Артем Пузанков, Positive Technologies, эксперт конференции byteoilgas_conf: Злоумышленники все чаще нацелены не напрямую на деньги, а на нарушение технологического процесса

Цифровизация и внедрение ИИ заставляют нефтегазовые компании выходить за рамки формальной отчетности по безопасности. Инженеры и ИТ-специалисты учатся встроить ИБ в ежедневную практику — от DevSecOps и управления уязвимостями в CI/CD до анализа рисков в OT/ICS. Артем Пузанков, руководитель группы внедрения практик безопасной разработки Positive Technologies, эксперт программного комитета профессиональной конференции byteoilgas_conf, в интервью для Cyber Media рассказал о ключевых киберугрозах, актуальных навыках специалистов и перспективах отечественных решений в отрасли.

Cyber Media: Какие типы атак представляют наибольшую опасность для цифровой инфраструктуры сегодня? Расскажите о киберугрозах, связанных со SCADA, телеметрией, цифровыми двойниками предприятий и прочими элементами современной промышленной инфраструктуры.

Артем Пузанков: Главный тренд — злоумышленники все чаще нацелены не на деньги напрямую, а на нарушение технологического процесса. Это делает атаки менее заметными и более разрушительными.

Назову несколько опаснейших сценариев:

• Целенаправленные операции против OT/ICS. Компрометация инженерных станций и контроллеров, переход из офисной сети в технологический сегмент, подмена логики ПЛК. Хороший ориентир — MITRE ATT&CK for ICS, где систематизированы реальные техники воздействия (от включения сервисных режимов до препятствий восстановлению).
• Вмешательство в системы ПАЗ/ESD, например, TRITON/Trisis, когда пытаются отключить защитные барьеры. Ключевая мера — жесткая изоляция ПАЗ и разделение ролей.
• Атаки на энергосети и подстанции (Industroyer2). Злоумышленники целятся в протоколы диспетчерского управления, параллельно выводя из строя ИТ-инфраструктуру вайперами. Их цель — длительное нарушение технологических процессов, а не «громкий» шифровальщик.
• Уязвимости цепочки поставок для ПО и драйверов, а также атаки на телеметрию и цифровые двойники. При подмене телеметрии управленческие решения принимаются на основе фальшивых данных, что может привести к неверным действиям операторов.

Cyber Media: Какие изменения в российском законодательстве и нормативной базе по информационной безопасности за последние годы вы считаете наиболее значимыми для отрасли? Есть ли пробелы с точки зрения применимости в реальных условиях современных предприятий?

Артем Пузанков: Для меня, как практика в области безопасной разработки, наиболее значимыми стали:

• ГОСТ Р 56939-2024 — требования к процессам разработки безопасного программного обеспечения.
• ГОСТ Р 71207-2024 — стандартизация статического анализа и требований к инструментам SAST.
• Проект стандарта по композиционному анализу ПО — вводит понятия хранилищ стороннего программного обеспечения и требования к их безопасности.

Если же посмотреть шире на законодательную базу:

• Федеральный закон №187-ФЗ о безопасности КИИ и приказы ФСТЭК №239 и 240 — фундамент для всех операторов критической инфраструктуры.
• Поправки в 152-ФЗ «О персональных данных» усилили контроль над трансграничной передачей данных и заметно повлияли на архитектуры с использованием зарубежных облаков.
• Постановление №1236 закрепило приоритет отечественного ПО при закупках, что напрямую влияет на выбор платформ и решений.

При этом остаются и пробелы. Требования часто описаны на уровне принципов, без конкретных механизмов реализации, поэтому на практике специалисты опираются на отраслевые best practices. Дополнительную сложность создает разрыв между требованиями локализации и доступностью отечественных решений для узких задач — это увеличивает сроки проектов и стоимость владения. Главная задача бизнеса сегодня — не просто «соответствовать букве закона», а выстроить действительно устойчивую систему защиты.

Если учитывать требования безопасности на самых ранних этапах, она перестает быть тормозом

Cyber Media: Как сочетаются задачи цифровизации с обеспечением ИБ? Не возникают ли противоречия между скоростью внедрения технологий и требованиями к защищенности?

Артем Пузанков: Противоречия действительно есть, и это нормально. Цифровизация требует скорости и экспериментов, а безопасность — контроля и зрелости процессов.

