Руслан Ложкин из Абсолют Банка: Многие организации не стремятся раскрывать реальное состояние своей защиты
Проблемы кибербезопасности сохраняют свою важность, особенно для финансовых институтов. Многие фирмы, которые в спешке, на волне срочного импортозамещения, внедрили средства защиты, теперь испытывают трудности с их расширением и устойчивостью. В более выгодном положении оказались те, кто с самого начала выбирал надежные и отработанные решения. О том, как организована защита от киберугроз в одном из ведущих банков России, рассказал Руслан Ложкин, руководитель департамента кибербезопасности Абсолют Банка.
CNews: Каковы, на ваш взгляд, итоги 2025 года? Что нового произошло в сфере кибербезопасности в России и мире?
Руслан Ложкин: Минувший год отметился серией масштабных инцидентов в российской торговле и на транспорте, однако общий рост числа атак был скорее постепенным.
Стоит вспомнить, что в начале 2022 года инфраструктура в России столкнулась с массовыми несистемными атаками хактивистов, которые публично координировали использование известных уязвимостей, взломы сайтов и DDoS-атаки через социальные сети и мессенджеры. Российский бизнес, неожиданно лишившись поддержки ушедших иностранных поставщиков, быстро усилил свою оборону, и легкие цели для злоумышленников вскоре иссякли, что заставило их перейти к более тщательно спланированным операциям.
В настоящее время масштабные взломы проводятся высокопрофессиональными злоумышленниками, обладающими значительными ресурсами, — это финансово заинтересованные хакеры, государственно-поддерживаемые APT-группы и кибернаёмники, работающие по заказу спецслужб или коммерческих соперников. Последствиями таких атак становятся утечки и блокировка данных, уничтожение информации и нарушение работы инфраструктуры, остановка бизнес-операций, репутационный ущерб, потеря клиентов и рост социального недовольства. Косвенно это ведёт и к дестабилизации национальной экономики, поскольку расходы на последствия кибератак — включая штрафы, выплаты клиентам, затраты на ликвидацию инцидентов, внедрение новых средств защиты и выполнение ужесточаемых регуляторных норм — российские компании вынуждены перекладывать на потребителей или государственный бюджет.
В глобальном пространстве кибербезопасности продолжают действовать группировки преступников, которые похищают информацию и требуют выкуп за её сохранение в тайне, расшифровку или восстановление доступа к системам. Злоумышленники активно используют модель «киберпреступность как услуга», которая включает предоставление по подписке фишинговых конструкторов, шифровальщиков и троянов удалённого доступа, услуги брокеров первоначального доступа, заказные DDoS-атаки, а также платный доступ к злонамеренным алгоритмам искусственного интеллекта.
В целом, на безопасность цифровой среды сегодня решающее влияние оказывает геополитическая обстановка. Наиболее опасные и разрушительные атаки осуществляются хакерами, действующими под покровительством различных государств, которые используют похищенные средства, научные наработки и личные данные граждан для дальнейшего обострения конфликтов. В результате вопросам кибербезопасности стало уделяться повышенное внимание со стороны высшего руководства на государственном и корпоративном уровне практически во всех странах, включая, безусловно, Россию.
CNews: Какие проблемы и цели стоят перед сферой информационной безопасности в банковской отрасли? С какими современными угрозами сегодня сталкиваются крупные коммерческие банки?
Руслан Ложкин: Российский банковский сектор опережает другие по степени цифровизации и до сих пор признаётся одним из наиболее развитых в мире. Несмотря на высокий уровень киберзащиты и отлаженные процессы управления киберрисками, российские банки продолжают оставаться мишенью для атак, хотя в последнее время реже, чем ИТ-компании, телекоммуникационный сектор, промышленность и государственные структуры. Кроме того, отечественный банковский сектор можно отнести к числу наиболее жёстко регулируемых — существуют требования по защите платёжной информации, банковской тайны, персональных данных, безопасности объектов критической информационной инфраструктуры, а также действуют строгие стандарты (серия ГОСТ 57580) и нормативы Банка России (разнообразные положения, приказы, указания). Именно эти три фактора — зависимость от стабильности ИТ-инфраструктуры, сложный ландшафт угроз и необходимость соответствия регуляторным нормам — формируют ключевые задачи для банков в условиях импортозамещения, нехватки квалифицированных кадров и замедления экономического роста.
