«ГИГАНТ — Компьютерные системы» о том, какие кибератаки сегодня опаснее всего для бизнеса и госсектора

Эксперт «ГИГАНТ — Компьютерные системы» рассказал, почему фишинг и DDoS остаются главными угрозами, как меняется модель защиты и какую роль играет импортозамещение ИБ-решений Российские компании и государственные организации все активнее инвестируют в киберзащиту. Причина проста: атаки стали не только более частыми, но и более разрушительными по последствиям. Фишинг уже давно не сводится к краже пароля или банковских данных. DDoS используется не только для перегрузки ресурсов, но и как инструмент публичной демонстрации неустойчивости организации. На этом фоне рынок меняет подход к информационной безопасности. Защита перестает быть набором отдельных решений и постепенно превращается в комплексную систему: с централизованным мониторингом, SOC, NGFW, защитой от DDoS, контролем персональных данных, регулярными обновлениями, киберучениями и переходом на отечественные продукты. О том, какие атаки сегодня наиболее опасны, почему рынок делает ставку на комплексную модель защиты и насколько российские ИБ-решения способны закрыть потребности бизнеса и госсектора, мы поговорили с Сергеем Семикиным, CEO компании «ГИГАНТ — Компьютерные системы». — Сергей, начнем с общей картины. Если смотреть на российские компании и госсектор, какие атаки сегодня остаются самыми частыми и самыми болезненными? Как это оценивают в «ГИГАНТ — Компьютерные системы»? Фокус атак в целом не меняется: основу по-прежнему составляют фишинг и DDoS. Но важно понимать, что сами сценарии стали жестче. Фишинг больше не ограничивается попыткой украсть учетные данные. Для государственных организаций он часто становится источником серьезного ущерба, потому что используется для дискредитации, нарушения работы и создания репутационных потерь. В ряде случаев атака сразу предполагает полное шифрование без сценария выкупа. То есть задача злоумышленников не заработать, а нанести максимальный операционный и репутационный ущерб. — То есть это уже не классическая история «зашифровали и требуют деньги», а атака ради разрушения и публичного эффекта? Да. И это принципиальное изменение. Если раньше логика многих атак была коммерческой, то сейчас все чаще виден сценарий давления на организацию. Зашифровать, остановить процессы, показать неустойчивость, создать публичный резонанс. С DDoS логика похожая. Цель не просто перегрузить инфраструктуру. Цель - публично показать, что организация не выдерживает нагрузку. Ее «кладут», фиксируют простой, создают репутационный ущерб и демонстрируют уязвимость. — Получается, DDoS сегодня работает почти как медийная атака: важно не только вывести ресурс из строя, но и показать всем, что он лег? Именно. Для госсектора и социальных учреждений это особенно чувствительно, потому что их сервисы напрямую связаны с доверием граждан. Если портал недоступен, если не работает важный сервис, если пользователи не могут получить услугу, ущерб выходит за рамки технического сбоя. Для бизнеса картина похожая, но с отраслевым акцентом. Под ударом остаются крупные компании, в первую очередь нефтегаз. При этом в последнее время усилился фокус на маркетплейсах и телекоме, то есть на секторах, которые напрямую влияют на повседневную жизнь людей. — Почему именно маркетплейсы и телеком? Потому что сбой там сразу замечают миллионы пользователей? Да. Это чувствительные точки. Инфраструктура связи, электронная коммерция, крупные цифровые сервисы - все это влияет на ежедневные действия граждан. Если атакующий создает сбой в таких сегментах, он получает максимальный эффект: пользователи видят проблему сразу, организация получает репутационный удар, а давление на ИТ- и ИБ-команды резко растет. В «ГИГАНТ — Компьютерные системы» мы видим, что выбор целей становится все более прагматичным: бьют туда, где сбой наиболее заметен и где цена простоя выше. — Если перейти от угроз к защите: какие тренды в кибербезопасности сейчас наиболее заметны у российских компаний и госсектора? Ключевой тренд - жесткое исполнение регуляторных требований, в первую очередь 118 приказа ФСТЭК. Это уже не формальность. Компании и госсектор выстраивают защиту по всем параметрам, которые он задает, без попыток «оптимизировать» объем внедрения. Второй системный сдвиг - переход к централизованному мониторингу через SOC. Госсектор активно внедряет такие центры и начинает работать с инцидентами в режиме постоянного контроля, а не только реагировать после того, как проблема уже стала очевидной. — То есть рынок уходит от логики «поставили средство защиты и ждем» к постоянному наблюдению? Да. Без постоянного мониторинга сегодня невозможно управлять безопасностью. Инциденты развиваются быстро, атакующие