«Не если, а когда»: почему лучшая защита начинается с признания — кибератака случится

Если раньше злоумышленники действовали по шаблонам, то сейчас их методы отличаются высокой степенью продуманности и технической оснащенности.

Об этом говорили участники круглого стола «Взломы компаний. Защита от киберугроз» в рамках конгресса «Форум будущего». Модератором дискуссии выступил Валентин Богданов, генеральный директор УЦСБ — одной из крупнейших российских компаний с экспертизой в создании, защите и развитии ИТ-инфраструктуры бизнеса и государства. 

Почему защитные меры не всегда дают ожидаемый результат, какие барьеры препятствуют открытому обмену информацией о кибератаках и поможет ли информационной безопасности искусственный интеллект, рассуждали: представители Точка Банка, СберТеха, компаний Агропромцифра и УЦСБ.

«Ошибка выжившего»: почему реальные масштабы кибератак не те, что кажутся

В начале дискуссии Валентин Богданов предложил рассмотреть исторический пример из военной практики: во время боевых действий инженеры анализировали самолеты, вернувшиеся с заданий. Они фиксировали места попаданий пуль и на этом основании принимали решение — где именно нужно усилить броню.

На первый взгляд, логика очевидна: раз в эти участки прилетали снаряды, значит, их надо защитить. Но здесь кроется когнитивное искажение — «ошибка выжившего». Исследователи учитывали только те машины, которые смогли вернуться, игнорируя самолеты, погибшие из‑за попаданий в другие, не зафиксированные зоны.

Если опираться лишь на данные «выживших», можно сделать неверные выводы и усилить не самые критичные участки, оставив уязвимыми по‑настоящему опасные зоны. В кибербезопасности эта аналогия работает так же: анализируя только успешно отраженные атаки, мы рискуем упустить из виду те векторы угроз, которые уже привели к компрометации системы, но остались незамеченными, — поделился наблюдениями Валентин Богданов.

По его словам, многие воспринимают кибератаки как нечто гипотетическое. Но реальность иная: атаки происходят постоянно. Ошибка выжившего тут звучит так: «У нас все работает, значит, мы защищены». На деле это может означать лишь то, что атаки были, но их не обнаружили, система уже скомпрометирована, но последствия проявятся позже, уязвимости есть, но они еще не использованы.

Правильный вопрос не «Есть ли угроза?», а «Когда атака произойдет?». Именно поэтому кибербезопасность строится на предположении о неизбежности вторжения — и на подготовке к нему.

Поэтому, как отметили участники дискуссии, необходимо анализировать неудачи и предполагать худшее, исходя из того, что атаки неизбежны.

«Бумажная безопасность»: вред или благо

— Мы видим открытую статистику по кибератакам за 2025 год. Лидером стал госсектор — на него пришлось 21 % атак. Второе место заняла промышленность с 13 %. Третью строчку разделили ИТ‑компании и медучреждения, — рассказал Валентин Богданов.

Он подчеркнул: информационная безопасность складывается из нескольких ключевых компонентов. Один из них — выполнение требований регулятора, которую участники рынка иногда называют «бумажной безопасностью». У этого термина сложилась скорее негативная окраска: он ассоциируется с формальным подходом «для галочки», когда усилия направлены не на реальную защиту, а на подготовку документов и отчетов.

Однако времена меняются — отметили участники дискуссии. Сегодня и регулирующие органы, и производители, и интеграторы все реже акцентируют внимание лишь на «бумажной» составляющей — и все чаще фокусируются на реальной безопасности.

По словам Алексея Крашенинникова, архитектора платформ департамента сопровождения платформ Банка Точка, финансовый сектор работает с деньгами — но не своими, а клиентскими. Это накладывает особую ответственность: нужно не просто хранить средства, а надежно защищать их от мошенников. Для этого важно не пренебрегать множеством регламентов.

Эти правила выработаны на основе реального опыта (нередко — после серьезных инцидентов). Они написаны «кровью»: каждый пункт отражает уроки прошлых атак и уязвимостей и содержит проверенные механизмы, которые действительно работают. Регуляторы следят за тем, чтобы эти требования соблюдались, и постоянно актуализируют их с учетом новых угроз, — рассказал Алексей Крашенинников.

