Главное о технологиях, бизнесе и их создателях Компьютерра

ИИ атакует, заводы молчат, сотрудники жмут на ссылки: как меняется ландшафт киберугроз

Компьютерра
09 января 2026 13:15
На чтение: 11 минут

Мир киберугроз меняется быстрее, чем многие компании успевают адаптироваться. На смену одиночкам-хакерам пришли хорошо финансируемые преступные индустрии, а искусственный интеллект стал обоюдоострым мечом — как для защитников, так и для нападающих.

Конференция, организованная «Компьютеррой»,  собрала экспертов, которые разбирают не только технические аспекты защиты, но и юридические, производственные и главное — человеческие.

Мир киберугроз меняется быстрее, чем многие компании успевают адаптироваться. На смену одиночкам-хакерам пришли хорошо финансируемые преступные индустрии, а искусственный интеллект стал обоюдоострым мечом — как для защитников, так и для нападающих. Конференция, организованная «Компьютеррой»,  собрала экспертов, которые разбирают не только технические аспекты защиты, но и юридические, производственные и главное — человеческие.

На круглом столе присутствовали:

  • Антон Белоусов, генеральный директор компании «Киберразведка».
  • Дмитрий Овчинников, архитектор информационной безопасности и vCISO UserGate. 
  • Александра Харина, адвокат, сооснователь адвокатского проекта «Запутай след»
  • Михаил Яблоков, руководитель отдела развития продуктов InfoWatch ARMA.
  • Алексей Дрозд, начальник отдела безопасности «СерчИнформ».
  • Илья Яблоков, директор по информационной безопасности РАНХиГС.
  • Дмитрий Кузнецов, директор безопасности цифровых решений в «Альфа-Банке».
  • Василий Чернов, начальник отдела Управления ФСТЭК России по Северо-Западному федеральному округу.
  • Вячеслав Макович, модератор мероприятия, директор по маркетингу «АБП2Б».
  • Другие профессионалы в области кибербезопасности.

1. Как бизнесу выжить в новой реальности угроз

Представьте, что ваша компания — это крепость. Лет десять назад для защиты было достаточно высоких стен и крепких ворот — классического файрвола и антивируса. Сегодня же вашу крепость окружает не просто вражеское войско, а высокотехнологичная армия с беспилотниками, спутниковой разведкой и тактикой, которая меняется быстрее, чем вы успеваете укрепить стены.

Именно так эксперты описывают современный ландшафт киберугроз. По словам Дмитрия Овчинникова, ИТ-инфраструктура компаний за последние 20 лет невероятно усложнилась. Облака, удаленные рабочие места, IoT-устройства в корпоративных сетях — классический межсетевой экран основанный на контроле сессий, уже не в силах защитить данные, циркулирующие в этих сложных системах.

Но дело не только в технологиях. Главное изменение — в самих злоумышленниках. Овчинников констатирует: «Киберпреступления стали бизнес-индустрией».

Киберпреступность как индустрия

Время одиночек-хакеров прошло. Теперь атаки проводят APT-группировки — профессиональные команды численностью до 30 человек с четким разделением ролей: одни ищут уязвимости, другие пишут вредоносный код, третьи занимаются выводом денег. У них есть собственные платформы автоматизации и искусственный интеллект для ускорения и масштабирования атак.

Это привело к демократизации угроз. Если раньше киберпреступники охотились в основном на «крупную дичь» — банки и корпорации, — то сегодня в зоне риска оказался средний и малый бизнес. 

Эффект «Черного лебедя» 

Дмитрий Овчинников проводит аналогию с теорией «Черного лебедя» Нассима Талеба. Крупные киберинциденты, как и экономические кризисы, всегда случаются неожиданно. Но после их расследования становится «очевидно», что было сделано не так. 

«Проблема в том, что мы не можем защититься от того, чего еще не видели и о чем не знаем. Мы не обнаруживаем угрозы, которых нет в наших правилах и сигнатурах».

Дмитрий Овчинников, архитектор информационной безопасности и vCISO UserGate

Эксперт отмечает, что для защиты от атак любого уровня сложности надо максимально повышать прозрачность своей сети, максимально охватить все активы компании сенсорами, своевременно актуализировать сигнатуры. 

