Топ-менеджер Positive Technologies: в конечном итоге хакеры устанут атаковать РФ
Алексей Новиков
— Что бы лично вы выделили из трендов в защите и атаке российских структур в 2025 году?
— Главный тренд 2025 года, который можно выделить, — это определенное привыкание к киберинцидентам. Если в 2022, в 2023 годах обсуждалась каждая атака и для большого количества компаний такое было в новинку, то 2025 год — это уже этап определенного привыкания к инцидентам. Атаки стали обыденностью как для населения, так и для компаний, и для самих специалистов тоже. Думаю, что в 2026–2027 годах кибербезопасность станет такой же повседневной практикой, как личная гигиена: компании будут не только разбираться с инцидентами, но и регулярно принимать базовые меры защиты, чтобы не допускать их возникновения.
Читайте также
Специалист по кибербезопасности BI.ZONE: к счастью, ссылки злоумышленников долго не живут
— А привыкание — это хорошо или плохо?
— Привыкание к киберинцидентам — это не плохо и не хорошо, это просто суровая действительность. Прямо как мы все привыкли к сезонным вирусам вроде гриппа. И это интересно, если мы вспомним, что было раньше: 10 лет назад никто не верил во взломы ради уничтожения инфраструктуры, пять лет назад считалось, что взламывают только крупные компании с большими доходами, и только три года назад наконец выяснилось, что взламывают любого, просто из-за того, что он на территории РФ. И неважно, крупная ли это компания или просто цветочный магазин.
Глобально совокупный ущерб экономике от киберинцидентов будет расти — атаки никуда не исчезнут. Но если компании привыкнут не к самим инцидентам, а к регулярной защите и выработают привычку соблюдать базовый уровень кибергигиены, это позволит существенно снизить масштаб последствий. В этом случае кибербезопасность перестанет быть экстренной реакцией на проблему и станет нормальной частью повседневной работы бизнеса.
— Вернемся к трендам.
— С точки зрения хакерства в 2025 году были те же сценарии, что и раньше, — фишинг, эксплуатация уязвимостей, компрометация учетных данных для удаленного доступа. Это базовые векторы атак, и они никуда не исчезли: именно через них происходит большинство инцидентов сегодня и, с высокой вероятностью, будут происходить и дальше.
Если посмотреть, как атакуют простых людей, заметно выросло количество сценариев с использованием искусственного интеллекта. Если раньше по схеме "фейк-босс" людям поступали только фейковые текстовые сообщения, то сейчас есть и ИИ-видеосообщения в формате "кружков". К сожалению, хакеры чаще и быстрее берут современные доступные инструменты себе на вооружение. Использование искусственного интеллекта более предпочтительно и даже уже вошло в обиход.
Кстати, в защите и безопасности, особенно в крупных корпорациях, учитывая длину цикла внедрения различных решений там, использование ИИ немного отстает. Все, конечно, говорят, что ИИ необходим в защите, и вендоры активно его внедряют в свои продукты, но многие заказчики до сих пор борются с ИИ-атаками хакеров по старинке, то есть с помощью традиционных инструментов и ручных процессов, которые изначально не были рассчитаны на такой уровень автоматизации со стороны злоумышленников.
— А чего ждать от наступившего года и вообще от будущего? С точки зрения, например, того же ИИ?
— Уже в 2025 году мы видели, как различные исследователи безопасности, в том числе в рамках программ багбаунти (программы поиска уязвимостей в системах независимыми исследователями — прим. ТАСС), начали активно использовать искусственный интеллект и мультиагентные системы на базе больших языковых моделей для поиска уязвимостей. Пока это в значительной степени экспериментальная среда, но именно такие эксперименты, как правило, первыми показывают, в какую сторону будет развиваться атака. Логично ожидать, что в ближайшее время аналогичные подходы начнут массово применять и злоумышленники — для автоматизированного поиска уязвимостей, ошибок конфигурации и слабых мест в архитектуре. Вопрос здесь не "если", а "когда": это может занять месяцы или год, но сам тренд уже очевиден.
