Юрий Другач, StopPhish: Российские специалисты из «перфокарт и палок» могут построить целый бастион

Российский бизнес сталкивается со все новыми угрозами, что требует структурной трансформации. Эти изменения влияют и на требования к подготовке ИБ-специалистов. В интервью Cyber Media основатель компании StopPhish Юрий Другач рассказал о вызовах 2025 года, локальных особенностях защиты компаний разного масштаба и уникальных возможностях для российских специалистов.

Cyber Media: Как изменения киберугроз за последние годы повлияли на программы обучения специалистов по кибербезопасности?

Юрий Другач: За последние два–три года к массовому росту фишинга через e-mail и мессенджеры добавились длительные APT-кампании и таргетированные deepfake-атаки.

В ответ в некоторых программах подготовки ИБ-специалистов сместился фокус с настройки, условно, фаерволов и SIEM на ввод практических упражнений и модулей по OSINT, а в расписание включаются «Red Team vs Blue Team» симуляции и CTF-соревнования, где анализируются реальные примеры атак. Такой подход позволяет выпускникам быстрее адаптироваться к постоянно меняющимся тактикам злоумышленников.

Cyber Media: Какие угрозы считаются наиболее распространенными в российских компаниях?

Юрий Другач: На практике российские компании сталкиваются с теми же базовыми угрозами, что и во всем мире — в первую очередь с программами-вымогателями (ransomware) и фишингом, но есть и локальные особенности.

Например, отличительная черта российских реалий — повсеместное использование ERP-систем на базе 1С (до 70 % среднего и малого бизнеса), что делает уязвимости в 1С «прокладкой» для распространения малвари и целевых APT-кампаний. Кроме того, слабая распространенность MFA и широкое использование VPN/RDP с дефолтными настройками увеличивают долю атак по подбору учетных данных и удаленному проникновению.

Что говорить, если у популярного в РФ почтового сервиса можно безнаказанно брутфорсить миллионы учетных записей пользователей.

Cyber Media: Вклад энергетического сектора и промышленности в российскую экономику трудно переоценить. Чем отличается подготовка специалистов по защите инфраструктуры и промышленных объектов от общих подходов к кибербезопасности?

Юрий Другач: Да, подготовка ИБ-специалистов для энергетического и промышленного секторов в определенной степени отличается. Как минимум, в промышленности работают с другим ПО и оборудованием, помимо распространенного.

Во-первых, глубокая техническая подготовка в SCADA/ICS. Курсы включают разбор промышленных протоколов, настройку IDS/IPS специально под АСУ ТП, поиск уязвимостей и отладку сетей управления. Это позволяет специалистам видеть угрозы, которые отсутствуют в обычных ИТ-системах.

Во-вторых, изучение нормативов: федеральных законов и требований ФСТЭК. Программы включают модули по категорированию объектов КИИ, соответствию ГOСТам, профильным приказам ФСТЭК и локальным стандартам крупных компаний, где прямо прописаны регламентированные требования работников таких отраслей.

В-третьих, практика на реальных кейсах и отработка на киберполигонах. Часть обучения может быть посвящена работе с реальными промышленными сетями: анализ атак на АСУ ТП, настройка DMZ, VPN для технологических сегментов и IDS-защита промышленных устройств.

Cyber Media: Специализированные курсы для малого и среднего бизнеса как-то отличаются от курсов для крупного бизнеса?

Юрий Другач: Они отличаются подходом, содержанием и практической направленностью. Риски у организаций разные, у кого-то бизнес встанет, если взломают 1С бухгалтера и попросят выкуп в $500, а кому-то будут неделями DDOS-ить платежный шлюз.

У МСБ приоритет — быстро защитить критически важные процессы при минимальном бюджете: обучение фокусируется на кибергигиене, базовой защите от фишинга, использовании антивирусов, резервном копировании и основных настройках VPN/MFA.

