Роман Шапиро из «Почты России»: Действенных примеров применения искусственного интеллекта в сфере кибербезопасности пока не так много
«Почта России» обязана соблюдать наиболее строгие стандарты защиты информации. В этих условиях лишь автоматизация позволяет по-настоящему снизить влияние человеческого фактора на качество процессов ИБ и оперативно противостоять современным угрозам, которые стремительно распространяются. О применяемых решениях для защиты от кибератак, а также о том, может ли искусственный интеллект повысить уровень кибербезопасности, рассказал Роман Шапиро, возглавляющий Дирекцию информационной безопасности «Почты России».
CNews: Каким образом за последние три года изменилась стратегия «Почты России» в области кибербезопасности? С какими основными угрозами и проблемами сталкивается ваша компания в настоящее время?
Роман Шапиро: За прошедшие годы обстановка в российском цифровом пространстве значительно усложнилась и претерпела кардинальные изменения. Вместо противодействия стандартным кибератакам, обычным финансово заинтересованным злоумышленникам и относительно редким APT-атакам, нам теперь приходится противостоять хактивистам, профессиональным кибернаёмникам и государственно-ориентированным APT-группам. Эти противники стремятся похитить данные, разрушить инфраструктуру и нарушить работоспособность сервисов, что ведёт к финансовым и репутационным потерям, а также дестабилизирует экономику и общество.
Высокую активность проявляют и кибершпионы, которые применяют тактику длительного скрытного пребывания в compromised инфраструктуре для сбора наиболее важной информации (передовые разработки, интеллектуальная собственность, структура бизнес-процессов), а также кибервымогатели, целью которых является получение выкупа за расшифровку данных и хищение ценных сведений с последующим шантажом об их публикации.
Одновременно одни и те же злоумышленники могут ставить перед собой несколько задач: дестабилизировать деятельность компании по указанию спецслужб враждебных стран, похитить конфиденциальную информацию с целью получения выкупа, а впоследствии ликвидировать всю цифровую среду, включая резервные копии, чтобы причинить наибольший вред и осложнить расследование произошедшего, что также мешает идентификации атакующих.
В течение последних одного-двух лет внимание киберпреступников перешло от широкомасштабных атак общего характера к более сфокусированным и тщательно спланированным операциям, использующим целевой фишинг, эксплойты для уязвимостей Zero-day или N-day, атаки через цепочки поставок и отношения доверия с партнерами. В атаках также задействуются ресурсы, предлагаемые киберкриминальным рынком: услуги брокеров, предоставляющих первоначальный доступ, различные модели Malware-as-a-Service, распространяемые в даркнете данные инфостилеров, а также материалы утечек, размещённые на специализированных сайтах.
«Почта России» тесно интегрирована в национальную инфраструктуру и цифровую среду, поэтому для нашей организации актуальны все перечисленные киберугрозы. Особенностью бизнеса «Почты России» является его многогранность и разнообразный спектр оказываемых услуг, поэтому мы сталкиваемся с теми же проблемами, что и ведущие российские компании в сферах логистики, розничной торговли, промышленности, финансов и государственного управления.
Инфраструктура «Почты России» характеризуется значительными масштабами и широкой географической распределённостью — в нашем ведении 38 тысяч отделений, 11 логистических почтовых центров, 3 центра обработки данных и свыше 100 тысяч рабочих станций по всей стране, что в совокупности существенно расширяет потенциальные векторы атак. Учитывая текущую ситуацию в области киберконфликтов, напряжённую цифровую среду, а также указанные организационные и технические особенности нашей компании, можно с уверенностью сказать, что мы имеем дело с исключительно серьёзными киберугрозами и вызовами.
CNews: Автоматизация процессов информационной безопасности выглядит закономерным шагом в условиях высокой киберактивности и нехватки специалистов. Какие решения для автоматизации применяются в «Почте России»?
