Из-за использования ИИ скорость хакерских атак на российскую инфраструктуру выросла в 40 раз. Решение по защите уже разработано в Госкорпорации Ростех
О том, каким образом удается нейтрализовать подобные инциденты, почему проникновения нередко осуществляются через отдел кадров или бухгалтерию, а также как отечественное защитное программное обеспечение помогло снизить риски для экономики — в интервью Дмитрия Прендецкого, генерального директора компании «РТ-Информационная безопасность» (РТ-ИБ, входит в Госкорпорацию Ростех).
Если говорить в целом, что сегодня определяет облик киберугроз?
Главное изменение последних лет — увеличение скорости атак.
С 2024 года злоумышленники активно используют искусственный интеллект, что позволило сократить время поиска точки входа в инфраструктуру с недель и месяцев до ≈20 минут. Скорость самих атак выросла в 40 раз. Это принципиально меняет требования к защите: реагировать «постфактум» недостаточно, необходима постоянная готовность к быстрому обнаружению и локализации инцидентов.
Одновременно изменилась и мотивация атак. Если ранее основной целью была финансовая выгода, то теперь приоритет сместился к нанесению максимального ущерба — остановке производственных процессов, нарушению работы критически важных систем и инфраструктуры.
Показательно, что киберриски стали заметны не только специалистам. Крупные сбои, например, в транспортной отрасли, продемонстрировали, что последствия кибератак напрямую затрагивают повседневную жизнь. Это усилило внимание к ИБ на уровне общества и бизнеса.
С чего обычно начинается атака?
В большинстве случаев — с человека.
До 90% инцидентов начинаются с фишинга. При этом атаки становятся более точечными: злоумышленники выбирают сотрудников, работающих с большим объемом писем: бухгалтерию, HR, маркетинг.
Сообщения тщательно маскируются под официальные уведомления и персонализируются. Использование ИИ делает такие письма практически неотличимыми от легитимных.
После проникновения вредоносное ПО быстро распространяется внутри инфраструктуры. Оно либо похищает данные, либо блокирует работу систем. Отдельная проблема — заражение резервных копий: в этом случае попытка восстановления фактически запускает атаку повторно.
Какие объекты находятся под наибольшим давлением?
Основное давление приходится на объекты критической информационной инфраструктуры и ключевые отрасли — энергетику, транспорт, промышленность, а также государственные учреждения. Воздействие на эти сферы позволяет нарушать производственные цепочки и влиять на общую устойчивость экономики.
При этом атаки направлены не только на стратегические объекты. Под удар также попадают гражданские сервисы — это используется для усиления давления и создания дестабилизации.
Насколько масштабны такие атаки? Это единичные случаи или системное явление?
Речь идет не об отдельных инцидентах, а о постоянном и системном давлении в киберпространстве. Атаки носят международный характер, за хакерскими группировками стоят иностранные спецслужбы и государства.
При этом важно понимать масштаб: атакующих значительно больше, чем специалистов, обеспечивающих киберзащиту. Это создает устойчивый дисбаланс, который требует постоянной работы и высокой готовности систем безопасности.
Несмотря на это, за счет отечественных технологий, скорости реагирования и работы квалифицированных специалистов система защиты сохраняет устойчивость и эффективно справляется с угрозами различной сложности.
Как правильно выстраивать систему кибербезопасности в сложившихся условиях?
Наша компания начала с разработки собственного программного обеспечения EDR (Endpoint Detection and Response), которое обеспечивает защиту конечных точек. Оно в автоматическом режиме выявляет и реагирует на киберинциденты. ПО устанавливается у конечного пользователя — это и серверное оборудование, и рабочие места.
Как искусственный интеллект участвует в обеспечении безопасности?
В начале 2024 года при доработке своего продукта мы встроили в него модуль искусственного интеллекта. Он позволяет быстрее реагировать на хакерские атаки.
Проще говоря, искусственный интеллект в автоматическом режиме противодействует искусственному интеллекту.
При защите он позволяет отключить определенный хост или заблокировать вредоносные программы, чтобы они не распространялись дальше. Если автоматическое реагирование невозможно, ПО оповещает аналитика, который быстро принимает необходимые меры. Благодаря искусственному интеллекту нам удалось автоматизировать более 30% работы аналитиков, что существенно облегчило их рутину.
Кроме того, программы автоматически формируют отчеты об инцидентах и самостоятельно реагируют на них. Роль человека не изменилась — он просто не отвлекается на ложные срабатывания. Только за прошлый год 125 127 подозрений на инциденты были закрыты автоматически с помощью автоматизации и использования классификатора на основе машинного обучения, поэтому аналитик сосредоточен на том, что действительно важно.
Ему не нужно анализировать огромное количество событий и делать соответствующие выводы. К нему поступает отчет по действительно значимым инцидентам, и он принимает решения по их устранению.
Какие угрозы можно назвать наиболее сложными на текущий момент?
Наиболее сложными сегодня являются целенаправленные атаки с использованием вредоносного программного обеспечения, разработанного под конкретные объекты. Оно создается с расчетом на максимальный ущерб и учитывает особенности атакуемой инфраструктуры.
В отдельных случаях последствия могут быть крайне серьезными: вредоносное ПО способно вывести из строя оборудование и фактически вынудить организацию полностью заменить техническую базу. Подобные инциденты уже фиксировались в коммерческом секторе.
Есть ли понимание масштабов предотвращенных атак и их последствий?
За прошлый год нашим SOC-центром было выявлено 14,5 тысяч высококритичных и подтвержденных инцидентов, а также практически 2 миллиона алертов — они фиксировались не только в контуре Госкорпорации, но и у других наших клиентов.
Экономический ущерб от атак остается значительным. Минимальные суммы выкупа за восстановление доступа к системам могут достигать десятков миллионов рублей. Однако все чаще атаки направлены не на получение прибыли, а на остановку деятельности организаций.
Отмечу, что обеспечение кибербезопасности Ростеха — задача комплексная. Помимо «РТ-ИБ» ее решают также другие центры компетенции , включая «РТ-Информ», при непосредственной координации со стороны блока безопасности Корпорации.
Почему вопрос собственных разработок в кибербезопасности считается настолько критичным?
Потому что речь идет не просто о рынке программного обеспечения, а о контроле над инфраструктурой, от которой зависит работа государства и экономики.
В случае отсутствия собственных разработок возникает зависимость от внешних решений, а значит, есть риск утраты технологического контроля над средствами защиты критически важных систем.
При определенном развитии событий страну теоретически можно было бы удаленно вывести из строя, фактически «погрузив в темноту» и вызвав массовый сбой систем — своего рода повсеместный «синий экран».
В такой ситуации, вероятно, оставались бы лишь радикальные меры: либо отключение электропитания всей инфраструктуры, либо установка жесткого файрвола (межсетевого экрана) на входе в страну для тщательной фильтрации всего входящего трафика.
Но благодаря отечественным решениям и высокой квалификации специалистов нам удалось удержать ситуацию под контролем, не прибегая к данным мерам.
Выбор редакции
Публикации, которые получают больше внимания и попадают в Сюжеты РБК
Рекомендации партнеров: