Заседание секции по обеспечению технологического суверенитета и информационной безопасности Совета по развитию цифровой экономики при Совете Федерации было посвящено мерам по снижению количества уязвимостей в публично доступной ИТ-инфраструктуре и отечественном программном обеспечении, а также о повышении защищенности критической информационной инфрструктуры.
– Сегодня мы обращаемся к вопросу: из чего складывается подлинная, а не декларативная безопасность страны. – Так начал своё вступление заместитель председателя Совета по развитию цифровой экономики при СФ Артём Шейкин. – Её основа – это и публичные хосты, и отечественное программное обеспечение, и надёжная защита критической информационной инфраструктуры. Первый блок – уязвимые узлы и сети. Пока наши сервисы и оборудование остаются в Интернете с критическими пробелами в защите, мы имеем дело не с отдельными инцидентами, а с системным риском для всей экономики и, конечно, государственного управления. Необходимо перейти от практики «тушения пожаров» к измеримому результату. В связи с этим ключевой вопрос: какие регуляторные и экономические механизмы сработают быстрее всего? И риски нужно сократить в первую очередь, исключив при этом саму возможность для злоупотреблений? Второе – это отечественное ПО. Мы активно переходим на отечественное железо и софт из реестра. Но давайте смотреть правде в глаза: сколько из этих продуктов действительно безопасны? Где в цепочках – разработка, обновление, поставки – у нас рвётся связь? Нам важно определить правила игры: что делать с уже внедрённым, но неидеальным программным обеспечением и как контролировать то, что работает вне официального реестра. И третье, главное – это критическая информационная инфраструктура. Цена ошибки здесь равна полной остановке жизненно важных процессов. Мы должны чётко обозначить недопустимые риски, те точки, где у нас просто нет права на ошибку – будь то уязвимость, публичный конкурс или звено в цепочке поставок. Результатом работы должен стать реальный пакет мер – рабочий инструмент. Такой, чтобы через год мы могли сказать: количество критических уязвимостей в ключевых системах страны снизилось. И подтвердить эти слова не намерениями, а конкретными цифрами.
Копать глубже
Начальник отдела по надзору за исполнением законов в сфере ИКТ Генеральной прокуратуры Олег Кипкаев подчеркнул принципиальную значимость защищённости публичной информационно-телекоммуникационной инфраструктуры. Это – краеугольный камень безопасности государства, гарантия прав граждан, устойчивой работы органов власти и объектов жизнеобеспечения. Однако сохраняющееся множество уязвимых хостов в российском сегменте интернета создаёт питательную среду для компьютерных атак, неправомерного доступа к данным, нарушений в работе информационных систем, причинения имущественного ущерба, а в ряде случаев – для дестабилизации критической информационной инфраструктуры.
По имеющимся данным, в отечественном цифровом пространстве функционирует свыше 70 миллионов сервисов. При этом более половины исследованных хостов содержат нарушения базовых требований информационной безопасности. Практика свидетельствует: в основе многих инцидентов лежат не исключительные обстоятельства, а системные упущения – несвоевременное обновление программного обеспечения, использование уязвимых версий сервисов, слабая парольная политика, открытый доступ к административным интерфейсам, отсутствие необходимых средств защиты, а также иные известные недостатки в настройке и эксплуатации систем. Уязвимость внешнего цифрового периметра – это не проблема одной отдельно взятой организации.
Наличие незащищённого узла создаёт дополнительные возможности для повторных атак, распространения вредоносной активности, вовлечения связанных ресурсов и нарушения работы смежных систем. Таким образом, речь идёт о фундаментальном вопросе общей устойчивости всего цифрового пространства. Актуальность этой работы не вызывает сомнений: количество кибератак на российские организации продолжает расти, а их цели всё чаще смещаются в сторону вывода из строя информационных систем, подрыва функционирования инфраструктуры и причинения существенного вреда. Значительная часть таких посягательств приходится именно на объекты критической информационной инфраструктуры.
Данная ситуация требует последовательных, согласованных и, что принципиально важно, упреждающих действий со стороны государства, регуляторов, правоохранительных органов и самих владельцев информационных систем. Следует признать, что правовая основа для соответствующей работы в целом создана: действует законодательство о безопасности КИИ, утверждены обязательные требования в сфере защиты информации, функционируют механизмы выявления, предупреждения и ликвидации последствий компьютерных атак.
Тем не менее, результаты надзорной, контрольной и правоприменительной деятельности указывают на наличие серьёзных проблем. Прежде всего, меры по устранению уязвимостей зачастую принимаются несвоевременно – реакция нередко начинается лишь после самого инцидента, поступления информации о критической уязвимости или после вмешательства уполномоченных органов.
Кроме того, далеко не во всех организациях обеспечен надлежащий учёт собственного внешнего цифрового периметра. Руководители не всегда располагают полной и актуальной информацией о том, какие именно сервисы выведены в сеть, в каком состоянии они находятся и какие риски порождают. Сохраняется тревожный разрыв между установленными требованиями и фактическим уровнем защищённости. Результаты обследований объектов КИИ демонстрируют многочисленные нарушения обязательных требований, а минимально необходимый уровень безопасности во многих организациях до сих пор не достигнут.
Очевидно, что при таком положении дел необходимы дополнительные меры организационно-правового и практического характера. Представляется crucial сосредоточить усилия на следующих направлениях. Прежде всего должна быть обеспечена системная, непрерывная работа по выявлению, учёту и обязательному устранению критических уязвимостей в установленные сроки. Эта деятельность должна вестись по единым критериям с чёткой градацией степени опасности выявленных недостатков.
Необходимо повысить уровень контроля за исполнением обязательных требований в сфере защиты информации, в первую очередь, субъектами КИИ, органами публичной власти, системообразующими организациями и иными владельцами значимых информационных ресурсов. Требует дальнейшего развития практика регулярного внешнего мониторинга публично доступных сервисов. Его результаты должны в обязательном порядке доводиться до уполномоченных должностных лиц. Каждый руководитель обязан иметь объективную картину состояния подведомственной инфраструктуры и ясно осознавать меру своей ответственности за непринятие своевременных мер.
Следует также рассмотреть вопрос о совершенствовании мер ответственности за неустранение критических уязвимостей в случаях, когда такое бездействие создаёт угрозу причинения существенного вреда государственным, общественным и частным интересам. Вместе с тем, подход должен быть взвешенным. Если устранение уязвимости в кратчайшие сроки невозможно по объективным причинам – например, из-за отсутствия необходимого обновления или необходимости сложной технологической перестройки, – должны незамедлительно приниматься компенсирующие меры защиты, позволяющие минимизировать риски.
Отдельное значение имеет консолидация усилий всех регуляторов, правоохранительных органов, операторов связи, владельцев информационных систем, организаций, осуществляющих мониторинг угроз, а также разработчиков отечественных решений в сфере информационной безопасности. Сегодня необходимо добиваться не только эффективного реагирования на уже совершённые атаки, но и последовательно ликвидировать саму среду, которая делает эти атаки возможными. Наличие значительного количества уязвимых публичных узлов в сети Интернет означает сохранение повышенных рисков для государства, экономики и каждого гражданина. Это вопрос постоянной, предметной и ответственной работы. Рассчитываем, что совместные усилия Совета Федерации, федеральных органов государственной власти, субъектов РФ, надзорных, контрольных и правоохранительных структур позволят существенно повысить защищённость российского цифрового пространства и обеспечить в нём должный уровень безопасности.