Роман Шапиро: В настоящее время экономика страны сталкивается с серьезной проблемой — нехваткой опытных специалистов. Особенно критична эта ситуация в сфере кибербезопасности, несмотря на активные шаги государства и бизнеса по привлечению в отрасль студентов и профессионалов из смежных областей. Сегодня становится ясно, что традиционный подход, основанный лишь на увеличении числа ИБ-специалистов, уже не способен гарантировать надежную защиту, особенно для крупных компаний с разнородной и распределенной инфраструктурой. Кроме того, время, в течение которого злоумышленники остаются незамеченными в скомпрометированных сетях перед нанесением существенного ущерба, сейчас может исчисляться буквально днями и даже часами. Если целью атаки является разрушение инфраструктуры или уничтожение данных, противники действуют стремительно и агрессивно, зачастую пренебрегая риском быть обнаруженными.
В современных реалиях лишь автоматизация позволяет снизить зависимость эффективности процессов информационной безопасности от человеческого фактора и оперативно противостоять быстротечным киберугрозам. Именно поэтому в «Почте России» мы все больше фокусируемся на развитии и унификации автоматизированных систем кибербезопасности, работе с полной системой управления ИБ на единой платформе, которая обрабатывает актуальные и проверенные данные о событиях и угрозах из различных источников.
При отборе средств защиты информации мы в первую очередь рассматриваем решения, которые поддерживают интеграцию с SOAR-системами и платформами для автоматизации ИБ-процессов, а также соответствуют законодательным требованиям РФ — в частности, в части формирования отчетности и взаимодействия с регуляторами. Также системы информационной безопасности должны адаптироваться к изменяющемуся ландшафту угроз, эволюции киберрисков и внутренних корпоративных процедур, оставаясь действенными и актуальными в заданных условиях.
Учитывая эти критерии, в «Почте России» мы тщательно подошли к выбору платформы для автоматизации ИБ-процессов и в результате остановились на экосистеме решений от наших партнеров из Security Vision, а именно на продуктах Security Vision SGRC (для управления процессами кибербезопасности, рисками и соответствием), SOAR (для управления инцидентами) и TIP (для работы с аналитикой угроз).
CNews: Какие функции уже реализованы в Security Vision SGRC, и каковы планы по дальнейшему развитию системы?
Роман Шапиро: Поскольку учредителем и единственным акционером «Почты России» является государство, мы уделяем первостепенное внимание неукоснительному соблюдению всех требований законодательства, включая нормы в области кибербезопасности. Чтобы повысить эффективность процессов обеспечения соответствия, мы стремимся к полной автоматизации всех этапов — от сбора и анализа нормативных требований до проверки технических параметров инфраструктуры, систем и отдельных активов.
В системе Security Vision SGRC уже внедрены и функционируют процедуры по идентификации информационных систем (ИС) и управлению активами, назначению требований к ИС, проведению аудитов, повторных проверок и обеспечению соответствия. Параллельно в Security Vision SGRC формируется процесс управления экспертной оценкой в области информационной безопасности, где требования ИБ автоматически генерируются и проверяются для каждого запланированного изменения в ИТ-среде. Это позволяет стандартизировать решение задачи контроля за соблюдением нормативов в рамках управления изменениями.
Еще одним внедряемым в Security Vision SGRC процессом является управление требованиями безопасности при разработке ПО. В его рамках будет организовано управление задачами по устранению уязвимостей и дефектов приложений благодаря интеграции с решением класса ASOC.
В перспективе Security Vision SGRC станет для «Почты России» единым центром управления всеми процессами кибербезопасности — интегрированной платформой для обработки данных об активах, уязвимостях, изменениях, аудитах, соответствиях, с контролем ключевых показателей ИБ и наглядным отображением уровня киберзащищенности всей компании. В итоге мы стремимся получить работоспособную и интуитивно понятную систему оценки соответствия всем применимым требованиям (законодательным, отраслевым, внутренним). В идеале такая проверка должна выполняться практически мгновенно, по одному нажатию кнопки.
