Отвечают эксперты в области ИТ и информационной безопасности
В рамках ИТ-конгресса «Форум Будущего» в Екатеринбурге состоялась дискуссия «Кибербезопасность: угрозы, которых мы еще не знаем». Участники обсудили, как атаки через цепочки поставок поменяли подход к информационной безопасности крупных предприятий, роль ИИ в проведении кибератак и какие процессы защиты уже выполняются с помощью автоматизации.
В дискуссии участвовали генеральный директор Уральского центра систем безопасности (УЦСБ) Валентин Богданов, руководитель управления по Цифровым регионам «Ростелекома» на Урале Александр Золотовский и директор департамента по работе с технологическими партнерами «Группы Астра» Кирилл Синьков.
Модератором дискуссии выступила Ольга Костарева — заместитель директора по коммуникациям компании «Контур». Также в обсуждении принял участие заместитель министра цифрового развития, связи и массовых коммуникаций РФ Александр Шойтов.
Кибератаки стали нормой
По официальным данным Национального координационного центра по компьютерным инцидентам (НКЦКИ), ежедневно регистрируется 250–300 кибератак. В реальности эта цифра может быть значительно больше, поэтому сегодня компании должны задавать себе вопрос не «взломают ли нас?», а «когда нас будут атаковать, как мы сможем минимизировать потери?».
Валентин Богданов — генеральный директор УЦСБ: «Компания активно инвестирует в развитие технологий защиты и в изучение угроз. Исследовательский центр УЦСБ анализирует не только рыночные тенденции, но и активность хакерских сообществ. Мы понимаем, как действуют группировки и какими инструментами они пользуются — это помогает нам создавать точные методы выявления атак и противодействия им».
Почему информационная безопасность не всегда эффективна
Несмотря на то, что компании закупают передовые средства защиты информации и нанимают высококвалифицированных специалистов, реальная эффективность их информационной безопасности (ИБ) может не соответствовать этим вложениям.
Валентин Богданов — генеральный директор УЦСБ: «Проблема в человеческом и организационном факторах. Нередки ситуации, когда внедрена дорогостоящая система управления событиями безопасности, но нет сотрудника, который ежедневно анализирует результаты.
Кроме того, забываются базовые операции: регулярное обновление систем, закрытие общеизвестных уязвимостей, мониторинг событий или отсутствие регламента реагирования. В результате хакерская группировка может годами присутствовать в корпоративной инфраструктуре, оставаясь незамеченной, пока не парализует бизнес».
Изменение подхода к информационной безопасности
В 2024–2025 годах все чаще обсуждались атаки через цепочки поставок, когда злоумышленники получают доступ к системам организации через скомпрометированные программные продукты, сервисы или ИТ-инфраструктуру ее подрядчиков и партнеров.
Валентин Богданов — генеральный директор УЦСБ: «Атаки через цепочки поставок изменили подход к информационной безопасности — она перестала локализовываться вокруг одного предприятия и стала распространятся на всю “экосреду”, в которую входят контрагенты компании. Крупные предприятия теперь требуют от подрядчиков, причем не только из ИТ-сферы, подтверждения соответствия требованиям информационной безопасности.
Сформировалось партнерство между организациями: совместно отслеживаются атаки, выявляются хакерские группировки, обмен информацией стал оперативнее благодаря НКЦКИ и другим сервисам реагирования и фиксации инцидентов ИБ».
Как и где появляются угрозы в ИТ-продуктах
Безопасность ИТ-продукта невозможно построить на финальном этапе его создания, закрывая уязвимости. Ее нужно проектировать в самом начале, на уровне кода и инфраструктуры.Кирилл Синьков — директор департамента по работе с технологическими партнерами, «Группа Астра»: «Мы выстраиваем вокруг ОС контур из доверенных приложений наших партнеров, обеспечивая целостность всей экосистемы. В этой модели есть слои из “железа”, средств защиты, инфраструктурного и системного ПО. Главная задача — не допустить внедрения вредоносного кода на стыках этих уровней.
При этом мы видим, что все больше угроз появляются на этапе написания кода: вредоносные кодировки могут лежать в хранилище кода, потом превращаться в артефакты, а потом в ПО.
Уже есть сценарии разработки вредоносного агента на базе ИИ, который может находится в “спящем” состоянии до момента, когда он поймет, что можно наносить удар. Чтобы этого не допустить, необходимо использовать контейнер безопасной разработки, в который невозможно встроить вредоносное ПО».