Особое внимание необходимо уделить тому, что сегодня стала частой практикой ситуация, когда объект КИИ атакуется не из-за рубежа, а со взломанных сервисов внутри России. Следовательно, необходимо не только повышать защищённость объектов КИИ, но и в целом усиливать безопасность всей информационной инфраструктуры РФ, учитывая этот аспект в регуляторной деятельности. Регулирование критической инфраструктуры, государственных информационных систем и систем органов власти в целом установлено и имеет определённые требования. Однако если говорить о бытовых устройствах и информационных системах, используемых гражданами в частных целях, а также юридическими лицами, то именно этот сектор в настоящее время является наиболее уязвимым звеном в сети Интернет. Часть этой инфраструктуры впоследствии используется для тех же DDoS-атак уже на критическую инфраструктуру. Мы получаем своеобразный замкнутый круг, когда менее защищённая инфраструктура становится плацдармом для атаки на инфраструктуру более защищённую. И её нельзя просто отсечь по географическому или IP-признаку, поскольку угроза исходит уже изнутри Российской Федерации.
Безопасность в цифрах
Руководитель департамента обеспечения кибербезопасности Минцифры России Евгений Хасин подробно осветил текущие и перспективные работы в данной сфере. В настоящее время деятельность ведётся в рамках постановления Правительства РФ №372, регламентирующего эксперимент по повышению уровня защищённости государственных информационных систем федеральных органов исполнительной власти и подведомственных учреждений. Реализуется комплексный анализ защищённости с последующей выработкой корректирующих рекомендаций.
Эта системная работа ведётся с 2022 года, то есть уже четыре года, и принесла результаты. Её первостепенная цель – безусловное повышение устойчивости критически важных систем. С прошлого года мероприятия приобрели циклический характер для наиболее значимых объектов: мы не ограничиваемся разовой проверкой и выдачей рекомендаций. На следующий год проводится оценка того, как эти предписания выполнены, как эволюционирует система, сохраняет ли она свой безопасный статус или даже усиливает его. На основе этого итеративно формируются новые рекомендации, выполняется углублённый анализ внесённых изменений.
Ключевыми задачами на пути к цели являются выявление существующих недостатков. Причём эти недостатки рассматриваются не только в контексте потенциальных инцидентов, но и сквозь призму анализа инфраструктуры, организационных решений, настроек и эксплуатации средств защиты информации (как внешнего, так и внутреннего периметра). В фокусе также – вопросы поддержки и обновления программного обеспечения, а также выявление дефектов как в отдельных продуктах, так и в их совокупности.
Работы включают первичное обследование, архитектурно-документальный анализ системы и формирование перечня нежелательных последствий и приводящих к ним событий. Этот термин, закреплённый теперь в приказе ФСТЭК №117, пришёл на смену концепции модели управления рисками, ранее находившейся несколько в стороне от правового поля. Важно подчеркнуть: «нежелательные последствия» и «недопустимые события» – это в большей степени не сугубо ИБ-термины, а понятия из сферы IT и производственных процессов. Таким образом, анализ нацелен на понимание того, какие именно бизнес-процессы (целевые функции ФОИВ) автоматизированы в системе, что является критичным для их функционирования и к каким последствиям может привести нарушение безопасности.
Далее проводится внешний и внутренний анализ защищённости, включая прикладные решения. С прошлого года перечень работ существенно расширен: добавлен анализ исходного кода (статический и динамический, включая фаззинг-тестирование), а также анализ моделей искусственного интеллекта, если они применяются в системе (что теперь также регламентировано приказом №117). На основании собранных данных формируется итоговый отчёт с дорожной картой по устранению недостатков. Правовой основой служит ряд документов: приказы ФСТЭК №117 и №250, соответствующие указы и постановления. За четыре года эксперимента выявлено свыше 5000 уязвимостей различной степени серьёзности. Стоит отметить, что большинство из них носят некритичный характер, однако их планомерное устранение ведёт к общему снижению уровня рисков.
Ежегодному углублённому анализу подлежат наиболее значимые си стемы, среди которых АИС Федеральной службы судебных приставов (ФССП России); ЕГАИС «Росалкогольтабакконтроль»; Государственная информационная система промышленности (оператор – Минпромторг); ВетИС Россельхознадзора; ЕСИА и «Госуслуги», СМЭВ; ФГИС ЕИСУКС; ЕГИС «Электронные перевозочные документы» и «Обеспечение транспортной безопасности» (Минтранс). Количество проверяемых систем и глубина проверок растут. При этом подход является гибким: учитывается степень технологической готовности и особенности каждой системы, поэтому из общего арсенала выбираются именно те мероприятия, которые необходимы для эффективного повышения её безопасности.
Отдельным стратегическим направлением является повышение безопасности самого программного обеспечения. В соответствии с частью 37 статьи 2 Закона №58-ФЗ, Минцифры должно вести перечень доверенного российского ПО. Уже принято постановление Правительства №1931 от 28 ноября прошлого года, утверждающее правила формирования и ведения этого перечня. Сейчас формируются непосредственно критерии доверия к ПО. Рассматриваются требования о соответствии ГОСТ 56939-2024 «Безопасная разработка программного обеспечения»; подтверждении отсутствия неустранённых уязвимостей и обязательстве устранять их в сжатые сроки (обсуждается норма в 30 дней); проверке с помощью средств антивирусной защиты, обеспечении подписи кода и контроля целостности; проведении композиционного анализа (SBOM) для выявления уязвимостей в связанных и заимствованных компонентах, библиотеках и фреймворках.
Кроме того, в рамках поручений Президента рассматривается проект Федерального закона, который предусматривает введение административной ответственности для субъектов КИИ за нарушение установленных сроков перехода на использование ПО из реестра доверенного программного обеспечения. Работа по укреплению безопасности программного обеспечения носит непрерывный характер. Требования, методики их применения и практическая реализация будут последовательно развиваться и ужесточаться.
Не эксперимент, а живая практика
Модератор обратил внимание на то, что эксперимент по анализу защищённости кода проводится уже четвёртый год и убедительно доказал свою ценность. Планируется его масштабирование, чтобы вывести его из экспериментальной стадии. Существует ряд законодательных актов, посвящённых укреплению критической информационной инфраструктуры. Они касаются доверенного программного обеспечения, применяемого на значимых объектах и так далее, но не охватывают всего массива российского ПО, объём которого чрезвычайно велик. Планируются ли в Министерстве шаги для системного покрытия – пусть даже аккуратного, но всеобщего?
Евгений Хасин подтвердил значимость вопроса. По первому пункту – анализу защищённости систем – для перехода на всеобщий масштаб необходимо, как минимум, участие регулятора, с которым можно вести предметные дискуссии. Для некоторых систем, которые я упомянул, эта процедура формально именуется экспериментом, но фактически стала ежегодной практикой. Перечень работ, включенных в это мероприятие, расширяется: появились новые позиции, которые ранее не проверялись, что должно повышать его эффективность. В целом, полученные результаты учитываются в практической деятельности и в работе регуляторов – мы делится этими результатами. Я говорю об исполнителях работ, и мы также обсуждаем итоги, определяя дальнейшие действия. Таким образом, выводы не остаются без применения; потенциал расширения присутствует, и они внедряются постепенно, исходя из собственных результатов.
Что касается системного и всеобъемлющего подхода – здесь необходимо обсуждение с регуляторами и промышленностью, чтобы определить пути масштабирования. Это предполагает понятные источники финансирования, чёткие требования и процедуры. В настоящее время государственные органы ведут такие работы в рамках своей компетенции и соответствующих постановлений. Требования к доверенному ПО и КИИ вполне ясны, поскольку они касаются наиболее чувствительных с точки зрения безопасности объектов. При этом следует отметить, что регуляторы постепенно расширяют перечень систем, признаваемых значимыми объектами КИИ. Это касается, среди других, и курируемой нами отрасли связи. Таким образом, вопрос категорирования объектов становится всё более актуальным, контролируемым и понятным.
