21 Января 2026 16:08 | 21 Янв 2026 16:08 | |

Поделиться

Руслан Ложкин, Абсолют Банк: Далеко не все компании готовы предоставлять достоверные сведения о собственной защищенности

CNews: Как вы оцениваете итоги прошедшего 2025 года? Что изменилось в российской и мировой кибербезопасности?

Руслан Ложкин: Прошедший год запомнился рядом громких взломов в российском ритейле и транспортной сфере, но в целом рост активности атакующих был скорее линейным.

Можно отметить, что в первые несколько месяцев 2022 года российская инфраструктура подвергалась массовым хаотичным атакам хактивистов, которые открыто координировали эксплуатацию известных уязвимостей, дефейсы и DDoS-атаки в соцсетях и мессенджерах. Российские компании, внезапно оставшись без поддержки ушедших зарубежных вендоров, оперативно подняли уровень киберзащиты, легкие цели для хакеров скоро закончились, поэтому они перешли к более продуманным действиям.

Сейчас крупные взломы осуществляются уже профессиональными злоумышленниками с широкими возможностями — финансово мотивированными атакующими, проправительственными APT-группами и кибернаемниками, выполняющими заказы государственных служб или конкурентов. Результатами атак становятся утечки и шифрование данных, уничтожение информации и вывод из строя инфраструктуры, приостановка бизнес-процессов, ущерб репутации, отток клиентов и социальная напряженность, а также, косвенно, дестабилизация отечественной экономики в целом, поскольку финансовые последствия кибератак, включая штрафы, компенсации клиентам, затраты на восстановление после инцидентов, внедрение новых защитных мер и соблюдение ужесточаемых законодательных требований российские организации вынуждены перекладывать на потребителей или на бюджет.

В мировой кибербезопасности по-прежнему активны кластеры киберпреступников, которые крадут данные и требуют выкуп за неразглашение и расшифровку информации, разблокировку работы систем. Злоумышленники активно применяют модели Cybercrime-as-a-Service, что включает в себя предоставление фишинг-китов, шифровальщиков и троянов удаленного доступа по подписке, деятельность брокеров первичного доступа, заказные DDoS-атаки, а также платный доступ к вредоносным моделям ИИ.

В целом, на безопасность киберпространства сейчас ключевое влияние оказывает геополитическая ситуация, а самые опасные и разрушительные атаки реализуются хакерами под крылом тех или иных государств, которые используют похищенные деньги, научные разработки и персональные данные граждан для дальнейшей эскалации конфликтов. В результате, отношение к кибербезопасности стало более пристальным со стороны руководителей высшего звена на государственном и корпоративном уровне практически во всех странах мира, включая, конечно же, Россию.

CNews: Какие вызовы и задачи существуют в сфере ИБ банковской отрасли? С какими актуальными угрозами сталкиваются крупные коммерческие банки сегодня?

Руслан Ложкин: Российская банковская отрасль по уровню цифровизации превосходит другие и до сих пор считается одной из самых передовых в мире. Российские банки, несмотря на высокий уровень киберзащиты и зрелости процессов управления киберрисками, до сих пор активно атакуют, хотя в последнее время и меньше, чем ИТ-компании, телеком, промышленность и госструктуры. Кроме того, отечественный банковский сектор можно назвать одним из самых зарегулированных — существуют требования по защите платежной информации, банковской тайны, персональных данных, безопасности объектов КИИ, действуют строгие стандарты (серия ГОСТ 57580) и нормы ЦБ РФ (различные положения, приказы, указания). Эти три фактора — зависимость от устойчивости ИТ-инфраструктуры, ландшафт угроз, комплаенс — и определяют основные задачи, которые нужно решать банкам с учетом импортозамещения, дефицита кадров и охлаждающейся экономики.

Актуальными для банков стали атаки через подрядчиков и поставщиков различных продуктов, услуг и технологий, необходимость защиты CI/CD-пайплайнов и DevOps-платформ внутренней разработки ПО, мошенничество и фишинг с использованием дипфейков и ИИ, а также обеспечение безопасности зарождающейся ИИ-инфраструктуры в финансовых учреждениях (различные ассистенты, чат-боты, банковские ИИ-агенты).

Кроме того, важно защищать и наших клиентов, которые, в первую очередь, страдают от мошенничества и от вредоносного ПО на пользовательских устройствах. В конечном итоге, ключевыми инструментами для банков становятся продукты для управления киберинцидентами и киберугрозами (системы EDR/XDR, SIEM, SOAR, TIP), выявления аномалий (UEBA), предотвращения утечек данных (DLP), антифрод-решения. В условиях кадрового голода важно не забывать и про автоматизацию базовых ИБ-процессов, включая управление активами, уязвимостями, конфигурациями, изменениями, а также роботизировать управление соответствием, что особенно важно именно в банковской сфере.

