Сергей Логашин, «РСХБ-Страхование»: Искусственный интеллект предоставляет злоумышленникам значительно более опасные и эффективные средства, чем «вредоносное ПО как услуга»
Страховые компании входят в число секторов, которые чаще всего становятся мишенями кибератак. Преступников привлекают личные данные и финансовая информация. При этом частота и изощренность кибератак увеличивается благодаря применению технологий на базе искусственного интеллекта. Единственный способ противостоять этому — как можно сильнее автоматизировать обнаружение и реакцию на угрозы информационной безопасности, а также внедрять ИИ на стороне защиты. Своим опытом с CNews поделился Сергей Логашин, начальник управления информационной безопасности «РСХБ-Страхование».
CNews: Как изменения в киберпространстве сказались на российском страховом бизнесе? Какие киберугрозы сейчас наиболее актуальны для отечественных компаний?
Сергей Логашин: За последние пять лет весь крупный российский бизнес столкнулся с рядом серьезных трудностей: импортозамещение, нехватка специалистов, ужесточение требований регуляторов, стремительное изменение киберландшафта и резкий всплеск числа киберинцидентов с разрушительными последствиями. Статистика успешных атак на страховые компании вызывает тревогу. Например, по некоторым данным, в прошлом году в нашей отрасли выросло количество утечек информации: степень ее конфиденциальности и объемы обусловлены особенностями страхового дела, где невозможно избежать обработки персональных и финансовых данных, с которыми взаимодействует широкая партнерская сеть (страховые агенты и брокеры, банки, инвестиционные фонды, колл-центры, медицинские учреждения, ассистанс-компании, автосервисы и т.д.).
Повышенный уровень киберугроз в страховой сфере не остался незамеченным для регулятора. Недавно Центробанк РФ своим предписанием №7219-У скорректировал положение №757-П от 20.04.2021 г., согласно которому с 1 января 2027 года все страховщики (независимо от величины активов) обязаны обеспечить стандартный уровень защиты информации по ГОСТ Р 57580.1-2017, проходить внешний аудит защищенности не реже одного раза в три года, а также в течение трех часов уведомлять ФинЦЕРТ о киберинцидентах.
Кроме того, страховые компании подпадают под законодательные требования как субъекты критической информационной инфраструктуры (КИИ) и операторы персональных данных (ПДн). Пристальное внимание к нашей отрасли уделяют не только надзорные органы, но и злоумышленники, которых традиционно привлекают финансовая сфера и легко монетизируемые данные. При этом отдельные виды кибератак — например, хищение информации, разрушение инфраструктуры и атаки на цепочки поставок — сегодня актуальны не только для страховщиков, но и для всех российских компаний. Эпоха массовых и шаблонных взломов завершилась: крупный бизнес усилил свою киберзащиту, поэтому злоумышленники либо проводят целенаправленные атаки после тщательной подготовки, либо проникают через менее защищенных поставщиков и подрядчиков.
CNews: Какие отечественные ИБ-продукты и сервисы стали более популярны в последние годы? Как вы оцениваете темпы и успехи импортозамещения в сфере кибербезопасности?
Сергей Логашин: После ухода зарубежных вендоров четыре года назад российские компании-заказчики предъявляли высокие требования к отечественным ИБ-продуктам: им нужны были решения, способные оперативно заменить импортные средства защиты информации (СЗИ) и сразу демонстрировать измеримые результаты при отражении массированных кибератак. В условиях хронической нехватки кадров и роста нагрузки особенно востребованными стали инструменты, автоматизирующие хотя бы часть прикладных задач ИБ-специалистов — от простой инвентаризации и управления уязвимостями до реагирования на инциденты и обработки данных киберразведки.
К счастью, к моменту ухода западных компаний на рынке уже существовали российские ИБ-вендоры, выпускавшие конкурентоспособные продукты, сопоставимые или превосходящие по функционалу зарубежные аналоги. Яркий пример — компания Security Vision, которая уже более десяти лет разрабатывает решения для автоматизации процессов кибербезопасности, имеющие богатую историю внедрений и побед в сравнениях с известными западными продуктами.
