Мона Архипова, независимый эксперт: Традиционное «ядро» безопасности никуда не исчезло — оно просто обрастает дополнительными инструментами

В 2026 году киберугрозы продолжают усложняться, а требования регуляторов — ужесточаются. Бизнесу приходится одновременно закрывать базовые уязвимости, внедрять ИИ-инструменты, соответствовать новым стандартам и при этом сохранять устойчивость к инцидентам. Мона Архипова, независимый ИБ-эксперт, в интервью для Cyber Media рассказала, какие риски сегодня действительно критичны, переоценен ли ажиотаж вокруг искусственного интеллекта, почему периметр рано списывать со счетов и что на практике означает гиперустойчивость для компании.

Cyber Media: Как бы вы описали текущий ландшафт ИБ-рисков в 2026 году? Какие изменения по сравнению с 2023 годом вы считаете действительно существенными, а не просто эволюционными?

Мона Архипова: Если сравнивать с 2023 годом, то, конечно, семимильными шагами развиваются нейросети. Это главный эволюционный фактор последних лет. В целом я вижу, что количество технических возможностей постепенно сужается, а риски со стороны регуляторов, наоборот, усиливаются.

С моей точки зрения, внешний ландшафт угроз стал несколько меньше, хотя сами угрозы никуда не исчезли — они по-прежнему остаются. Информационная безопасность — это всегда соревнование технологий и подходов.

Таким образом, эволюционным трендом можно назвать развитие ИИ, а действительно существенными изменениями — трансформацию набора средств защиты и усиление регуляторных требований.

Cyber Media: В одном из прошлых интервью вы говорили, что человеческий фактор — самое слабое звено в безопасности. Изменилась ли роль людей в ИБ в эпоху ИИ-угроз: стало ли их влияние менее критичным или, наоборот, еще более заметным?

Мона Архипова: С ИИ-угрозами сейчас все действительно очень сложно. И во многом это уже выходит за пределы корпоративного сектора. Сегодня можно буквально «на лету» сгенерировать любую картинку — в том числе для родственников, условно по фотографии сына или жены. Уровень убедительности, особенно в сфере мошенничества, вырос в разы.

При этом безопасность, к сожалению, всегда находится в догоняющей позиции. У нас нет гарантированных способов в моменте определить, что перед нами ИИ. Если говорить о старших поколениях и людях, которые напрямую не сталкивались с такими угрозами, уровень доверия остается высоким: когда тебе звонит «друг» по видеосвязи, ты видишь его лицо, без заметных артефактов, — это выглядит убедительно. И это действительно катастрофическая история, которая продолжает развиваться.

То же самое касается и корпоративной среды, атак на сотрудников. Если раньше это был условный фишинг, то теперь сами диалоги стали гораздо «умнее». При целевых атаках возможности сгенерировать убедительный образ или коммуникацию стали шире, например, чтобы получить логины и пароли, представившись сотрудником службы безопасности.

Человеческий фактор был, есть и будет самым слабым звеном

Поэтому наша задача — буквально кричать об этом на всех углах и дополнять программы повышения осведомленности как для технического, так и для нетехнического персонала. Если раньше мы просто говорили «не переходите по ссылкам», то сейчас приходится объяснять, что нужно придумывать кодовые слова, перезванивать по известным номерам и дополнительно проверять информацию.

Человеческий фактор был, есть и будет самым слабым звеном. Об этом мне говорили еще много лет назад в университете, и за это время ничего не изменилось. Человек — это стабильная угроза. При этом роботы все равно не могут заменить всех, поэтому нам остается внимательно следить за ситуацией. Более того, критичность человеческого фактора сейчас только выросла.

Cyber Media: Где влияние искусственного интеллекта на атаки и защиту в 2026 году оказалось переоцененным, а где — недооцененным? Что из этого уже подтверждается практикой?

Мона Архипова: Если говорить об атаках на людей, эту историю я уже частично озвучивала ранее. Что касается переоценки, на мой взгляд, излишние ожидания связаны с самим подходом «давайте везде внедрять ИИ». Сейчас это скорее тренд и мода: ИИ пытаются встроить во все продукты, во все средства защиты, в любые дополнительные инструменты. Но далеко не во всех случаях и не во всех кейсах он действительно работает корректно.

Второй важный момент — кто управляет моделью ИИ. Если это внешняя система, возникает риск передачи конфиденциальной информации, иногда даже коммерческой тайны, в сторону продукта, который компания никак не контролирует. Сейчас существует множество нейросетей — отечественных, китайских, американских — и за всеми потоками данных уследить крайне сложно, если только не ужесточать контроль.

