Самозащита, самозапрет, саморегуляция. Новая этика цифровой безопасности
Если последние три года российской кибербезопасности были чем-то похожи на бесконечный пентест, то в 2025-м, кажется, все начинают спрашивать: что дальше? Пора ли выдохнуть или это только первая волна?
Именно с этой интонацией началась пленарная сессия «Кибербезопасность-2025: что дальше?» — центральное событие конференции «Киберконтур», прошедшей в Санкт-Петербурге в начале апреля. Организаторы — сообщество «ИТ-Диалог» и журнал IT Manager — собрали на одной площадке представителей власти, бизнеса и поставщиков ИТ-решений, чтобы поговорить не только о технологиях и угрозах, но и о том, как меняются роли, ответственность и сама логика защиты. А задали тон разговору два опытных модератора: Рустэм Хайретдинов, заместитель генерального директора группы компаний «Гарда», и Алексей Лукацкий, бизнес-консультант по безопасности компании Positive Technologies. Вместо формального обмена мнениями они предложили участникам выйти за рамки шаблонов и заглянуть за горизонт текущей повестки.
Не догонять, а задавать правила
Правда ли, что три года кибертурбулентности остались позади?
, заместитель губернатора Вологодской области, с этим не согласен. По его словам, закончились не турбулентность, а иллюзии: «Дальше не тишина, а ИБ-проблемы-2026». И если региональные власти хотят быть на шаг впереди — им придется не просто адаптироваться, но и самим задавать стандарты и не пытаться угнаться за внешними угрозами.
Подход Вологодской области — «цифра» и безопасность как единое целое. В стратегии цифрового развития региона, утвержденной губернатором, вопросы киберзащиты встроены в общую повестку и разбираются не только с технической, но и с управленческой стороны. Одна из ключевых болевых точек — человеческий фактор. Чиновник открыто признал: уровень цифровой грамотности сотрудников госаппарата пока оставляет желать лучшего, и именно с этого, по его мнению, должен начинаться любой периметр безопасности.
Другой приоритет — выработка скоординированного подхода. В регионе создается единая система, объединяющая министерства цифрового развития, внутренней и информационной политики. Главная цель — научиться быстро реагировать на угрозы, особенно на фоне новой волны фейков и дипфейков, с которыми сталкиваются даже органы власти. «Информационное противоборство — это уже не метафора, а реальность, в которой живут регионы», — подчеркнул он.
В планах — не просто управленческие меры, но и интеграция технологий. Вологодская область рассчитывает проводить учения Red и Blue Team не только на бизнес-площадках, но и в госорганах. Потому что тренироваться на симуляциях — это одно, а готовиться к реальной атаке — совсем другое.
Санкт-Петербург, уверенно выходящий на ИБ-авансцену, может стать точкой сборки новых подходов к киберзащите — по крайней мере, если воплотится в жизнь идея, озвученная специальным представителем губернатора города по ИТ
Алексеем Самаркиным
. По его словам, у города есть все основания и потенциал, чтобы стать площадкой для создания регионального центра информационной безопасности.
Видение у центра вполне прикладное и масштабное. Он должен не просто реагировать на инциденты, а заниматься прогнозированием угроз — с учетом влияния ИИ и быстро меняющегося ИБ-ландшафта. Кроме того, предполагается возможность реального мониторинга состояния ИБ-систем не только в госсекторе, но и у бизнеса, которому зачастую попросту не хватает собственных ресурсов. Центр мог бы стать опорной точкой — проводить аудит, помогать в реагировании, подключаться к восстановлению инфраструктуры после атак. Такая модель, по словам Самаркина, уже работает в федеральных структурах — значит, ее можно адаптировать и на региональном уровне.
Особую важность представитель губернатора видит в организационной структурированности. По его убеждению, совмещение ролей CIO и CISO — путь к подмене приоритетов. «Там, где информационной безопасностью занимается тот же человек, что и ИТ, чаще всего она уходит на второй план», — подчеркнул он. И напомнил: именно поэтому в органах власти была введена отдельная должность заместителя руководителя по информационной безопасности. Модель, проверенная еще с советских времен, вполне актуальна сегодня.
Киберпространство и офлайн сегодня так тесно переплетены, что говорить о «контуре» уже не приходится. Все давно слилось в единое цифровое поле. «Контур между онлайном и реальным миром больше не существует, — считает Андрей Сытник, председатель Комитета цифрового развития Ленинградской области. — Все, что мы делаем, оставляет цифровые следы». Это касается и социальных сетей, и городских систем, и даже автомобилей, насыщенных алгоритмами и сенсорами. Но в этом новом мире кибербезопасности многое упирается в старые, совсем не виртуальные проблемы. Первая из них — банальная недоработка базовых вещей. Политика паролей, неактуальные домены, открытые URL — все это до сих пор вызывает инциденты. По словам чиновника, за последние три года ИТ в регионах получили больше инвестиций и внимания, чем за предыдущие двадцать.
