокусных направлений деятельности. Мы должны выстраивать защиту таким образом, чтобы не рухнули основные процессы. Понятно, что грузовик может перевернуться, и на этот случай должен быть разработан план непрерывности, что почему-то не любят наши организации. Когда происходит какой-то сбой или авария, все сначала бегают с криками «Что случилось? Помогите!». Через пару часов паника проходит, все начинают искать условного «дядю Ваню», который приходит и все чинит. Но зачастую, да не обидятся на меня отраслевые компании, практически у всех есть такой «дядя Ваня», который замыкает на себе круг решений и обязанностей именно в экстренных ситуациях. Без него обычно никто не знает, что делать.
Вопрос в том, почему нельзя этому «дяде Ване» поставить задачу написать план непрерывности с конкретными показателями, а затем автоматизировать сценарии реагирования при возникновении каких-либо нештатных ситуаций и недопустимых событий. Это можно сделать. Тогда уровень защиты организации хоть и не достигнет 100%, но при атаке хотя бы не «положит» весь основной процесс предприятия.
Здесь же можно говорить и про резервные ЦОДы. При наличии грамотной политики по резервированию данных и защиты зон резервирования вопрос защиты и восстановления информации несколько смягчается. С этим нужно работать. Но и при этом уверенности, что вас не атакуют, скорее всего, не будет никогда.
Шалва Гогуа: 100-процентная защита — это миф. Если компания думает, что ее не ломают, она просто не знает, что ее уже сломали. А с дорогой классной системой как с машиной: если не уметь водить машину, не обслуживать ее и не знать, куда ехать, то она бесполезна. То же и с системой: ее надо правильно настроить, мониторить, смотреть, как она работает, и обучать персонал, который с ней работает. Если подытожить, то согласен: надо обеспечить, чтобы злоумышленнику было дорого атаковать компанию — создать ему много препятствий. Второе, наверное, надо попытаться минимизировать ущерб: если стоимость защищаемой информации значительно ниже стоимости решений, то это странно. И третье — обеспечить быстрое восстановление. О последнем вообще иногда забывают.
Алёна Скляренко: Сейчас ИБ позволяет выстроить «заборы» грамотно. Нам не нужно покупать все СЗИ, которые есть на рынке, а потом забывать, что мы что-то не обновляем и не обслуживаем, на панель мониторинга это не выводится. Мы сейчас находимся на такой стадии развития в ИБ, когда можно поэтапно выстроить эшелонированную защиту без подключения всех возможных СЗИ, которые есть на рынке, потому что это избыточно. Главное понять, что мы защищаем, ради чего, и сколько денег мы готовы на это потратить. Даже минимальными средствами при оптимальной внутренней настройке конфигураций и грамотной политике ролевого доступа можно достаточно хорошо повысить уровень ИБ.
Поскольку 100-процентная защита невозможна, то, получается, что если кто-то «закажет» или задастся целью взломать какую-либо организацию, то рано или поздно он может добиться своей цели. Какие меры организации имеет смысл предпринимать, чтобы защититься именно от таргетированных атак?
Шалва Гогуа: Целевая атака на то и целевая, что она направлена на конкретную задачу. Причем она может быть многоступенчатой и состоять из разных этапов. Есть этап разведки, когда злоумышленники смотрят, сканируют и выявляют уязвимые места. Это могут делать и разные группы, каждая из которых специализируется на отдельном процессе. Есть этап проникновения, дальше — закрепление и, возможно, получение привилегированных доступов. Бывали случаи, когда нужно было дойти до конкретного человека, обладающего определенным доступом. Для этого подключалась социальная инженерия — искали человека в соцсетях, его увлечения и проч. Отталкиваясь от этого, пытались подбросить ему ссылки, по которым он должен перейти. То есть это комплексная история.
Есть продукты, класс решений, направленных на защиту от целевых атак, которые состоят из разных компонентов. Но нужно ведь отловить этот момент, изолировать, отреагировать, потом посмотреть, не скомпрометированы ли другие сегменты сети или конкретные хосты и т.п. Эта история включает в себя команду, которая должна проводить совместные учения, должна быть команда защитников. Таким образом, есть как технические средства защиты, которые присутствуют на рынке, так и комплекс административных мер. Наверное, наиболее сложное для клиента — создать команду, которая может решать подобные комплексные задачи и быть на острие этих тем. При этом целевая атака — это как игра в пинг-понг: где-то злоумышленник будет всегда на шаг впереди и нужно максимально приближаться к этим шагам, чтобы нивелировать риски, которые могут возникнуть по итогам атаки.
Алёна Скляренко: По этому вопросу я могу, не вдаваясь в детали, назвать три пункта. Первое — защита сетевого периметра. Второе — качественная система мониторинга. А третье — сделать так, чтобы атака на ваше предприятие была экономически невыгодной. Думаю, что это основа.
