Дмитрий Долгов, независимый эксперт по ИБ в сфере транспорта: ИИ стал новым вектором атак на транспортную отрасль

Транспортные и логистические компании подвержены высоким киберрискам. Объем угроз велик — в 2023 году транспортная отрасль вошла в топ-10 атакуемых хакерами. А в 2025 году — исследователи зафиксировали рост количества инцидентов почти вдвое. Не меньшие угрозы несут инциденты и по вине сотрудников. О том, какие вызовы стоят перед службой ИБ, какие средства защиты внедряются и какую роль играет ИИ, мы поговорили с независимым экспертом по ИБ в сфере транспорта Дмитрием Долговым.

Cyber Media: Расскажите о себе, как вы пришли в сферу информационной безопасности?

Дмитрий Долгов: Я начинал карьеру в области защиты информации в силовых структурах. Прошел путь от инженера до руководителя технического подразделения. Занимался построением и администрированием узла специальной связи, построением систем защиты информации от утечек по техническим каналам связи, администрирование компонентов СОРМ, внедрением систем схожих по своему функционалу с DLP-системами. Поэтому, когда перешел на работу в бизнес-структуры на должность аналитика DLP-системы, освоиться было не сложно.

Сейчас я курирую информационную безопасность в компании железнодорожного перевозчика. Основная задача ИБ-подразделения — защита информации и ресурсов компании. Это выявление угроз и уязвимостей, защита информации от утечек, защита инфраструктуры и сетей, обеспечение безопасной разработки и эксплуатации, мониторинг событий безопасности, реагирование на инциденты и события ИБ, организация безопасного доступа в интернет, повышение осведомленности сотрудников в вопросах ИБ. Помимо этого, ИБ-специалисты занимаются задачами по комплаенсу в области информационной безопасности, обеспечивают соответствие требованиям законодательства и корпоративным стандартам.

Рынок ИБ растёт быстрее, чем количество специалистов

Cyber Media: С какими ИБ-вызовами вам приходится справляться?

Дмитрий Долгов: Вызовов несколько. Во-первых, рост и сложность кибератак.

Злоумышленники стали использовать искусственный интеллект. Он становится дополнительным инструментом в арсенале киберпреступников — ему делегируют целый спектр задач. Чаще всего ИИ используют для фишинговых атак. Он стал более таргетированным.

Это видно на примере нашей компании. Мы регулярно подвергаемся кибератакам. Для защиты ИТ-инфраструктуры приходится постоянно адаптировать системы безопасности, внедрять технологические инновации в рабочие процессы и следить за современными тенденциями.

Во-вторых, сложность управления большим количеством систем ИБ и недостаток квалифицированных специалистов.

Рынок ИБ растёт быстрее, чем количество специалистов. DLP, EDR, SIEM, MDM, NGFW, KMS — десятки инструментов, SOC перегружены, не хватает аналитиков и пентестеров, приходится закрывать несколько ролей одновременно.

В-третьих, низкая осведомлённость сотрудников по теме ИБ.

Сотрудники — главный источник инцидентов, даже при наличии ИБ-инструментов. Основные причины — невнимательность, игнорирование инструкций, ошибки. Это приводит к открытию вредоносных ссылок и вложений, передаче логинов/паролей злоумышленнику, компрометации корпоративной почты, проникновению в инфраструктуру через пользователя.

Например, сотрудники могут указать рабочие логин/пароль на стороннем сайте, при регистрации на форуме, интернет-магазине. Интернет-площадку взламывают, база логинов и хешей уходит в даркнет, пароль расшифровывают, и злоумышленник получает доступ к корпоративной почте или ПК сотрудника, хотя, по сути, инфраструктура интернет-площадки и компании никак не связаны. Это же может быть при использовании одного пароля на всех сервисах.

Чтобы предотвратить подобные инциденты, мы стараемся повышать ИБ-грамотность сотрудников. Есть письменные регламенты безопасности, с которыми персонал знакомится при найме. Кроме того, мы рассылаем сотрудникам письма с предупреждениями о новых угрозах, проводим вебинары с демонстрацией ИБ-проблем и способах их избежать. А чтобы работники лучше усвоили материал, организуем киберучения.