CNews: Какой опыт у «Почты России» в работе с продуктом Security Vision SOAR? Насколько увеличилась скорость реагирования на киберинциденты?
Роман Шапиро: В рамках проекта цифровой трансформации и автоматизации реагирования на киберинциденты, предыдущей командой департамента ИБ «Почты России» в 2019 году был проведен открытый многоэтапный конкурс среди российских и зарубежных поставщиков. Победителем было признано решение Security Vision IRP/SOAR. С того времени мы совместно со специалистами Security Vision постоянно совершенствуем и адаптируем платформу под наши нужды, добавляем новые интеграции с корпоративными системами, настраиваем логику внутренних рабочих процессов с помощью визуального low-code/no-code конструктора и обновляем саму платформу.
Системы класса SOAR как раз и созданы для решения обозначенных задач: оперативного и автоматизированного противодействия изменчивым и стремительным киберугрозам в условиях нехватки квалифицированных кадров. В современных условиях ручной разбор инцидентов крайне неэффективен, поэтому без автоматизации всех стадий реагирования (анализ, дополнение данными, локализация, устранение, восстановление) невозможно всерьез говорить о построении полноценного процесса управления киберинцидентами.
Ключевым достоинством платформы Security Vision SOAR служит её глубокая интеграция с родственными продуктами Security Vision TIP и Security Vision SGRC, которые также внедрены в нашей инфраструктуре. Это позволяет наполнять контекстом данные об инцидентах, обогащая их сведениями о внутренних объектах (активы, пользователи, системы) и внешних сущностях (домены, IP-адреса, хэши). Как следствие, управление всеми стадиями реагирования теперь сосредоточено в единой консоли Security Vision SOAR, общее состояние системы информационной безопасности отображается на панелях мониторинга, а противодействие киберугрозам осуществляется в автоматизированном или полностью автоматическом режиме. Это существенно сокращает нагрузку на аналитиков нашего SOC-центра и даёт возможность успевать за активностью злоумышленников, переходя от реактивной модели к упреждающей.
CNews: Каким образом организовано взаимодействие с решением Security Vision TIP в «Почте России»? Насколько данные киберразведки повышают способность обнаруживать кибератаки?
Роман Шапиро: Существенная особенность экосистемы Security Vision — это слаженное взаимодействие всех её компонентов. Благодаря этому в Security Vision SOAR специалисты SOC-центра «Почты России» могут работать не только с инцидентами информационной безопасности, но и с данными киберразведки, которые поступают в Security Vision TIP из собственного TI-канала Security Vision и от ряда внешних провайдеров.
При обработке аналитики об угрозах критически важна автоматизация, как и в других процессах ИБ: без роботизации работа с потоками TI-данных будет неэффективной и потребует привлечения большого числа высококвалифицированных специалистов, которые смогут анализировать срабатывания лишь после их возникновения. Кроме того, необходимо обеспечить TIP-решению сетевое взаимодействие с источниками данных киберразведки, в роли которых могут выступать коммерческие и открытые ресурсы, а также информация от вендора. В нашей конфигурации Security Vision TIP — это единственная защитная система, имеющая выход за границы контролируемой сетевой зоны.
Помимо традиционных TI-потоков, в Security Vision TIP интегрированы данные от нескольких внешних сервисов непрерывного тестирования на проникновение (CPT). Для результативного анализа киберугроз необходимо работать с индикаторами компрометации и атак, задействуя TIP на техническом, тактическом, оперативном и стратегическом уровнях, а также корректировать конфигурации средств защиты информации, политики безопасности и приоритеты киберрисков на основе данных TI-аналитики. Сама платформа TIP должна обеспечивать сбор, устранение дубликатов, очистку, оценку и обогащение индикаторов, обработку security-бюллетеней, выполнение match- и ретро-поиска, а также выявление фишинговых и DGA-доменов. Именно таким набором возможностей обладает решение Security Vision TIP, внедренное в «Почте России», которое облегчает анализ угроз благодаря визуализации собранных данных в виде графа связей, предоставляет инструменты для автоматического реагирования на инциденты и поддерживает нативную интеграцию с другими используемыми продуктами Security Vision — SOAR и SGRC.
