Сергей Демидов, директор по ИБ Мосбиржи: Безопасность — это творчество. А творить под давлением не получается
Сфера информационной безопасности в России в настоящее время является одной из наиболее строго регулируемых. На слуху масштабные государственные меры против мошенничества, ограничения в работе популярных мессенджеров, значительные штрафы и усиление персональной ответственности руководителей ИБ за компрометацию персональных данных. О том, как профессиональное сообщество воспринимает эти изменения, в беседе с CNews рассказал Сергей Демидов, заместитель председателя правления по информационной безопасности Московской биржи.
«Мы используем ограниченный набор средств защиты, в то время как хакеры не имеют никаких ограничений»
CNews: Какие, на ваш взгляд, проблемы в области информационной безопасности сейчас являются наиболее актуальными для российского финансового сектора?
Сергей Демидов: С 2025 года мы работаем исключительно с отечественными средствами защиты информации. В минувшем году большинство организаций осуществляли переход на российское программное обеспечение, чтобы к 1 января выполнить требования по импортозамещению на объектах критической информационной инфраструктуры в соответствии с указом Президента №250.
По моей оценке, это привело к неравным условиям. Мы вынуждены оперировать ограниченным перечнем защитных решений из реестра ФСТЭК, в то время как наши противники не скованы подобными рамками. Те, кто планирует атаки, и те, кто в них заинтересован, имеют в своём распоряжении гораздо более широкий спектр инструментов. Они размышляют о том, как обнаружить уязвимость и проникнуть в систему, а я — о том, каким способом они будут атаковать. Чем квалифицированнее и изобретательнее специалисты по ту сторону, тем более обширным арсеналом оборонительных технологий должен располагать и я.
Также стоит осознавать, что инструменты для атак всегда являются вторичными по отношению к средствам обороны. Многие сканеры и методы, применяемые злоумышленниками, создаются теми же фирмами, что специализируются на защите. Глобальные вендоры вкладывают десятки миллиардов долларов в разработку систем защиты информации (СЗИ). В нашей же стране рынок довольно ограничен, и лишь единицы организаций способны выделять значительные средства на их изучение: на всю Россию насчитывается буквально 2–4 компании-разработчика СЗИ, инвестирующих миллиарды рублей в исследования и разработки.
На данный момент, по состоянию на декабрь текущего года, кажется, что заметных прорывов именно в области средств информационной защиты от российских производителей не наблюдается. Во всех случаях успешных кибератак присутствовал целый комплекс обстоятельств, которые привели злоумышленников к цели. При этом нельзя утверждать, что попадание средства защиты в официальный реестр гарантирует полную безопасность от любых угроз.
Российские разработчики СЗИ ограничены масштабами своего бизнеса: они не всегда способны действовать столь же эффективно и быстро, как крупные зарубежные поставщики.
Ситуацию усугубляет то, что, согласно отчетам Минфина и Банка России, темпы экономического роста замедляются, что неизбежно отразится и на развитии сферы информационной безопасности.
CNews: Получается довольно парадоксальная тенденция — ведь переход на российские средства защиты был призван повысить уровень безопасности. А вышло, что мы сами себя ограничили.
Сергей Демидов: Вопрос в том, с какой точки зрения на это посмотреть. Безусловно, в определенный момент и государство, и мы, как отрасль, стали с подозрением относиться к иностранным решениям. Покупая зарубежное программное обеспечение с миллионами строк кода, нельзя исключать наличие в нем скрытых функций, вплоть до механизмов самоуничтожения. Коллеги из промышленного сектора делились примерами, когда именно по этой причине выходило из строя оборудование.
В этом контексте никто не сомневается, что переход на отечественные разработки был верным шагом. Но теперь важно понять, какие шаги предпринять дальше.
CNews: Если в целом оценивать рынок отечественных продуктов, какие на нем сейчас существуют пробелы? Чего не хватает компаниям?
Сергей Демидов: Если говорить о насыщенности рынка, то практически в каждой категории решений представлен целый ряд продуктов. Зачастую их очень много, но реально рабочих прототипов, готовых к внедрению, из условных 50 позиций в реестре ФСТЭК окажется лишь два или три.