Крупный же корпоративный сегмент ориентирован на комплексную защиту. Туда включены такие темы, как построение SOC, threat hunting, incident response, интеграция SIEM с EDR, анализ целевых атак (APT), а для промышленных и критических инфраструктур — защита SCADA/ICS-систем и нормативное соответствие (ГОСТ 27001, ФЗ-187). Обучение может проходить через очные тренинги и выездные тренировки на киберполигонах, что может укрепляться действующими на регулярной основе Red/Blue Team командами.

Иначе говоря, формат обучения отражает задачи и ресурсы: для МСБ — быстро и доступно, для больших компаний — комплексно и глубоко.

Cyber Media: Есть ли особая специфика в характере инсайдерских рисков для российских компаний?

Юрий Другач: Встречался в деловой прессе с утверждением, что до 84 % компаний уже внедрили стратегии против инсайдеров, а в 2024 г. количество связанных с ними инцидентов выросло на 25 %, составляя около 35% всех ИБ-нарушений.

Методики обучения и минимизация рисков можно выделить следующие:

• Принцип минимальных привилегий: когда студентов учат выстраивать RBAC-системы с регулярным пересмотром прав доступа.
• Мониторинг и UEBA/XDR: когда учащиеся на практике настраивают системы анализа поведенческих аномалий, чтобы отслеживать подозрительные действия внутри сети.
• Технологии DLP: практика внедрения DLP-систем для контроля копирования и передачи конфиденциальных данных — студенты настраивают правила блокировки и формирование отчетов.

Также не забываем, что «пугалки» тоже работают, только не надо это особенно выделять. Просто во время брифинга или обучения непосредственно рядового сотрудника стоит упомянуть, что инсайдеров ловят и наказывают.

Cyber Media: В последние годы было принято множество законодательных актов в области кибербезопасности. Как это повлияло на систему подготовки специалистов по кибербезопасности в России?

Юрий Другач: Например, в исследования «К2 Кибербезопасность» и Anti-Malware.ru говорится, что из-за недооценки объема работ и особенностей инфраструктуры более 14 % российских компаний увеличили бюджеты на информационную безопасность в десять раз.

Это подтверждает влияние ФЗ-187 и требований к критической инфраструктуре (КИИ) на резкий рост бюджетов и соответственно потребность в подготовленных кадрах, способных работать с нормативами и проводить категорирование и аудит.

50% вузов и корпоративных курсов ввели специальные модули по категорированию объектов КИИ и нормативному соответствию.

Cyber Media: А как подготовить специалистов, учитывая сегодняшнюю популярность работы вне офиса?

Юрий Другач: От организации к организации учебные программы будут ориентироваться на разные аспекты, но как минимум при обучении нужно рассмотреть:

— практическую настройку MFA и VPN,
— внедрение endpoint-защиты (антивирус + политики ПО),
— организацию инструктажей и тестовые фишинг-симуляции,
— управление устройствами с помощью MDM/доменов и контроля доступа (белые списки MAC).

Ну и отдельным тезисом в учебную программу я бы добавил: донесите до ваших сотрудников, что при удаленной работе нельзя позволять ребенку скачивать игры с торрентов на рабочий компьютер, которым вы пользуетесь дома.

Cyber Media: Какой необходимый минимум должен быть у эффективного специалиста?

Юрий Другач: Минимальный набор компетенций для ИБ-специалиста при защите от APT выглядит следующим образом:

• Глубокое понимание TCP/IP-логов и работа с логами в принципе.
• Владение SIEM/EDR — сбор, анализ данных, построение правил.
• Умение применять MITRE ATT&CK для отражения APT-атак.
• Практика участия в симуляциях APT и улучшение защиты на основе анализа.

Разумеется, ты можешь это знать и внедрить, но в какой-то момент топ-менеджер, который считает, что безопасники за ним следят, и сопротивляется установке защитного ПО на свои устройства, попадается на фишинг — и вот уже инфраструктура встала, а безопасник виноват. Но мы сейчас не об этом.