Методологически этот процесс оснащается необходимыми инструментами: в рамках действующего закона о КИИ формируются отраслевые особенности и перечни типовых объектов. Я уверен, что количество систем, на которые будут распространяться требования безопасности, включая использование доверенного ПО, существенно увеличится – рост уже наблюдается и будет только продолжаться.
Возможность распространения на остальные системы существует, но все понимают, что безопасность – это область, требующая ресурсов, и результат не всегда очевиден. Особенно в части программного обеспечения. Нет сомнений, что перечень доверенного ПО будет формироваться и постепенно расширяться. По мере увеличения этого пула ключевым становится элемент сопровождения и поддержки – требования, которые я обозначил, предполагают не просто создание и внедрение продукта, но его постоянное обслуживание. Это включает устранение возникающих уязвимостей, обновления, выявление и замену проблемных зависимостей – если в используемой библиотеке обнаруживаются неустранимые недостатки, необходимо перейти на альтернативную. Требуется активное участие в обеспечении безопасности на протяжении всего жизненного цикла продукта.
При условии необходимых технических и интеллектуальных вложений такое программное обеспечение будет использоваться более эффективно, поддерживаться на высоком уровне и, как отмечали наши коллеги, станет рассматриваться как конкурентное преимущество. Выявлено около 5 000 уязвимостей, и поступила информация, что подавляющее большинство из них устранено. Но возникает вопрос о достоверности отчетности и фактическом состоянии. В рамках эксперимента некоторые проблемы устраняются оперативно – например, слабые пароли. Если же речь о сложном анализе, это требует времени. Там, где проводится повторный анализ, можно проверить результат. В остальных случаях приходится принимать информацию на веру – иначе процесс невозможно организовать. Для критических систем проверка станет ежегодной процедурой с контролем на уровне правительства, где все требования будут исполняться строго и неукоснительно.
Цифровой сейф
Начальник Управления центра взаимодействия и реагирования Департамента информационной безопасности Банка России Андрей Савельев представил позицию банка и ключевые выводы по итогам 2025 года. В основе анализа лежит информация, поступающая в рамках действующего информационного обмена с участниками рынка. Это около тысячи организаций кредитно-финансового сектора, а также порядка 70 разработчиков программного обеспечения, подключенных к данной системе. По итогам 2025 года структура компьютерных атак распределилась следующим образом. Около трети всех инцидентов составили DDoS-атаки, преимущественно нацеленные на сегмент телекоммуникационных услуг. Далее следуют: использование вредоносного программного обеспечения (13%), фишинг (5%). Оставшаяся часть представляет собой комбинированные атаки, включающие компрометацию учетных записей, манипуляции с маршрутизацией и иные сложно детектируемые векторы, которые не всегда явно идентифицируются как единственный источник инцидента.
Что касается зарегистрированных компьютерных инцидентов, то 38% из них в 2025 году были связаны с заражением вредоносным ПО. Отдельно следует отметить 14 масштабных инцидентов, развивавшихся по схожему сценарию: первичный взлом и последующее проникновение в организации финансового сектора через цепочку подрядчиков. Речь идет об IT-интеграторах и разработчиках программного обеспечения, которые в рамках договорных отношений осуществляют разработку, поддержку и обслуживание систем. Именно стык юридических, организационных и технологических взаимодействий здесь становится ключевой уязвимостью.
Основные выводы таковы. Абсолютное большинство атак (98%) были направлены на кредитные и некредитные финансовые организации. На остальные институты (страховые компании, микрофинансовые организации, НПФ) пришлась незначительная часть, что, однако, не означает отсутствия рисков в этой «серой зоне». Ключевой тренд – фокусировка злоумышленников на атаках через подрядчиков, а также растущая доступность сервисов для взлома (Ransomware-as-a-Service). Это позволяет атакующей стороне экономически эффективно развертывать или приобретать готовые инструменты для массового применения.
Следующий критический фактор – коллапс скорости реагирования. После публичного раскрытия информации об уязвимости активные попытки её эксплуатации начинаются в течение первых суток. При этом необходимо учитывать «левый» промежуток времени – период между обнаружением уязвимости и её публичным раскрытием, когда она может эксплуатироваться скрытно. Длительность этого периода, как правило, неизвестна. Последующее же реагирование упирается в операционные процессы внутри организаций. Установка патчей безопасности требует обязательного внутреннего тестирования на функциональную корректность, особенно для критичных систем, таких как дистанционное банковское обслуживание. Это значительно удлиняет цикл закрытия уязвимости и повышает окно для потенциальных атак. Подтверждается исключительная важность информационного обмена между участниками рынка по индикаторам компрометации и тактикам злоумышленников. В настоящее время выстраивается соответствующий контур взаимодействия как с поднадзорными организациями, так и с государственными органами, что связано с вступлением в силу приказов ФСБ №547 и №548. Эта работа будет последовательно развиваться.
Особое внимание уделяется проблематике, связанной с подрядными организациями и аутсорсингом. Существует системная проблема: разработчики и интеграторы несут гарантийные обязательства, как правило, только за базовое программное обеспечение (например, операционную систему). Все сторонние компоненты, библиотеки и пакеты, используемые поверх этой базы для создания собственного ПО организаций, формально выпадают из зоны ответственности поставщика ОС по части своевременного выявления и исправления в них уязвимостей. Это создает серьезный риск, поскольку каждая организация самостоятельно отвечает за аудит и обновление таких компонентов, что при параллельной работе множества разработчиков может вести к нестыковкам и пробелам.
Рассматривая масштаб проблемы в цифрах: примерно 350 кредитных организаций взаимодействуют с около 370 провайдерами связи. Контроль телематического воздействия (DDoS-атаки, манипуляции маршрутизацией) – крайне сложная задача, требующая скоординированной проработки как со стороны заказчика (кредитной организации), так и со стороны отрасли телекоммуникационных услуг. Дополнительную сложность вносит аутсорсинг услуг информационной безопасности. Когда организация приобретает внешние сервисы (например, защиту от DDoS), информация об отраженных атаках не всегда поступает к заказчику в силу отсутствия соответствующих договоренностей. В результате кредитная организация может не обладать полной картиной угроз, направленных на её инфраструктуру.
Кроме того, те же 350 организаций используют порядка 80 центров обработки данных. Это значительный пласт технологических и организационных вопросов. ЦОД предоставляют услуги по различным моделям (IaaS, PaaS и др.), и на каждом уровне необходима эффективная телеметрия, её сбор, анализ и обмен данными. Проблематика взаимодействия с разработчиками также актуальна: большое количество поставщиков, разнородные договорные требования, зачастую отсутствие четких обязательств по срокам выявления и исправления уязвимостей, а также процедур доведения исправлений до конечного потребителя.
Пришло время сместить акцент в дискуссии о защищенности. Помимо традиционного усиления внешнего периметра, необходимо разрабатывать методические рекомендации, направленные на сдерживание угрозы внутри пораженной системы. Речь идет о внедрении технических и организационных мер, которые предотвратят распространение ущерба изнутри организации и блокируют каскадное развитие инцидента. В качестве аналога можно рассмотреть подходы к изоляции критических сегментов в сложных технологических инфраструктурах, таких как объекты энергетики или атомной промышленности, где принцип сдерживания инцидента в пределах локального сегмента является фундаментальным.