Говоря о текущих успехах импортозамещения в сфере кибербезопасности, стоит отметить, что сегодня на российском рынке представлены практически все категории защитных систем. Это и инфраструктурные решения (такие как межсетевые экраны, средства защиты виртуальных сред, отечественные операционные системы и системы управления базами данных с интегрированными механизмами защиты), и разнообразные специализированные продукты. Среди востребованных услуг в области кибербезопасности выделяются предложения от MSSP и коммерческих SOC — они позволяют быстро организовать мониторинг информационной безопасности инфраструктуры и реагировать на киберинциденты, одновременно предоставляя заказчикам доступ к профильной экспертизе, возможность гибко наращивать ресурсы и оперативно повышать уровень киберзащиты без значительных капиталовложений.
Благодаря широкому ассортименту продуктов и опыту российских игроков в сфере ИБ, отечественный бизнес смог соблюсти установленные сроки и перейти на суверенные средства защиты информации к 1 января 2025 года. Однако основные сложности сегодня связаны с импортозамещением корпоративного программного обеспечения. Например, многие компании по-прежнему используют привычные зарубежные решения, а в некоторых критически важных сегментах импортные системы все еще занимают доминирующее положение.
Очевидно, что говорить о кибербезопасности всей инфраструктуры без регулярных обновлений, технической поддержки и гарантий отсутствия бэкдоров в прикладном и системном ПО бессмысленно. Именно поэтому так важна последовательная работа по его импортозамещению. Новый крайний срок для полного перевода значимых объектов критической информационной инфраструктуры на российское программное обеспечение установлен на 1 января 2028 года. При этом до 1 сентября 2026 года регуляторы, включая Банк России, должны утвердить соответствующие отраслевые планы по импортозамещению.
CNews: Какие вызовы стоят перед руководителями направлений ИБ в страховом и финансовом секторах?
Сергей Логашин: «РСХБ-Страхование» входит в группу РСХБ, а финансовый сектор традиционно находится на передовой всех трендов — от цифровизации и государственного регулирования до новейших методов кибератак и инновационных защитных решений. Проекты по внедрению искусственного интеллекта и созданию банковских экосистем, активная внутренняя разработка ПО, переход на отечественные решения и миграция в российские облачные среды наглядно демонстрируют эволюционные изменения в киберпространстве.
Новые методы атак, включая использование ИИ-агентов для реализации полной цепочки атаки и применение систем искусственного интеллекта для поиска уязвимостей и создания дипфейков, снижают порог входа для злоумышленников, позволяют масштабировать применение традиционных хакерских инструментов и автоматизировать взлом. Высокая активность хактивистов, стремящихся нанести максимальный ущерб, нехватка и перегруженность специалистов по кибербезопасности, строгие требования регуляторов, а также трудности с финансированием направления ИБ в небольших компаниях (партнерах, поставщиках, подрядчиках) делают и без того сложный киберландшафт еще более напряженным.
В текущих обстоятельствах главная задача руководителя по информационной безопасности — выступать не в роли барьера, а в качестве движущей силы бизнеса, обеспечивая его киберустойчивость, объективно оценивая киберугрозы, общаясь с высшим руководством на языке рисков и поддерживая их осведомленность о ситуации. В сферах финансов и страхования директор по информационной безопасности (CISO) обязан сформировать такую систему управления (СУИБ), которая гарантирует безопасную обработку крупных объемов финансовой информации и персональных данных, обеспечивает защищенное взаимодействие с партнерами, снижает риски мошенничества для клиентов и соблюдает законодательные требования по защите информации.
Также необходимо наладить процесс найма и удержания ИБ-специалистов, учитывая при этом позицию регулирующих органов. Банк России советует применять профессиональный стандарт «Специалист по информационной безопасности в кредитно-финансовой сфере». В целом, именно политика Центробанка, который на протяжении многих лет планомерно работает над повышением кибербезопасности российского финансового сектора, позволяет подведомственным организациям последовательно развивать СУИБ и повышать уровень зрелости процессов кибербезопасности — от начальных до наиболее сложных.