Банковский сектор сегодня сталкивается с новыми вызовами: атаками через цепочки поставщиков и подрядчиков, необходимостью защиты конвейеров разработки (CI/CD) и внутренних DevOps-платформ, мошенничеством и фишингом с применением технологий глубоких подделок и искусственного интеллекта, а также обеспечением безопасности формирующейся ИИ-инфраструктуры в финансовых организациях (разнообразные ассистенты, чат-боты, банковские ИИ-агенты).
Не менее важной задачей является защита клиентов, которые в первую очередь страдают от мошеннических схем и вредоносного программного обеспечения на своих устройствах. В итоге, центральными элементами защиты для банков становятся инструменты управления киберинцидентами и угрозами (системы EDR/XDR, SIEM, SOAR, TIP), обнаружения аномалий (UEBA), предотвращения утечек данных (DLP) и антифрод-решения. В условиях дефицита квалифицированных кадров критически значимой становится автоматизация базовых процессов информационной безопасности, включая управление активами, уязвимостями, конфигурациями и изменениями, а также роботизация контроля соответствия требованиям, что особенно актуально именно для банковской отрасли.
CNews: Импортозамещение в последние годы было одним из ключевых драйверов развития отечественной сферы кибербезопасности. Как обстоят дела сейчас?
Руслан Ложкин: В нашем банке в течение последних лет активно реализовывались проекты по импортозамещению. Так, в 2022 году мы перешли с Blue Coat Proxy SG на Solar webProxy, интегрированный с DLP-системой Solar Dozor. В 2023 году был завершён проект по замене ядра нашего SOC — система Micro Focus ArcSight была заменена на MaxPatrol SIEM. А в 2024 году мы осуществили переход с PAM-решения One Identity Safeguard на отечественный продукт Indeed PAM.
Безусловно, импортозамещение дало толчок развитию защитных решений, однако сегодня формальное соответствие идее цифрового суверенитета уступает место более прагматичному подходу. Требуется реально действующая, результативная система кибербезопасности и эффективные средства защиты.
Вакуум, образовавшийся после ухода зарубежных продуктов в 2022 году, был поспешно заполнен российскими решениями разного уровня зрелости. К настоящему моменту часть из них развилась в полноценные системы, а часть — покинула рынок, оставив своих клиентов в уязвимом положении. Поспешно внедрённые незрелые защитные решения уровня MVP сами могут стать слабым звеном и точкой отказа всей инфраструктуры. Поэтому для всей отрасли было бы полезно проводить независимые открытые сравнения различных средств защиты информации по функциональности, с демонстрацией реальных возможностей и нагрузочным тестированием в условиях, приближенных к эксплуатационным — это помогло бы заказчикам принимать более обоснованные решения.
Приятно отметить, что ряд российских систем защиты активно развивался и до 2022 года, составляя достойную конкуренцию известным западным производителям на свободном рынке. Эти решения сегодня имеют функционал, апробированный в реальных условиях, и солидный опыт внедрений, а их пользователи могут предоставить рекомендации, основанные на многолетней эксплуатации. К таким продуктам относятся недавно внедренные в АКБ «Абсолют Банк» платформы Security Vision для управления инцидентами информационной безопасности (SOAR), активами (AM), уязвимостями (VM), а также для взаимодействия с АСОИ ФинЦЕРТ Банка России (модуль FinCERT).
CNews: Атаки на цепочки поставок и контрагентов перестали быть редкостью и стали обычным делом. Какие меры противодействия следует применять?