В более широком горизонте мы увидим противостояние систем искусственного интеллекта по обе стороны баррикад — со стороны защиты и со стороны атакующих. Это будет конкуренция не столько отдельных инструментов, сколько качества данных, математических моделей и того, насколько глубоко такие системы встроены в реальные процессы безопасности.
При этом для развития ИИ в защите критически важны данные — как для обучения моделей, так и для их постоянной адаптации к меняющимся сценариям атак. Поэтому одним из ключевых трендов ближайших лет станет борьба за качественные данные в сфере кибербезопасности. Именно наличие или отсутствие таких данных во многом будет определять, кто окажется эффективнее — защитники или злоумышленники, — уже в перспективе 2026–2027 годов.
— С чем вам обычно было сложнее всего бороться в прошедшем году?
— С точки зрения самих атак в ходе расследований, как правило, не возникало принципиально новых или непреодолимых сложностей. Основные проблемы в затяжных или неудачных расследованиях чаще были связаны не с технической стороной атаки, а с взаимодействием с заказчиком — например, с нежеланием или неготовностью клиента проводить полноценное обследование инцидента и глубоко разбираться в его причинах. Остается тот самый человеческий фактор, остаются люди, которые на предупреждение от специалистов о компрометации отвечают: "Сегодня пятница, короткий день, увидимся в понедельник". Вот главная сложность.
А технически каких-либо сложных атак, которые было бы невозможно разобрать или которые вызывали бы недоумение, по большому счету нет.
— Позволю себе такой вопрос — а нет ли у специалистов по безопасности уже усталости от постоянных атак?
— Скорее, речь идет не об усталости, а о том самом привыкании, которое сегодня характерно не только для специалистов, но и для рынка в целом. Инциденты перестали быть чем-то экстраординарным, поэтому их стали меньше обсуждать публично — вместо этого выработались понятные и отработанные сценарии реагирования.
Сегодня при появлении информации об инциденте, например у подрядчика или партнера, компании действуют уже автоматически: оперативно разрывают соединения, ограничивают каналы связи, блокируют удаленный доступ, собирают индикаторы компрометации и переходят к восстановлению инфраструктуры. Для специалистов по ИБ это стало частью повседневной работы, рутиной, а не стрессовой ситуацией.
Кроме того, за последние годы в отрасль пришло много молодых специалистов. На фоне большого количества инцидентов существенно выросло профессиональное сообщество тех, кто умеет заниматься реагированием. Если пять лет назад таких экспертов было порядка сотни и они концентрировались в нескольких крупных компаниях, то сегодня их значительно больше и экспертиза распределена гораздо шире по рынку.
— Что должно привести к снижению кибератак на Россию?
— Хороший пример — российская кредитно-финансовая сфера в 2017–2018 годах. Тогда предпринимались активные попытки кражи средств непосредственно из банков. В результате целенаправленной работы часть злоумышленников была задержана, а уровень защищенности банковского сектора существенно вырос. Сегодня атаки на сами банки стали экономически невыгодными, и, если ориентироваться на открытую статистику, случаев таких краж за последние несколько лет практически не фиксируется. Этот опыт показывает, что системную работу по повышению защищенности можно масштабировать на уровень всей страны — и это приведет к устойчивому снижению числа атак.
— И устанут ли хакеры вообще атаковать Россию?
— Я думаю, что в конечном итоге хакеры устанут атаковать, да.
— Главный риск для простых россиян — не хакеры, а мошенники, и у последних, кажется, уже кончаются идеи. Текущие сценарии схем — это их предел? Увидим ли мы что-то новое и не менее опасное?
— Ничего не меняется, потому что это работает, — нет смысла изобретать новые схемы до тех пор, пока работают старые. Хакеры, мошенники — все же это бизнесмены и менеджеры, и они хорошо считают экономику. Как только антифрод станет еще более качественным и если конкретная схема перестанет работать, они придумают новый инструментарий, новые механизмы. Новых атак мы не увидим до тех пор, пока не перестанут работать старые. А состояние гонки у них присутствует всегда.