Уральский форум кибербезопасности в Екатеринбурге в этом году прошел на фоне новой реальности: кибератаки стали частью повседневной операционной работы бизнеса. Финансовый сектор, как и другие, живет в режиме постоянного давления — от целевых атак, мошенничества и технологических рисков до требований регуляторов и задач импортозамещения.
Генеральный директор Angara Security Сергей Шерстобитов в интервью РБК Екатеринбург рассказал, почему 100% защиты не существует, чем опаснее целевая атака по сравнению с техническим сбоем, как искусственный интеллект снижает порог входа в киберпреступность и почему главным показателем зрелости компании становится не наличие средств защиты, а скорость восстановления инфраструктуры.
— Если убрать общие слова про «рост кибератак», что принципиально изменилось за последние два года в финансовой отрасли в части информационной безопасности?
— Я бы отметил перелом в борьбе с мошенничеством. Это одно из ключевых и наиболее резонансных направлений, к которому приковано внимание и общества, и регуляторов.
Если говорить о кибератаках в более широком смысле, я бы не сказал, что произошло что-то принципиально новое. Продолжается традиционное соперничество атакующих и защищающихся сторон. Обе становятся более зрелыми, применяя более изощренные методы.
Важно другое: качественно выстроенные системы защиты в крупных компаниях стали сегодня практически недостижимы для злоумышленников. Поэтому все чаще атаки идут через цепочки поставок и партнеров — уязвимыми оказываются дочерние структуры крупных корпораций. Именно поэтому в последние два года особенно актуальной стала защита экосистем. Речь о ситуациях, когда крупная компания распространяет и контролирует единые правила информационной безопасности на все свои структуры и активы.
— То есть кибератаки для банков и страховых компаний перешли из исключительных случаев в обычную составляющую повседневной операционной работы?
— У большинства уже выработан своего рода иммунитет: они понимают, как реагировать, какие процессы запускать, какие технологии задействовать. Ведь большая часть атак происходит по достаточно стандартным сценариям, и методы противодействия давно подобраны и успешно применяются.
Но злоумышленники постоянно тестируют новые подходы. Финансовый сектор сталкивается с этим почти на ежедневной основе — и это уже реальность, с которой нужно жить.
— Что представляет большую опасность для финансовой организации: технический сбой, целевая атака или регуляторные последствия инцидента?
— Я бы выделил именно целевую атаку. В отличие от технического сбоя, она инициируется человеком, а значит, за ней стоят более сложные цели и изобретательный подход.
Нередко задачей атакующих становится не просто проникновение, а уничтожение инфраструктуры. При техническом сбое такого целеполагания нет. Поэтому реагирование на целевую атаку сложнее: ее труднее выявить, труднее локализовать и затем работать с последствиями.
— Насколько существенно массовое внедрение искусственного интеллекта меняет правила игры? Что сегодня развивается быстрее — технологии защиты или инструменты атакующих? И как бизнесу в этой гонке не оказаться в позиции догоняющего?
— Об искусственном интеллекте сейчас говорят буквально везде. Его используют обе стороны кибервойны — и атакующие, и защищающиеся. Но важно понимать: благодаря ИИ возможности злоумышленников стали гораздо более «доступными». То, для чего раньше требовались серьезная подготовка и значительные вычислительные ресурсы, теперь можно реализовать значительно быстрее. Даже финансовый порог входа для злоумышленников стал минимален, что кратно увеличило количество кибератак.
В такой ситуации использовать только привычные методы защиты уже невозможно — они становятся неэффективными. Поэтому сторона защиты также вынуждена активно применять ИИ, в том числе чтобы снижать нагрузку на специалистов, поскольку объем обрабатываемой информации постоянно растет.
Но есть еще один важный аспект, который сейчас проявился: риски внутри самой компании. Организации активно внедряют нейросети и системы машинного обучения, однако не всегда до конца понимают сопутствующие угрозы. Риски утечек огромны. Сотрудники нередко не осознают, какую информацию можно передавать в облачные сервисы для генерации документов или анализа данных.
Громкие инциденты уже происходили на международном уровне, но с подобными ситуациями сталкиваются и средние, и крупные компании. Поэтому вопрос не только в том, будут ли инструменты ИИ использованы против бизнеса, но и в том, насколько ответственно сами сотрудники обращаются с информацией и не злоупотребляют ли внешними сервисами.
— Насколько изменился диалог финансовых организаций с регуляторами — ЦБ, ФинЦЕРТ? Он стал жестче или просто системнее?
— Из года в год диалог становится все более системным. Не могу сказать, что происходит бездумное «закручивание гаек». Скорее, вся система настраивается таким образом, чтобы надежность финансовой инфраструктуры и социальная стабильность не вызывали вопросов.
Этому есть подтверждение: в условиях жестких санкций и ограничений доступа к международным платежным системам финансовые сервисы продолжают работать стабильно, остаются удобными и гибкими. В этом я вижу результат последовательной и системной работы регуляторов.
Сегодня мы пришли к состоянию, когда качество взаимодействия с регуляторами напрямую влияет на развитие отрасли. И в целом эти результаты можно оценивать как позитивные.
— В этом контексте усиливается и персональная ответственность топ-менеджмента. Это уже реальность или пока декларация?
— Законодательно установленная реальность. Сегодня в крупных организациях формируется новая роль для руководителей по информационной безопасности. В случае наступления критических последствий они могут нести, в том числе, уголовную ответственность. Это, безусловно, дисциплинирует и повышает вовлеченность. Возникает необходимость более ответственно выстраивать систему защиты и при этом искать баланс между ее устойчивостью и работоспособностью.