CNews: Как создать надежную основу для системы управления ИБ? Какие процессы кибербезопасности считаются базовыми?
Сергей Логашин: Рассматривая современную кибербезопасность, мы можем говорить о возможностях ИИ-агентов, концепции «нулевого доверия», безопасности API и защите микросервисных архитектур, однако все это теряет смысл без прочного фундамента СУИБ, который строится на базовых процессах ИБ.
В первую очередь, это управление активами, уязвимостями, конфигурациями и изменениями — без четкого понимания, какие объекты находятся в нашей инфраструктуре, как они настроены, как изменяются и какие уязвимости присутствуют в программном обеспечении, невозможно создать полноценную систему обеспечения ИБ. Уже прошли те времена, когда появление нового сервера или приложения в инфраструктуре было заметным событием, которое можно было вручную выявить, запросить данные об устройстве и поставить его на мониторинг. Сегодня в крупных и даже средних компаниях новые объекты нужно обнаруживать автоматически и непрерывно, с последующей их инвентаризацией и классификацией, обогащением в смежных системах, управлением жизненным циклом активов и построением ресурсно-сервисной модели инфраструктуры, а затем сканированием на наличие уязвимостей и оценкой безопасности текущих конфигураций.
Процесс обнаружения уязвимостей можно ускорить — к примеру, с помощью функции ретроспективного анализа, которая позволяет быстрее находить их благодаря обработке заранее собранных данных о версиях программного обеспечения на учтенных устройствах. Небезопасные настройки тоже относятся к категории уязвимостей, а их проверку и внедрение рекомендуемых производителями параметров (харденинг) можно и необходимо автоматизировать. Управление изменениями тоже стоит роботизировать — от получения и одобрения запросов на модификации до их внедрения и контроля корректных настроек, с фиксацией истории изменений в карточке актива.
CNews: Как в «РСХБ-Страхование» организована автоматизация управления активами и уязвимостями? Какие инструменты применяются?
Сергей Логашин: Для автоматизации процессов управления активами и уязвимостями мы остановились на сканере уязвимостей Security Vision VS (Vulnerability Scanner). Этот продукт заменил предыдущее решение и помог нам справиться с несколькими задачами одновременно.
Во-первых, создать единый расширенный реестр активов благодаря сетевому сканированию и возможности полноценной инвентаризации устройств. В Security Vision VS реализован обширный функционал управления активами, включая сбор различных технических параметров, администрирование конечных устройств и выполнение множества предустановленных или произвольных команд через удобный веб-интерфейс с графом связей активов.
Во-вторых, организовать процесс сканирования активов согласно внутреннему регламенту, который определяет сканируемые диапазоны и периодичность проверок.
В-третьих, интегрировать результаты сканирования в процесс управления уязвимостями для автоматического формирования задач на устранение по заданным правилам, с отслеживанием статусов и подтверждением исправлений.
Ключевыми причинами выбора сканера уязвимостей Security Vision VS стали получение детальной информации об активах при инвентаризации, высокая скорость сканирования, а также гибкие возможности автоматизированного управления выявленными уязвимостями с постановкой и контролем задач на устранение, а также подтверждением их выполнения.
CNews: Какие еще процессы ИБ стоит автоматизировать, а какие пока остаются ручными?
Сергей Логашин: В идеале необходимо автоматизировать все те процессы в сфере кибербезопасности, которые поддаются алгоритмизации и уже достигли нужного уровня зрелости (то есть задокументированы и находятся под контролем). После завершения автоматизации базовых процессов и формирования логически целостной структуры активов можно приступать к роботизации управления задачами и планами по ИБ, документацией, внутренними и внешними аудитами, отчетностью, а также соблюдением законодательства. Автоматизации поддаются и такие направления, как моделирование угроз и злоумышленников, управление киберрисками (включая качественную и количественную оценку), киберинцидентами, непрерывностью бизнеса и повышением ИБ-осведомленности.