Атаки на поверхности и в глубине
Сергей Гордейчик, генеральный директор компании «СайберОК», поделился опытом анализа кибератак в масштабах всей страны. Для полного понимания контекста отмечу: мы уже более трёх лет занимаемся мониторингом поверхности атак всего Рунета. В цифровом выражении это свыше 47 миллионов IP-адресов и 150 миллионов доменных имён. Разумеется, эта деятельность координируется со всеми профильными регуляторами, и те данные, которые я представлю, большей частью уже известны, видны и используются ими в работе. Что представляет собой живой Рунет? Если рассматривать общую картину, это примерно 7 миллионов IP-адресов. Естественно, эта поверхность динамична – она «дышит». В последнее время, по понятным причинам, её объём несколько сократился. Мы также отслеживаем около 40 миллионов сетевых сервисов. Под сервисами подразумеваются различные приложения, доступные в сети Интернет. Их спектр крайне широк: от государственных систем, таких как «Госуслуги», до домашних маршрутизаторов, которые в силу тех или иных обстоятельств оказались доступны извне. На основании собранных данных мы видим, что подавляющее большинство этих сервисов содержит те или иные недостатки.
Из 42 миллионов сервисов мы идентифицировали приблизительно 3 миллиона уязвимостей и угроз. Сразу оговорюсь о терминологии: что мы понимаем под уязвимостями-угрозами? Часто можно услышать о существовании, например, 200 тысяч уязвимостей в ЦВЕ или БДУ. Мы же для себя выделили 6 тысяч таких уязвимостей, ошибок конфигурации и подобных недостатков, которые реально могут быть или уже эксплуатируются злоумышленниками. Это то число, на которое мы ориентируемся, поскольку невозможно объять необъятное и устранить всё повсеместно. Основываясь на собственной статистике и расследованиях инцидентов – за что отдельная благодарность Банку России, публикующему качественную аналитику, – мы фокусируемся именно на них. Таким образом, эти 3 миллиона уязвимых сервисов – это то, что фактически может быть скомпрометировано, если выражаться простым языком. Анализируя поверхность атак организаций, можно увидеть три основных пласта проблем.
Первый – это импортозамещённые решения. Сейчас они всё чаще появляются на периметре организаций, причём зачастую в тех структурах, где требования к безопасности изначально высоки, поскольку к ним же предъявляются и строгие требования по импортозамещению. Что касается зрелости этих решений, можно констатировать, что по сравнению с зарубежными аналогами есть значительный потенциал для роста.
Вторая масштабная проблема – это массовые веб-сервисы и связанные с ними ошибки эксплуатации. Не всегда речь идёт о корпоративных сетях. Однако, если вспомнить, например, громкие инциденты, связанные со взломами (не желая критиковать коллег из «Битрикс», которые делают хорошие продукты, но чья платформа была использована в одной из систем), становится ясен масштаб. Это был серьёзный инцидент, оказавший влияние на всю страну, и он ярко иллюстрирует уже озвученную проблематику компрометации цепочек поставок, когда взломанные узлы используются для эскалации атаки.
Третья история – это унаследованные зарубежные компоненты. Процессы, связанные с импортозамещением или выводом из эксплуатации зарубежных систем, идут не столь быстро, как требуется. В связи с существующими ограничениями на техническую поддержку многие вендоры фактически не оказывают легальные услуги на территории Российской Федерации, что приводит к серьёзным задержкам в установке обновлений и устранении критических уязвимостей. В результате для распространённых в РФ продуктов возникает ситуация, когда уязвимость известна, но закрыть её штатным образом невозможно.
Также наблюдается региональная дисперсия. Меня спрашивали, почему я использую чёрно-белые слайды – чтобы никого не выделять и не указывать на отстающие регионы. Однако в целом по стране прослеживается серьёзная зависимость между регионом и общим уровнем защищённости. Это касается не только регионов; у нас есть отдельный срез по отраслям, который я здесь не привожу. Могу озвучить, что наиболее уязвимыми, что ожидаемо, являются сферы государственного управления, образования и медицины. Ситуация там остаётся сложной.
Эта система мониторинга работает, данные используются, и совместно с коллегами её развитие продолжается. Важно отслеживать общие тренды как в России, так и за рубежом, чтобы понимать текущую ситуацию и измерять прогресс.
Второй ключевой аспект, который исследовательская команда выявляет в ходе анализа программного обеспечения различных вендоров, включая российских, – это уязвимости. Только СайберОК за два года было обнаружено 100 уязвимостей нулевого дня в отечественных решениях. Учитывая, что мы занимаем примерно третье место в рейтинге БДУ ФСТЭК (первые «Позитив Технолоджис» и «Солар»), можно предположить, что общее количество уязвимостей в отечественных решениях за этот период находится в районе пяти-шести сотен. Достоверных данных нет, ФСТЭК публикует не всё, но оценка представляется реалистичной. Хотелось бы отметить, что в 30% случаев взаимодействия по устранению уязвимостей мы не укладывались в регламенты, установленные самим ФСТЭК. Зачастую проблема заключается не в работе БДУ СТЭК – коллеги из Воронежа работают эффективно и взаимодействуют с исследователями. Однако я заметил, что многие разработчики не считают устранение недостатков безопасности своей прямой обязанностью. Я не говорю, что это касается всех, но имеют место ситуации, когда разработчики перестают выходить на контакт – причём не только с нами, но и с федеральными службами.
В этой связи, особенно для разработчиков, создающих решения для критической информационной инфраструктуры (КИИ) или пользующихся государственной поддержкой, представляется логичным некоторое ужесточение регулирования.
Ещё одна проблема связана с АСУ ТП, IoT и конечными устройствами. Коллеги уже отмечали риски, исходящие от домашних маршрутизаторов и подобных устройств. Эти компактные интеллектуальные устройства начинают представлять собой серьёзную опасность. Например, мы видим более 2 миллионов домашних маршрутизаторов, доступных из интернета и потенциально готовых для атаки, поскольку вопросами их безопасности практически никто не занимается. В сегменте АСУ ТП мы наблюдаем, что в рамках импортозамещения идёт переход от специализированных промышленных протоколов и систем к решениям на стандартном стэке разработки, который несёт в себе все присущие ему уязвимости. Коллеги также справедливо указывали, что декомпозиция программного обеспечения – это не только конечный продукт, но и множество составляющих элементов.
Слабо защищённые IP-камеры для интернета вещей и видеонаблюдения, в том числе оснащённые системами ИИ для распознавания лиц, номеров машин и других данных, которые зачем-то доступны из интернета, – это реальная и системная проблема, требующая пристального внимания. Те устройства, которые не были доступны извне, уже отработаны совместно с регулятором.
Таким образом, предложение заключается в следующем: многоуровневый характер современных угроз требует системного ответа на государственном уровне как со стороны регулятора, так и подкреплённого техническими средствами верификации. Как верно отметил Евгений Владимирович, недостаточно просто заявить об устранении уязвимости – необходим инструментарий для независимой проверки. В масштабах страны это, безусловно, требует развёртывания соответствующих технических средств контроля. На отраслевом уровне положительным примером служит работа Банка России и ФинЦЕРТ, задающих вектор развития. Необходимо учитывать и региональную специфику. Отдельная большая проблема – это бесхозные информационные активы и качество отечественного программного обеспечения.
Отдельно хотелось бы выделить тенденцию, которую я сегодня не выношу в число основных, но которая набирает силу: использование агентов и больших языковых моделей для подготовки кибератак. Это уже сейчас серьёзно меняет баланс сил между атакующим и защищающейся стороной. У злоумышленника появляется мощный инструмент для более быстрого поиска уязвимостей, создания эксплойтов и реализации атак. К сожалению, эта диспропорция будет лишь возрастать.