Что касается конкретных категорий, наибольшие сложности возникают с высоконагруженными межсетевыми экранами нового поколения (NGFW): их тестировали в конце прошлого года в индустриальном центре компетенций «Финансы». На сегодня есть пара условно перспективных решений, мы уже ведем с ними работу, но пока не все функциональные вопросы окончательно проработаны.
Возьмем, к примеру, решения для VPN — технологии, необходимой сотрудникам для удаленного доступа к корпоративной инфраструктуре. Зарубежные аналоги обладали базовой функциональностью, позволявшей оценивать уровень защищенности компьютера, на котором они установлены. У нас подобного готового инструментария нет. Его можно скомпоновать из различных продуктов, однако такая сборка работает менее эффективно и порождает дополнительные риски. По словам производителей, запросы на подобные инструменты можно пересчитать по пальцам, поэтому их разработка экономически не оправдана.
Или рассмотрим системы управления правами доступа — изначально в реестре было одно решение, сейчас их стало больше. Однако среди них нет достаточно качественного продукта, который можно было бы полноценно внедрить в крупной компании с множеством информационных систем.
И если углубляться в анализ каждого класса решений, то постоянно приходится искать баланс между переходом на отечественное программное обеспечение и сохранением должного уровня безопасности организации.
CNews: Изменился ли ландшафт киберугроз за прошедший год? Кажется, ситуация несколько улучшилась, если, конечно, не учитывать инцидент с известным российским авиаперевозчиком, инфраструктура которого была взломана…
Сергей Демидов: Оценки происходящего различаются у разных ведомств. Я принимал участие в рабочих группах Совета Федерации, где коллеги приводили цифру в 200 млрд рублей, похищенных мошенниками у россиян в текущем году. И эта сумма превышает показатель прошлого года.
Мы наблюдаем, что количество случаев сканирования и попыток атак на инфраструктуру сократилось примерно на 30% по сравнению с предыдущим периодом. Однако сами атаки эволюционируют. В своих отчетах аналитики по информационной безопасности отмечают значительные изменения в тактике продвинутых хакерских группировок. Вероятно, они получают финансирование от недружественных России государств или, как сейчас принято говорить, от элит этих стран. Им ставят конкретные цели. Поэтому после изучения каждого подобного отчета мы проводим учения на собственной инфраструктуре.
Рынок отсеивает наиболее уязвимых игроков, поэтому компании дополнительно инвестировали в базовый набор средств защиты, и очевидных уязвимостей почти не осталось. Наши оппоненты это осознают и не сидят сложа руки. Происходит одновременное развитие как угроз, так и средств защиты от них.
«Искусственный интеллект вскоре начнет массово создавать уязвимости “нулевого дня”»
CNews: Насколько активно в этих тактиках сегодня задействуется искусственный интеллект?
Сергей Демидов: Довольно активно. Во-первых, это дипфейки: всем знакомый сценарий «звонок от начальства».
Во-вторых, искусственный интеллект применяется в инструментах для атак. Злоумышленникам сложно оставаться незамеченными в инфраструктуре и проводить ее разведку. Сейчас разрабатываются средства, которые маскируются под что-то полезное или системное, чтобы не привлекать внимания. Такая адаптация и скрытое сканирование ниже «уровня обнаружения» уже могут осуществляться с помощью алгоритмов ИИ. Обычно мы быстро выявляем сканирование инфраструктуры и блокируем его. В случае использования ML-алгоритмов сделать это значительно сложнее.
Помимо этого, существуют инструменты, позволяющие злоумышленникам использовать обнаруженные уязвимости, выискивая слабые места в уже выявленных пробелах защитных систем. Речь идет не о простых LLM, создающих забавные картинки, а о полноценных хакерских ассистентах, помогающих быстрее и результативнее проникнуть внутрь. Таким образом формируется плацдарм для осуществления атаки.
В-третьих, искусственный интеллект задействуется как для обнаружения, так и для создания уязвимостей «нулевого дня», когда у специалистов по безопасности нет времени на подготовку. В начале года случилось прорывное событие: в языковую модель загрузили информацию об известных уязвимостях и поручили на их основе сгенерировать новую, ранее неизвестную. Модель предоставила рабочую уязвимость, пригодную для проведения атаки. Затем наступила пауза, однако исследования в этой области продолжились.