Вместе с тем, необходимо максимально сокращать поверхность атаки, как на внешнем периметре сети, так и внутри сети компании.  Все это, вместе с обучением сотрудников основам кибергигиеины и важности ИБ в современном мире поможет эффективно защитить цифровые активы и снизит вероятность успешной атаки.

Цель информационной безопасности сделать взлом компании максимально сложным, тяжелым и очень длительным процессом, чтобы администраторы ИБ или специалисты SOC успели среагировать на проникновение извне. 

Пока бизнес пытается осознать новые правила игры, злоумышленники нашли новые изощренные пути для атак. Белоусов указывает на одну из самых горячих тем — атаки через цепочки поставок (Supply Chain). Речь идет о взломах репозиториев с открытым кодом: NPM для JavaScript или PyPI для Python. Разработчики привыкли слепо доверять сторонним библиотекам, чтобы ускорить процесс. 

Но что, если злоумышленник взломает такую библиотеку и добавит в нее вредоносный код? Недавняя атака через NPM привела к краже логинов и паролей с машин разработчиков.

«Организации все чаще должны внедрять технологии на основе SBOM (Software Bill of Materials) — реестра всех компонентов программного обеспечения, что-то вроде состава продукта на упаковке».

Антон Белоусов, генеральный директор компании «Киберразведка»

Однако даже это не панацея: по его данным, у ведущих вендоров покрытие уязвимостей с помощью таких систем составляет 91-95%. Это значит, что 5-9% опасностей остаются невидимыми.

ИИ массового поражения 

Но главный усилитель угроз, по мнению спикеров, — это искусственный интеллект.  «Скрипт-кидди,  которые раньше не могли ничего делать, теперь могут прийти в эту индустрию и начинать писать какие-то гадости», — отмечает Белоусов. ИИ меняет правила игры:

  • Написание вирусов и ransomware становится доступным даже для неподготовленных злоумышленников.
  • Код атак постоянно меняется, не оставляя статичных сигнатур для антивирусов.
  • Уже существуют черви, которые используют LLM (как ChatGPT) для генерации и выполнения следующего шага атаки прямо на лету.
  • Вредоносные программы используют ИИ, чтобы менять свои характеристики и обходить даже AI-детекторы (в некоторых случаях это снижает уровень детектирования с 98% до 64%).

Парадигма «у нас маленькая компания, нас не тронут» больше не работает. Атакующие стали быстрее, умнее и организованнее. 

2. Новые инструменты и старые проблемы

ИИ стал мощным оружием в руках злоумышленников, то пришло время посмотреть на другую сторону медали. Эксперты сходятся во мнении:  «Искусственный интеллект — это не только угроза, но и ключевой союзник в построении обороны»

Однако его внедрение напоминает игру с огнем: бездумное использование может привести к новым катастрофам. Антон Белоусов выделяет несколько перспективных направлений, где ИИ уже работает на защитников:

  • Борьба со стилерами. Это трояны, которые воруют логины, пароли и другие данные с зараженных машин. С помощью ИИ скриншоты из этих стилеров можно анализировать и успешно, достаточно точно определять, каким путем стилеры попадают на машины зараженных пользователей.
  • Классификация фишинга. ИИ значительно повышает точность обнаружения фишинговых писем, анализируя не только ссылки и вложения, но и стилистику текста, скрытые манипулятивные техники.
  • Мониторинг даркнета. LLM нам помогают с анализом обсуждений на хакерских форумах, потому что там куча неструктурированной информации. 

Раньше на это требовались сотни человеко-часов. Теперь ИИ может автоматически превращать поток хакерского трепа в структурированные данные: какие компании обсуждаются, какие уязвимости атакуют, какие планы строятся.

Автономная защита: мечта или ближайшее будущее?

Также Антон Белоусов рассказал о будущем, где системы безопасности будут работать автономно. Речь идет об автоматическом пентесте и автономных XDR-системах. Такие системы, используя LLM и графовый анализ, смогут самостоятельно изучать сеть, выявлять аномалии и даже принимать меры по их устранению без постоянного вмешательства человека. Это критически важно, поскольку, как признает Белоусов, «большую машину поддерживать сложно, требует большой экспертизы», которой у многих заказчиков просто нет. Но и слепо доверять ИИ тоже нельзя. 