Cyber Media: Какие защитные решения внедрены в вашей организации? Были ли какие-то изменения в последнее время?

Дмитрий Долгов: Мы используем «классический» набор инструментов информационной безопасности: антивирус, межсетевые экраны, многофакторную аутентификацию (MFA), системы защиты неструктурированных данных (DAG/DCAP), системы управления событиями и инцидентами (SIEM), расширенный мониторинг поведения (EDR), различные средства СКЗИ, системы контроля привилегированных пользователей (PAM). Для защиты от утечек с 2015 года используем DLP «СёрчИнформ КИБ».

Набор решений за последнее время не сильно изменился. Но теперь приоритет отдаем отечественным разработчикам. Мы видим, что российские ИБ-средства стремительно развиваются, вендоры предлагают качественные конкурентоспособные решения. В целом российские решения перестали быть просто «аналогами» зарубежных, они демонстрируют более глубокую экспертизу, аналитику, функционал. Многие решения сейчас объективно способны конкурировать с западными системами.

Cyber Media: На примере DLP-системы, расскажите, как вы проводите выбор ИБ-решений?

Дмитрий Долгов: Система должна отвечать нашим параметрам и не мешать бизнес-процессам. Необходим баланс бизнеса и безопасности. Потому, прежде чем тестировать и внедрять систему, мы выделили критерии оценки DLP:

1. Покрытие каналов утечки (почта, мессенджеры, веб-трафик, съемные носители, печать, облачные сервисы, и пр.). Важно, чтобы система мониторила сервисы, которые используются в компании.
2. Методы анализа данных. По словарям и шаблонам, по регулярным выражениям, по цифровым отпечаткам, по анализу структуры документов, по классификации данным, по контентному анализу.
3. Агент: стабильность и незаметность. Агент DLP на рабочей станции должен быть стабильным, малозаметным, не тормозить систему и быть устойчивым к обходу пользователями.
4. Удобство администрирования. Настройка политик без глубоких технических знаний, гибкие роли, разграничения доступа в систему, централизованное управление агентами.
5. Удобство расследований и аналитики. Удобная карточка сотрудника и инцидента, мощный поиск и фильтрация по событиям и каналам, тамлайн событий, наличие встроенных политик, разные типы отчетов, экспорт доказательной базы.
6. Масштабируемость и производительность. Возможность вертикального/горизонтального масштабирования, количество поддерживаемых системой агентов, нагрузка на сервера и конечные станции, скорость поиска и корреляции.
7. Надежность и качество поддержки. Оперативная помощь при реагировании на инциденты, работа техподдержки, регулярное обновление, возможность доработки под нужды заказчика, доступная и понятная документация.

Решение от «СёрчИнформ» соответствовало этим критериям. На этапе пилота вендор оперативно реагировал на возникающие вопросы.

Cyber Media: Поделитесь результатами использования?

Дмитрий Долгов: Уже в процессе эксплуатации DLP нам пригодилась возможность контроля привилегированных пользователей. С развитием импортозамещения у нас стало много подрядных организаций, с которыми мы постоянно обмениваемся проектной документацией. Поэтому вопрос защиты терминальных серверов, виртуальных сред и средств для удаленного администрирования вышел на первый план. В КИБ этот функционал есть, и мы с ним часто работаем. С помощью гибких настроек наши специалисты могут управлять действиями пользователей при RDP-подключении. Например, функционал позволяет запретить копирование с одной стороны или вставку с другой, делать теневую копию всех файлов, которыми идет обмен в RDP, запрещать любое перемещение файлов через RDP-подключение.

Еще DLP помогает анализировать риски и выявлять слабые места в системе безопасности. Например, во время учебной фишинговой атаки мы обнаружили хаотичную пересылку вредоносного файла между сотрудниками. DLP-система отследила перемещение файла, выявила возможный вектор атаки. В результате специалисты отдела ИБ провели обучение с сотрудниками, рассказали им, что делать и куда обращаться в подобных случаях.

DLP помогает поддерживать комплаенс, выполнять требования 152-ФЗ, 187-ФЗ, корпоративных стандартов, ISO 27001/27002.