Кибербезопасность сегодня – это в значительной степени социальная наука, что бы мы, технари, ни думали. Что изменилось в последнее время? Прежде всего, модель злоумышленника и характер атак. Если ранее мы говорили о целевых APT-атаках или действиях одиночек, то сейчас наблюдаем массовые, безнаказанные оппортунистические атаки, нацеленные на достижение социального и медийного эффекта. Мы их фиксируем, они происходят открыто – злоумышленники не стесняются и не скрываются. Далее, благодаря распространению криптовалют, которые позволяют сохранять анонимность, активизировались атаки с использованием программ-вымогателей (Ransomware). Если ранее они в меньшей степени затрагивали Российскую Федерацию, то сейчас эти ограничительные факторы ослабли. Отсутствие неотвратимого наказания закономерно приводит к росту числа атак. Во-вторых, как уже упоминали коллеги на примере «Трансавиасервиса», стала реальностью услуга «взлом как сервис». Можно просто заказать компрометацию, получить результат и, используя готовые инструменты (киты), провести атаку. Это также становится серьёзной проблемой.
Много ли сейчас уязвимостей? Интересное наблюдение заключается в том, что эксплуатация уязвимостей стала напоминать пирамиду. В конце прошлого года было выявлено несколько крайне серьёзных уязвимостей. И что мы заметили – сейчас их не используют в деструктивных целях немедленно. Одним из уязвимых мест в отечественной инфраструктуре являлось наличие приблизительно 40 тыс. незащищённых узлов. Благодаря скоординированным усилиям, взаимодействию облачных провайдеров и регуляторных органов, их количество в настоящее время сокращено. Однако в первые же дни конфликта значительная часть этих узлов была компрометирована. Злоумышленники установили на них инструменты для удалённого доступа и программное обеспечение для майнинга криптовалюты. Подобные действия представляют собой лишь первый этап многоуровневой атаки. После первичного закрепления в системе злонамеренное воздействие может быть эскалировано. Например, ко дню, значимому для Российской Федерации, может быть подготовлена акция с размещением материалов, противоречащих законодательству и Конституции страны.
Таким образом, выстраивается чёткая пирамидальная структура кибератаки. Особую опасность представляет сценарий, при котором скомпрометированный ресурс принадлежит авторитетной организации, выступающей подрядчиком для другой ответственной структуры. В этом случае вектор эксплуатации уязвимости меняется, атака развивается по иной, более опасной цепочке, потенциально приводя к серьёзным последствиям для критической инфраструктуры или репутации.
Излишняя публичность заберёт наличность
Продолжая тему публичной инфраструктуры как вектора атак, поднятую предыдущим докладчиком, директор по маркетингу и развитию ООО «АБП2Б» Вячеслав Макович акцентировал, что ключевая проблема зачастую заключается не в отсутствии дорогостоящих средств защиты, а в ошибочных конфигурациях. Практика проведения пентестов и аудитов безопасности показывает, что эти ошибки настройки, будучи источником основных угроз, тем не менее устранимы. На основе накопленного опыта можно выделить три типичные и наиболее вредоносные конфигурационные ошибки.
- Первая – избыточная публичность информационных ресурсов. Она ведет к прямым проникновениям, например, через оставленные открытыми RDP-порты, или используется для подготовки целевых атак, если в публичном доступе неосторожно размещаются персональные данные.
- Вторая – совмещение публичного и корпоративного доменного пространства. Такая архитектура упрощает злоумышленникам как сбор информации, так и проведение атак. Решение заключается в четком разделении: публичные сервисы, включая корпоративный сайт, должны быть выделены, а внутренние, ценные ресурсы – размещены в изолированном контуре.
- Третья – недостаточная аутентификация, особенно привилегированного и удалённого доступа. Слабые или повторяющиеся пароли становятся легким путем для компрометации всей системы.
Для системного противодействия этим рискам необходимы следующие меры:
- Усиление регуляторного контроля, поскольку в текущей ситуации вопросы конфигурации часто остаются на усмотрение администратора без должной проверки.
- В рамках борьбы с избыточной публичностью – внедрение регулярного мониторинга и сканирования периметра.
- Для исключения совпадения доменных пространств – формализация и контроль требований по их обязательному разделению.
- В сфере аутентификации – внедрение строгой парольной политики и специализированных решений для управления учётными данными.
Со своей стороны, ООО «АБП2Б» готово подготовить проект методических рекомендаций. В частности, в рамках планируемых мероприятий по безопасности программного обеспечения в АСУ ТП, где, на взгляд докладчика, уделяется недостаточное внимание защите публичного контура, эксперты готовы предоставить детализированные предложения, основанные на практическом опыте.
Замещаем грамотно
Управляющий директор по работе с государственными органами компании Positive Technologies Игорь Алексеев отметил, что процесс импортозамещения программного обеспечения, движимый объективной необходимостью, демонстрирует высокую динамику и ощутимые результаты. Ряд отраслей уже отчитывается о достижении уровня замещения импортных решений, превышающего 80%, в рамках своих организаций.
Параллельно государственная политика формирует новую нормативную базу, вводя такие концепции, как «доверенное ПО», «реестр доверенного ПО» и «реестр ПО для собственных нужд». Это свидетельствует о заметном ужесточении государственных требований к программному обеспечению, что является абсолютно оправданным в текущих условиях. Пока содержательные требования к доверенному ПО окончательно не утверждены, есть возможность проанализировать, как складывается практика импортозамещения в различных секторах экономики и с какими системными вызовами она сопряжена.
Ключевой вопрос – уязвимость самого программного обеспечения. Скорость разработки, как уже упоминалось, зачастую превалирует над культурой безопасности. Не все разработчики в полной мере признают свою ответственность за оперативное устранение обнаруженных уязвимостей. Это, безусловно, влияет на процессы интеграции, эксплуатации таких решений и в конечном счёте создаёт риски наступления недопустимых инцидентов. Целесообразно рассматривать тему в двух взаимосвязанных плоскостях. Первая – обеспечение информационной безопасности в процессе самого импортозамещения. Вторая – импортозамещение в сегменте средств информационной безопасности.
Что касается безопасности процесса импортозамещения, запрос на повышение требований к качеству и защищённости ПО в последние годы резко обострился. Если говорить о статистике, то объём выявляемых уязвимостей растёт кратно. По итогам 2025 года специалистами было обнаружено около 450 уязвимостей, что приблизительно в три раза превышает показатели 2024 года. При этом критически важно, что примерно пятая часть из обнаруженных недостатков может привести к реализации кибератак с тяжёлыми, недопустимыми последствиями.
Безусловно, вендоры конструктивно реагируют на сообщения об уязвимостях. Однако лишь немногие внедрили у себя превентивные процессы их проактивного поиска. Соответствие ГОСТам по безопасной разработке – необходимый базис, но сегодня этого недостаточно. Действенным инструментом могут стать программы bug bounty, размещение ПО на публичных платформах для ответственного тестирования, а также организация внутренних корпоративных программ с привлечением исследователей и этичных хакеров.
В качестве стимула для развития такой практики могли бы послужить специальные отметки в реестрах – например, в реестре отечественного или доверенного ПО. Аналогичные маркировки уже успешно применяются для продуктов с искусственным интеллектом. Подобные знаки отличия можно присваивать продуктам, участвующим в программах bug bounty или имеющим внутренние программы поиска уязвимостей.