При этом эффективная кибербезопасность в финансовом секторе складывается из системы мер. Это технические средства — инструменты защиты, мониторинг и превентивные технологии. Это регулярные проверки — внутренние аудиты, тестирование на проникновение, анализ уязвимостей. И внешние аудиты — независимая оценка соответствия стандартам и готовности к угрозам.

По мнению Сергея Мишина, начальника Центра противодействия киберугрозам центра Агропромцифра, важно не просто соответствовать требованиям, а создать «живую систему обороны», которая адаптируется к новым угрозам. Это экономит ресурсы в долгосрочной перспективе и защищает бизнес там, где «бумаги» бессильны.

Он подчеркнул: этот подход не всегда гарантирует 100 % защиту. Но увеличивает время на обнаружение и нейтрализацию угрозы, снижает вероятность успешной атаки, минимизируют последствия, если взлом все же произошел.

Валентин Богданов резюмировал: противодействие киберугрозам неизбежно — это данность. Задача не сводится к тому, чтобы просто возвести «высокий забор» вокруг системы. Цель — максимально осложнить злоумышленнику задачу и выиграть время.

Каждая секунда, пока он пробивает тот или иной барьер, работает на нас — в этот момент может сработать автоматическое средство защиты, может быть зафиксировано аномальное поведение, и у нас появляется больше времени, чтобы успешно отразить атаку, — подтвердил Сергей Мишин.

Всеслав Соленик, директор по кибербезопасности компании СберТех, обратил внимание, «бумага», конечно, нужна — она служит базой. То, что многие называют просто «регуляторкой» и воспринимают как бюрократию, на деле представляет собой лучшие практики, выработанные регулятором в интересах всех участников.

Это не попытка загнать нас в рамки излишней бюрократии, а способ обеспечить гигиенический уровень безопасности для рынка и государства в целом — и в этом смысле такая работа действительно полезна и правильна, — констатировал Всеслав Соленик.

При этом, по его словам, есть два подхода к оформлению документации. Первый: специалисты пишут процессы «как должно быть» — исключительно для аудиторов, чтобы на бумаге все выглядело идеально. Второй: брать реальность, как она есть, и фиксировать на бумаге именно текущее состояние дел.

— Я выступаю за второй вариант: если мы стартуем от того, как система работает на самом деле, то документ описывает реальную жизнь — а значит, остается живым и рабочим, — рассказал эксперт.

Антон Еркин, заместитель генерального директора — технический директор УЦСБ, отметил важность того, чтобы документация не была бесполезной с точки зрения реальной практики. Он рассказал о том, что зачастую у проверяющих главная цель — найти нарушения. Впрочем, сейчас такой подход постепенно меняется.

— Когда начинаешь первый разговор о безопасности, часто непонятно, с чего стартовать. Простой выход — нанять подрядчика для проведения аудита. Уже в процессе работы станет ясно, что у вас есть с точки зрения документации, а чего нет. Это и будет та самая стартовая точка, от которой можно двигаться дальше, — прокомментировал Антон Еркин.

Надо отдать должное регулирующим организациям: сегодня их методы проверки и контроля уже не сводятся к банальной проверке документов. Они идут дальше — моделируют реальную опасность, смотрят, как вы реагируете на конкретное событие и какие действия предпринимаете, и это совсем другой уровень проверки. Мы положительно оцениваем этот подход и считаем его эффективным, — добавил Валентин Богданов.

Расставить приоритеты защиты и уверенно реагировать на инцидент

Противодействие киберугрозам реализуется сразу на нескольких уровнях — начиная с документального оформления и защиты на внешнем периметре (границе сети) и заканчивая противодействию угрозам на уровне прикладных систем. При этом организации зачастую концентрируются именно на уровне приложений и сервисов — и возникает закономерный вопрос: достаточно ли этого?

Ответ на этот вопрос дал Всеслав Соленик, который считает, что без базовой инфраструктуры ничего не функционирует — это именно та самая «гигиена», которая нужна каждой компании. При этом важно правильно классифицировать объекты защиты: невозможно (и нецелесообразно) защищать все одинаково — это слишком дорого.