Практическая защита: что надо делать?

Пока алгоритмы только учатся, злоумышленники действуют здесь и сейчас. 

«Те угрозы о которых мы не знаем, мы не можем увидеть в нашей сети, а значит не можем на них реагировать».

Дмитрий Овчинников, архитектор информационной безопасности и vCISO UserGate

Проблема в том, что нельзя защититься от неизвестной угрозы, просто добавив новую «коробку». Нужен системный подход, который радикально повышает устойчивость инфраструктуры к любым, в том числе и еще не известным, атакам. По словам эксперта, этот подход строится на трех китах: видимости, контроле и порядке. 

Подписывайтесь на наш Telegram Подписаться

3. Ахиллесова пята экономики

Пока одни компании внедряют автономные системы защиты на базе ИИ, другие вынуждены защищать инфраструктуру, где любое неосторожное обновление может стоить миллионов. Речь идет о реальном секторе экономики — заводах, электростанциях, транспортных узлах.  Михаил Яблоков приоткрывает завесу над кибербезопасностью в промышленности, и эта картина разительно отличается от офисного ИТ.

Наследие, которое нельзя обновить

Цифровизация пришла на производство давно, но безопасность была в списке приоритетов далеко не первой. «Когда эти системы внедрялись, о безопасности думали мало», — констатирует Яблоков. Результат наглядный: 20% крупного бизнеса используют устаревший код, а 75% SCADA-систем — нервного узла любого современного производства — работают на устаревших технологиях.

Жизненный цикл таких систем — 15-20 лет. Здесь до сих пор можно встретить работающую Windows XP, а данные часто передаются по открытым протоколам, чьи спецификации доступны всем желающим. «Любые задержки могут привести к аварийной остановке», — подчеркивает эксперт. Этих «динозавров» нельзя просто взять и перезагрузить для установки заплатки. Уход иностранных вендоров лишь усугубил проблему, лишив промышленность поддержки и обновлений.

В современных геополитических условиях это «наследство» стало мишенью. Если раньше киберпреступники в основном охотились за данными или деньгами, то теперь, как отметил Алексей Дрозд, цель — навредить. В случае с промышленностью это означает остановку производства, вывод из строя дорогостоящего оборудования и даже техногенную катастрофу.

 «Не навреди»

Илья Яблоков предупреждает, что классические методы защиты здесь не просто бесполезны, но и опасны: «Заблокировав их межсетевыми экранами, мы можем нарушить технологический процесс». Нужны «неинвазивные» методы, и эксперт предлагает два ключевых сценария:

  • Пассивный мониторинг трафика — это «сенсор», который работает как подслушивающее устройство, не вмешиваясь в сеть. Он не может остановить атаку, но детектирует аномалии и подозрительные команды в старых протоколах, давая персоналу время на ручное реагирование без риска парализовать производство.
  • Микросегментация — создание внутри сети производственных «пожарных отсеков». Если в сегменте с устаревшей системой обнаружена угроза, этот сегмент немедленно изолируется, не давая ей расползтись по всему предприятию.

«Люди как дети малые»

Куда же без ошибок, связанных с человеческим фактором? Ответ — «Без них никак!». Алексей Дрозд, имея педагогическое образование, предлагает взглянуть на проблему под неожиданным углом: «По первому образованию я преподаватель физики, и опыт работы с детьми пригодился в бизнесе». Ключевая ошибка традиционного подхода к безопасности в том, что сотрудник не воспринимает реальность угрозы. 

«Если сотрудник не верит, что это произойдет с ним, он игнорирует обучение. Любые инвестиции в повышение киберграмотности бессмысленны, пока не преодолен этот психологический барьер».