Второе направление – импортозамещение непосредственно средств информационной безопасности. Несмотря на действие Указа №250, предписывающего активные меры по замещению импортных решений на объектах КИИ и стратегических предприятиях, ощущается дефицит чёткой системы координат. Отсутствуют прозрачные методики оценки эффективности и прогресса перехода на отечественные средства защиты. Крайне важна разработка таких инструментов мониторинга и оценки, которые бы обеспечивали прозрачность процесса, способствовали анализу проблемных ситуаций, выявлению оптимальных путей развития и, как следствие, повышению общей эффективности импортозамещения в сфере информационной безопасности.
Центр компетентностей
Карпов Роман, председатель Центрального комитета по управлению ИТ-инфраструктурой (центра компетенций по развитию российского общесистемного и прикладного программного обеспечения, созданного по поручению Правительства РФ), поддержал позицию коллеги, подчеркнув, что импортозамещение обеспечивает более высокий уровень безопасности по сравнению с зарубежными решениями. Реализованный риск в виде отказа в обслуживании, источником которого являются зарубежные вендоры, не имеет аналогов по критичности. Основная проблема заключается в полном отсутствии экспертной поддержки с их стороны для выявления и устранения инцидентов. В то же время отечественные разработчики предоставляют принципиальную возможность для диалога и повышения качества обслуживания.
В рамках повестки нашего совещания необходимо выделить ключевой аспект. Помимо отечественной статистики, которую представил Сергей – за что ему отдельная благодарность; данные крайне показательны и заслуживают более глубокого изучения, – существуют и международные аналитические отчёты. Авторитетные источники, такие как CIS, Gartner и другие, констатируют, что более 60% проприетарного программного обеспечения в мире содержит компоненты с открытым исходным кодом. Это объективный драйвер развития технологий, игнорировать который невозможно. Если противостояние неизбежно, его необходимо возглавить. Следовательно, ключевая задача – научиться грамотно управлять сопутствующими рисками. Для решения данной проблемы предлагается трёхстолповая модель.
- Первое – установление чётких Правил отбора. Любая организация, будь то российский разработчик-вендор или системный интегратор, создающий государственную информационную систему, должна руководствоваться едиными, публичными и обязательными правилами при выборе сторонних программных компонентов.
- Второе – непосредственно процесс разработки. Наличие ГОСТ Р 56939 «Безопасная разработка программного обеспечения» является значимым достижением. Чем больше компаний будет применять прописанные в нём подходы, практики и инструменты не ради формальной сертификации, а для фундаментального повышения качества продуктов, тем устойчивее станет отрасль. Однако текущая практика демонстрирует приоритет сиюминутной выгоды над долгосрочным результатом. В то же время экономическая целесообразность очевидна: устранение дефекта на этапе разработки на порядок дешевле, чем в процессе эксплуатации. Параллельно с этим необходим контроль над инструментами сборки.
- Третье – управление жизненным циклом в эксплуатации. Необходима постоянная осведомлённость о составе используемых программных компонентов, их версиях и связанных с ними уязвимостях. Принцип «установил и забыл» недопустим.
Для реализации этой модели на государственном уровне необходим ключевой инструмент – обязательное внедрение цифрового паспорта (Software Bill of Materials, SBOM) для любого программного обеспечения: коммерческого, государственных информационных систем, систем искусственного интеллекта, СПО и банковских решений. Это автоматизированный перечень компонентов с указанием версий на всех этапах: разработки, ввода в эксплуатацию и текущего использования. Данная практика уже успешно применяется, например, при сертификации средств защиты информации, где предоставление полной информации о составе продукта и процессах устранения уязвимостей является обязательным. Её распространение на весь рынок позволит провести полноценную инвентаризацию и получить ещё более детализированную картину.
Для дифференцированного подхода целесообразно ввести градацию доверия к стороннему ПО:
- Уровень 0: Отсутствие гарантий. Текущая ситуация для большинства, когда компоненты скачиваются без проверки для ускорения выхода на рынок.
- Уровень 1: Документированное происхождение сборки, фиксация процессов, возможность аудита (контролируемая сборка).
- Уровень 2: Наличие юридически значимой подписи, гарантирующей функционирование и своевременное устранение уязвимостей в течение жизненного цикла.
- Уровень 3: Высокозащищённая платформа с продвинутыми механизмами обнаружения компрометаций.
Минимальным обязательным требованием для производителей ПО в реестре и разработчиков государственных информационных систем должен стать второй уровень. Такая концепция позволит существенно минимизировать обсуждаемые риски.
Отдельно стоит вопрос о запросах рынка. Некоторые российские разработчики выражают желание попасть в реестр сертифицированного ПО без готовности выполнять соответствующие работы. Это допустимо лишь в случае передачи данных функций специализированной сервисной организации, которая берёт на себя ответственность и гарантии, что должно быть отражено в договорных отношениях.
Что касается стартапов, их нахождение на нулевом уровне на этапе проверки гипотезы является нормальной практикой. Это особенно актуально для сферы искусственного интеллекта, где скорость экспериментов критична. Существуют специализированные сервисы (например, для анализа зависимостей в коде), однако их использование для стартаперов должно оставаться рекомендательным, а не обязательным.
Лицо повышенной социальной ответственности
Генеральный директор ООО «Открытая мобильная платформа» Павел Эйгес подвёл итог сказанному следующим образом. Между усилиями регуляторов и реальными мерами, которые бизнес применяет для обеспечения соответствия, всегда существует определённый промежуток. Объективно, регуляторы неизбежно будут запаздывать со своими мерами, а бизнес, в свою очередь, будет запаздывать с реакцией на них. Этот разрыв – постоянная реальность.
Для меня эта проблема находит яркую аналогию: допустим, человек не выбрасывает окурок из окна автомобиля на дорогу. Не потому, что за этим следят камеры, а потому, что это противоречит социальной норме. То есть, существует социальная ответственность. Именно об этом я и хотел бы поговорить. Данный разрыв заполняется именно социальной ответственностью бизнеса перед обществом, государством и другими участниками рынка. На мой взгляд, это и составляет основу национальной киберустойчивости. Уже много говорилось о безопасности. Однако безопасность – это не просто отрасль права или техники. Это фундамент устойчивости. При этом зачастую безопасное программное обеспечение может оказаться неустойчивым. Это как раз то, о чём мы говорили в контексте импортозамещённого ПО, которое, возможно, более безопасно, но менее устойчиво. Или наоборот – западного. Прежде всего, необходимо признать: цифровые системы сегодня лежат в основе всего – финансового сектора, промышленности, логистики, государственных сервисов. Это уже не просто технологический вопрос, а критический фактор устойчивости экономики и цифрового развития страны. За последние годы государством, регуляторами, Минцифры, ФСТЭК и отраслевым сообществом проделана масштабная системная работа по формированию нормативной базы в области кибербезопасности. Активно развивается регулирование критической информационной инфраструктуры, государственных информационных систем, защиты персональных, биометрических, финансовых и медицинских данных; регуляторная рамка для искусственного интеллекта также постепенно формируется.
Эта работа ведётся в постоянном взаимодействии с бизнесом и профессиональным сообществом, формируя архитектуру киберустойчивого цифрового пространства. Важно понимать: нормативные требования задают правила игры, однако реальная устойчивость цифровой среды формируется там, где создаются и эксплуатируются цифровые системы – в инфраструктуре компаний, на цифровых платформах, в программных продуктах.
Таким образом, национальная киберустойчивость, по мнению докладчика, складывается из трёх ключевых компонентов: регуляторы совместно с отраслью формируют правила и стандарты; разработчики закладывают принципы безопасности непосредственно в технологии; бизнес обеспечивает надёжную и устойчивую эксплуатацию цифровых систем.