Показательный пример — статистика инцидентов в инфраструктуре Ленобласти. За год зафиксировано около 20 тысяч. Это в полтора раза больше, чем годом ранее. Критических среди них не было, но каждый случай фиксировался, проверялся, отрабатывался. Здесь же появляется второй вызов — дефицит кадров, потому что найти подготовленного специалиста на госслужбу практически невозможно. И следовательно, ставка делается на выращивание собственных команд.
Глава Комитета отметил положительный сдвиг в диалоге между государством и профессиональным сообществом. Вместо обсуждения нормативных актов — обсуждение инфраструктурных решений, практических кейсов, отечественного оборудования. И это, по его мнению, и есть признак зрелости. Особенно в условиях, когда в работу вовлечены масштабные системы — например, единые цифровые контуры в медицине или образовании. Их компрометация может иметь системные последствия, и тут уже не до теории.
Это не турбулентность, это всероссийский пентест
Когда человек уходит из госсектора в бизнес, он, как правило, приносит с собой представление о регламентах, политике и ответственности. Но
Артему Калашникову
, управляющему директору по ИБ дочерних и зависимых обществ Газпромбанка, был интересен не только порядок, но и практика. И в новой роли он смотрит на происходящее в кибербезопасности с куда более объемной «оптикой».
Три прошедших года, по его мнению, были не столько хаосом или кризисом, сколько масштабной проверкой на прочность. «Это не турбулентность, это всероссийский пентест. Нас проверяли — и продолжают проверять». И хотя средств и внимания к ИБ стало больше, инцидентов меньше не стало. И не станет.
Потому что сами угрозы — не временное явление, а часть новой нормы. Пока у атакующих есть цель, будут и попытки ее захватить. И здесь нельзя «переждать» или «перерасти» ситуацию — нужно развиваться. Вперед, в сторону новых технологий, которые не только латают дыры, но умеют предсказывать и опережать. «Просто заливать в ИБ бюджеты — это не стратегия. Пока с той стороны используют перспективные технологии, а мы — только лопаты, нас будут обгонять», — считает Артем. Отсюда и главный вывод: безопасность — это не состояние, это процесс. И выигрывают те, кто умеет работать с инновациями.
По его словам, любой технологический прорыв — это одновременно и благо, и угроза. Искусственный интеллект — яркий пример. Пока одна сторона осторожно пробует алгоритмы на автоматизации рутины, другая уже давно использует их в атаках, дипфейках, подменах голоса и визуализации. То же самое — с квантовыми вычислениями. Китай уже заявил, что свою криптографию за минуты взломал своим же квантовым компьютером.
Вячеслав Касимов, директор департамента информационной безопасности МКБ, поддержал мысль о необходимости опережать. Но предложил пойти еще дальше и представить ситуацию, в которой у компаний вообще не хранятся данные пользователей — вся информация централизована и доступна только по токену, выданному самим человеком. Доступ по запросу, никаких локальных хранилищ. Модель пока кажется фантастической, но «зерно посеяно», и уже есть ассоциации вроде АФТ, которые пробуют подобные подходы.
ИИ как экзоскелет
Обсуждение ИИ в кибербезопасности тоже вышло за рамки тревоги. Да, атакующие используют его активнее, но и защитники не стоят на месте. Искусственный интеллект уже заменяет рутину, помогает анализировать ИТ-инициативы на ранней стадии и компенсирует нехватку специалистов. То есть используется не только «во вред», но и «во благо».
«Нас не заменит искусственный интеллект. Он нас усилит», — считает
Денис Батранков
, директор по развитию продуктов группы компаний «Гарда». По его словам, большие языковые модели пока не идеальны, они обучаются на тех же ошибках, которые допускаем мы сами, и нуждаются в проверке. Но в связке с человеком уже сейчас дают прирост эффективности: «ИИ — это как экзоскелет. Он ускоряет то, что мы и так делаем».
Один из примеров — автоматизация разбора инцидентов. Если раньше сотрудник тратил часы, разбираясь в похожей ситуации, то теперь система может подсказать: «Посмотри, месяц назад коллега решал это вот так». Уже реализовано, уже работает.
Особый акцент нужно сделать на скорости выявления угроз. «По разным оценкам, злоумышленники находятся внутри контура компании в среднем от 40 до 200 дней, прежде чем их обнаружат. Это недопустимо. Нужно, чтобы время реакции сокращалось хотя бы до часа». Выход он видит в поведенческом анализе. Стандартные инструменты, встроенные в ОС, используются злоумышленниками под видом обычной активности. Ключ к защите — понимать, как сотрудник действует в норме, и замечать малейшие отклонения.
