TAdviser: Прогнозы на 2026 год говорят о сохранении жестких бюджетных ограничений в ИТ при одновременном росте киберугроз. Как бизнесу адаптироваться к этой «новой нормальности»?
Валентин Богданов: Мы входим в фазу, когда рост финансирования кибербезопасности, если и будет, то минимальным, а киберугрозы продолжат эволюционировать и усиливаться. Это заставит рынок повзрослеть и перейти от модели «больше железа и лицензий» к модели «больше интеграции и эффективности». Главный тренд — не купить новое средство защиты, а максимально использовать уже внедренное.
На практике это значит, что вместо поиска очередной «серебряной пули» компании займутся ревизией своего защитного периметра: подключат неиспользуемые модули в имеющихся системах, наведут порядок в сборе и анализе логов, ликвидируют разрывы между разрозненными решениями. Технически мы увидим всплеск интереса к платформам, которые могут объединить данные от продуктов разных вендоров в единую картину, и к услугам по глубокой настройке.
TAdviser: На что в первую очередь стоит обратить внимание при таком «апгрейде» существующей защиты? Где кроются самые частые и критичные пробелы?
Валентин Богданов: Самый распространенный и опасный пробел — отсутствие сквозной связности между внедренными средствами защиты и бизнес-процессами. Частая картина: набор мощных, но не связанных между собой инструментов. Межсетевой экран не передает данные в систему мониторинга, а система контроля доступа не интегрирована с SIEM. В результате SOC работает вслепую.
Это похоже на строительство дома из отличных материалов, но без общего проекта. Риски возникают на стыках: забытый тестовый сервер, не отключенная учетная запись уволившегося сотрудника, устаревшее правило на межсетевом экране. Нарушителю не требуется проводить атаки на криптографию, он ищет именно такие операционные бреши, которые появляются из-за человеческого фактора и плохой автоматизации рутинных процессов. Задача профессионального интегратора — не просто поставить «коробку», а встроить ее в технологический ландшафт Заказчика, обеспечив сквозную видимость и управляемость.
TAdviser: Разве закупка новых решений — не главный ответ на подобные угрозы? Чем больше глаз, тем тщательнее осмотр…
Валентин Богданов: Эффективность — все-таки про качество, а не про количество. При скромном бюджете логичнее сфокусироваться на харденинге, аудите и тотальной настройке. Планомерная работа по усилению уже созданной защиты включает в себя несколько критически важных направлений, где особенно востребована экспертиза интегратора. В первую очередь это глубокая настройка и активация всего защитного функционала. Ведь зачастую используется лишь 20-30% возможностей ИБ-продуктов, в то время как грамотная интеграция раскрывает их потенциал до 80-90%.
Кроме того, важно проводить регулярные проверки на проникновение (пентесты) и аудиты безопасности. Они диагностируют реальную устойчивость к атакам, выявляя логические уязвимости и ошибки конфигурации. И, наконец, внедрение безопасной разработки (DevSecOps), если компания создает или заказывает ПО под собственные нужды. Инвестиция в самую раннюю стадию создания ПО на порядки сокращает стоимость устранения уязвимостей в будущем.
В условиях ограниченного бюджета грамотный апгрейд и настройка существующей системы почти всегда экономичнее и эффективнее закупки новой.
TAdviser: Куда в этой логике эволюционирует SOC?
Валентин Богданов: Классический SOC трансформируется в центр управления сервис-ориентированной безопасностью. Все больше компаний приходят к модели, где ключевые функции передаются внешним экспертам. Речь уже не просто об аутсорсинге мониторинга, а о полноценном MDR (Managed Detection and Response). Это означает, что провайдер не только анализирует угрозы и выявляет атаки, но и получает полномочия для безопасного противодействия атаке в сетевой среде Заказчика: изолировать зараженные узлы, блокировать атакующие IP-адреса, проводить расследование. Для бизнеса это переход от затратной модели содержания штата узких специалистов к предсказуемой подписке на сервис с высоким уровнем экспертизы.
TAdviser: Насколько киберучения (тренировки Red, Blue и Purple Team) близки к реальности и важны ли они в текущей ситуации?
Валентин Богданов: Это лучший стресс-тест для всей системы защиты. Можно сколько угодно проверять каждый инструмент по отдельности, но только на учениях вы увидите, как они работают вместе в условиях, приближенных к боевым. В цели киберучений входит и диагностика текущих компетенций ИБ-специалистов, и тренировка по их улучшению Хорошие учения моделируют реальные тактики злоумышленников на копии рабочей инфраструктуры. Они выявляют проблемы на стыках систем, проверяют, сработает ли механизм автоматического реагирования, и тренируют навыки команды в режиме жесткого цейтнота. Это абсолютно необходимый инструмент для борьбы с ложным ощущением защищенности. Проведение учений на киберполигонах на практике показывает, насколько ИБ-команда готова к обороне и как работают ИБ-решения под натиском красного траффика.
TAdviser: Искусственный интеллект — один из ведущих трендов последних лет. Редкий прогноз обходится без обсуждения его влияния на рынок кибербезопасности и ИТ в целом. Как вы оцениваете его роль: он больше угроза или инструмент защиты?