Именно здесь и возникает вопрос социальной ответственности бизнеса, который создаёт и управляет значительной частью цифровой инфраструктуры страны: банковские платформы, телекоммуникационные сети, облачные сервисы, промышленные цифровые решения – всё это создаётся и эксплуатируется коммерческими организациями. Следовательно, обеспечение безопасности цифровых решений – это не только вопрос операционной эффективности и регуляторного соответствия, но и проявление социальной ответственности. Тот самый разрыв, о котором я говорил вначале.
Особую роль в этой системе играют разработчики программного обеспечения. Киберустойчивость начинается не в момент внедрения средств защиты, а на этапе проектирования и должна обеспечиваться на протяжении всего жизненного цикла ПО: разработки, тестирования, выпуска и сопровождения. Если безопасность не заложена в архитектуру продукта и не встроена в процессы его создания – то, о чём говорит концепция «разработки безопасного программного обеспечения» (РБПО), – её потом приходится компенсировать на этапе эксплуатации. Это крайне затратно, как хорошо знает бизнес, и, как правило, менее эффективно. Наложенные, «заплаточные» решения дают минимальный результат. Именно поэтому столь критическое значение имеет безопасная разработка. ФСТЭК России стандартизировал соответствующие требования и утвердил национальный стандарт РБПО. Этот стандарт предусматривает интеграцию требований безопасности на всех этапах жизненного цикла ПО. Применение таких практик позволяет снижать количество уязвимостей, уменьшать риски атак и повышать устойчивость создаваемых решений. Компаний, прошедших сертификацию по РБПО, сегодня не более десяти. Процедура сложная и длительная – масштабирование, безусловно, необходимо, и важно развитие добровольных инициатив в этом направлении.
Отдельного внимания заслуживает использование open-source компонентов. С экономической точки зрения это часто оправданный и эффективный путь, позволяющий сокращать сроки разработки, снижать затраты и быстрее выводить решения на рынок – так называемый time-to-market. Однако широкое использование open-source требует зрелого подхода к безопасности. Если одна компания выявила или устранила уязвимость в компоненте, результаты этой работы должны, по возможности, возвращаться в общее пользование, повышая безопасность решений других участников рынка. Здесь также проявляется социальная ответственность бизнеса. Докладчик не сторонник идеи единого репозитория – отравленные продукты в общей кастрюле съедобными не становятся. Однако практика обмена наработками по повышению безопасности – это безусловно правильное направление.
Не менее важно, чтобы требования государства формировали для рынка непротиворечивую, согласованную систему. Разные регуляторы работают в своих зонах ответственности, что естественно. Но для бизнеса и разработчиков критически важно, чтобы эти требования складывались в единую архитектуру и понятный конечный образ. Например, если ФСТЭК формирует требования к доверенному программному обеспечению, то при создании иных механизмов (знаки соответствия, реестры и т.д.) соответствующие требования должны быть с ними гармонизированы. Не должно возникать ситуации, когда у нас есть ПО, доверенное по версии ФСТЭК, и недоверенное – по версии Минцифры. Это дезориентирует рынок. Когда рынок видит согласованную модель требований и понятную цель, он может двигаться к ней системно и осмысленно, снижая издержки, уменьшая фрагментарность защиты и проектируя безопасные системы на уровне архитектуры.
В заключение докладчик подчеркнул: государство формирует архитектуру и правила киберустойчивости совместно с отраслью. Но реальная устойчивость цифровой среды рождается там, где безопасность становится встроенным принципом разработки, эксплуатации и сопровождения цифровых решений. Именно поэтому социальная ответственность бизнеса и разработчиков – одна из ключевых основ национальной киберустойчивости.
Рынок уже на пути к этому. Например, бездумное заимствование кода из интернета без должного сопровождения уже порицается в профессиональной среде. Это мнение необходимо распространять на более широкие аудитории. Роль регулятора здесь также крайне важна. Достаточно сопоставить реестр отечественного ПО с базами данных об уязвимостях. Мы обнаружим пересечения. Возьмём, к примеру, топовые операционные системы из реестра и увидим, что последние критические уязвимости в них были закрыты пять лет назад, а может, и вовсе не закрыты. Это – проявление социальной безответственности. Если регулятору технически сложно ввести формальные ограничительные меры, следует активно формировать в обществе отношение к подобным практикам как к недопустимым и социально опасным. Точно так же, как к эксплуатации систем с настройками по умолчанию и стандартными паролями – это тоже не норма, а социально опасное поведение. Когда компания заимствует исходный код непонятного происхождения, внедряет его в свои продукты и впоследствии никогда не обновляет, направляя ресурсы не на обеспечение безопасности, а на иные цели, – это именно социально опасное поведение. Осознание этого факта всеми участниками цифровой экосистемы является обязательным для построения подлинно киберустойчивого будущего.
Вымпел безопасности
Директор по работе с органами государственной власти ПАО «Выпелеком» Виталий Недыхалов подчеркнул, что компания осознаёт свою социальную ответственность, особенно в сфере безопасности. В связи с этим сегодня акцент стоит сделать на защите пользователей. Безусловно, как субъект критической информационной инфраструктуры, мы обеспечиваем выполнение всех регуляторных требований. К примеру, ведётся дискуссия о понятиях доверенного программного обеспечения и доверенных телекоммуникационных объектов. В выступлении докладчик осветил вопрос защиты конечного пользователя. Понятно, что обязанность Вымпелком – защищать инфраструктуру связи. Но согласно действующему регулированию, безопасность пользовательского оборудования – это первостепенная ответственность самого абонента. Проанализировав ситуацию, в компании пришли к выводу, что пользователям зачастую не под силу самостоятельно справиться с этой задачей. Данный вывод родился из нашего многолетнего опыта работы в телекоммуникационной отрасли по противодействию телефонному мошенничеству.
Различные методики борьбы привели к миграции мошеннического трафика в мессенджеры. С угрозами в этой среде мы также активно боремся. Далее мы наблюдаем эволюцию угроз: мошеннические действия теперь всё чаще используют вредоносное программное обеспечение и фишинг. Понимая, что защита абонентского оборудования по-прежнему остаётся зоной ответственности абонента, можно было бы ограничиться моделью, при которой мы лишь призываем абонента установить антивирус. Однако это сложное действие для многих, и, к сожалению, такая рекомендация не гарантирует повсеместного исполнения. Поэтому мы задались вопросом: почему бы не обеспечить эту защиту на уровне сети связи, взяв на себя функцию охраны абонентов от вредоносных программ непосредственно в сетевой инфраструктуре.
В Вымпелкоме решили пойти по этому пути и совместно с «Лабораторией Касперского» и внедряют соответствующее сетевое решение. Первый этап, который успешно прошли, заключается в информировании абонента об уязвимостях, обнаруженных на его устройстве. Данный полноценный пилот функционирует около двух месяцев. За это время выявили, что примерно полтора миллиона наших абонентов так или иначе сталкивались с вредоносным ПО или фишинг-атаками. Важно уточнить: это не значит, что оборудование полутора миллионов абонентов заражено. Речь идёт о фактах взаимодействия с вредоносными ресурсами. Безусловно, часть устройств была заражена, а часть – нет. Тем не менее, цифра в полтора миллиона контактов является весьма существенной. На втором этапе, запланированном на текущий год, в Вымпелкоме намерены не только выявлять угрозы, но и на сетевом уровне блокировать доступ к вредоносным ресурсам, а также информировать клиента о заблокированных опасных приложениях. Да, это сопряжено с определёнными регуляторными nuances, поскольку формирует некий правовой «серый» участок – прямых полномочий на такие действия у оператора сегодня нет. Однако что современные вызовы требуют решительных мер, и в Вымпелкоме готовы на такие меры идти. Это и есть ближайшие планы, помимо уже ведущейся работы в области КИИ.
