27 Февраля 2026 10:39 | 27 Фев 2026 10:39 | |

Поделиться

Роман Шапиро, «Почта России»: Примеров результативного использования ИИ в кибербезопасности совсем немного

CNews: Как изменился подход «Почты России» к кибербезопасности за последние 3 года? Какие угрозы и вызовы актуальны для вашей организации сейчас?

Роман Шапиро: За последние несколько лет ситуация в российском киберпространстве крайне обострилась и коренным образом изменилась. От противостояния типовым кибератакам, рядовым финансово мотивированным атакующим и достаточно редким случаям APT-атак мы перешли к борьбе с хактивистами, профессиональными кибернаемниками и проправительственными APT-группировками. Эти типы злоумышленников нацелены на кражу данных, уничтожение инфраструктуры и нарушение доступности сервисов, что приводит к финансовому и репутационному ущербу, дестабилизации экономики и общества.

Активность демонстрируют и кибершпионы, которые используют тактику длительного незаметного присутствия в скомпрометированной инфраструктуре для получения наиболее ценных сведений (передовые разработки, интеллектуальная собственность, структура бизнес-процессов), а также кибервымогатели, нацеленные на получение выкупа за расшифровку данных и на хищение ценной информации с последующим шантажом ее разглашением.

При этом одна и та же группа злоумышленников может преследовать сразу несколько целей: нарушить работу организации по заданию спецслужб недружественных государств, похитить важные данные и получить выкуп, а затем удалить всю инфраструктуру, включая бэкапы, для нанесения максимального ущерба и усложнения расследования инцидента, что также затрудняет атрибуцию атакующих.

За последние 1-2 года фокус злоумышленников сместился с массовых нетаргетированных атак на более точечные и продуманные нападения с использованием целевого фишинга, эксплойтов для Zero-day или N-day-уязвимостей, атак через цепочки поставок и доверительные отношения с контрагентами. Для атак используются также возможности, предоставляемые киберкриминальным бизнесом: услуги брокеров первоначального доступа, различные варианты Malware-as-a-Service, распространяемые в даркнете логи инфостилеров, содержимое утечек на DLS-сайтах.

«Почта России» неразрывно связана с национальной инфраструктурой и киберпространством, поэтому для нашей организации актуальны в том числе и все перечисленные выше киберугрозы. Одной из особенностей бизнеса «Почты России» является его многопрофильность и диверсифицированный портфель предоставляемых услуг, поэтому для нас характерны те же вызовы, что и для крупнейших российских компаний из отраслей логистики, ритейла, промышленности, финансового и государственного секторов.

Инфраструктура «Почты России» отличается масштабом и широкой географической распределенностью — у нас 38 тысяч отделений, 11 логистических почтовых центров, 3 центра обработки данных и более 100 тысяч рабочих станций по всей стране, что в совокупности максимизирует поверхность атаки. Учитывая текущие условия киберконфликта, агрессивную киберсреду и озвученные организационные и технические особенности нашей организации, можно утверждать, что мы сталкиваемся с экстремальными киберугрозами и вызовами.

CNews: Автоматизация процессов ИБ видится логичным решением в условиях агрессивного киберпространства и дефицита кадров. Какие платформы автоматизации используются в «Почте России»?

Роман Шапиро: Одной из основных сложностей для экономики нашей страны сейчас является дефицит квалифицированных кадров. В кибербезопасности это ощущается особенно остро, несмотря на предпринимаемые государством и частными компаниями меры по привлечению студентов и специалистов смежных направлений в профессию. Становится очевидно, что в текущий момент невозможно обеспечивать должную киберзащищенность традиционными методами за счет увеличения числа квалифицированных ИБ-специалистов, особенно в крупных мультипрофильных бизнесах и гетерогенных распределенных инфраструктурах. Кроме того, время присутствия атакующих в скомпрометированных сетях до нанесения значимого ущерба сегодня может составлять буквально считанные дни и часы. Если стоит задача разрушения инфраструктуры и уничтожения данных, злоумышленники стремятся действовать максимально быстро и напористо, даже если повышается риск их обнаружения.

В современных условиях только автоматизация реально помогает минимизировать зависимость качества процессов ИБ от числа сотрудников и адекватно реагировать на современные быстро распространяющиеся киберугрозы. В связи с этим в «Почте России» все больше внимания уделяется повышению уровня автоматизации процессов кибербезопасности и их максимальной унификации, работе со всей СУИБ на единой платформе, оперирующей актуальными и достоверными данными и событиями ИБ от различных источников.