— Помимо изменений в регулировании, за последние годы отрасль пережила масштабное импортозамещение. На каком этапе мы сейчас? Можно говорить, что процесс подходит к концу, или началась управляемая фаза?
— Если использовать образное сравнение, то «пожар» уже потушен. За последние годы по многим направлениям была проведена серьезная работа и я считаю, что наступила управляемая фаза.
Если говорить об инструментах, российский рынок сегодня позволяет выбирать из нескольких поставщиков практически по каждому направлению. По отдельным позициям выбор пока остается ограниченным, но и здесь наблюдается положительная динамика.
Тот эмоциональный всплеск и неопределенность, которые сопровождали старт импортозамещения, уже позади. Сейчас отрасль работает в плановом режиме. В целом можно говорить о сформированном наборе отечественных решений — надежных и защищенных.
— После технологической перестройки меняется и сама логика контроля. Если раньше бизнес стремился соответствовать требованиям, то сегодня все чаще звучит формулировка «контроль цифрового контура». Что это означает на практике?
— На практике это означает смену парадигмы. Если раньше можно было пройтись по чек-листу, отметить «выполнено — не выполнено» и формально подтвердить соответствие требованиям, то сейчас подход другой.
Все чаще используется имитация реальных кибератак и проверка устойчивости инфраструктуры в условиях, максимально приближенных к боевым. Уже не так важно, внедрен ли конкретный механизм защиты. Ключевой вопрос — устойчива ли система в целом.
Причем нужно понимать, что обеспечить стопроцентную защиту невозможно. Поэтому принципиальным становится другое: насколько быстро компания способна восстановить инфраструктуру после атаки и вернуть ее к полноценной работе. Время восстановления и есть ключевой показатель зрелости цифрового контура.
— В чем разница между формальным соответствием требованиям регулятора и реальной киберустойчивостью?
— Я бы не стал искать здесь принципиальную разницу. Сегодня мы находимся в ситуации, когда эти два подхода постепенно сближаются. Регуляторы внимательно отслеживают, что происходит на рынке, и корректируют требования с учетом реальной «боевой» обстановки. Того разрыва, который можно было наблюдать несколько лет назад, сейчас фактически нет.
Требования становятся более прикладными и превращаются в рабочий инструмент, который можно использовать в повседневной деятельности компаний разного масштаба — включая средний и малый бизнес.
— Тогда где чаще всего компании допускают ошибки — в технологиях или в управлении процессами безопасности?
— Все же чаще проблема кроется в управлении процессами. Это дисциплина и навык, которые нужно тренировать, особенно в условиях агрессивного воздействия. Компания, уже столкнувшаяся с кибератакой, начинает относиться к безопасности принципиально иначе. Владельцы понимают, что это не абстрактная угроза, а реальность.
Сегодня даже средний бизнес регулярно сталкивается с вирусами-шифровальщиками и утечками данных. То, что еще три–пять лет назад обсуждалось только в профессиональной среде, теперь стало частью повседневной практики. Поэтому важно формировать этот «иммунитет» заранее и понимать: кибератака — это не фантастика, а риск, который может реализоваться в любой момент.
— А возможно ли вообще построить систему без уязвимостей?
— Это иллюзия. Помимо известных уязвимостей существуют так называемые уязвимости нулевого дня, которые могут быть обнаружены практически в любом программном обеспечении — как системном, так и прикладном. Поэтому гарантировать их полное отсутствие не может никто.
— Если стопроцентной защиты не существует, в каких ситуациях компании особенно важна независимая экспертиза?
— Задача поставщика — внедрить конкретное решение и обеспечить его корректную работу. Независимый партнер, аудитор или консультант смотрит шире: его задача — сделать так, чтобы вся система работала согласованно и соответствовала требованиям не фрагментарно, а комплексно.
Речь идет не только о формальном соблюдении требований регулятора, но и о реальной устойчивости к актуальным угрозам. Важно, чтобы в системе не оставалось «белых пятен», которые могут стать точкой входа для атаки.
Независимость здесь принципиальна. Это определенная дистанция от конкретных технологий и вендоров, а также возможность сравнивать предложения на рынке и выбирать оптимальные решения. Репутация независимого игрока становится дополнительной гарантией того, что компания получит не частное решение, а выстроенную систему безопасности. И эта системность особенно важна, когда речь заходит о стратегических решениях и бюджетах.
— Какова роль независимого эксперта в этом процессе?
— Для компаний среднего масштаба независимый эксперт может выступать своего рода ментором. Крупные организации с развитыми службами информационной безопасности хорошо ориентируются на рынке, понимают механизмы ценообразования и имеют выстроенные закупочные процедуры.
Среднему бизнесу содержать такие подразделения зачастую дорого. Поэтому здесь особенно важен независимый игрок, который способен предложить оптимальную модель защиты и аргументированно обосновать ее перед руководством.
Кроме того, сейчас происходит постепенный переход от покупки отдельных продуктов к покупке сервисов. Когда компания приобретает сервис мониторинга атак или реагирования на инциденты, она фактически покупает не технологический стек, а непрерывность бизнеса и скорость реакции на действия злоумышленников.
Это новый уровень независимости — уже не от конкретных решений, а от необходимости самостоятельно выстраивать весь технологический контур. Часть ответственности передается профессиональному участнику рынка.