Однако жесткие ограничения работают в основном тогда, когда сотрудники находятся в офисе и используют корпоративные устройства. После 2020 года подходы изменились: распространились удаленная работа и BYOD. В результате сформировался практически неконтролируемый периметр, внутри которого циркулирует критичная информация, а полноценно отслеживать ее движение мы не можем.

Если говорить о практике, я уже сталкивалась с ситуациями, когда разработчики используют AI-ассистентов, чтобы что-то написать или исправить в коде. В итоге мы получаем и небезопасный код, и передачу корпоративного кода во внешние сервисы. Что дальше происходит с этими данными, мы понять не можем — можем лишь косвенно подсветить сам риск.

Cyber Media: Какие ключевые вызовы вы видите сегодня в управлении цифровыми идентичностями и доступом, особенно в условиях облачной инфраструктуры, удаленной работы и большого количества подрядчиков?

Мона Архипова: Если говорить об управлении цифровыми идентичностями и доступом, то в части удаленного доступа и облачных инфраструктур ситуация с ковидных времен принципиально не изменилась.

Позитивный тренд, который я вижу, — это развитие MFA и более гранулированного доступа. Мы стали внимательнее относиться к ролям, к разграничению прав, к тому, чтобы у сотрудника, помимо логина и пароля, был дополнительный фактор подтверждения.

Если говорить о большом количестве подрядчиков, то возрастает нагрузка на проверки со стороны службы безопасности. При этом контроль за действиями становится сложнее. Мы не можем принудительно установить, например, DLP-систему на личный компьютер подрядчика — это остается серой зоной.

Облачная инфраструктура действительно помогает сократить затраты, в том числе на кибербезопасность. Многие решения проходят аудиты или включены в реестры ПО. Но полностью перекладывать ответственность за информационную безопасность на облако нельзя. Если внимательно читать соглашения и матрицы разделения ответственности, становится очевидно, что большая часть задач все равно остается на стороне компании — это процессы управления доступами, их выдача и отзыв, регулярный пересмотр правил файрволов и другие рутинные активности.

Дополнительную сложность создают новые регуляторные требования. Если пытаться исполнять их буквально так, как они написаны, иногда возникает ощущение, что они плохо применимы к облачной среде. Не всегда понятно, как корректно реализовать их в облаке. Частично помогают отсылки к другим стандартам, но пограничная зона ответственности все равно расширяется.

Если говорить о таких подходах, как полноценная Zero Trust Network или обязательное сканирование пользовательского устройства перед подключением, полноценной замены этим решениям я не вижу. В целом ощущение остается прежним: безопасность снова бежит позади изменений.

Cyber Media: Все чаще говорят о сдвиге от периметровой защиты к управлению данными и приватностью. С чем, по вашему мнению, связан этот сдвиг и как ИБ-команды должны перестраивать свои приоритеты?

Мона Архипова: Если честно, я считаю разговоры о «сдвиге» от периметровой защиты к управлению данными во многом популизмом. Это разные слои защиты. Контроль потоков данных и фокус на приватности работают эффективно только тогда, когда все, что находится «под» этими потоками, тоже защищено.

Периметровая защита никуда не делась. Внутренняя сегментация, регулярные обновления операционных систем, базовые инфраструктурные меры — все это остается актуальным. Управление данными — скорее «вишенка на торте». Раньше у нас появился поведенческий анализ, UEBA-решения, и они как раз работают на этом уровне. Но данные сами по себе в воздухе не висят — у них есть инфраструктурная основа.

Безусловно, нужно понимать, какие потоки данных являются нормальными, а какие — нет, и отслеживать, чтобы информация не уходила, например, в нейросети или LLM за пределы периметра. Но это не взаимоисключающие истории. Нельзя сказать: «Мы защищаем данные», — если при этом инфраструктура открыта всему миру. Все равно необходимо контролировать периметр, подключения и организовывать безопасный удаленный доступ.

С удаленным доступом сейчас есть сложности — в том числе из-за ТСПУ и ситуаций, когда внутри страны могут ограничиваться даже корпоративные подключения. Приходится придумывать дополнительные решения, что-то выводить на периметр и тем самым расширять поверхность атаки.

При этом внутренняя эшелонированная сегментация остается обязательной. Особенно если речь идет о подключениях не с корпоративных устройств или о работе администраторов с личных ноутбуков. Эти «круги защиты» должны работать в режиме сторожевой собаки — реагировать на любое подозрительное действие.

Если подытожить: устаревших подходов нет. Традиционное «ядро» безопасности никуда не исчезло — оно просто обрастает дополнительными инструментами, в том числе механизмами контроля потоков данных.

Организации, работающие с платежными данными, вынуждены одновременно учитывать требования разных регуляторов и стандартов — технические нормы, требования к персональным данным, ГОСТы и международные стандарты

Cyber Media: Тема безопасности цепочек поставок активно обсуждается уже несколько лет. В 2026 году это все еще один из главных источников риска или фокус постепенно смещается в другую сторону?