При выборе СЗИ мы отдаем приоритет решениям, поддерживающим возможности интеграции с системами класса SOAR и с платформами автоматизации процессов ИБ, а также обеспечивающим выполнение требований законодательства РФ — в частности, к формированию отчетности и обмену информацией с регуляторами. Кроме того, системы ИБ должны учитывать эволюцию ландшафта угроз, изменения киберрисков и корпоративных процессов ИБ, оставаться актуальными и боеспособными в заданных условиях.

Учитывая перечисленные требования, мы в «Почте России» внимательно подошли к выбору платформы автоматизации процессов ИБ и в итоге остановились на экосистеме продуктов от наших партнеров из Security Vision, в частности, на решениях Security Vision SGRC (для управления процессами кибербезопасности, киберрисками, соответствием законодательству), SOAR (для управления киберинцидентами), TIP (для управления аналитикой киберугроз).

CNews: Какие процессы реализованы в Security Vision SGRC на текущий момент? Каковы дальнейшие планы развития?

Роман Шапиро: Поскольку учредителем и единственным акционером «Почты России» является Российская Федерация, мы уделяем особое внимание беспрекословному выполнению всех требований действующего законодательства, включая нормы в части кибербезопасности. Для повышения эффективности процессов ИБ-комплаенса мы стремимся к полной автоматизации всех действий, начиная от сбора и анализа требований и заканчивая проверкой технических параметров инфраструктуры, систем и отдельных активов.

В Security Vision SGRC уже реализованы процессы идентификации информационных систем (ИС) и управления активами, присвоение требований ИС, аудит ИС, повторный аудит и приведение в соответствие. Кроме того, в Security Vision SGRC сейчас выстраивается процесс управления экспертизой ИБ, в котором требования по ИБ автоматически формируются и проверяются для каждого планируемого изменения в ИТ-инфраструктуре, что позволяет унифицировать решение задачи контроля соответствия нормативным требованиям в рамках управления изменениями.

Управление требованиями безопасности при разработке программного обеспечения — это еще один реализуемый в Security Vision SGRC процесс, в котором будет выполняться управление задачами на исправление уязвимостей и дефектов приложений за счет интеграции с решением класса ASOC.

В целевой картине Security Vision SGRC станет единым центром управления всеми процессами кибербезопасности «Почты России» — интегрированной платформой обработки данных об активах, уязвимостях, изменениях, аудитах, комплаенсе, с контролем ключевых метрик ИБ и визуализацией состояния киберзащищенности всей организации. В результате мы хотим получить функциональную и простую систему оценки соответствия всем применимым требованиям (законодательным, отраслевым, внутренним) — такая верификация, в идеальном случае, должна выполняться буквально по нажатию одной кнопки.

CNews: Каков опыт работы «Почты России» с продуктом Security Vision SOAR? Насколько выросла скорость реагирования на киберинциденты?

Роман Шапиро: В рамках проекта цифровой трансформации и автоматизации реагирования на киберинциденты предыдущей командой департамента ИБ «Почты России» в 2019 году был проведен открытый многоэтапный конкурс среди российских и иностранных вендоров. Победителем стало решение Security Vision IRP/SOAR. С тех пор мы совместно с коллегами из Security Vision непрерывно дорабатывали и адаптировали решение под наши задачи, добавляли новые интеграции с корпоративными системами, кастомизировали логику внутренних рабочих процессов с помощью графического конструктора low-code/no-code, обновляли саму платформу.

Системы класса SOAR предназначены для решения озвученных выше задач: оперативного автоматизированного реагирования на вариативные и молниеносные киберугрозы в условиях кадрового дефицита. В текущих реалиях разбирать инциденты вручную крайне неэффективно, поэтому без автоматизации всех этапов реагирования (анализ, обогащение, локализация, устранение, восстановление) не имеет смысла говорить про выстраивание процесса управления киберинцидентами.

Преимуществом решения Security Vision SOAR является его нативная интеграция со смежными продуктами Security Vision TIP и Security Vision SGRC, которые мы также используем, что дает возможность контекстуализировать данные об инцидентах и обогащать их информацией о внутренних (активы, пользователи, системы) и внешних (домены, адреса, хэши) сущностях. В результате управление всеми этапами реагирования сейчас централизовано в едином окне Security Vision SOAR, состояние всей СУИБ визуализируется на дашбордах, а противодействие киберугрозам выполняется автоматизированно или в полностью автоматическом режиме, что значительно снижает нагрузку на специалистов нашего SOC-центра и позволяет успевать за действиями атакующих, переходя от реактивного подхода к проактивному.

CNews: Как выстроена работа с решением Security Vision TIP в «Почте России»? Как сильно влияют данные киберразведки на возможности выявления кибератак?