Валентин Богданов: Он развивается с двух сторон баррикад одновременно. Как угроза, генеративные модели уже сейчас создают фишинговые письма и дипфейки такого качества, что отличить их человеку почти невозможно. Противостоять этому может только ИИ, обученный выявлять подобный синтетический контент.
Как инструмент защиты, сегодняшний ИИ — это мощный, но требующий контроля помощник. Он отлично находит аномалии в огромных объемах данных, но часто не может объяснить, почему событие подозрительно, создавая аналитикам дополнительный объем работы ложными срабатываниями.
TAdviser: Помимо ИИ, какие технологические тренды создадут новые вызовы для безопасности в ближайшие годы?
Валентин Богданов: Я бы в первую очередь выделил интернет вещей (IoT/OT) — здесь проблема в миллиардах устройств: их невозможно последовательно и безопасно обновлять (патчить), при этом единые стандарты безопасности отсутствуют. Ответом станет не только патчинг, но и изоляция таких сетей и поведенческий анализ их трафика.
История с IoT — проявление более общей тенденции. Цифровая среда становится настолько сложной и распределенной, что методы точечной защиты применительно к ней уже вряд ли можно считать эффективными. Поэтому фокус смещается с вопроса «как не пустить» к вопросу «что делать, если взлом уже произошел». Современные системы проектируются, исходя из принципа, что наступление отдельных инцидентов — лишь вопрос времени, а не вероятности. И важно сделать так, чтобы локальный сбой или компрометация части инфраструктуры не парализовали всю систему.
Ответом становится киберустойчивость — способность бизнеса работать, даже если часть инфраструктуры скомпрометирована. Для этого нужна архитектура, которая изначально ограничивает масштаб проблемы, например, через изоляцию сегментов и узлов.
Но одной архитектурой не обойтись. Важна способность быстро восстановить критичные сервисы, а также постоянное развитие — регулярные учения и тестирование процедур. В итоге безопасность превращается из набора инструментов в целостную систему по управлению рисками.
TAdviser: Если говорить об инструментах для такой целостной системы, то насколько важную роль в ней может играть искусственный интеллект? До какой степени, на ваш взгляд, можно доверить расследование инцидентов и реагирование ИИ?
Валентин Богданов: Теоретически — полностью. Практически — настолько, насколько компания готова делегировать машине принятие решений и нести за них ответственность. Баланс достигается в симбиозе: ИИ обрабатывает терабайты логов, выстраивает гипотезы и предлагает варианты действий, а человек-эксперт оценивает критичность, дает санкцию и контролирует исполнение. Это не замена, а радикальное усиление команды безопасности.
TAdviser: Что в основах киберзащиты останется неизменным, какие бы технологии ни появлялись?
Валентин Богданов: Фундаментальные принципы ограничения и контроля. Независимо от технологий, действует правило наименьших привилегий (давать ровно столько прав, сколько нужно для работы), необходимость строгой аутентификации и сегментации сетей.
ИИ и автоматизация не отменят эти принципы, а позволят применять их четче и быстрее. Например, машинное обучение сможет анализировать поведение пользователя и динамически расширять или сужать его права. Но логика «запрещено все, что не разрешено явно» останется краеугольным камнем любой архитектуры безопасности.
TAdviser: По каким практическим признакам можно понять, что система защиты в компании зрелая и эффективная?
Валентин Богданов: Не по количеству купленных лицензий, а по скорости и предсказуемости реакции на инциденты. Есть несколько ключевых индикаторов. Во-первых, есть ли полная инвентаризация всех IT-активов и понимание, что именно является критически важным.
Во-вторых, измеряются ли такие метрики, как среднее время обнаружения (MTTD) и среднее время реагирования (MTTR) на инциденты ИБ, и работают ли команды над их улучшением.
В-третьих, и это главное, есть ли четкий, отработанный на учениях план действий при атаке. Когда при реальной кибератаке команда не впадает в панику, а запускает отлаженные процедуры — это и есть признак зрелости. Защита становится не статьей расходов, а управляемым инженерным процессом.
TAdviser: В завершение, какой главный совет вы могли бы дать российским ИТ-лидерам, глядя на вызовы 2026 года?Валентин Богданов: Мой главный совет — сделать ставку на экспертизу и качество. За последние годы отечественная ИТ-отрасль прошла через серьезнейшие вызовы и не просто выстояла, а окрепла, создав работающие решения и сильные команды.
Нынешний период бюджетной сдержанности — это не тупик, а возможность для следующего качественного скачка. Он заставит нас сосредоточиться на сути: на грамотной архитектуре, настройке, интеграции и непрерывной проверке результативности. Те ИТ-компании и интеграторы, которые вложат силы не в маркетинг новых «волшебных» решений, а в глубокое понимание технологий и процессов своих Заказчиков, выйдут из этого периода неизмеримо сильнее.
Высокий уровень зрелости кибербезопасности базируется на продуманной архитектуре защиты и грамотной интеграции уже работающих систем. И сейчас самое время доказать эффективность такого подхода, максимально используя и усиливая то, что уже построено. Это трудный, но единственно верный путь к настоящей устойчивости.