В разговоре о роли ИИ в госсекторе спикеры оказались на редкость единодушны: потенциал у технологии есть, но применять ее надо аккуратно. В противном случае цифровизация рискует породить не результат, а фальсификацию.
Владимир Смолин из Вологодской области предостерег от чрезмерного увлечения алгоритмами: «Есть примеры, когда система вроде работает — и ответ гражданину отправлен, и отчет сформирован. Но мусор, о котором шла речь в жалобе, так и лежит на месте». То есть формально ИИ «отработал», а по сути только создал иллюзию решения. Аналогичные искажения, по его словам, могут появляться и в медицине, и в других сферах, где автоматизация подменяет реальное выполнение задач.
Но при этом отказываться от ИИ никто не предлагает. В Ленинградской области, как рассказал
Андрей Сытник
, ИИ уже активно применяют в документообороте и аналитике: «Презентации пишет, таблички анализирует и делает это, честно говоря, не хуже среднего чиновника». Система позволяет делать запросы к витринам данных в естественном языке, без SQL и программирования. А при наложении голосового интерфейса превращается в универсального помощника, «практически заместителя».
Тем не менее главный вопрос остается: кто отвечает? И пока искусственный интеллект не способен подписывать документы и нести юридическую ответственность, решения остаются за людьми. Андрей сформулировал это просто: «ИИ — это всегда второе мнение. А первое — по-прежнему за человеком».
Враг стал ближе, но не новее
Пока госсектор осторожно осваивает ИИ, бизнес уже вовсю работает с большими языковыми моделями и автоматизацией процессов. Но вместе с пользой приходят и новые проблемы — точнее, старые, но в куда более масштабной упаковке.
«Киберпреступность стала дешевле», — констатирует Вячеслав Касимов. Если раньше, чтобы написать эксплойт, нужно было хорошо понимать код и иметь техническую смелость, то теперь достаточно правильно задать промт языковой модели. Порог входа в профессию «злоумышленника» снизился, и даже «скрипт-кидди» сегодня может выглядеть почти как «мидл».
Принципиально новых угроз ИИ пока не приносит — но усиливает старые. Те же фишинговые атаки теперь подкреплены реалистичными дипфейками, а социальная инженерия — мгновенной генерацией контента на лету. Это уже не просто массовая рассылка, а персонализированная атака в реальном времени.
При этом для обороны нужны куда более серьезные ресурсы. Развернуть полноценную LLM на стороне защиты — это не просто дорого, а «от десятков до сотен миллионов рублей». И объяснить бизнесу, зачем это нужно, становится все сложнее.
Так что, как пошутил один из участников, «все бегут от тигра — главное, не быть последним». В условиях, когда атакующие быстрее адаптируются к новым технологиям, безопасность вынуждена догонять. Но останавливаться — уже не вариант.
Чем активнее ИИ внедряется в госуправление и безопасность, тем отчетливее видно: технология — это не волшебная кнопка, а всего лишь инструмент. Эффективный, но без гарантий. И главное — не всегда безопасный.
Модератор
напомнил, что в цифровизации даже простая очистка данных способна дать результат. В одном из проектов, где пациенты из-за ошибок в оформлении не могли получить лекарства, достаточно было правильно заполнить поля — и тысячи людей получили положенные им препараты. Никаких LLM, просто порядок в справочниках.
Но инвестируя в безопасность, мы иногда забываем про третий элемент уравнения — человека. Пока банки, операторы и разработчики систем стараются защитить инфраструктуру, пользователь остается самым уязвимым звеном. И злоумышленники это отлично понимают. Они не просто атакуют — они отбирают жертв по цифровому профилю. «Сегодня мошенники уже не стреляют по площадям, — отметил Артем Калашников, — Они точно знают, у кого есть 10 миллионов, и бьют адресно».
И тут ИИ — не панацея. Пока одна сторона обучает алгоритмы защищать, другая учит их атаковать. Разница только в том, что у одних есть регламенты и ограничения, а у других — свобода и мотивация. Поэтому, как резюмировали участники, выиграет тот, кто научится не просто внедрять технологии, а понимать, где проходит настоящая линия защиты — не в коде и не в бюджете, а в здравом смысле и способности вовремя остановиться.
Когда забота превращается в контроль
Разговор об искусственном интеллекте в кибербезопасности неожиданно вышел за рамки технологий — и перешел к государству. Точнее, к тому, как далеко оно может зайти, пытаясь защитить граждан от цифровых угроз.
Модератор дискуссии
поднял неудобный, но важный вопрос: если сегодня операторы связи уже фильтруют звонки по заданию регуляторов, блокируя потенциальных мошенников, то завтра, по этой же логике, можно начать блокировать ссылки, запретить определенные действия и, по сути, начать контролировать поведение человека. «Вместо того чтобы развивать критическое мышление у граждан, мы начинаем за них принимать решения. Где предел?»