Учитывая скорость роста осознанности моделей, вскоре может наступить эра массовой генерации уязвимостей «нулевого дня». Только представьте: вместо одной такой уязвимости в какой-то момент их может стать 10, 100, 1000…
CNews: То есть, в скором времени ИИ сможет предоставлять хакерам целую «дорожную карту»…
Сергей Демидов: Вполне возможно. Однако информационная безопасность — это область постоянного противоборства. Мы также активно вкладываемся в LLM, которые способны выявлять аномалии даже при нестандартных атаках. Например, если системный файл, не предназначенный для сетевого взаимодействия, вдруг начинает проявлять признаки работы с сетевыми устройствами, он будет помечен как подозрительный, даже пройдя все стандартные проверки.
Еще одно направление — ИИ-ассистенты. В нашей группе компаний действует система MOEX Insight AI, помогающая сотрудникам автоматизировать рутинные операции. У специалистов SOC (Центра мониторинга безопасности) также есть алгоритм, позволяющий ранжировать события внутри периметра сети по степени важности для внимания аналитиков. Учитывая, что таких инцидентов ежедневно возникает более 30 тысяч, расстановка приоритетов помогает меньше отвлекаться на события, которые формально могут казаться подозрительными, но на деле являются всего лишь «информационным шумом».
CNews: Вы разрабатываете такие средства защиты с ИИ собственными силами или привлекаете подрядчиков?
Сергей Демидов: Стратегия нашей группы включает развитие инструментов на основе искусственного интеллекта. Мы интегрируем их в рабочие процессы сотрудников; они помогают инвесторам работать с финансовой информацией биржи и проводить ее анализ.
Поэтому подобные продукты мы развиваем самостоятельно — здесь крайне важна внутренняя экспертиза на стыке искусственного интеллекта, информационной безопасности и финансовой сферы. Это не означает, что мы пишем все с нуля сами; скорее, речь идет о насыщении этих моделей данными и их тонкой настройке под наши специфические задачи. Этим занимается наш внутренний центр компетенций.
CNews: Расскажите, какой стратегии в сфере кибербезопасности придерживается Московская Биржа и как она менялась в последнее время?
Сергей Демидов: По своей сути биржа во многом является IT-компанией, так как свыше половины сотрудников — это специалисты в области информационных технологий. Наша стратегия в сфере информационной безопасности дополняет и поддерживает общие бизнес-стратегии и планы IT-подразделения. Она разработана на перспективу до 2028 года и включает пять ключевых направлений.
Первое касается перехода на отечественные средства защиты информации, о чем я уже упоминал.
Второе направление — нормативное регулирование. Не для кого не секрет, что сфера информационной безопасности на финансовом рынке является одной из самых строго регламентированных, даже в сравнении с традиционным комплаенсом, что подтверждается огромным массивом требований — у нас их насчитывается более тысячи. Поскольку наша деятельность в области защиты данных регулируется Центральным Банком, а в части криптографии — ФСБ, для нас критически важно, чтобы разрабатываемые продукты не только пользовались спросом и были экономически целесообразны, но и полностью соответствовали сложным технологическим нормативам. Пока что радикальных изменений в регулировании не произошло. Однако мы обязаны учитывать новые правила и помогать рынку их выполнять, ведь биржа объединяет и участников торгов, и брокеров, и банки, и страховые компании. Фактически, весь финансовый сектор.
Третья составляющая нашей стратегии связана с формированием новой культуры информационной безопасности среди сотрудников, которая должна быть неотъемлемой частью общей корпоративной культуры. Мы стремимся к тому, чтобы люди не просто были вовлечены в процесс, но и осознавали ценность ИБ и свою личную роль в создании безопасной среды. Крайне важно, чтобы сотрудник, получивший, например, подозрительный «звонок от руководства», в первую же минуту отправил нам скриншот. Только так мы сможем оперативно среагировать на угрозу, а в случае развития атаки внутри сети — изолировать затронутый сегмент. Это масштабная работа по изменению культуры, поскольку она не меняется мгновенно, по одному лишь приказу или с помощью разовых информационных материалов.