Роман Шапиро: Одной из важных особенностей платформы Security Vision является бесшовное взаимодействие всех модулей. Так, в Security Vision SOAR сотрудники SOC-центра «Почты России» получили возможность работать не только с инцидентами ИБ, но и с данными киберразведки, поступающими в Security Vision TIP из собственного TI-фида Security Vision и от ряда сторонних поставщиков.

При работе с аналитикой киберугроз важно применять автоматизацию, по аналогии с другими процессами ИБ: без роботизации обработка потоков TI-данных не будет эффективной и потребует привлечения массы дефицитных специалистов, которые смогут разбирать сработки только постфактум. Кроме того, важно обеспечить TIP-решение сетевой связностью с поставщиками данных киберразведки, которыми могут быть коммерческие и открытые источники и данные от вендора. В нашем случае Security Vision TIP — это единственная защитная система, выходящая наружу за пределы контролируемой зоны.

Кроме того, помимо стандартных TI-фидов, мы завели в Security Vision TIP данные от ряда внешних сервисов CPT (Continuous Penetration Testing, непрерывное тестирование на проникновение). Для эффективного управления аналитикой киберугроз важно оперировать индикаторами компрометации и атак, применять TIP на техническом, тактическом, операционном и стратегическом уровнях, корректировать настройки СЗИ, политики ИБ и приоритизацию киберрисков на основе полученной TI-аналитики. Сама платформа TIP должна поддерживать агрегацию, дедупликацию, очистку, скоринг и обогащение индикаторов, обработку бюллетеней безопасности, match- и ретро-поиск, а также выявлять фишинговые и DGA-домены. Именно подобным функционалом обладает используемое в «Почте России» решение Security Vision TIP, которое упрощает работу с аналитикой киберугроз за счет визуализации накопленных данных в графе связей, обеспечивает автоматизированное реагирование на сработки и поддерживает нативную интеграцию с другими использующимися у нас продуктами Security Vision SOAR и SGRC.

CNews: Как показали себя продукты Security Vision в рамках недавно проведенных в «Почте России» киберучений?

Роман Шапиро: Действительно, осенью 2025 года в «Почте России» проводились киберучения, в которых участвовали специалисты сразу нескольких ИБ-вендоров: «красная» команда пентестеров имитировала целевые кибератаки, а «синие» обнаруживали вторжения условного противника. В рамках киберучений проверялись самые разнообразные векторы и гипотезы кибератак, нападающие творчески подходили к попыткам реализации каждого сценария стратегического риска, а команда защитников активно противодействовала им, что повышало реалистичность учений. Целями киберучений были оценка уровня киберустойчивости инфраструктуры и проверка практической осуществимости различных сценариев кибератак. При этом команда SOC-центра «Почты России» управляла автоматизированным реагированием на киберинциденты с использованием продуктов Security Vision SOAR, TIP, SGRC.

Платформа Security Vision стала ядром нашего SOC за счет централизации управления всей СУИБ «Почты России» в едином окне Security Vision SOAR/SGRC и интеграции с продуктами других ведущих российских ИБ-игроков, таких как «Лаборатория Касперского» и Positive Technologies.

Результаты киберучений позволили выявить определенные недоработки и слабые места в инфраструктуре и настройках защитных решений — такая работа над ошибками способствует дальнейшему повышению уровня киберзащищенности «Почты России» и непрерывному совершенствованию используемых СЗИ. В целом, киберучения продемонстрировали, что наш выбор платформы Security Vision и самого вектора развития СУИБ «Почты России» был верным, а также позволили создать хороший задел для дальнейшего повышения уровня зрелости процессов ИБ и применяемых технических и организационных мер.

CNews: Проект по построению киберустойчивой инфраструктуры «Почты России» рассчитан на 3 года, осенью 2025 года завершилась его первая фаза. Каковы дальнейшие планы и целевая картина?

Роман Шапиро: В «Почте России» разработана общая концепция развития ИБ, которая ежегодно оптимизируется, исходя из результатов проведенных аудитов ИБ, оценки защищенности, анализа текущего уровня зрелости ИБ. Формируются годовые планы развития ИБ, выполнение которых за счет решения операционных и тактических задач и устранения выявленных аудитами недостатков позволяет оптимальным путем достичь целевых показателей киберзащищенности «Почты России» уже на стратегическом уровне.

