Виталий Фомин, Лига Цифровой Экономики: Традиционная реактивная модель защиты не обеспечивает достаточную устойчивость

Схемы кибератак меняются все быстрее, а генеративный искусственный интеллект снижает барьер для входа в мир киберпреступности. И привычные модели защиты уже не всегда могут гарантировать достаточную устойчивость. О том, как бизнесу адаптироваться к новой реальности, и почему упреждающая кибербезопасность становится трендом, в интервью для Cyber Media расскажет Виталий Фомин, руководитель группы аналитиков по информационной безопасности Лиги Цифровой Экономики.

Cyber Media: Давайте поговорим о том, насколько серьезен экономический ущерб от хакерских действий хакеров

Виталий Фомин: В 2025 году количество кибератак резко возросло. С начала года их число превысило 105 тысяч, что на 46 % больше, чем за аналогичный период 2024-го. Экономические последствия также тревожны: по оценкам Сбера, ущерб от кибератак за первые восемь месяцев составил около 1,5 трлн рублей.

Бизнес постепенно отходит от традиционных методов защиты и переходит к упреждающей кибербезопасности. Теперь компании стремятся выявлять, прогнозировать и нейтрализовать угрозы до того, как они нанесут ущерб, то есть ставят своей целью не реакцию на инциденты, а их предотвращение.

Атаки стали быстрее и сложнее. В 2023 году среднее время «прорыва» составляло 62 минуты, а в 2024 году — 48 минут

Cyber Media: А в чем заключается недостаток схемы «реакция-ответ»?

Виталий Фомин: Реактивная стратегия кибербезопасности основана на устранении последствий: создается команда реагирования и инструкции по ликвидации инцидентов, проводится расследование. Такие инструменты, как SIEM, EDR, системы регистрации событий и журналы аудита помогают выявлять аномалии. Однако ввиду роста числа инцидентов такой подход становится менее эффективным.

Во-первых, атаки стали быстрее и сложнее. Так, в 2023 году среднее время «прорыва» составляло 62 минуты, а в 2024 году — 48 минут.

Во-вторых, многие угрозы замаскированы под легитимную активность. Особенно если злоумышленники задействовали ИИ.

Последствия инцидента могут быть разрушительными. Например, компрометация данных, простой инфраструктуры, остановка бизнес-процессов.

Наконец, некоторые атаки практически незаметны. Киберпреступники могут долго изучать ИТ-инфраструктуру, собирая конфиденциальные данные для использования в будущем.

Даже мощная защита не спасет, если сотрудник передаст учетные данные мошенникам

Cyber Media: Хорошо, предположим, что CISO компании решился на трансформацию и хочет, чтобы ИБ-отдел работал проактивнее. На что ему обратить внимание?

Виталий Фомин: Согласно исследованию НИУ ВШЭ, проактивный подход войдет в топ трендов ИТ-сектора к 2026 году. А суть этой стратегии проста -- безопасность должна быть на шаг впереди. Упреждающая модель опирается на несколько ключевых элементов:

1. Сквозная инвентаризация и оценка рисков (Risk-based Security). Компания должна понимать, что именно защищать. Это включает:

• Инвентаризацию всех активов: физические устройства, виртуальные машины, ИТ-сервисы, данные.
• Определение критичности каждого ресурса для бизнеса.
• Построение карты рисков с учетом операций, процессов и возможных цепочек атаки.

Эти шаги требуют участия специалистов с глубокими знаниями в соответствующих областях. Важно реалистично оценивать последствия атак, чтобы выявить приоритетные зоны защиты.

2. Поиск уязвимостей и непрерывный мониторинг. Если раньше проверка безопасности была периодической, то сегодня она становится непрерывной, чему способствует ИИ. Компании используют разные инструменты, например, XDR — набор решений для автоматического обнаружения угроз внутри инфраструктуры: на устройствах, в сети, облаках и приложениях. С помощью ИИ XDR-системы анализируют цепочки событий и выявляют сложные атаки, которые обычный антивирус может не распознать.

Для крупных компаний с большим количеством цифровых активов полезны системы управления поверхностью атаки (Attack Surface Management). Они сканируют внешние активы, включая забытые и неучтенные ресурсы, таким образом контролируя все возможные точки проникновения злоумышленников.