CNews: Как продукты Security Vision проявили себя в ходе недавних киберучений, проведенных в «Почте России»?
Роман Шапиро: Действительно, осенью 2025 года в «Почте России» прошли киберучения с участием специалистов от ряда вендоров в области информационной безопасности: «красная» команда тестировщиков имитировала целенаправленные атаки, а «синие» силы занимались обнаружением действий условного противника. В рамках учений были проверены разнообразные векторы и гипотезы атак, нападающие творчески подходили к реализации каждого сценария стратегического риска, а защитники активно им противодействовали, что повышало реалистичность моделирования. Целями мероприятий стали оценка уровня киберустойчивости инфраструктуры и проверка практической выполнимости различных сценариев атак. При этом команда SOC-центра «Почты России» управляла автоматизированным реагированием на инциденты с помощью продуктов Security Vision SOAR, TIP и SGRC.
Платформа Security Vision стала центральным элементом нашего SOC благодаря объединению управления всей системой информационной безопасности «Почты России» в единой консоли Security Vision SOAR/SGRC и интеграции с решениями других ведущих российских игроков рынка ИБ, таких как «Лаборатория Касперского» и Positive Technologies.
Итоги киберучений позволили выявить отдельные недостатки и уязвимые места в инфраструктуре и настройках защитных систем — такая работа над ошибками способствует дальнейшему укреплению киберзащиты «Почты России» и постоянному улучшению применяемых средств защиты информации. В целом, учения подтвердили правильность выбора платформы Security Vision и общего направления развития системы ИБ «Почты России», а также создали прочную основу для последующего повышения зрелости процессов безопасности и используемых технических и организационных мер.
CNews: Проект по созданию киберустойчивой инфраструктуры для «Почты России» рассчитан на три года, и его первый этап был завершен осенью 2025 года. Какие шаги планируются дальше и как выглядит итоговая цель?
Роман Шапиро: В «Почте России» действует комплексная стратегия развития информационной безопасности, которая ежегодно корректируется на основе итогов аудитов ИБ, оценки защищенности и анализа текущего уровня зрелости системы. Формируются ежегодные планы по развитию ИБ; их реализация через решение оперативных и тактических задач, а также устранение выявленных в ходе проверок недостатков, позволяет наиболее эффективным способом достигать стратегических целевых показателей киберзащищенности компании.
Например, киберучения и моделирование атак выявляют новые или ранее неучтенные угрозы, векторы и сценарии, что помогает учитывать изменчивость и эволюцию методов, приемов и инструментов злоумышленников. Способность защитных мер адаптироваться — это основа эффективного управления ИБ и реагирования на инциденты в условиях быстро меняющейся киберугроз. Поэтому крайне важно, чтобы разработчики средств защиты и поставщики ИБ-сервисов постоянно совершенствовали и дорабатывали свои продукты. Приятно отметить, что наши партнеры из Security Vision прислушиваются к обратной связи клиентов, непрерывно улучшают свою платформу, повышая ее эффективность и удобство использования.
CNews: Каким образом в вашей организации применяются метрики для оценки состояния ИБ? Насколько важен в защитных решениях функционал, связанный с визуализацией данных и формированием отчетов?
Роман Шапиро: При работе с метриками важно помнить о законе Гудхарта, который гласит, что как только показатель превращается в цель, он перестает быть надежным измерителем. Другими словами, погоня за различными KPI теряет смысл, когда становится самоцелью, и сотрудники начинают работать не на реальный результат, а на формальное выполнение критериев. Это, конечно, не отменяет необходимости оценивать состояние процессов ИБ с помощью качественных и количественных показателей, чтобы отслеживать динамику развития и рост зрелости системы управления информационной безопасностью.