Изменение восприятия информационной безопасности
Компании часто оказываются перед выбором: с одной стороны, есть обоснованная необходимость инвестиций в информационную безопасность, с другой — некоторые организации откладывают их в долгий ящик из-за высокой стоимости средств защиты.Александр Золотовский — руководитель управления по Цифровым регионам на Урале, «Ростелеком»: «В последние годы формируется культура информационной безопасности — компании перестают воспринимать ее как набор “наложенных” средств, которые можно добавить к существующей инфраструктуре.
Подход “давайте что-нибудь прикрутим, чтобы стало безопасно” уходит в прошлое. Крупные компании стали больше думать о том, как защитить весь цикл производства оборудования, от которого может зависеть наша жизнедеятельность».
Почему ИИ не может сам атаковать и защищаться
Искусственный интеллект — это эмуляция действий человека и пока он не способен самостоятельно принимать серьезные решения. Поэтому как в защите данных, так и в реализации атак роль человека остается ключевой.Валентин Богданов — генеральный директор УЦСБ: «Когда мы говорим о применении ИИ для проведения кибератак, важно понимать, что он обрабатывает большие массивы данных и предоставляет определенный результат. Если бы не было этих исходных данных, ИИ сам бы не придумал, как решать поставленные задачи. Сейчас ИИ в сфере информационной безопасности лишь воспроизводит отдельные действия пользователя. Пока это помощник для решения утилитарных прикладных задач, который в ближайшем будущем не сможет заменить высококвалифицированного специалиста».
Насколько безопасно полагаться на решения ИИ
Сейчас наблюдается взрывной рост объемов обучения моделей ИИ и количества пользователей, которые используют их как инструмент для решения своих задач. Однако данные, поступающие в такие модели нередко содержат ошибки и неточности. Именно это приводит к «галлюцинациям», когда система делает неверные выводы, поэтому важно не воспринимать результаты ИИ как абсолютную истину.
Кирилл Синьков — директор департамента по работе с технологическими партнерами, «Группа Астра»: «Минимизировать ошибки ИИ возможно при условии, что компания и сотрудники существуют в закрытом контуре, в котором работают системы аналитики действий и SIEM-системы. Но даже в этом случае необходим человек, который анализирует метаданные, поступающие из них.
Кроме того, необходимо выстраивать внутреннюю политику, ограничивающую бездумное использование ИИ-инструментов. Если компания все же внедряет самообучающиеся модели, это должно проходить в закрытых тестовых контурах, где данные, используемые для обучения, полностью достоверны.
Только такой комплексный подход, который сочетает контроль, обучение и ограничения позволит избежать рисков, связанных с ошибками ИИ».
Как автоматизация меняет современные средства защиты
Автоматизация позволяет перейти на качественно новый уровень защиты. Она увеличивает скорость реагирования, повышает прозрачность и удобство процессов контроля, анализа и соответствия требованиям информационной безопасности.Валентин Богданов — генеральный директор УЦСБ: «Средствами автоматизации уже решаются более интеллектуальные задачи корреляции событий безопасности, когда система объединяет фрагменты информации из разных источников и формирует целостную картину инцидента ИБ.В современных компаниях задачи управления информационной безопасностью, соблюдения требований и поддержания доверия к системе защиты уже могут решаться средствами автоматизации. Это показывает, насколько далеко продвинулись современные подходы киберзащиты и высокую скорость, с которой автоматизация становится ключевым инструментом управления безопасностью в организациях.
В отдельное направление можно выделить автоматизацию OSINT*-процессов. Системы анализируют активность хакерских группировок, утечки и тенденции в теневом сегменте интернета. На основе этих данных формируются превентивные уведомления. Например, если атаковано 29 компаний определенного профиля, система предупредит следующую потенциальную жертву.
Следующие шаги — автоматизация реагирования на инциденты и задач соответствия требованиям. Если раньше крупные организации готовили отчеты вручную, проверяя наличие антивирусов, длину паролей и прочие параметры, то теперь эти проверки запускаются автоматически. Система сама собирает доказательства соответствия, формирует отчеты и указывает исключения».
*OSINT (Open Source Intelligence) — разведка по открытым источникам, метод сбора и анализа информации из общедоступных ресурсов