комбинируют разные техники, а инфраструктура становится сложнее. Поэтому SOC становится центром модели защиты: через него проходит анализ событий, выявление инцидентов и реагирование. Отдельный тренд - массовое внедрение NGFW. Причем рынок уходит от базовой защиты к высокопроизводительным решениям. Объем трафика растет, атаки усложняются, слабые решения просто не справляются. — То есть вопрос уже не только в наличии межсетевого экрана, а в том, выдержит ли он реальную нагрузку и современные сценарии атак? Именно. Защита периметра остается важной, но требования к производительности и обработке данных стали гораздо выше. Параллельно идет активное замещение западных продуктов. При выборе решений компании смотрят не только на формальное соответствие, но и на пропускную способность, устойчивость, качество обработки трафика и возможность работы в реальной нагрузке. В «ГИГАНТ — Компьютерные системы» мы видим, что рынок перестал рассматривать безопасность как набор точечных мер. Формируется комплексная модель защиты с акцентом на устойчивость, производительность и соответствие требованиям регулятора. — Вы отдельно выделяете персональные данные. Почему этот блок так резко усилился? Потому что выросла ответственность и стоимость инцидентов. Потеря персональных данных стала не просто проблемой ИБ. Это прямой финансовый и регуляторный риск. В ответ рынок ускоренно развивает решения для защиты, контроля и обработки таких данных. Компании начинают понимать: если данные утекли, последствия будут не только техническими. Это штрафы, претензии, репутационный ущерб, снижение доверия клиентов и партнеров. Поэтому защита персональных данных становится одним из центральных направлений. — Если говорить об инструментах: из чего сегодня складывается современная модель защиты у бизнеса и госсектора? Подход перестраивается в сторону целостной системы. Компании и госсектор уходят от набора разрозненных решений и выстраивают защиту как сквозной процесс: от инфраструктуры до пользователя. Основа этой модели - контроль базового уровня. В первую очередь это переход на СПО и регулярное обновление систем. Обновления больше не откладывают: уязвимости закрываются по мере появления, без накопления технического долга. Это фундамент, без которого остальные меры просто не работают. — То есть если базовые обновления не поставлены, то даже дорогие средства защиты не спасают? Да. Нельзя строить зрелую безопасность на неактуальных системах. Если уязвимости копятся месяцами, атакующему не нужно изобретать сложный сценарий. Он использует то, что уже известно и давно должно быть закрыто. Следующий шаг - проверка устойчивости на практике. Поэтому госсектор системно внедряет киберучения и нагрузочное тестирование. Системы больше не считаются защищенными просто по факту внедрения. Их регулярно проверяют в сценариях, максимально приближенных к реальным атакам. — Это важный сдвиг: защита считается рабочей не тогда, когда ее купили, а когда она выдержала проверку? Именно. Формальное внедрение уже не дает уверенности. Нужно понимать, как система поведет себя под нагрузкой, при DDoS, при фишинговой кампании, при попытке эксплуатации уязвимости, при сбое или атаке на данные. Из этого логично вытекает необходимость постоянного контроля. Мониторинг становится обязательным элементом, а SOC - центром всей модели безопасности. Без наблюдаемости управлять безопасностью уже невозможно. — А где в этой модели место искусственного интеллекта? Сейчас о нем говорят почти в каждой теме ИБ. Роль ИИ растет, потому что объем событий и атак уже невозможно эффективно обрабатывать вручную. Искусственный интеллект используют для анализа потоков данных, выявления аномалий и ускорения реакции. Но важно не переоценивать его роль. ИИ не заменяет классические средства защиты. Он становится надстройкой, которая повышает их эффективность и скорость работы. Базовые вещи - защита от DDoS, контроль периметра, обновления, мониторинг, обучение сотрудников, защита данных - никуда не исчезают. — То есть ИИ усиливает систему, но не отменяет архитектуру защиты? Да. Он помогает быстрее увидеть отклонение, обработать больше событий, сократить время реакции. Но если нет базового контроля, если не закрываются уязвимости, если сотрудники не обучены, если персональные данные не защищены, ИИ не решит проблему сам по себе. В «ГИГАНТ - Компьютерные системы» мы рассматриваем ИИ как важный инструмент повышения скорости и точности, но не как замену комплексной модели безопасности. — Вы упомянули сотрудников. Человеческий фактор по-прежнему остается одной из главных точек риска? Да. Организации начинают системно работать с сотрудниками: обучают распознавать фишинг, правильно работать с почтой, не создавать инциденты. Человеческий