Мона Архипова: Я бы сказала, что для нас это уже во многом привычный риск — ransomware, библиотеки, которые используются локально и проверяются на наличие уязвимостей. Эта тема уже стала частью регулярной практики.

Сейчас фокус сместился в сторону блокировок и ограничений доступа к ресурсам. В качестве примера можно привести ситуацию с доступом к kernel.org — ресурсу, связанному с ядром Linux, на котором работают в том числе российские операционные системы. Это был, по сути, выстрел в ногу и пример атаки на цепочку поставок, которого многие не ожидали. Такие события показывают, куда начинает смещаться внимание.

Мы уже привыкли к тому, что часть IT- и ИБ-решений отваливается и продолжает исчезать с рынка. Поэтому сейчас фокус — на мониторинге потенциальных новых санкций и на наличии альтернатив. При этом по-прежнему не на все классы решений существуют полноценные замены. Они есть, но на практике не всегда полностью воспроизводят функциональность ушедших продуктов.

Cyber Media: Регуляторика и законы о защите данных — это сегодня скорее реальный драйвер повышения безопасности или формальная нагрузка на бизнес? Где вы видите баланс между требованиями и реальным эффектом?

Мона Архипова: Я в прошлом интервью уже говорила, что очень поддерживаю оборотные штрафы по персональным данным, и моя позиция не изменилась. В прошлом году они вступили в силу, и это стало серьезным сигналом для бизнеса. Да, были сложности с подачей уведомлений, но в целом я считаю эту регуляторику важным шагом.

Раньше, учитывая внешние ограничения и невозможность использовать часть решений, российские продукты иногда внедрялись формально — «для галочки». Сейчас закон о персональных данных перестал быть формальностью и стал реальной угрозой для бизнеса. Компании вынуждены тратить средства не по остаточному принципу, а на уровне, сопоставимом с ИТ-бюджетом. Безопасность стала более значимым ресурсом внутри организаций, вырос спрос на внутренние подразделения ИБ и профильные услуги.

С учетом продолжающихся атак и утечек штрафы теперь — это не условные суммы, а реальные риски: вплоть до миллионов рублей. И мне особенно важно, что оценивается не только текущее состояние, но и подход компании к безопасности за предыдущие годы. Это стимулирует системную работу, а не разовые меры. Да, нагрузка на бизнес возросла, особенно в текущих экономических условиях, но при этом, на мой взгляд, масштабных резонансных утечек в последние годы стало меньше.

Если говорить о другой регуляторике, то здесь есть вопросы к согласованности требований. Некоторые стандарты фактически возвращают нас к более старым моделям инфраструктуры, и это вызывает у меня сомнения. Например, появились новые требования для финансовых организаций, которые постепенно распространяются и на другие компании. При этом параллельно сохраняется действие PCI DSS, который по-прежнему признается и используется.

В результате организации, работающие с платежными данными, вынуждены одновременно учитывать требования разных регуляторов и стандартов — технические нормы, требования к персональным данным, ГОСТы и международные стандарты. Между ними есть пересечения, но формулировки и структура требований различаются. Это приводит к большой ручной работе по сопоставлению документов, и регуляторы, к сожалению, не всегда стремятся к унификации подходов.

Многие из этих стандартов описывают одни и те же практики управления безопасностью, включая международные подходы из серии ISO/IEC 27000. Но при этом каждое ведомство часто предлагает собственную интерпретацию, даже если уже существует актуальный ГОСТ с учетом мировой практики. В итоге для конкретной организации выстраивание соответствия требованиям превращается в сложную и трудоемкую задачу.

При этом к требованиям по КИИ я отношусь с пониманием — там логика и ответственность ясны. Хотя и там иногда возникают ситуации, когда не все требования можно полностью закрыть отечественными решениями.

Cyber Media: Какие практики управления инцидентами и гиперустойчивости показывают наилучшие результаты на практике в 2026 году, а какие подходы, наоборот, устарели?

Мона Архипова: Из позитивных тенденций я бы отметила активное внедрение практик управления непрерывностью бизнеса — BCM. Речь идет о заранее прописанных сценариях экстренного восстановления после атак, включая восстановление бизнес-процессов. Если система оказывается недоступной, должен быть четкий план: перевод процессов на бумажный документооборот или запуск резервной площадки.

Если говорить о гиперустойчивости, речь идет о наличии резервных площадок и возможности быстро переключаться между ними или оперативно подхватывать бизнес-процессы. Эта практика особенно активно начала развиваться примерно с 2023-2024 годов, и я считаю это хорошей тенденцией. При этом это зона на стыке бизнеса, ИТ и безопасности: доступность — один из ключевых факторов, и даже инциденты, напрямую не связанные с кибератакой, но влияющие на недоступность сервисов, все равно попадают в поле зрения ИБ.