К проблеме атак через ИТ-подрядчиков, в том числе регуляторы в сфере ИБ постоянно привлекают внимание в последние годы. Как обезопасить себя от угроз с этой стороны, выстроив при этом такие отношения, в которых и заказчику, и подрядчику комфортно взаимодействовать друг с другом?
Алёна Скляренко: На 80% увеличились атаки через поставщиков в период 2024-2025 гг. Это колоссальный рост. Для защиты хотелось бы в первую очередь иметь реестр доброкачественных поставщиков. Возможно, когда-нибудь мы к этому придем. И второе — открытые кибериспытания, как бы странно это ни звучало. Потому что если компания является, например, интегратором и аккумулирует информацию, в том числе, чувствительную крупнейших организаций страны, она обязана соответствовать нормам ИБ и транслировать это. Поэтому открытые испытания — это прозрачное и понятное всем мероприятие, которое помогает подтвердить качество своей защиты, причем на постоянной основе. Это ведь не разовые пентесты, а постоянные контролируемые атаки извне с целью выявить возможный канал атаки, утечки информации, чтобы его закрыть. Да, на это тоже тратятся деньги, но положительный эффект плюс репутация в этой стезе, как мне кажется, перекрывают затраты.
Шалва Гогуа: Абсолютно поддерживаю в данном вопросе. А если говорить еще с точки зрения поставщиков ПО, то здесь клиенты все чаще уделяют внимание не только красоте и удобству, но и безопасности. В том числе, как организована методология разработки ПО, какие open source компоненты в нем используются и проч. И это сейчас регулируется нашими органами. Так что это точно правильное направление, т.к. открытых библиотек великое множество, и все это надо проверять. Есть и сертифицированные средства защиты, то тоже является фактором доверия к поставщику.
И есть классические юридические моменты: в документах все чаще заказчики прописывают требования к производителям ПО в области кибербезопасности. Это я знаю, потому что многие крупные компании сейчас перед заключением контракта на поставку и внедрение софта настаивают на внесении в него своих требований по ИБ, и зачастую здесь возникает некий конфликт: у разработчика есть своя дорожная карта развития продукта, но появился большой клиент, который говорит, что делать надо вот так. В итоге перед разработчиком встает выбор, что делать.
Как в целом найти баланс между безопасностью и удобством? Ведь «закручивание гаек» в усилении мер защиты может усложнить доступ к ресурсам, снижая эффективность работы всей организации. И обеспечение максимальной безопасности требует значительных затрат, которые не всегда оправданы с точки зрения бизнеса.
Алёна Скляренко: Думаю, что тут нет баланса или баланс — не совсем верное здесь слово, потому что ИБ — это всегда ограничения. Вопрос в том, как мы к этим ограничениям относимся. Говоря на человеческом языке, если кто-то хочет здоровый организм, то они начинают вести здоровый образ жизни, правильно питаться. Это ограничения, которые иногда психически выбивают человека из баланса. То же и в ИБ: если мы хотим, чтобы наша организация была «здорова», то необходимо принять как данность постулаты, транслируемые и как лучшие практики, и просто опыт и требования регуляторов, и относиться к мерам ИБ как к помощи в работе своей организации. Баланс будет в том, что мы спокойно реагируем на необходимые внедрения и лишения, увеличения этапа прохождения какого-либо процесса, когда ранее можно было без разграничения ролевых привилегий сделать первые два шага быстрее.
Шалва Гогуа: Всегда и во всем мы ищем какие-то балансы, и здесь можно попробовать, но это, как мне кажется, сложная история. В первую очередь, мы оцениваем риски — смотрим, что критически важно для бизнеса, какие информационные системы и сегменты, где надо зажать «гайки». Такое бывает, когда где-то надо зажать. И тут главное не переборщить, потому что проще зажать все, ничего не разрешать.
Дифференциация доступа — это тоже важная история. Если на основе оценки рисков мы понимаем, что к какой-то ИТ-системе для определенной группы лиц должны быть определенные доступы, то нужно на это точечно смотреть вместо общих запретов. А далее подбираются необходимые средства защиты. Поэтому баланс — да, но где-то смотрим.
Алёна Скляренко: При этом нужно еще уметь грамотно донести необходимые меры ИБ до тех, кто должен их соблюдать. Потому что, возвращаясь к моменту о культуре ИБ в обществе, обычно большинство руководителей разных уровней понимают значимость ИБ и необходимых мер, но когда эти меры начинают спускаться на уровни ниже и в смежные подразделения, не связанные с ИТ и ИБ, там слова «баланс» нет совсем. Сотрудники нередко воспринимают это просто как усложнение их жизни. Поэтому мы опять приходим к тому, с чего начали — нужна культура воспитания адекватного восприятия ИБ в разуме обычных обывателей. Это очень важно, чтобы люди не противились и получалось плавно внедрять необходимые меры ИБ для помощи и себе, и руководству компании.
Шалва Гогуа: При этом и до владельцев бизнеса требуется правильно доносить, почему те или иные принимаемые меры необходимы. Они же сопряжены с определенными дополнительными затратами, их нужно обосновывать.