Первое, что необходимо сделать, — определить критический периметр. Далее следует выделить несколько категорий систем: те, что критичны в пределах нескольких минут; те, которые нельзя терять даже на полчаса; и наконец те, что могут «лечь» на неделю без существенного ущерба для организации. Защищать все одинаково невозможно: ни финансовых, ни человеческих ресурсов для этого просто не хватит.

Валентин Богданов поддержал: главное — правильно расставить приоритеты, а уже после этого приступать к выстраиванию защиты. Ресурсы всегда ограничены, поэтому критически важно сконцентрироваться именно на недопустимых событиях — тех, что способны нанести ущерб.

Для этого, по словам эксперта, нужно провести аудит и серию опросов — это обязательный этап. Затем следует оценить угрозы и расставить приоритеты среди рисков. Сначала провести необходимую работу, а потом — регулярно проверять результаты, будь то своими силами или с привлечением подрядчика.

— Защита информации, если разбираться, бывает трех типов. Первый — проактивная: мы действуем до инцидента — ставим защиту, разрабатываем политики. Второй — активная: это аудит и мониторинг. И третий — реактивная, которую раньше нередко недооценивали: что вы делаете, когда инцидент уже произошел? Как будете реагировать? Как мобилизуете силы и средства? Как извлечете уроки и пересмотрите систему защиты? Этот момент крайне важен в мире киберугроз, но зачастую о нем забывают, — отметил Валентин Богданов.

По его словам, именно как вы реагируете на случившуюся атаку имеет огромное значение:

Мы должны не только защищать себя, но и поддерживать развитие отрасли. Поэтому важно рассматривать информационную безопасность не только в рамках отдельной компании, но и как вопрос общественной безопасности в целом. И здесь нам помогают регулирующие организации.

В частности, НКЦКИ (Национальный координационный центр по компьютерным инцидентам) регулирует обязательный обмен информацией. Закон «О безопасности критической информационной инфраструктуры РФ» требует оповещать федеральный орган исполнительной власти о компьютерных инцидентах. Если субъект работает на финансовом рынке — дополнительно нужно уведомить ЦБ РФ.

При этом реакция компаний на инциденты разнится: одни превращают случившееся в публичное событие, другие, напротив, стараются замолчать и скрыть, избегая огласки.

Как рассказал Алексей Крашенинников принимать единоличное решение о передаче данных нельзя — это было бы нечестно по отношению к партнеру. У него своя структура безопасности и выработанные методики работы, которые нужно учитывать. При этом наша сторона неукоснительно следует всем утвержденным регламентам.

По его словам, когда инцидент уже случился, первоочередная задача — разобраться в его истоках. Иначе возникает опасная ситуация: мы можем публично обозначить проблему, но не ликвидировать саму уязвимость. В таком случае злоумышленники или исследователи быстро воспользуются брешью — это лишь вопрос времени.

Ключевой принцип — неукоснительное соблюдение законодательных норм. Одновременно необходимо грамотно задействовать ресурсы: привлекать профильных специалистов, использовать нужные инструменты и механизмы. Только комплексный подход позволит оперативно купировать угрозу и свести к минимуму потенциальные риски для всех участников процесса.

Валентин Богданов акцентировал внимание на том, что, с одной стороны, любой инцидент несет репутационные риски — всегда есть опасность потерь. С другой — грамотное реагирование позволяет одновременно продемонстрировать зрелость управленческих процессов и социальную ответственность. Оперативная локализация угрозы и устранение последствий не только минимизируют ущерб, но и укрепляют доверие, показывая, что организация действует профессионально, предсказуемо и с учетом интересов всех заинтересованных  сторон.

Кибербезопасность на аутсорсинг

Участники дискуссии обсудили аутсорсинг в сфере кибербезопасности как инструмент, который позволяет компаниям усилить защиту данных и оптимизировать затраты. Однако, по мнению экспертов, его применение зачастую сопряжено с определенными рисками, которые важно учитывать.

— С одной стороны, аутсорсинг дает доступ к экспертной квалификации и передовым технологиям, недоступным многим организациям в рамках собственных ресурсов. Компании обеспечивают мониторинг угроз, оперативное реагирование на инциденты, помощь в соблюдении нормативных требований и быстрое восстановление после атак. Кроме того, аутсорсинг решает проблему кадрового дефицита, дает возможность сэкономить на содержании собственной инфраструктуры и штата специалистов, что немаловажно для малого и среднего бизнеса, — отметил Всеслав Соленик.