Руслан Ложкин: Это правда. Злоумышленники в последнее время осознали, что прямые атаки на хорошо защищенные компании часто неэффективны, и стали искать обходные пути — через партнеров, поставщиков, обслуживающие организации, интеграторов, компании холдинга и других контрагентов. Проверки контрагентов на финансовую устойчивость и надежность уже стали стандартной практикой, однако оценка состояния их систем информационной безопасности пока только набирает обороты и сталкивается с трудностями. Не все организации готовы нести юридическую ответственность за возможные киберинциденты, раскрывать достоверные данные о своей защищенности и, тем более, соглашаться на внешний аудит ИБ или тестирование на проникновение.
Вследствие этого, вредоносное программное обеспечение может проникнуть в инфраструктуру под видом легального обновления от взломанного поставщика, корпоративные данные могут быть похищены из систем подрядчика, а через настроенные каналы удаленного доступа злоумышленники способны переместиться из слабо защищенной дочерней компании в головную организацию. Положение усугубляется тем, что в условиях нехватки специалистов и экономического давления даже крупные игроки все чаще отказываются от формирования внутренней экспертизы в пользу моделей аутсорсинга или аутстаффинга, обращаясь к сторонним поставщикам продуктов и услуг, которые, в свою очередь, могут работать в недостаточно защищенной среде, используя ненадежные и потенциально скомпрометированные устройства. Возвращаясь к вопросу срочного импортозамещения, дополнительную тревогу вызывают поставщики, неожиданно возникшие в 2022-2023 годах, но так и не ставшие зрелыми игроками: у таких вендоров может попросту не быть ресурсов для обеспечения собственной кибербезопасности и защиты процессов разработки программного обеспечения.
Меры противодействия, как правило, подразделяются на административные и технологические. Во-первых, уже сегодня в приказе №117 ФСТЭК России указано, что сторонние организации, допущенные к конфиденциальным данным, обязаны соблюдать требования информационной безопасности их владельца, в том числе внедрять мероприятия, соответствующие классу защищенности ИТ-системы. Во-вторых, недопустим формальный подход с заполнением опросных листов «по умолчанию»: от возможных партнеров необходимо получать документальные доказательства соблюдения правовых норм и корпоративных стандартов ИБ заказчика, заключать юридически обязывающие соглашения о разделении ответственности при кибератаках или оформлять киберстрахование, проводить практические оценки защищенности (аудиты, тесты на проникновение, упражнения Red Team) с контролем исправления найденных недочетов и брешей.
С технологической стороны требуется многофакторная идентификация, системы привилегированного доступа (PAM), контролируемый доступ (conditional access) с анализом безопасности соединения (posturing), сетевая микросегментация (как минимум обособление сегментов jump-серверов, тестовых и промежуточных сред), а также ограничение работы подрядчиков только с обезличенными или токенизированными данными. Для наибольшей эффективности в своей инфраструктуре стоит внедрить архитектуру нулевого доверия (Zero Trust), а ключевых исполнителей можно подключить к наблюдению в корпоративном центре мониторинга безопасности (SOC), если их собственных возможностей по обеспечению ИБ недостаточно.
CNews: В течение последних одного-двух лет вопросами кибербезопасности стал активно интересоваться малый и средний бизнес, сталкивающийся с нехваткой бюджета и специалистов. На какие задачи в сфере ИБ следует в первую очередь обратить внимание представителям МСП?
Руслан Ложкин: При ограниченных ресурсах и масштабах деятельности разумно сфокусироваться на фундаментальных процессах информационной безопасности, таких как учет активов и контроль уязвимостей — они до сих пор редко реализуются в полной мере, несмотря на их необходимость даже для базового уровня защиты. Следующим шагом может стать обучение сотрудников основам ИБ, а также построение систем управления инцидентами, соответствием требованиям и обеспечением непрерывности бизнеса. Все эти процедуры желательно максимально автоматизировать с самого начала — применять решения для управления активами (AM) и уязвимостями (VM), а по мере развития внедрять уже SIEM, SOAR, SGRC, параллельно не упуская из виду защиту рабочих станций, данных, почтовой переписки и веб-трафика.