Cyber Media: Сейчас мы видим рост целенаправленных целевых атак APT (Advanced Persistent Threat). Как обучить специалистов противостоянию таким сложнейшим угрозам?

Юрий Другач: Род деятельности, а равно и риски будут разными от организации к организации, но некоторые базовые навыки и знания выделить можно, раз уж вашей организацией может заинтересоваться APT-группировка.

Первое — это знание фреймворка MITRE ATT&CK позволяет переводить тактики атак в правила для систем обнаружения (SIEM, EDR).

Далее, симуляции атак (Red Team / Purple Team), во время которых практикуются сценарии APT. После атаки проводится совместный разбор и улучшение защиты.

Настройка и анализ EDR-инструментов плюс сегментация, где сотрудники учатся настраивать алерты, писать правила блокировки, сегментировать сети и отслеживать подозрительное поведение конечных точек.

И не забываем про установку ханипотов, где, например, создаются фальшивые учетные записи или виртуальные машины для выявления злоумышленников на ранней стадии. Если бюджета нет, а поиграться хочется, то можно попробовать бесплатный Canarytoken, для его использования не потребуется долго чему-то обучаться.

Cyber Media: А что насчет роли ИИ? Насколько важно сейчас включить изучение AI/ML в курсы по кибербезопасности?

Юрий Другач: То, что так называемый ИИ помогает ускорять работу в различных областях — уже свершившийся факт. И то, что специалистам нужно расширять рамки своих навыков, становится бесспорным утверждением.

С другой стороны, защита в организациях строится не на разработке собственных решений, в большинстве случаев осуществляется покупка стороннего ПО. А тут уже неважно, внедрен или не внедрен ИИ в продукт вендора. Главное, решает ли он твою конкретную задачу.

При этом зачастую вендоры заявляют, что теперь в их продукте есть ИИ, но по факту, то, что выполняет такое ПО успешно решается текущими продуктами или может быть решено без ИИ.

А вот кого стоило бы обучать работе с ИИ, так это рядовых пользователей. К сожалению, не все понимают, что годовую отчетность компании, коммерческую тайну или государственную не стоит загружать на сервера иностранного государства.

Cyber Media: Россия известна высоким профессиональном уровнем программистов и разработчиков. Как это отражается на подготовке специалистов по кибербезопасности?

Юрий Другач: Глубокое владение алгоритмами и архитектурой систем облегчает подготовку специалистов по анализу эксплойтов, reverse-engineering и написанию собственных инструментов безопасности.

Знания и навыки российских специалистов по ИБ распространяются на безопасность не только российского сегмента Интернета. Лично знаю специалистов и компании, которые регулярно отправляли рапорты иностранным вендорам о тех или иных уязвимостях в ПО, которым пользуются миллионы, а то и миллиарды людей. И дело не только в программах Bug Bounty, часто это просто энтузиазм и желание сделать мир безопаснее.

Я считаю, что в текущих реалиях нашим разработчикам и специалистам представилась уникальная возможность проявить себя, свои таланты и применить пройденную школу профессиональной подготовки, как с точки создания ИБ-продуктов, так и для защиты ресурсов организаций на местах.

Сейчас тебе не нужно быть сертифицированным специалистом CISCO, чтобы устроиться на работу, ты сам можешь открыть компанию по ИБ и предложить решение, взамен ушедших с рынка игроков. Да, создать NGFW «с нуля» — это работа не на один год, но взять хотя бы менеджеры паролей, в России их около 5, а в США около 30.

А если говорить про специалистов на местах, то на одной только смекалке, без бюджета, наши из «перфокарт и палок» могут построить целый бастион. Правда, тогда бизнес взбунтуется, что ему не дают зарабатывать деньги, дескать, безопасники все запретили, но это уже совсем другая история.