Алексей Дрозд, начальник отдела безопасности «СерчИнформ»

Дрозд выделяет типичные ошибки: канцелярит и абстрактная теория (скучные инструкции, написанные языком нормативных документов), заучивание наизусть без понимания (сотрудники запоминают, но не анализируют) и обучение без результата (формальные курсы, не дающие практических навыков). Эксперт предлагает конкретные решения, основанные на психологии:

  1. Учить пониманию схемы обмана, а не ее признакам (сигнатурам) — дать 1-2 ключевых признака фишинга (например, «внезапность» и «срочность»), которые работают на подсознательном уровне
  2. Геймификация как инструмент — ачивки, внутренняя валюта за сообщения об угрозах, мерч за активность
  3. «Security-buddy» — подготовка амбассадоров безопасности в каждом подразделении
  4. Регулярность без надоедания — масштабные учения раз в год, короткие напоминания раз в квартал

Кроме того, «с 2020 года в России наметился рост интереса к people-centric security», — отмечает Дрозд. Безопасник больше не полицейский, который только запрещает, а партнер для бизнеса, который помогает сотрудникам работать эффективно и безопасно.

Юридические риски: когда угроза приходит в погонах

Вы создали многоуровневую защиту: отстроили технологический контур, научили сотрудников распознавать фишинг, защитили промышленные системы изнутри. Но что делать, когда угроза приходит снаружи — не из темных уголков интернета, а из кабинетов правоохранительных органов? 

«Основная ошибка — полагать, что если компания ведет кристально белый бизнес, то риск визита правоохранителей минимален».

Александра Харина, адвокат, сооснователь адвокатского проекта «Запутай след»

Нельзя забывать, что объектом оперативного интереса могут стать не только нарушители закона, но и вся цепочка их контрагентов. Харина описывает сценарии, к которым редко готовятся отделы ИБ:.

В случае, если прибывший на место обыска специалист скажет, что копирование интересующей следствие информации может повлечь ее утрату, высоки шансы вывоза всей техники на газели с туманными перспективами ее возврата. Это, так называемая, «лазейка» в ст. 164 УПК РФ.

Еще более неочевидный риск — утечка чувствительной информации. По статистике, значительная часть приговоров по статье 272 УК РФ («неправомерный доступ к компьютерной информации») — выносится именно в отношении сотрудников самих государственных структур: оперативников, таможенников и налоговиков.

«Запомните: если вас вызывают «просто поговорить», значит, разговор уже идет «непросто», — подчеркивает Александра. — Даже с виду безобидные запросы информации, вызовы на беседы, а также любого рода неформальное взаимодействие может быть частью процессуальной «хитрости»». 

Защита от подобных рисков требует комплексного подхода и тесного взаимодействия уголовно-правовых адвокатов и служб ИБ:

  • Обучение сотрудников. Каждый член команды должен знать, как взаимодействовать с государственными органами, иметь телефон адвоката под рукой и уметь распознавать ситуации, когда следует сделать такой звонок.
  • Юридическая поддержка.  Предварительная консультация с адвокатом в большинстве случаев позволяет предотвратить сложнообратимые негативные последствия.
  • Изменение мышления. Задача заботящегося о безопасности бизнеса — изменить подход коллектива к правовым вопросам: авторитет сотрудника в погонах не должен подменять собой требования закона и здравый смысл.

Согласитесь, было бы «обидно защититься от иностранных правонарушителей, но пострадать от действий отечественных правоохранителей» — резюмировала Александра.

Синтез и уроки 

В современной кибербезопасности нет универсального решения. Нельзя просто купить новейший ИИ или фаервол и считать себя защищенным. Успех требует комплексного подхода, включающего четыре ключевых элемента:

  1. Современные технологии должны быть умными и проактивными. Это не только сигнатуры, но и AI-защита, постоянный мониторинг и системы безопасности для передовых технологий, например LLM.
  2. Процессы требуют дисциплины, как в финансах. Без четкой сегментации, регулярного аудита уязвимостей и строгих регламентов даже лучшие технологии теряют эффективность. Особенно сложно работать с устаревшими системами в промышленности, где важно не навредить.
  3. Правовая подготовка стала обязательной. Угрозы могут прийти не только из интернета, но и от правоохранительных органов. Протоколы взаимодействия с ними и наличие юриста в команде — это важный элемент защиты.
  4. Люди остаются главным звеном. Культура киберосознанности превращает каждого сотрудника из слабого звена в первую линию обороны. Это не просто опция, а стратегическая необходимость.

В мире, где кибератаки стали индустрией, устойчивыми будут только те, кто ответит на вызовы комплексно и динамично.

Что будем искать? Например,ChatGPT

Мы в социальных сетях