Многие малые и средние предприятия предпочитают подписной формат для ИТ- и информационно-безопасностных сервисов: облачные ресурсы, защиту от DDoS-атак и готовый WAF от поставщика, облачное резервирование данных, контроль атакуемой поверхности и уязвимостей инфраструктуры, а также услуги MSS/MDR-провайдеров и коммерческих SOC-центров. У этой модели есть очевидные плюсы: оперативное подключение и возможность масштабирования, доступ к экспертизе крупных компаний в сфере ИБ, операционные расходы (OPEX) и измеримые итоги. Однако существуют и недостатки: делегирование процессов ИБ внешнему исполнителю само по себе несёт риски, сторонняя организация будет работать с конфиденциальной корпоративной информацией, а концентрация кибербезопасности бизнеса на одном сервисе и поставщике создаёт дополнительную зависимость и уязвимость.
CNews: В АКБ «Абсолют Банк» уже 15 лет работает SOC-центр. Как он справляется с потоком киберинцидентов?
Руслан Ложкин: АКБ «Абсолют Банк» входит в тридцатку крупнейших российских банков по активам и капиталу, что обязывает нас обеспечивать кибербезопасность клиентов и банковских систем, в том числе через управление киберинцидентами. В 2010 году прежней командой ИБ банка был организован SOC на основе SIEM-платформы ArcSight ESM, объединившей источники событий во всех региональных отделениях. На тот момент это был один из самых масштабных центров мониторинга в Восточной Европе и среди первых SOC в России.
Как известно, SOC — это сочетание специалистов, процессов, технологий и данных, а трансформация угроз, инфраструктуры и бизнес-процессов банка ведёт к эволюции этих составляющих. Поэтому мы перешли от SMS-уведомлений о новых случаях и обработки алертов в Jira к системе автоматизированного реагирования на киберинциденты, которую недавно построили на платформе Security Vision с использованием модулей SOAR, AM, VM, FinCERT. В ходе внедрения была выполнена серия интеграций, включая настройку взаимодействия Security Vision SOAR с MaxPatrol SIEM и DLP-системой Solar Dozor для ускорения расследования инцидентов, а также обмен сведениями об уязвимостях между Security Vision VM и MaxPatrol VM. Модуль Security Vision FinCERT был настроен для загрузки фидов ФинЦЕРТ, проверки корректности получения данных и оперативного применения индикаторов от Банка России. Специалисты Security Vision разработали в SOAR процессы обработки инцидентов с учётом организационных особенностей нашего SOC, а благодаря интуитивному графическому редактору no-code мы теперь можем самостоятельно адаптировать все рабочие процедуры в системе.
Платформа Security Vision совершенствуется свыше десятилетия, прошла проверку в условиях реального киберпротивостояния, в том числе в большинстве крупнейших финансовых структур страны, и способна значительно сократить нагрузку на специалистов SOC-центра АКБ «Абсолют Банк». Динамические плейбуки Security Vision SOAR самостоятельно подстраиваются под параметры конкретного инцидента, что обеспечивает эффективный ответ на новые виды угроз.
При выборе отечественного продукта для нас ключево, чтобы он был не только стабильным и отработанным, но и обладал возможностями API-взаимодействия и протоколами интеграции с другими средствами защиты. Эти функции в полной мере представлены в решениях Security Vision.
CNews: Утечки данных могут происходить как из-за умышленных, так и из-за случайных действий персонала. Как бороться с «сливами» информации?
Руслан Ложкин: Сегодня в компаниях целесообразно внедрять дата-центричную модель кибербезопасности: независимо от места и формата хранения данных (конечные устройства, электронная почта, файловые серверы, облачные среды, NoSQL-базы, Data Lake и др.), критически важно автоматически классифицировать создаваемые объекты, отслеживать пути перемещения конфиденциальных сведений и реагировать на случайную или намеренную утечку не после факта, а выявлять предпосылки и действовать на опережение.