Стоимость ущерба и восстановления инфраструктуры может в разы превышать цену защитных мер

Проактивный подход включает UEBA. Такие системы анализируют действия пользователей и устройств и немедленно подают сигнал, если замечают подозрительную активность. Это особенно актуально, потому что человек остается самым уязвимым звеном: даже мощная защита не спасет, если сотрудник передаст учетные данные мошенникам.

3. Тестирование на проникновение. Классические пентесты дополняются постоянными симуляциями атак, например, с помощью решений Breach & Attack Simulation (BAS), которые автоматически проверяют защиту без участия человека, в отличие от разовых пентестов.

Крупные организации устраивают соревнования для белых хакеров, которые получают вознаграждение за найденные уязвимости. Такая практика позволяет увидеть систему защиты глазами атакующего и заранее закрыть слабые места.

Важным элементом проактивного подхода становится тестирование атак на сотрудников: фишинг-симуляции, социальная инженерия. Действия персонала являются главной причиной утечек информации в российских компаниях, поэтому постоянное обучение сотрудников и наблюдение может сэкономить миллионы. Необходимо регулярно информировать команду о новых мошеннических схемах и проводить тестирование по кибербезопасности.

Cyber Media: ИИ часто называют «палкой о двух концах». Как именно развитие ИИ изменило тактику злоумышленников и почему он одновременно он стал фундаментом для современных систем защиты?

Виталий Фомин: Безусловно, развитие искусственного интеллекта стало стимулом для перехода на упреждающую кибербезопасность. Но и злоумышленники используют ИИ для поиска уязвимостей и потенциальных точек входа в систему, а также для создания эксплойтов. Искусственный интеллект позволяет хакерам значительно ускорить подготовку атаки. Помимо этого, они используют LLM для маскировки вредоносного кода, чтобы при мониторинге антивирус и ИБ-специалисты не распознали его. За счет изменения структуры кода системы не идентифицируют его как опасный и не реагируют вовремя.

ИИ упрощает фишинговые атаки, которые традиционно являются одним из доминирующих способов проникновения в корпоративную инфраструктуру. Нейросети быстро формулируют убедительное сообщение для рассылки, например, добавляя поддельные счета или документы от подрядчиков. Согласно отчету Microsoft о цифровой безопасности за 2025 год, фишинговые письма, которые создал ИИ, в 4,5 раза успешнее заставляют пользователей переходить по вредоносным ссылкам.

Вместе с этим ИИ становится и главным инструментом защиты, поскольку анализирует огромные объемы данных в реальном времени. Системы безопасности теперь не просто реагируют на атаки, но и выявляют признаки возможных инцидентов, что позволяет успешнее прогнозировать их. Кроме того, ИИ может смоделировать с учетом специфики компании сотни атак или виртуального злоумышленника, чтобы выявить наиболее уязвимые места.

Киберпреступники внедряют новые технологии быстрее, чем появляются защитные механизмы. Можно сделать вывод, что мошенничество стимулирует развитие систем безопасности. Разработчикам средств защиты важно действовать на опережение и не позволять мошенникам реализовывать новейшие типы атак.

Cyber Media: Если говорить о деньгах, как сегодня оценивается экономическая эффективность ИБ и почему бизнесу выгоднее инвестировать в предотвращение, а не в устранение последствий?

Виталий Фомин: Все очень просто — любой крупный инцидент влечет не только прямые финансовые потери, но и простой сервисов, нарушение соглашения об уровне обслуживания, утечки данных, репутационный вред, рост страховых взносов и штрафов регуляторов.

Стоимость ущерба и восстановления инфраструктуры может в разы превышать цену защитных мер. Логика инвестиций смещается: компании выбирают стратегию минимизации рисков, а не экстренного реагирования. Кибербезопасность начинает восприниматься в качестве стратегического актива: компании внедряют цифровую гигиену на уровне всего персонала, оценивают риски и интегрируют ИИ во все уровни защиты. Во многих организациях теперь работают целые отделы информационной безопасности, что показывает понимание рисков на уровне руководства.