Четвертый блок стратегии — это непрерывная проверка гипотез с учетом стремительного развития инструментов искусственного интеллекта. Сегодня процесс выглядит так: мы быстро выдвигаем гипотезы, что-то внедряем в промышленную эксплуатацию, что-то откладываем или отправляем в бэклог. Возможно, через квартал технологии шагнут вперед, и тогда задача найдет свое решение.
И, наконец, пятый блок, который стал особенно актуальным в этом году: оценка эффективности инвестиций в информационную безопасность. На сегодняшний день ни в России, ни в мире не существует готовых методологий, позволяющих точно определить, насколько эффективна закупка того или иного средства защиты. В условиях текущего регулирования можно обосновать практически любой объем инвестиций, при этом многие решения приносят минимальную практическую пользу. Поэтому необходим подход, который позволит измерять их реальную отдачу.
Мы планируем разработать фреймворк, который поможет моделировать объем вложений в инфобезопасность в рамках общей финансовой модели компании.
CNews: На каком уровне находятся инвестиции Мосбиржи в киберзащиту в настоящее время?
Сергей Демидов: Мы не раскрываем точные цифры, так как являемся публичной организацией. Однако существуют международные ориентиры, согласно которым вложения в информационную безопасность должны составлять примерно 8–10% от общих инвестиций в ИТ. В 2024 году мы активизировали переход на отечественные продукты, что потребовало повышенных расходов, но в целом мы следуем указанному принципу.
CNews: По данным за 2024 год, Россия занимает девятое место в мире по объёму затрат на кибербезопасность. Понятно, что расходы не тождественны результативности, но насколько этот уровень соответствует существующим угрозам?
Сергей Демидов: Здесь необходимо учитывать последствия президентского указа, обязавшего перейти на российские средства защиты информации до 1 января 2025 года. Поскольку весь финансовый сектор относится к критической информационной инфраструктуре (КИИ), возникший «пик» инвестиций связан именно с выполнением этих требований. Вероятно, в 2025 году эта тенденция сохранится: некоторые не уложились в сроки, другие только завершают закупки и так далее. Но в целом производители средств защиты уже наблюдают спад инвестиций, что для них критично. Помимо роста цен, они мало что могут противопоставить этой ситуации из-за ограниченности рынка.
CNews: Кажется, для отстающих сроки перенесли до 2028 года, установив отдельные дедлайны для разных категорий решений.
Сергей Демидов: Я бы не назвал это переносом, скорее, наоборот. 2028 год появился не как отсрочка, а как расширение перечня объектов КИИ. Фактически у компаний осталось около двух лет — даже меньше, чем было предоставлено госкомпаниям, попавшим под импортозамещение в 2022 году.
Стимулировать спрос возможно лишь регуляторными мерами, когда государство мягко поощряет закупки. Оно расширяет зону защиты и повышает уровень инвестиций компаний, в том числе финансового сектора, в отечественные разработки, помогая производителям привлекать дополнительные средства. Однако это не может продолжаться бесконечно.
Допускаю, что рынок ждёт консолидация, либо будет достигнуто соглашение о допуске на него зарубежных игроков из дружественных стран, которые, в свою очередь, откроют доступ для наших разработчиков. Так или иначе, в ближайшие годы мы увидим результат.
CNews: Как вы оцениваете предложения об усилении личной ответственности руководителей по информационной безопасности за утрату данных?
Сергей Демидов: Когда перед государством возникает определённая угроза, инструментов для реагирования у него не так много: обычно это либо ужесточение контроля в сфере, либо повышение строгости санкций.
Однако защита информации — это область постоянного противостояния, где успех зависит от умения выстраивать эффективную оборону и разрабатывать методы отражения угроз. Отчасти это творческий процесс. А творить под гнётом наказания невозможно — никуда не исчезнет страх перед тюремным сроком, увольнением, потерей должности и карьерными перспективами. Психология человека такова, что под угрозой санкций способность к инновациям блокируется. На мой взгляд, необходимо продолжать обсуждение с регулирующими органами. Это мнение разделяют многие представители профессионального сообщества.