Для обнаружения аномалий в поведении учетных записей и устройств можно задействовать UEBA-решения или аналитические модули DLP-систем, а также контролировать цепочки подозрительных действий пользователей, которые могут сигнализировать о подготовке к «сливу» — например, нетипичные поисковые запросы, обращение к несвойственным файловым ресурсам, попытки обойти DLP и найти слабо контролируемые каналы передачи данных.
Стоит отметить, что многие современные DLP-системы успешно справляются со случайными утечками. Однако целенаправленно внедренный инсайдер может пытаться обойти защитные механизмы, а сотрудники — вступить в сговор с киберпреступниками, быть завербованы или по собственной инициативе помогать злоумышленникам. Поэтому важна системная работа с персоналом (проверка кандидатов, мониторинг психоэмоционального состояния, выявление деструктивных намерений, обучение по информационной безопасности). Кроме того, программы-вымогатели зачастую используют методы поиска конфиденциальной информации для её последующего извлечения и требования выкупа, поэтому применение систем защиты данных может помочь обнаружить действия кибервымогателей ещё на этапе сбора информации и тем самым предотвратить дальнейшие последствия (шифрование, уничтожение данных).
CNews: Злоумышленники всё чаще используют ИИ для масштабирования и автоматизации всей атакующей цепочки. Что можно им противопоставить?
Руслан Ложкин: Применение искусственного интеллекта злоумышленниками стало ключевой тенденцией последних нескольких лет. Изначально киберпреступники с помощью нейросетей лишь составляли безупречные с точки зрения языка и стиля фишинговые письма, затем перешли к созданию голосовых и видеодипфейков, а после стали задействовать ИИ для обнаружения уязвимостей и проверки сценариев атак. Сегодня метод «vibe hacking» позволяет злоумышленникам создавать вредоносный код, обходя встроенные защитные ограничения больших языковых моделей с помощью специальных техник промптинга и взлома. Отдельные атакующие уже реализуют с использованием ИИ полный цикл кибернападения: от первоначального взлома до анализа инфраструктуры, хищения конфиденциальных данных и определения суммы выкупа, исходя из ценности информации и финансовых возможностей пострадавшей компании.
Возможности ИИ-инструментов дают злоумышленникам возможность наращивать масштабы деятельности и значительно снижают входной барьер в криминальную сферу. Противостоять «теневому» ИИ способен лишь ИИ «светлый»: защитные платформы оснащаются интеллектуальными помощниками, которые предлагают алгоритмы настройки систем безопасности или реагирования на инциденты, а на основе автономных ИИ-систем уже формируются «автономные SOC» (или SOC нового поколения), где основные операции по наблюдению, выявлению и ответу на угрозы выполняются искусственными агентами.
CNews: Что бы вы хотели пожелать коллегам из индустрии в 2026 году?
Руслан Ложкин: Бум искусственного интеллекта может вызывать опасения или, напротив, воодушевлять, но очевидно одно — это уже не похоже на очередной технологический «пузырь». Развитие технологий происходит стремительно. Всего три года назад чатами на базе GPT почти не пользовались, а сегодня это один из ключевых рабочих инструментов. Поэтому критически важно направлять силу ИИ в позитивное русло — задействовать для автоматизации рутинных задач и обработки массивов данных, выполнения автономных операций в отсутствие эксперта и оперативного противодействия враждебным активностям. В наступающем 2026 году желаю коллегам уверенно осваивать передовые технологии, сохранять мотивацию, непрерывно развивать профессиональные навыки и изучать новое, а также внимательно относиться к своему физическому и эмоциональному благополучию.
■ Материал подготовлен при поддержкеerid:2W5zFJyjqCLОрганизация: ООО «Интеллектуальная безопасность»ИНН/ОГРН: 7719435412/5157746309518Официальный сайт: https://www.securityvision.ru/