Эффективность такой автоматизации определяется не только степенью зрелости процессов, но и техническими возможностями платформы автоматизации. Ее ценность значительно возрастает, если она поддерживает разнообразные протоколы и интеграцию с ИТ/ИБ-системами, использует единую ресурсно-сервисную модель инфраструктуры, обрабатывает актуальные и обогащенные данные из разных источников, а внутренняя логика достаточно гибка для цифровизации даже самых сложных корпоративных процессов.
Среди функций, которые даже в самых передовых компаниях пока остаются ручными, можно выделить применение механизмов, способных негативно повлиять на защищаемую инфраструктуру и потому требующих ручной проверки и согласования, а также экспертные этапы расследования инцидентов (форензика, реверс-инжиниринг вредоносного ПО). Кроме того, вручную выполняются некоторые задачи по борьбе с внутренними нарушителями, а также полномасштабные киберучения и занятия по повышению осведомленности персонала. Наиболее эффективным до сих пор остается живое общение с человеком в дополнение к различным методам геймификации и интерактивного взаимодействия.
CNews: Насколько важен риск-ориентированный подход в управлении кибербезопасностью для страхового и финансового бизнеса?
Сергей Логашин: Умение говорить с топ-менеджментом на языке киберрисков важно в любой отрасли — переход в плоскость финансов и бизнес-ценностей позволяет современному CISO занять достойное место на вершине корпоративной иерархии и получить доступ к необходимым ресурсам. Однако именно в финансовом секторе работа с рисками наиболее распространена и регламентирована — от стандарта PCI DSS и Базельских соглашений до стандартов Банка России и Положения ЦБ РФ №716-П. При этом страховой бизнес по своей природе связан с оценкой рисков, статистикой и актуарными расчетами, поэтому именно в нашей сфере применение риск-ориентированного подхода будет наиболее органичным и естественным.
В процессе управления киберрисками недостаточно просто подобрать подходящий стандарт или методику (начиная с обязательных требований ЦБ РФ и заканчивая ISO 27005, NIST RMF, COSO ERM или FAIR). Не менее важно опираться на надежные, непротиворечивые и свежие данные об информационной безопасности: статистику происшествий, оценку стоимости активов, информацию об уязвимостях и текущем состоянии защитных мер, а также финансовые показатели организации. Применение количественных методов оценки киберрисков, например метода Монте-Карло, дает возможность определить эффективность различных мер по обработке риска, выбрать наилучший вариант и убедительно обосновать его внедрение. Отслеживать и наглядно представлять уровень киберзащиты компании помогут ключевые индикаторы риска (КИР) и ключевые индикаторы соответствия — при достижении их пороговых значений могут автоматически запускаться меры по смягчению последствий.
Внедрение централизованной автоматизированной системы, собирающей все значимые для ИБ данные об активах, уязвимостях, инцидентах, соблюдении законодательства, уровне киберзащиты и ландшафте угроз, позволяет накопить необходимую статистику и проводить более точные количественные расчеты киберрисков. Примером такой системы может служить платформа Security Vision SGRC.
CNews: Киберинцидент может произойти в любой, даже самой надежной инфраструктуре. Как снизить возможный ущерб?
Сергей Логашин: Согласно теории управления рисками, для смягчения последствий можно либо уменьшить вероятность реализации угрозы, либо сократить масштаб ущерба. Если предотвратить киберинцидент не удалось, необходимо оперативно отреагировать: выявить проблему, провести анализ, локализовать угрозу, устранить ее, восстановить работу бизнес-процесса и выполнить пост-инцидентные процедуры.
Именно на принципе быстрого восстановления после атаки основана концепция киберустойчивости: даже самую защищенную инфраструктуру возможно взломать (никто не застрахован от эксплуатации уязвимостей нулевого дня), однако процессы реагирования на инциденты должны быть организованы так, чтобы ущерб от взлома оказался минимальным. Управление киберинцидентами, безусловно, можно и нужно автоматизировать — это как минимум упорядочивает действия команды, позволяет последовательно проходить этапы реагирования, учитывать все детали инцидента и выполнять автоматические меры (изоляцию хоста, блокировку учетной записи, удаление фишингового письма и т.д.).