CNews: Импортозамещение было одним из драйверов отечественной кибербезопасности последние несколько лет. Какова ситуация сейчас?

Руслан Ложкин: В нашем банке в последние годы активно велись проекты по импортозамещению. Например, в 2022 году мы заменили Blue Coat Proxy SG на Solar webProxy, который был интегрирован с DLP-системой Solar Dozor, в 2023 году завершили проект по замене ядра нашего SOC-центра с SIEM-системы Micro Focus ArcSight на MaxPatrol SIEM, а в 2024 году заменили PAM-систему One Identity Safeguard на российское решение Indeed PAM.

Импортозамещение действительно дало импульс развитию защитных решений, однако сейчас формальное соответствие требованиям цифрового суверенитета уступило место более взвешенному отношению. Нужна реально работающая, результативная кибербезопасность и эффективные средства защиты.

В 2022 году образовавшийся после ухода иностранных продуктов вакуум был спешно заполнен российскими продуктами разной степени зрелости, которые к текущему дню либо эволюционировали в полнофункциональные системы, либо исчезли — и в этом случае их покупатели оказались в уязвимом положении. Спешно установленные незрелые защитные решения уровня MVP вполне могут стать точкой отказа всей инфраструктуры, поэтому хорошо было бы на уровне всей отрасли проводить независимые открытые сравнения различных СЗИ по функционалу с демонстрацией фактуры и нагрузочным тестированием в реальных средах — это помогло бы заказчикам делать более осознанный выбор.

Радует, однако, что многие российские защитные решения активно развивались и до 2022 года, успешно конкурируя с именитыми западными вендорами на открытом рынке. Подобные продукты сейчас обладают уже проверенным в боевых условиях функционалом и богатой историей внедрений, а эксплуатанты могут дать референс за годы использования. Такими решениями являются недавно внедренные в АКБ «Абсолют Банк» продукты Security Vision для управления инцидентами (SOAR), активами (AM), уязвимостями (VM), взаимодействием с АСОИ ФинЦЕРТ Банка России (модуль FinCERT).

CNews: Атаки на цепочки поставок и на подрядчиков превратились из экзотики в обыденность. Какие контрмеры нужно предпринимать?

Руслан Ложкин: Действительно, злоумышленники в последние годы поняли, что атаковать напрямую хорошо защитившиеся компании нецелесообразно, поэтому решили действовать в обход — через подрядчиков, поставщиков, провайдеров, интеграторов, организации холдинговой группы и иных контрагентов. Юридические проверки на финансовую стабильность и благонадежность контрагентов уже привычны и обкатаны, но аналогичные проверки состояния СУИБ потенциального провайдера или поставщика пока только внедряются и осложнены тем, что далеко не все компании готовы брать на себя юридическую ответственность за возможные киберинциденты, предоставлять достоверные сведения о собственной защищенности и тем более проводить внешний аудит ИБ или пентест.

В результате, вредоносное ПО может попасть в инфраструктуру под видом очередного обновления приложения от скомпрометированного поставщика, данные компании могут быть похищены из инфраструктуры подрядчика, а через настроенное удаленное подключение атакующие могут проникнуть из плохо защищенной дочерней в головную организацию. Ситуация осложняется тем, что в условиях дефицита кадров и сжатия экономики все чаще даже крупные компании не выстраивают внутреннюю экспертизу, а выбирают модель аутсорсинга/аутстаффинга и обращаются к специализированным поставщикам продуктов и услуг, которые работают в своей слабо защищенной инфраструктуре, на недоверенных и потенциально скомпрометированных устройствах. Возвращаясь к теме аврального импортозамещения, еще одно опасение вызывают вендоры, неожиданно появившиеся в 2022-2023 годах, но так и не выросшие в зрелых игроков: у таких поставщиков может вообще не быть ресурсов на обеспечение собственной кибербезопасности и защиту процессов разработки ПО.

Контрмеры можно, как обычно, разделить на организационные и технические. Во-первых, уже сейчас в приказе ФСТЭК России №117 прописано, что подрядные организации, получившие доступ к защищаемой информации, должны выполнять ИБ-требования обладателя информации, включая реализацию мер для соответствующего класса защищенности информационной системы. Во-вторых, формальный подход с чек-листом, который заполняется «на доверии», не должен применяться: от потенциальных контрагентов нужно требовать фактическое подтверждение соответствия законодательным нормам и внутренним ИБ-стандартам заказчика, подписывать юридически значимые соглашения о распределении ответственности в случае киберинцидента или использовать киберстрахование, выполнять инструментальные проверки защищенности (аудиты, пентесты, Red Teaming) с подтверждением устранения выявленных недостатков и уязвимостей.