В то же время, по словам Алексея Крашенинникова, передача функций ИБ стороннему поставщику несет риски утечек данных, зависимости от провайдера, снижения качества защиты при недобросовестном исполнении услуг.

В ходе дискуссии эксперты констатировали: чтобы минимизировать эти риски, необходимо тщательно отбирать компанию-аутсорсера, обращая внимание на его репутацию и опыт, регулярно проводить аудит его работы и четко формулировать требования с учетом специфики бизнеса и регуляторных норм.

Таким образом, аутсорсинг кибербезопасности может стать эффективным решением при условии грамотного выбора партнера и системного контроля за исполнением обязательств, — заключил Валентин Богданов.

ИИ в кибербезопасности: угроза или возможность

Один из острых вопросов дискуссии — заменит ли искусственный интеллект (ИИ) специалистов по информационной безопасности.

Мнения участников сошлись: полной замены не будет. Всеслав Соленик, считает что ИИ возьмет на себя рутинные задачи: мониторинг, первичный анализ, шаблонные операции. При этом человек останется в центре принятия решений. Именно он оценивает контекст, выстраивает стратегии, реагирует на нетиповые угрозы.

Это как автопилот в самолете, — поясняет он. Автопилот безупречно держит курс, следит за параметрами полета, выполняет стандартные маневры и разгружает пилота от монотонной работы. Но в сложной, нестандартной ситуации — при отказе систем, резком изменении метеоусловий или нештатном поведении воздушного судна — решение всегда принимает человек. Пилот видит картину целиком, учитывает неочевидные факторы, берет на себя ответственность за выбор.

Точно так же в кибербезопасности: ИИ эффективно сканирует потоки данных, выявляет типовые аномалии, блокирует известные угрозы и автоматически запускает шаблонные сценарии реагирования. Но когда возникает новая, нетривиальная атака — без человека не обойтись.

Сергей Мишин добавил: искусственный интеллект — это и угроза, и возможность. С одной стороны, он дает злоумышленникам новые инструменты. С другой — открывает перед защитниками горизонты для создания более умных, быстрых и адаптивных систем безопасности.

Ключевой вызов — не бояться технологии, а научиться управлять ею, сохраняя человеческий контроль над критически важными процессами. Сегодня кибератаки становятся не просто чаще — они сложнее и масштабнее. Одна из главных причин — злоумышленники все активнее используют искусственный интеллект.

Для злоумышленников он становится мощным инструментом атак. С помощью больших языковых моделей хакеры оттачивают классические фишинговые схемы, создают и обучают собственные модели для целевых атак. С другой стороны, защитникам ИИ помогает прогнозировать угрозы, находить уязвимости в коде, автоматизировать процессы. 

Итоги подвел Валентин Богданов:

ИИ не вытеснит специалиста по безопасности, но радикально изменит профессию: появится больше автоматизации, а эксперты смогут сосредоточиться на более сложных, нестандартных и стратегических задачах.

Вывод

Эффективная кибербезопасность требует системного подхода: честной оценки рисков, чтобы не повторялись «ошибки выжившего», приоритизации систем, которые необходимо защищать, а также сочетания регуляторной дисциплины и готовности к оперативному реагированию. 

Инструменты и методы защиты дают результаты только в том случае, если за ними стоят отлаженные процессы информационной безопасности, квалифицированные специалисты и прозрачное взаимодействие между заказчиками, защитными структурами и государством. 

Важную роль в управлении киберрисками играет своевременное информирование об инцидентах. Обмен данными о прошедших атаках позволяет укрепить общую киберустойчивость отрасли и свести к минимуму повторения аналогичных сценариев. 

Стремительное развитие технологий делает ИИ как инструментом для создания угроз, так и средством защиты. Наибольшую устойчивость демонстрируют компании, которые заранее готовятся к атакам, развивают культуру обмена информацией в профессиональном сообществе, осваивают новые технологии и при этом сохраняют контроль человека над ключевыми процессами.

Читайте также на DK.RU: Александр Крайнов: «Нейросети уже пытаются обмануть друг друга»