При этом существует важный аспект. Когда государство, отмечая удачную практику, говорит: «Давайте внедрим это повсеместно», – на этапе формализации решение нередко видоизменяется, и не всегда в лучшую сторону для всех сторон, будь то бизнес или государственные интересы. Поэтому докладчик призывает к реализации принципа социальной ответственности бизнеса. Когда будет накоплен достаточный практический опыт, можно будет переходить к разработке отраслевого стандарта. Это аналогично истории борьбы с подменой номера в телефонии: решение внедрялось крупными операторами, затем государство, признав его эффективность, распространило требование на все сети через регулирование, создав единую национальную систему. Однако этот процесс занял продолжительное время. Сегодня подобные решения внедряются быстрее. Мы призываем учесть этот опыт, поскольку государство приходит не только с эффективными решениями, но и с эффективными санкциями за неисполнение. Необходимо соблюсти баланс между оперативным реагированием на угрозы, социальной ответственностью бизнеса и последующим взвешенным регулированием.
Вместе, как Бонч и Бруевич
Ректор Санкт-Петербургского государственного университета телекоммуникаций им. профессора М. А. Бонч-Бруевича Руслан Киричек подвёл итоги дискуссии. По его оценке, 2025 год стал переломным в сфере регуляторики. С 1 сентября вступают в силу масштабные поправки к Федеральному закону № 187 «О безопасности критической информационной инфраструктуры». Параллельно мы наблюдаем резкую эскалацию многоступенчатых кибератак на объекты КИИ с активным использованием злоумышленниками искусственного интеллекта. Ключевая проблема заключается в том, что традиционные методы защиты, основанные на реагировании post factum, теряют эффективность.
Необходим стратегический переход от постмортем-анализа к проактивному прогнозированию. Решение мы видим в применении возможностей генеративного искусственного интеллекта для обработки больших данных и предикции векторов атак. В данной презентации я обосную переход от реактивной модели к предиктивной архитектуре безопасности объектов КИИ и сформирую инициативный пакет мер, направленный на снижение системных рисков киберустойчивости страны. Его цель – планомерное сокращение числа критических уязвимостей в публичном контуре с использованием инструментов генеративного ИИ.
Докладчик предложил рассмотреть типичный пример уязвимости. Согласно постановлению № 127 о категорировании, хост с плавающими ошибками может стать шлюзом к значимому объекту КИИ. Компрометация такого хоста напрямую ведёт к нарушению требований целостности и доступности информации, что регламентировано статьёй 2 Федерального закона № 187. Скомпрометированный хост превращается в плацдарм для атак на смежные объекты КИИ, трансформируя частную инциденцию в угрозу национальной безопасности. В контексте генеративного искусственного интеллекта необходимо выделить отдельный класс моделей, предназначенных для защиты самих систем ИИ. Защита данных и алгоритмов становится критической, поскольку их искажение напрямую детерминирует выводы и решения системы. Таким образом, мы сталкиваемся с топ-четырьмя наиболее серьёзными типами атак на системы с использованием ИИ. Из этого следует вывод: защита самих моделей искусственного интеллекта является императивом и важнейшим аспектом в контексте исполнения Федерального закона № 187.
Искусственный интеллект стал ключевым элементом цифровых продуктов – от беспилотных систем и кредитного скоринга до управления критической инфраструктурой. Новая реальность такова, что злоумышленники активно используют ИИ для проведения атак. Прямым примером служат вирусы-шифровальщики, уже способные генерировать адаптивный код на лету. Угрозы приобретают и социогуманитарное измерение: психологическое воздействие, дипфейки, манипуляции общественным мнением. Это существенно расширяет спектр рисков. В конце 2025 года ФСТЭК России обновил банк данных угроз, выделив отдельный раздел для систем искусственного интеллекта. Объектами защиты теперь являются инфраструктура разработчика, дата-сеты, веса моделей, а также инфраструктура оператора: промты, API, агенты и иные сущности.
Последствия очевидны. Для государственных информационных систем, объектов КИИ и любых систем с ИИ теперь обязательно пересматривать модели угроз с учётом специфики искусственного интеллекта и соответствующих сценариев атак. С 1 марта 2026 года, то есть буквально две недели назад, вступили в силу новые требования по защите информации в государственных информационных системах, утверждённые приказом ФСТЭК № 17. Это ещё один шаг по усилению контрольных механизмов.
Какие конкретные сценарии применения генеративного ИИ мы видим в новой архитектуре безопасности КИИ?
- Проактивный анализ аномалий. Генерация сценариев атак на основе данных об инфраструктуре, схемах сетей, типах ПО, что позволяет заранее устранять потенциально эксплуатируемые уязвимости.
- Автоматизированное формирование безопасных конфигураций.
- Динамическая модель угроз. Вместо ежегодного ручного обновления по методикам ФСТЭК – автоматическая актуализация профилей угроз и нарушителей в реальном времени.
Шаги для внедрения предиктивной архитектуры безопасности видятся так.
- Во-первых, аудит данных. Без качественной и полной телеметрии и логов применение ИИ бесполезно.
- Во-вторых, инфраструктура. Необходимо оценить возможность развёртывания доверенных программно-аппаратных комплексов, способных выдержать нагрузку от серверов ИИ.
- В-третьих, компетенции. Требуется формирование команд, владеющих промт-инжинирингом в области информационной безопасности.
- В-четвёртых, пилотный проект. Запуск проекта по внедрению ассистента на базе генеративного ИИ для задач SOC или прогнозирования инцидентов на одном из некритичных объектов КИИ.
- Наконец, адаптация модели угроз. Корпоративная модель угроз должна быть дополнена рисками, связанными с использованием ИИ.
Без разработки и внедрения предложенных мер нейтрализация рисков невозможна. Оценим текущие киберриски.
Начнём с публичного контура – неконтролируемой поверхности атаки. Цифры тревожны: 78% брешей в защите находятся на ресурсах, неизвестных службам информационной безопасности (так называемые «теневые ИТ»). Только 2% организаций имеют полный учёт своих IT-активов. 66% корпоративных хостов содержат опасные ошибки в настройках. Сотни тысяч устройств, например 269 тысяч, остаются публично доступными с незакрытыми критическими уязвимостями. Это «эффект ворот»: скомпрометированный хост в публичном контуре становится точкой входа в технологическую сеть организации.
Следующий контур – технологический (АСУ ТП). Здесь наблюдается критический разрыв между IT и информационной безопасностью. Активность атак возросла до 51%, и они всё чаще нацелены на промышленные системы управления. Проблема усугубляется тем, что многие специалисты не понимают специфику влияния систем ИИ на технологические схемы. При этом специалисты по ИБ зачастую не допускаются к информации о процессах создания и эксплуатации производственных систем, что делает построение адекватной защиты невозможным. Последствия – остановка технологических линий, аварии, огромные штрафы и прямые финансовые потери.
Резюмируя, необходимо подчеркнуть: единственным эффективным ответом на вызовы нового времени является переход к предиктивной архитектуре безопасности, основанной на возможностях генеративного искусственного интеллекта. Именно он позволяет не просто фиксировать инциденты, но и прогнозировать векторы атак, динамически актуализировать модели угроз и автоматизировать формирование безопасных конфигураций. Это напрямую способствует реализации требований Федерального закона № 187. Предлагаемый инициативный пакет мер включает: проведение аудита данных и телеметрии; формирование компетенций в области промт-инжиниринга для ИБ; адаптацию корпоративной модели угроз; запуск пилотных проектов на отдельных объектах КИИ для отработки методик предиктивной защиты.