Владимир Смолин согласился, что линия тонкая и требует постоянной корректировки. Он напомнил, что даже в самые жесткие времена ковидных ограничений государство не лишало граждан прав, а предлагало меры. Так же и в киберсфере: запретить что-то — не выход. «Надо учиться защищать, не нарушая свободу», — отметил он.
Действительно, выход — в осознанном выборе. Как в случае с возможностью запретить себе брать кредиты: «Предложили — и 90% сами включили ограничение. Людям важно дать возможность решить, а не решать за них», — уверен Алексей Самаркин.
Поддержал коллег и Андрей Сытник, напомнив, что Россия — страна очень разная. И если продвинутый пользователь, услышав в трубке «Здравствуйте, это ваш банк», уже напрягается, то пожилая женщина из деревни может не заметить подвоха. Поэтому самозапреты, ограничения, фильтрация звонков — для многих это не вмешательство, а реальная помощь.
«Мне кажется, государство действует как системный админ: просто отрубает все доступы и включает обратно — по запросу. Если ты сам не напомнил, что хочешь что-то сделать — ну и не надо. Значит, и не надо тебе было», — добавил Рустэм Хайретдинов. И, кажется, это образ, в котором себя узнали многие.
В финале дискуссии разговор вернулся к той самой тонкой грани, где интересы государства, бизнеса и гражданина могут не совпадать. Например, популярные самозапреты, о которых говорили ранее: отказ от возможности взять кредит, оформить сим-карту или открыть новый финансовый продукт без предварительного согласия.
Алексей Лукацкий предложил взглянуть на это с точки зрения банков. Ведь когда клиент сам себе запрещает кредит, это прямая потеря выручки.
«Это как рассвет или снег — ты не выбираешь, ты к этому приспосабливаешься», — философски ответил
Вячеслав Касимов
, добавив, что самозапрет действительно растягивает момент между желанием и действием. А в мире эмоциональных покупок любое промедление может означать потерю клиента — он передумает, выберет другой банк или вообще откажется от идеи. Но если человек сам не готов к кредиту и не видит его в своем «плане жизни», то и настаивать бессмысленно: клиент уйдет не из-за самозапрета, а потому что ему это просто не нужно.
Однако бизнес умеет считать, и безопасность далеко не всегда побеждает. Amazon отказался от 3D Secure, чтобы не терять импульсивные покупки — слишком велик был отток клиентов из-за дополнительного подтверждения. Аэрофлот в свое время сделал то же самое. «Им дешевле платить за спорные транзакции, чем терять клиентов, у которых под рукой нет телефона для подтверждения» — в этом, по словам Алексея Лукацкого, и есть суть конфликта интересов: для государства важна защита, для бизнеса — конверсия. И пока одно строит барьеры, другой их старается обойти.
И наконец в дискуссии всплыла тема, которая обычно не вызывает бурных аплодисментов, — это законодательство. Но именно оно чаще всего оказывается в хвосте технологического прогресса. Особенно когда речь идет о киберугрозах.
Речь шла о возможном региональном центре кибербезопасности в Санкт-Петербурге. По словам Алексея Самаркина, инициатива будет не просто технической — взаимодействие с регуляторами заложено в самой идее. Уже есть успешные кейсы, например, платформа, агрегирующая все релевантные нормативные документы по ИБ — с возможностью оперативного доступа специалистов, включая служебные материалы. А значит, есть задел для движения дальше — к цифровизации нормативки и более удобной проверочной практике.
Но возможно ли в рамках центра оказывать влияние не только на исполнение, но и на разработку правил? Готовы ли регионы участвовать в нормотворчестве, в актуализации законов под реальные угрозы?
Кибератаки 2024–2025. Как хакеры атакуют бизнес и что с этим делать
Ответ был однозначен — да. И не только на уровне Санкт-Петербурга. Подобное взаимодействие возможно и через профильные ассоциации, и напрямую через диалог с законотворцами.
Андрей Сытник напомнил, что проблема с «отставанием» — общемировая. Законы всегда догоняют технологии. «Есть три подхода: регулирование, саморегулирование и отсутствие регулирования. Нужно определиться, куда мы хотим двигаться».
«Государство — за регуляцию. Граждане — за саморегуляцию. Бизнес — за отсутствие регуляции. Поэтому договариваться придется — пока не поздно», — иронично заметил Алексей Лукацкий.
Цифровой мир стал частью повседневности. Но кибербезопасность многими до сих пор воспринимается как что-то внешнее — сложное и дорогое. Чтобы это изменилось, нужно перестать строить крепости и начать строить культуру: осознанную, адаптивную, человеческую. Как сказал один из участников, «ИБ — это не про замки, это про здравый смысл. А его, как известно, приходится устанавливать вручную».