Оценка качества реагирования обычно проводится с помощью различных показателей (MTTD, MTTR, MTTC и другие), однако ключевое значение имеет не столько скорость выполнения операций, сколько сокращение финансовых потерь от кибератаки: если последствия инцидента остаются незаметными для бизнеса и пользователей, значит, команда реагирования и система автоматизации сработали эффективно. Для автоматизации управления киберинцидентами применяются решения класса SOAR — платформы оркестрации, автоматизации и реагирования, которые взаимодействуют с корпоративными средствами защиты информации, системами SIEM, TIP и UEBA. В портфеле продуктов наших коллег из Security Vision представлены решения классов SOAR, SIEM, TIP, UEBA, а также NG SOAR — продукт, объединяющий функциональность сразу нескольких систем. Все эти классы решений позволяют своевременно обнаруживать киберинциденты и реагировать на них, минимизируя ущерб для бизнеса.
CNews: Каковы перспективы развития отечественного рынка киберстрахования? Стоит ли ожидать резкого роста?
Сергей Логашин: Киберстрахование представляет собой один из методов управления остаточным риском, когда уже внедрены все необходимые меры защиты, но вероятность успешной атаки всё ещё сохраняется. С одной стороны, российский рынок обсуждает услуги страхования киберрисков уже более десяти лет, и ряд игроков активно их продвигает. С другой стороны, развитию мешают несколько факторов: отсутствие полной и открытой статистики по киберинцидентам, сложности в оценке уровня защищённости страхователей и выявлении истинных причин инцидентов, а также неочевидные и долгосрочные последствия кибератак, которые трудно прогнозировать.
Вероятно, стимулом для рынка могут стать законодательные инициативы. Например, Банк России уже готов обсуждать принципы вменённого страхования от киберрисков, а повышение ответственности за утечки персональных данных и инциденты на объектах КИИ способно дополнительно подстегнуть спрос. Однако в текущей экономической ситуации сложно гарантировать однозначный успех какого-либо направления — многие компании сегодня предпочитают экономить на необязательных расходах.
CNews: Какие защитные решения и технологии, по вашему мнению, обладают наибольшим потенциалом и будут активно развиваться в ближайшие годы?
Сергей Логашин: Несомненный тренд последних трех лет — это системы ИИ, которые теперь активно используются как злоумышленниками, так и защитниками. Однако, как и прежде, хакеры не связаны никакими юридическими ограничениями, и их задача сегодня может заключаться в создании правильного промпта и обходе защитных барьеров ИИ (например, с помощью выдуманной истории о проведении разрешенного пентеста). Это кардинально снижает порог входа в киберпреступность для новичков — по сравнению с моделью MaaS (malware-as-a-service, «Вредоносное ПО как услуга»), которая также сделала кибервзломы более доступными 10 лет назад, системы ИИ предоставляют хакерам гораздо более опасные и мощные инструменты.
Уже сегодня ИИ успешно выявляет уязвимости в огромном числе ключевых продуктов. Например, модель Claude Mythos от Anthropic уже нашла тысячи опасных уязвимостей в продуктах крупных зарубежных вендоров, и даже страшно представить, что случится, когда такие мощные системы станут доступны атакующим. Кроме того, ИИ-агенты, управляемые MCP-сервером, могут интегрироваться с различными хакерскими инструментами и выполнять сложные атаки с вымогательством и шифрованием данных практически в автономном режиме — от злоумышленника требуется, условно говоря, только ввести адрес своего криптовалютного кошелька, на который жертвы будут отправлять выкуп, а все остальное делает ИИ.
Очевидно, что адекватный ответ на такие угрозы возможен только с использованием ИИ на «светлой» стороне. Именно поэтому внедрение систем ИИ в различные защитные решения можно только приветствовать, а также ожидать, что именно такие СЗИ будут востребованы и актуальны уже в самое ближайшее время.