Никогда не думал, что придется цитировать Бисмарка в контексте ИБ: «Русские долго запрягают, но быстро едут». Внедрению инноваций почти всегда предшествует длительная подготовка — анализ рисков, проработка возможных угроз. Иногда, наоборот, скорости не хватает, особенно в крупных компаниях. Мы можем провести быстрые пилоты или PoC, но путь до реального внедрения или опытной эксплуатации оказывается долгим.

Решение — в компромиссе, как ни странно. Если учитывать требования безопасности на самых ранних этапах, она перестает быть тормозом и, напротив, помогает запускать изменения быстрее и надежнее.

Cyber Media: Сейчас часто говорят об использовании ИИ для оптимизации процессов. Насколько безопасны такие системы на сегодняшний день? Возможно ли внедрение ИИ без риска увеличения уязвимостей?

Артем Пузанков: Я бы ответил немного уклончиво, но широко — векторов, через которые можно повлиять на безопасность искусственного интеллекта, очень много.

Рынок постоянно меняется — появляются новые вызовы, технологии и решения. Когда начали активно развиваться веб-сайты, почти сразу возникло и отдельное направление, отвечающее за их безопасность. Точно так же и в ML: появились модели — появились и атаки, например, data poisoning, model stealing/evasion, утечки секретов в промптах и логах, и многое другое.

Отвечая на вопрос «насколько безопасны такие системы сегодня»: ничто не бывает абсолютно безопасным — все зависит от того, как именно используется технология. А на вопрос «возможно ли внедрение ИИ без риска увеличения уязвимостей»: любое новое решение неизбежно расширяет поверхность атаки, вопрос лишь в том, насколько осознанно и управляемо это происходит.

При этом угрозы, связанные с внедрением ИИ, уже не остаются в «серой зоне». Регулирование развивается достаточно быстро, и риски можно минимизировать, если следовать установленным регламентам и стандартам, таким как NIST AI RMF, а также отечественным ГОСТ Р 71476-2024 и ГОСТ Р 71539-2024, описывающим процессы жизненного цикла ИИ.

Регулирование развивается достаточно быстро, и риски можно минимизировать, если следовать установленным регламентам и стандартам

Cyber Media: Видите ли вы перспективы применения отечественных решений в области ИБ и ИИ в нефтегазовом секторе?

Артем Пузанков: Перспективы очевидны: драйверами являются регуляторика (КИИ, 152-ФЗ, 1236), курс на импортозамещение и потребность в предиктивной аналитике для оборудования.

Мы уже наблюдаем рост внедрения отечественных решений — SIEM, средств OT-мониторинга и NGFW в нефтегазовом секторе. В области ИИ особенно перспективны системы для анализа вибрации, коррозии, утечек и других параметров.

Ключевая задача — сформировать полноценную экосистему: разработчики → интеграторы → операторы, чтобы решения не существовали отдельно, а реально встраивались в производственный цикл.

Cyber Media: Какие навыки и знания в области ИБ сейчас особенно актуальны для инженеров и ИТ-специалистов в отрасли?

Артем Пузанков: Если смотреть глазами специалиста по безопасной разработке, сегодня особенно востребованы навыки, которые позволяют встроить ИБ в ежедневную инженерную практику:

• DevSecOps. Умение работать с инструментами безопасной разработки, управлять уязвимостями в CI/CD-процессах.
• Понимание угроз для OT и ICS. Даже если инженер пишет «просто код», он должен понимать, как он будет использоваться в промышленной среде, какие протоколы и компоненты там применяются и какие риски возникают при внедрении ПО в технологический контур.
• Навыки работы с цепочкой поставок ПО (Supply Chain Security). Умение формировать и проверять SBOM, контролировать зависимости и оценивать риски сторонних библиотек.
• Практика моделирования угроз (Threat Modeling). Умение описывать архитектуру приложения или системы и выявлять потенциальные точки атаки.
• Навыки безопасной автоматизации. Использование CI/CD-инструментов с учетом принципов минимальных привилегий, секрет-менеджмента и безопасного управления артефактами.
• Инциденты и реагирование. Базовое понимание работы SOC/SIEM, какие артефакты востребованы при расследовании, и как помочь ИБ-команде в случае инцидента.

Отдельно стоит отметить «софтовые» навыки, то есть коммуникативные: способность говорить с разработчиками и бизнесом на одном языке. Сегодня от инженеров ожидают не только знания конкретных инструментов, но и умение объяснить, почему внедрение безопасных практик важно и как это влияет на надежность и скорость бизнеса. Критически важно иметь площадку для обмена опытом — рад, что для нефтегаза такой платформой стал byteoilgas_conf.