ИИ становится ключевой технологией в развитии железнодорожной отрасли, однако это сопряжено с рядом издержек

Cyber Media: Что сейчас увеличивает риски информационной безопасности в транспортной отрасли?

Дмитрий Долгов: Высокий уровень цифровизации и автоматизации. Транспорт традиционно зависим от систем управления движением, телематики, IoT-устройства, чем больше цифровых точек — тем больше потенциальных уязвимостей. ИИ становится ключевой технологией в развитии железнодорожной отрасли, потому что позволяет повысить безопасность движения, оптимизировать управление, снизить издержки. Однако это сопряжено с рядом издержек.

Во-первых, ИИ требует от работников железнодорожной сети — совершенно нового уровня знаний и навыков.

Во-вторых, ИИ сложно интегрировать в существующие системы на ЖД-транспорте для создания единого технологического стека, чтобы избежать перебоев в работе. Современные AI-системы работают с большими объемами данных и требуют значительных ресурсов: обновления серверов, сетей, систем хранения данных. Это не «коробочное» решение, которое просто установить и запустить. Чаще всего они требуют настройки и адаптации под конкретные бизнес-процессы и задачи.

В-третьих, правовые аспекты. Повсеместное использование ИИ провоцирует новые вопросы по сохранности данных, защите конфиденциальной информации, ответственности за возможные ошибки системы. А также выполнение требований регуляторов, в частности закона №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Вопрос остается открытым.

Несмотря на это, ИИ становится неотъемлемой частью современной логистики.

Cyber Media: Используете ли вы в департаменте возможности ИИ?

Дмитрий Долгов: Отдельно ИИ-решения не внедряли. Но встроенный ИИ-функционал есть в наших привычных инструментах. В том же «СёрчИнформ КИБ» есть фичи, которые автоматизируют наши рутинные задачи.

Есть задача — контроль перемещения ПДн, конфиденциальных документов. Их могут пересылать, например, в виде PDF, сканов, даже фото. По «классике» пришлось бы просматривать все эти картинки вручную. OCR на основе ContentAl делает все сама. Мы видим, что в документе персональные данные или коммерческая тайна, не вычитывая и порой даже не открывая его.

Второе — классификация изображений. Если кто-то пересылает фото/сканы паспортов или банковских карт, DLP это быстро и точно определит. Это защита от утечек персональных данных, заодно и от мошенничества. При этом систему не нагружает, потому что она не извлекает текст и прочее. Мы быстро получаем результат.

Cyber Media: Какие рекомендации дадите коллегам, специалистам по ИБ?

Дмитрий Долгов: Внедрение ИИ в практику ИБ может кардинально изменить подход к защите данных и систем. Из своего опыта мы вывели несколько правил:

Правило №1. Четко определите, какие задачи должен решать ИИ. Это могут быть автоматизация мониторинга сети, анализ логов или выявление аномалий в поведении пользователей. Решите, какие процессы требуют ускорения и где есть наибольшая вероятность человеческой ошибки.

Правило №2. Используйте ИИ для обработки больших объемов данных. Алгоритмы машинного обучения способны анализировать терабайты информации за короткое время, выявляя паттерны, которые могут ускользнуть от человека. Это особенно полезно для предсказательной аналитики, когда ИИ может выявить потенциальные угрозы на основе критичных данных.

Правило №3. Интегрируйте ИИ в существующие системы безопасности. К примеру, это может быть DLP или SIEM. ИИ способен улучшить их эффективность, предлагая более точные рекомендации по реагированию на инциденты.

Правило №4. Не забывайте о необходимости постоянного обучения. ИИ требует регулярного обновления и тренировки на новых данных, чтобы оставаться актуальным. Совмещение человеческого опыта и ИИ позволит создать более надежную и адаптивную систему защиты.

Правило №5. Наконец, не доверяйте слепо ИИ. Искусственный интеллект может генерировать ложные данные. Поэтому важно критически оценивать ответы нейросети и проверять их точность.

еrid: 2SDnjdeJScX

* Реклама, ООО «СерчИнформ», ИНН 7704306397