Что касается устаревающих подходов, то с ростом количества событий и усложнением бизнес-логики, инфраструктуры и потоков данных объем событий увеличился в разы. И не на все можно написать сигнатуры. Сигнатурный подход по-прежнему работает для типовых случаев, но для обработки больших объемов данных уже необходимы более продвинутые методы, в том числе связанные с ИИ.

Сильно изменилось и управление активами. Контейнеризация стала мейнстримом во многих компаниях, а контейнеры не всегда имеют фиксированный IP-адрес. В результате управление активами усложняется. Подход, при котором есть единый источник правды об активах, например CMDB, хорошо работает для виртуальных машин, но хуже — для динамических контейнерных сред, где объекты постоянно поднимаются и исчезают с разными параметрами.

Не все продукты пока готовы эффективно работать в таких условиях — ни в инфраструктурной части, ни в кибербезопасности. Например, сканеры уязвимостей часто лицензируются по количеству активов, и не всегда эти активы корректно и быстро удаляются из учета. Поэтому возрастает глубина необходимой настройки и интеграции с контейнерными и облачными решениями.

Cyber Media: С учетом вашего опыта в банковском и финтех-сегментах, какие отраслевые риски вы считаете наиболее критичными в ближайшие годы и почему?

Мона Архипова: Если говорить об отраслевых рисках в банковском и финтех-сегментах, то я бы сказала, что с одной стороны, они снижаются, а с другой — иногда снижаются довольно странным образом. Я уже говорила о своем отношении к банковской регуляторике и требованиям по персональным данным: сегодня часть отраслевых рисков начинает исходить именно от регуляторов.

Причем речь не только о кибербезопасности, но и о смежных направлениях, например, о противодействии отмыванию доходов. Возникает ощущение, что некоторые поправки принимаются на основе данных 5-летней давности — это отражается на лимитах и других требованиях. В результате на подразделения, связанные с информационной безопасностью, в том числе на антифрод-направление, ложится дополнительная нагрузка. То, что раньше считалось нормой, сегодня может трактоваться иначе.

Если же не привязываться к регуляторным требованиям и дополнительным затратам, то базовые риски остаются прежними. Атаки продолжаются, в том числе внутренние. Как только появляется возможность для теневых схем, отмывания или откровенного мошенничества, такие попытки неизбежно возникают. Схемы меняются, но сама природа риска остается.

При этом я положительно оцениваю то, что регулятор обратил внимание на платежные системы и постепенно выравнивает требования к ним. С другой стороны, это снижает технологическую гибкость бизнеса. Мне кажется, отрасль в ближайшее время может немного замедлиться из-за этих ограничений.

Однако по мере накопления практики и адаптации к новым стандартам мы, скорее всего, придем к более сбалансированной модели. Сейчас это выглядит как дополнительное торможение, в том числе из-за расширения требований, например, когда помимо PCI DSS начинают требовать соответствие ГОСТам. Но я воспринимаю это как очередной вызов, который и отрасль, и бизнес смогут пройти.

Cyber Media: Что бы вы посоветовали руководителям бизнеса, которые хотят, чтобы ИБ была не просто функцией защиты, а фактором доверия, устойчивости и конкурентного преимущества? Какие 1-2 шага вы считаете ключевыми?

Мона Архипова: Я могу сказать это и как человек, который сам управляет бизнесом. Когда мы сопоставили размеры штрафов с объемом инвестиций в информационную безопасность за предыдущие годы, стало, мягко говоря, не по себе. Тем более что в ряде случаев наличие конкретных защитных решений может рассматриваться как смягчающее обстоятельство при утечке.

Бизнес делится на тех, кого уже взломали, и тех, кого еще не взломали. Взломать можно любую систему. Поэтому мой первый совет руководителям — просто внимательно посмотреть на размеры штрафов и все-таки услышать своих специалистов по ИБ.

Если говорить о доверии и конкурентном преимуществе, то сейчас активно развиваются облачные и инфраструктурные сервисы. На фоне роста атак усиливаются и провайдеры защитных сервисов, например, анти-DDoS. И в этой среде конкурентным преимуществом становится наличие регулярных независимых аудитов — будь то соответствие PCI DSS или добровольная сертификация в области персональных данных.

Важно понимать: нельзя один раз привести сервис в соответствие стандарту и «положить сертификат на полку». Практически все стандарты требуют регулярной внешней перепроверки независимыми аудиторами, на которых внутренние сотрудники повлиять не могут. Это и есть реальный механизм доверия. Регулярная внешняя оценка позволяет руководителю объективно увидеть состояние безопасности и помогает ИБ-функции обосновывать бюджеты как на технические средства, так и на процессы.