Помимо этого, по мере эволюции системы управления информационной безопасностью могут трансформироваться как методологии оценки состояния процессов ИБ, так и сами отслеживаемые показатели, чтобы обеспечить актуальность демонстрируемых данных. Ключевым является предоставление в инструменты визуализации и отчётности согласованной и своевременной информации из различных подключённых ИТ- и ИБ-систем, что даёт возможность мониторить реальное положение инфраструктуры и процессов. В настоящее время для нас критически важно отображать на панелях мониторинга состояние информационной безопасности на оперативном и тактическом уровнях для работы наших специалистов по ИБ, в то время как на стратегическом уровне логично показывать обобщённое состояние всей СУИБ «Почты России».
Показатели и информационные панели для контроля процессов ИБ в «Почте России» внедрены на базе платформы Security Vision, что даёт возможность отслеживать состояние всей системы управления ИБ и предпринимать нужные действия в едином интерфейсе через удобный интерактивный веб-портал.
CNews: Системы искусственного интеллекта активно применяются и злоумышленниками, и защитниками. Насколько широко ИИ используется в «Почте России»?
Роман Шапиро: На сегодняшний день примеров эффективного применения систем ИИ в отечественной сфере кибербезопасности не так много. К примеру, технологии искусственного интеллекта демонстрируют хорошие результаты в области безопасности приложений (AppSec) — они помогают сократить число ложных срабатываний при обнаружении уязвимостей в коде благодаря анализу результатов, полученных от инструментов SAST и DAST, способствуют написанию более защищённого кода «на лету» в режиме Copilot, самостоятельно выявляют уязвимости и предлагают варианты их исправления.
В большинстве случаев использование ИИ в российской индустрии информационной безопасности сейчас находится на стадии подготовки и сбора данных для моделей искусственного интеллекта, которые впоследствии будут применяться в реальных условиях. При этом злоумышленники уже сегодня всё чаще оснащаются ИИ-технологиями для генерации дипфейков, поиска уязвимостей, создания эксплойтов и автоматического выполнения различных этапов кибератак. Поэтому закономерным ответом должно стать применение искусственного интеллекта в целях защиты, а перспективы интеграции ИИ в различные классы средств защиты информации выглядят действительно многообещающими.
CNews: Каких отечественных решений или сервисов в области ИБ сегодня не хватает для удовлетворения потребностей российских компаний? Как в дальнейшем будет развиваться отрасль кибербезопасности в России?
Роман Шапиро: Потребители выбирают средства защиты, основываясь на своих задачах и ресурсах. Универсальных решений не существует — каждый продукт покрывает лишь определённый спектр потребностей. Последние несколько лет прошли под знаком активного импортозамещения, в рамках которого российские разработчики стремятся воспроизвести и улучшить функциональность привычных, но покинувших рынок зарубежных продуктов. Однако обратной стороной увеличения числа отечественных поставщиков и разнообразия их предложений стало несоответствие фактических возможностей и реальной эффективности решений тем характеристикам, которые заявляют производители.
Такие «трудности становления» особенно свойственны компаниям, которые вступили в процесс импортозамещения после 2022 года, воспользовавшись всплеском спроса, вызванным участившимися кибератаками, новыми нормативными актами и уходом иностранных поставщиков. Сегодня на отечественном рынке присутствует множество продуктов и услуг в сфере информационной безопасности, находящихся на разных стадиях развития, однако их надежность и возможности требуют проверки в реальных условиях, в рамках конкретной ИТ-среды и с учетом особенностей деятельности компании. У российского сектора кибербезопасности большое будущее — ключевым условием является постоянное улучшение продуктов разработчиками, их доработка на основе отзывов пользователей, а также эволюция решений в соответствии с утвержденными стратегиями и долгосрочными целями.
■ Рекламаerid:2W5zFGw4ykmРекламодатель: ООО «Интеллектуальная безопасность»ИНН/ОГРН: 7719435412/5157746309518Сайт: https://www.securityvision.ru/