С технической точки зрения нужна мультифакторная аутентификация, PAM-решения, условный доступ (conditional access) с проверкой безопасности подключения (posturing), сетевая микросегментация (как минимум изоляция сегмента jump-серверов, тестового и staging-сегментов), работа подрядчиков только с анонимизированными или токенизированными данными. Для оптимальных результатов в собственной инфраструктуре нужно реализовать модель Zero Trust, а ключевых подрядчиков можно подключать на мониторинг в корпоративном SOC-центре, если у них недостаточно ресурсов по обеспечению ИБ своими силами.

CNews: В последние 1-2 года кибербезопасностью заинтересовался малый и средний бизнес, который испытывает сложности с бюджетом и кадрами. Какие ИБ-задачи должны быть приоритетными для МСБ-сегмента?

Руслан Ложкин: В случае небольшого бизнеса и ресурсных ограничений целесообразно сосредоточиться на базовых процессах ИБ, включая управление активами и уязвимостями — они до сих пор мало где реализованы в полном объеме, несмотря на их обязательность для минимального уровня киберзащиты. Далее можно переходить к ИБ-обучению персонала, управлению инцидентами, соответствием, непрерывностью бизнеса. Все процессы лучше сразу максимально автоматизировать — использовать решения класса Asset Management (AM), Vulnerability Management (VM), а по мере взросления применять уже SIEM, SOAR, SGRC, не забывая и про защиту конечных точек, данных, почтового и интернет-трафика.

Многие МСБ-компании выбирают подписочную модель ИТ/ИБ-сервисов: облачную инфраструктуру, услуги по защите от DDoS-атак и преднастроенный WAF от провайдера, облачное резервное копирование, мониторинг поверхности атаки и уязвимостей инфраструктуры, а также услуги от MSS/MDR-провайдеров и коммерческих SOC. У подобного подписочного подхода есть известные преимущества: быстрое подключение услуги и масштабирование при необходимости, использование накопленной ИБ-экспертизы крупных игроков, финансовая модель (OPEX), измеримые результаты. Не нужно забывать и про минусы: передача ИБ-процессов провайдеру сама по себе является риском, третья сторона будет обрабатывать чувствительные корпоративные данные, а привязка кибербезопасности всего бизнеса к одному сервису и вендору будет дополнительной зависимостью и уязвимостью.

CNews: В АКБ «Абсолют Банк» уже 15 лет функционирует SOC-центр. Как он справляется с потоком киберинцидентов?

Руслан Ложкин: АКБ «Абсолют Банк» входит в топ-30 российских банков по активам и капиталу, что накладывает на нас обязательства по обеспечению кибербезопасности клиентов и банковской инфраструктуры, в том числе посредством управления киберинцидентами. В 2010 году предыдущей ИБ-командой банка был создан SOC на базе SIEM-системы ArcSight ESM, к которой были подключены источники событий во всех территориальных подразделениях. На тот момент это был один из крупнейших центров мониторинга во всей Восточной Европе и один из первых SOC в России.

Как известно, SOC — это специалисты, процессы, технологии и данные, а изменения ландшафта угроз, инфраструктуры и бизнес-процессов банка влекут за собой эволюцию этих компонентов. Соответственно, от SMS-оповещений о новых кейсах и обработки алертов в Jira мы перешли к системе автоматизации реагирования на киберинциденты, которую недавно выстроили на платформе Security Vision с использованием модулей SOAR, AM, VM, FinCERT. В рамках внедрения был реализован ряд интеграций, включая настройку взаимодействия Security Vision SOAR с MaxPatrol SIEM и DLP-системой Solar Dozor для ускорения обработки инцидентов, а также обмен данными об уязвимостях между Security Vision VM и MaxPatrol VM. Модуль Security Vision FinCERT был настроен для загрузки фидов ФинЦЕРТ, проверки корректности процесса получения данных и оперативного применения индикаторов от ЦБ РФ. Инженеры внедрения Security Vision создали в SOAR процессы обработки инцидентов с учетом организационной специфики нашего SOC, а за счет удобного графического редактора no-code мы можем теперь сами кастомизировать все рабочие процессы в решении.