Например, кибер-испытания и моделирование кибератак демонстрируют наличие новых или неучтенных ранее угроз, векторов, сценариев атак, позволяют учесть вариативность и эволюцию тактик, техник и инструментов злоумышленников. Адаптивность защитных мер — ключ к эффективному управлению ИБ и реагированию на инциденты в условиях быстро изменяющегося ландшафта киберугроз, поэтому так важно, чтобы производители СЗИ и провайдеры ИБ-сервисов итеративно дорабатывали и непрерывно совершенствовали свои решения. Именно поэтому приятно констатировать, что наши коллеги из Security Vision учитывают обратную связь от своих заказчиков, непрерывно дорабатывают свою платформу и повышают ее эффективность и удобство для пользователей.

CNews: Как метрики для оценки состояния ИБ используются в вашей организации? Насколько важен функционал визуализации и отчетности в защитных решениях?

Роман Шапиро: При использовании метрик важно не забывать про закон Гудхарта, который говорит о том, что как только показатель становится целью, он перестает быть хорошей мерой. Иными словами, достижение различных KPI теряет эффективность, когда становится самоцелью, а люди начинают работать не на реальный результат, а на выполнение формальных критериев. Разумеется, это не отменяет необходимости оценивать состояние процессов ИБ в виде качественных и количественных показателей для того, чтобы видеть динамику развития и рост уровня зрелости СУИБ.

Кроме того, с развитием СУИБ могут меняться и методические подходы к оценке состояния процессов ИБ, и сами контролируемые метрики для обеспечения релевантности отображаемых показателей. Важно подавать в систему визуализации и отчетности непротиворечивые и актуальные данные из различных интегрированных ИТ- и ИБ-систем, что позволит отслеживать фактическое состояние инфраструктуры и процессов. На текущий момент нам важно визуализировать на дашбордах состояние ИБ на оперативном и тактическом уровнях для использования нашими ИБ-специалистами, а на стратегическом уровне целесообразно отображать верхнеуровневое состояние всей СУИБ «Почты России».

Метрики и дашборды для контроля процессов ИБ в «Почте России» реализованы на платформе Security Vision, что позволяет наблюдать за состоянием всей СУИБ и принимать необходимые меры в едином окне через удобный интерактивный интерфейс.

CNews: Системы ИИ активно используются и атакующими, и защитниками. Как широко применяется ИИ в «Почте России»?

Роман Шапиро: На текущий момент примеров результативного использования систем ИИ в отечественной кибербезопасности совсем немного. Например, технологии ИИ показывают хорошие результаты в направлении AppSec — позволяют снизить уровень ложноположительных обнаружений уязвимых участков кода за счет постобработки результатов работы инструментов SAST и DAST, помогают в написании более безопасного кода «на лету» в Copilot-режиме, самостоятельно обнаруживают уязвимости и предлагают способы их устранения.

В большинстве случаев применение ИИ в российской отрасли ИБ сегодня находится на этапе формирования исходных данных для ИИ-моделей, которые затем будут применяться на практике. При этом атакующие уже сейчас все чаще берут на вооружение технологии ИИ для создания дипфейков, поиска уязвимостей, разработки эксплойтов и выполнения различных этапов кибератак в автономном режиме, поэтому симметричным ответом должно стать использование ИИ для обеспечения кибербезопасности, а перспективы внедрения ИИ в различные классы СЗИ видятся действительно интересными.

CNews: Каких отечественных ИБ-решений или сервисов не хватает сегодня для закрытия потребностей российских компаний? Как дальше будет развиваться отрасль кибербезопасности в России?

Роман Шапиро: Потребители выбирают защитные решения, исходя из своих целей и возможностей. Универсальных СЗИ не существует — каждый продукт закрывает лишь часть потребностей. Последние несколько лет характеризовались ускоренным импортозамещением, в рамках которого российские вендоры стремятся реализовать и превзойти функционал привычных, но ушедших импортных продуктов. При этом обратной стороной роста количества отечественных игроков и многообразия продуктов стало отставание фактического функционала и реальной производительности решений от заявляемых производителями.

Подобные «болезни роста» особенно характерны для тех разработчиков, которые включились в гонку импортозамещения после 2022 года на волне спроса, возросшего из-за массовых кибератак, новых законодательных требований и ухода зарубежных вендоров. На российском рынке сейчас представлена масса ИБ-продуктов и сервисов различной степени зрелости, однако их работоспособность и функционал необходимо проверять в боевых условиях, в конкретной инфраструктуре с учетом специфики бизнес-процессов. У российской отрасли кибербезопасности прекрасные перспективы — главное, чтобы производители непрерывно совершенствовали свои продукты, дорабатывали их с учетом комментариев и обратной связи от эксплуатантов, развивали решения в соответствии с роад-мапами и долгосрочными планами развития.

Поделиться

Короткая ссылка