Следует учитывать, что вузы и так не справляются с подготовкой достаточного числа специалистов. Ежегодный спрос на них увеличивается быстрее, чем выпуск профильных факультетов. К тому же, многие уходят в сферу ИТ, поскольку информационная безопасность не выглядит столь привлекательно — у нас нет возможности работать на ультрасовременных компьютерах в расслабленной обстановке. Безусловно, мы работаем над улучшением имиджа работодателя, создаём комфортные условия, предлагаем увлекательные проекты, чтобы область ИБ не воспринималась как скучная и консервативная. Но угроза уголовного преследования создаёт дополнительную нагрузку на отрасль, ещё больше затрудняя привлечение новых кадров.
В последней редакции обсуждаемой инициативы наказание предусмотрено за преднамеренные и осознанные действия конкретного сотрудника. Я рассчитываю, что уголовная ответственность будет применяться исключительно в ситуациях, когда лицо умышленно похитило и распространило базу данных. И этот факт должен быть неопровержимо доказан.
CNews: На ваш взгляд, достаточно ли сегодня отрасль информационной безопасности взаимодействует с регуляторами, или этот диалог ещё не отлажен?
Сергей Демидов: Основная сложность — в множественности контролирующих инстанций. Для финансового сектора это и Банк России, и ФСБ, курирующая вопросы криптографии, и ФСТЭК, отвечающая за общие аспекты защиты. Роскомнадзор контролирует сферу персональных данных. Многие компании также сталкиваются с требованиями закона «О связи», поскольку наш бизнес отчасти связан с телекоммуникациями и обеспечением доступа для участников торгов. При избыточном регулировании предписания различных ведомств зачастую дублируют или противоречат друг другу.
Однако стоит осознавать, что в мировой практике отсутствуют удачные модели действенных «контролирующих инстанций». В Соединённых Штатах предпринималась попытка ввести должность «кибер-куратора», однако она не принесла ожидаемых результатов. Очевидно, что для государства ключевым является поддержание равновесия между разными институтами и процедурами.
В настоящее время положительно зарекомендовали себя технические комитеты, где заблаговременно анализируются поправки в законодательство. Например, в минувшем году активно дискутировались стандарты по защищённой разработке, крайне необходимые рынку для грамотной организации подобных процедур. В текущем году они уже интегрируются в нормативы для финансового сектора.
Таким образом, инструменты существуют — главное, чтобы в них активно включались. Наш опыт свидетельствует, что часто сложность заключается не в неготовности государства к диалогу. Рынок попросту не способен представить единую, чётко сформулированную позицию. Правки к проектам в технических комитетах вносят лишь 3–5 организаций, тогда как участников рынка насчитываются сотни.
CNews: А разве ассоциации не оказывают содействия? В теории, они должны выражать согласованную точку зрения.
Сергей Демидов: «Ассоциация Финтех» действует весьма активно, систематически собирая мнения компаний. Тем не менее, участие в работе технических комитетов также крайне значимо. Но многим это представляется бесполезной тратой ресурсов.
CNews: Каких именно изменений в нормативной базе, касающейся информационной безопасности, вы лично ожидаете в ближайшее время?
Сергей Демидов: Сфера информационной безопасности уже перегружена регламентами. Скорее, нам требуется «регуляторная гильотина». И желательно, чтобы отрасль также принимала в этом деятельное участие.
Было бы правильно устранить повторяющиеся предписания, чётко разграничить их по направлениям регулирования, чтобы одна система не подпадала одновременно под три разных законодательных акта: о персональных данных,
критической информационной инфраструктуре и финансовой деятельности (в части стандартов операционной устойчивости).
Сегодня стоит задача не только обеспечить безопасность, но и дать импульс развитию высокотехнологичных сегментов: финтеха, регтеха, лигалтеха. Их представители уже на начальном этапе сталкиваются с обилием норм и необходимостью «приведения в соответствие». Стартапы вынуждены расходовать на это собственные средства и инвестиции, что в итоге подрывает их бизнес-модель.
Важно помочь им добиться успеха, это способно породить инновационные продукты и даже целые новые отрасли. Среди подобных механизмов существуют «регуляторные песочницы». Однако и они функционируют не столь быстро. С точки зрения регулирования им необходима поддержка. Надеюсь, мы к этому придём.