фактор перестают считать второстепенным. Он становится частью модели защиты. Если фишинг остается одной из ключевых угроз, значит, обучение сотрудников должно быть постоянным. Не разовая лекция, а регулярная практика: как выглядит подозрительное письмо, как проверять отправителя, что делать при сомнении, куда сообщать о возможной атаке. — Теперь про российский рынок ИБ. Насколько отечественные продукты сегодня закрывают потребности бизнеса и госсектора? С 2022 года рынок информационной безопасности в России перешел в фазу ускоренного развития. Причина прямая: импортозамещение из стратегии превратилось в операционную необходимость. Вендоры начали активно наращивать функциональность продуктов, чтобы закрыть критические потребности российского бизнеса и госсектора. Это изменило логику закупок. Если раньше отечественные решения иногда рассматривались как альтернатива «на крайний случай», то сейчас в первую очередь выбирают российские продукты. К западным решениям обращаются только тогда, когда нет функционального аналога. — То есть рынок перестал ждать возврата прежней модели и начал строить собственную? Да. И это уже дает результат. Сегодня порядка 90-95% задач в области ИБ можно закрыть отечественными решениями. Это значит, что комплексную систему защиты - от периметра до работы с данными - уже можно выстраивать без опоры на иностранные продукты. Но есть важная особенность. Если западные вендоры традиционно предлагали более консолидированные платформы, закрывающие несколько задач одновременно, то российский рынок идет по пути модульности. — Модульность - это преимущество или усложнение? И то и другое. Для построения полной защиты может потребоваться больше компонентов. Это усложняет архитектуру и интеграцию. Но такая модель дает гибкость: можно точечно усиливать нужные участки, выбирать решения под конкретные задачи и не быть полностью привязанным к одной платформе. Поэтому зрелость рынка сейчас проявляется не только в наличии отдельных продуктов, но и в способности собрать из них работоспособную систему. — Какие направления российских ИБ-решений развиваются наиболее заметно? Логичным продолжением роста рынка стало развитие специализированных решений. В первую очередь - в сегменте защиты персональных данных. Появляются технологии маскирования и трансформации, которые позволяют снижать регуляторные риски. Параллельно серьезно усилились направления сетевой безопасности и защиты от DDoS. Продукты выросли по производительности и фактически закрыли разрыв с западными аналогами в ряде практических сценариев. — То есть уже можно говорить, что российские решения подходят не только для формального импортозамещения, но и для реальной эксплуатации под нагрузкой? Да, в значительной части задач - можно. На уровне отдельных вендоров это уже дает практический результат. Например, решения Kaspersky позволяют закрывать значительную часть задач по защите инфраструктуры в рамках одного поставщика. Это показатель зрелости рынка: экосистемные решения начинают конкурировать не только по отдельным функциям, но и по полноте покрытия. В «ГИГАНТ — Компьютерные системы» мы видим, что заказчики все чаще оценивают не просто факт российского происхождения продукта, а его производительность, интеграцию, качество сопровождения и способность закрывать реальные риски. — Если подвести итог: как сегодня выглядит зрелая киберзащита для бизнеса и госсектора? Зрелая защита - это не одна система и не один продукт. Это комплексная модель: выполнение требований регулятора, обновление систем, защита периметра, NGFW, анти-DDoS, SOC, мониторинг, киберучения, обучение сотрудников, защита персональных данных и применение ИИ там, где он помогает быстрее анализировать события и реагировать. Главное - рынок перестает мыслить точечно. Уже недостаточно закрыть один участок и считать себя защищенным. Атаки бьют по людям, инфраструктуре, данным, публичным сервисам и репутации. Поэтому защита должна быть целостной. — И главный вывод от «ГИГАНТ — Компьютерные системы» для компаний, которые сейчас пересматривают ИБ-стратегию? Нужно исходить из устойчивости, а не из формального набора решений. Фишинг и DDoS остаются главными угрозами, но их последствия становятся тяжелее. Персональные данные превращаются в отдельную зону финансового и регуляторного риска. SOC и мониторинг становятся обязательными, а отечественные решения уже закрывают большую часть практических задач. Если компания хочет выдерживать современные атаки, ей нужна не «витрина безопасности», а работающая модель: производительная, проверяемая, соответствующая требованиям и собранная вокруг реальных рисков. Именно такой подход «ГИГАНТ — Компьютерные системы» считает основой современной киберустойчивости.