Платформа Security Vision развивается уже более 10 лет, проверена в реальных условиях киберпротивостояния, в том числе почти во всех крупнейших финансовых организациях страны, и позволяет существенно снизить нагрузку на сотрудников SOC-центра АКБ «Абсолют Банк», а динамические плейбуки Security Vision SOAR сами адаптируются к условиям конкретного инцидента, что помогает адекватно реагировать на новые типы атак.

При выборе отечественного решения нам важно, чтобы оно было не только надежным и зрелым, но и поддерживало API-взаимодействие и протоколы интеграции с другими защитными решениями. И эти возможности также присутствуют у продуктов Security Vision.

CNews: Утечки данных могут быть следствием преднамеренных или случайных действий сотрудников. Как противостоять «сливам» информации?

Руслан Ложкин: В современных организациях целесообразно выстраивать дата-центричную модель кибербезопасности: вне зависимости от места и формы хранения информации (конечные устройства, электронная почта, файловые серверы, облака, NoSQL-базы, Data Lake и т.д.), важно автоматически классифицировать создаваемые объекты, отслеживать маршрут перемещения чувствительных данных и реагировать на случайную или намеренную утечку не постфактум, а выявлять предпосылки и действовать проактивно.

Для выявления аномалий поведения учетных записей и устройств можно использовать UEBA-решения или аналитические модули DLP-систем, а также контролировать последовательность подозрительных действий пользователей, которые могут указывать на подготовку к «сливу» — нетипичные поисковые запросы, обращение к нехарактерным файловым ресурсам, попытки обмануть DLP и нащупать слабо контролируемые каналы утечки.

Нужно отметить, что большинство современных DLP хорошо выявляют случайные утечки. Но целенаправленно внедренный инсайдер может попытаться обойти защитные механизмы, а сотрудники могут вступить в сговор с киберпреступниками, быть завербованы или инициативно оказывать помощь злоумышленникам, поэтому важно вести работу с персоналом (проверка кандидатов, контроль психоэмоционального состояния, выявление деструктивных намерений, обучение по ИБ). Кроме того, вирусы-вымогатели применяют техники поиска конфиденциальной информации для ее последующей эксфильтрации и запроса выкупа, поэтому использование систем защиты данных может помочь выявить кибервымогателей еще на этапе сбора данных и таким образом предотвратить дальнейшие последствия (шифрование, уничтожение данных).

CNews: Атакующие все чаще применяют ИИ для масштабирования и автоматизации всей цепочки атаки. Что мы можем противопоставить им?

Руслан Ложкин: Использование ИИ атакующими — это настоящий тренд последних 2-3 лет. Сначала кибермошенники с помощью нейросетей просто создавали грамотные и стилистически безупречные фишинговые сообщения, потом перешли к голосовым и видео-дипфейкам, затем стали использовать ИИ для поиска уязвимостей и проверки гипотез атаки. Сейчас подход vibe hacking позволяет злоумышленникам писать вредоносное ПО, обходя встроенные ограничивающие механизмы LLM за счет промпт-инжиниринга и jailbreaking, а некоторые атакующие уже начали реализовывать с помощью ИИ все стадии кибератаки: от первичного проникновения до анализа инфраструктуры, кражи ценной информации и запроса выкупа с учетом оценочной стоимости данных и финансового положения компании-жертвы.

Функционал ИИ-решений позволяет киберпреступникам масштабировать свои возможности и существенно снижает порог входа в криминальный бизнес. Противопоставить «темному» ИИ можно только «светлый» ИИ: защитные решения оснащаются ИИ-помощниками, которые подсказывают последовательность действий по настройке СЗИ или при реагировании на угрозу, а на базе автономных ИИ-систем уже создаются «автономные SOC» (или NG SOC), в которых большинство операций по мониторингу, обнаружению, реагированию выполняется ИИ-агентами.

CNews: Что вы могли бы пожелать коллегам по отрасли в 2026 году?

Руслан Ложкин: Бум ИИ может пугать или, наоборот, вдохновлять, но ясно одно — это уже мало похоже на очередной технологический «пузырь». Технологии развиваются очень быстро. Еще 3 года назад мало кто пользовался GPT-чатами, а сейчас это один из основных инструментов. Поэтому важно использовать ИИ во благо — применять для автоматизации рутины и анализа больших объемов информации, выполнения автономных процедур в отсутствие специалиста и быстрого реагирования на вредоносные действия. В новом 2026 году желаю коллегам «оседлать» новейшие технологии, не терять энтузиазма, повышать профессиональную квалификацию и изучать новое, следить за своим физическим и психическим здоровьем.

Поделиться

Короткая ссылка