Сергей Логашин, «РСХБ-Страхование»: ИИ дает хакерам в разы более опасные и мощные инструменты, чем «вредоносное ПО как услуга»
Страховые компании относятся к числу отраслей, наиболее часто подвергающихся кибератакам. Преступников интересуют персональные данные и финансовая информация. При этом интенсивность и сложность кибератак растет благодаря использованию инструментов на базе искусственного интеллекта. Единственный способ им противостоять — максимально автоматизировать выявление и реагирование на ИБ-угрозы и внедрять ИИ на «светлой» стороне. Своим опытом с CNews поделился Сергей Логашин, начальник УИБ «РСХБ-Страхование».
CNews: Как изменения киберландшафта повлияли на российский страховой бизнес? Какие киберугрозы сейчас наиболее актуальны для отечественных организаций?
Сергей Логашин: Весь крупный российский бизнес столкнулся с рядом серьезных вызовов за последние 5 лет: импортозамещение, дефицит кадров, ужесточение регуляторных норм, быстрое изменение киберландшафта и резкий рост количества киберинцидентов с разрушительными последствиями. Статистика успешных кибератак на страховые компании неутешительна. Так, по некоторым данным, наша отрасль в прошлом году столкнулась с ростом числа утечек информации: уровень ее чувствительности и объемы продиктованы особенностями страхового бизнеса, где нельзя обойтись без обработки персональных и финансовых данных, с которыми работает разветвленная партнерская сеть (страховые агенты и брокеры, банки, инвестиционные фонды, контакт-центры, медицинские учреждения, ассистанс-компании, автосервисы и т.д.).
Возросший уровень киберрисков в страховом секторе не остался без внимания регулятора. Недавно Банк России своим указанием №7219-У внес изменения в положение №757-П от 20.04.2021 г., в соответствии с которыми с 1 января 2027 года все страховые организации (вне зависимости от стоимости активов) должны реализовать стандартный уровень защиты информации по требованиям ГОСТ Р 57580.1-2017 и выполнять внешний аудит уровня защиты не реже чем 1 раз в 3 года, а также в течение 3 часов направлять информацию о киберинцидентах в ФинЦЕРТ.
При этом страховые компании подпадают под законодательные требования еще и как субъекты критической информационной инфраструктуры (КИИ) и операторы персональных данных (ПДн), а пристальное внимание нашей отрасли уделяют не только регуляторы, но и атакующие, которых традиционно привлекают финансовая сфера и легко монетизируемые данные. При этом определенные типы кибератак, такие как кража данных, уничтожение инфраструктуры и атаки на цепочки поставок, актуальны сейчас не только для страховых, но и для всех российских компаний — период массовых и типовых взломов закончился, крупный бизнес подтянул уровень киберзащиты, и злоумышленники теперь либо атакуют прицельно после тщательной подготовки, либо заходят через менее зрелых поставщиков и подрядчиков.
CNews: Какие российские ИБ-продукты и сервисы стали более востребованы за последние годы? Как вы оцениваете темпы и успехи импортозамещения в кибербезопасности?
Сергей Логашин: На фоне ухода зарубежных игроков 4 года назад российские компании-заказчики демонстрировали высокий уровень ожиданий от отечественных ИБ-продуктов: требовались решения, способные в сжатые сроки заместить импортные средства защиты информации (СЗИ) и сразу же показать измеримый результат при отражении шквала кибернападений. На фоне хронического дефицита кадров и роста их загруженности стали особо востребованы решения, которые могут автоматизировать хотя бы часть прикладных задач ИБ-специалистов — от банальной инвентаризации и управления уязвимостями до реагирования на киберинциденты и обработки данных киберразведки.
К счастью, на момент ухода западных игроков уже существовали российские ИБ-вендоры, выпускавшие конкурентоспособные продукты, сравнимые или превосходящие по функционалу импортные аналоги. Отличным примером является компания Security Vision, которая уже более 10 лет выпускает решения для автоматизации процессов кибербезопасности, обладающие обширной историей внедрений и побед в сравнениях с именитыми западными продуктами.
Если же говорить о результатах импортозамещения в кибербезопасности на текущий момент, то можно констатировать, что практически все классы защитных систем уже представлены на российском рынке — и инфраструктурные решения (межсетевые экраны, системы защиты виртуализации, отечественные операционные системы (ОС) и системы управления базами данных (СУБД) со встроенными защитными механизмами), и специализированные продукты разных типов. Среди востребованных сервисов кибербезопасности можно отметить предложения от MSSP и коммерческих SOC — они помогают оперативно реализовать ИБ-мониторинг инфраструктуры и обеспечить реагирование на киберинциденты, при этом позволяя заказчикам услуг использовать профильную экспертизу, гибко наращивать мощности и быстро повышать уровень киберзащищенности без капитальных затрат.
Широкий выбор продуктов и опыт российских ИБ-игроков помог отечественному бизнесу уложиться в сроки и перейти на суверенные СЗИ к 1 января 2025 года. Однако, основные трудности сейчас заключаются в импортозамещении корпоративного ПО. Например, до сих пор велико число компаний, использующих привычные зарубежные решения, а в некоторых критичных сегментах все еще доминируют импортные системы.
Разумеется, не имеет смысла говорить о кибербезопасности всей инфраструктуры без регулярных обновлений, техподдержки и гарантий отсутствия бэкдоров в прикладном и системном ПО, поэтому так важно поддерживать планомерную работу по его импортозамещению. На 1 января 2028 года установлен новый дедлайн для полного перевода значимых объектов КИИ на российский софт, при этом до 1 сентября 2026 года регуляторы, включая Банк России, должны утвердить соответствующие отраслевые планы импортозамещения.
CNews: С какими вызовами приходится сталкиваться руководителям направлений ИБ в страховом и финансовом секторах?
Сергей Логашин: «РСХБ-Страхование» входит в группу РСХБ, а финансовый сектор традиционно находится в авангарде всех трендов, от цифровизации и государственного регулирования до новейших методов кибератак и инновационных защитных решений. Проекты внедрения ИИ и построения банковских экосистем, активная внутренняя разработка ПО, переход на отечественные решения и миграция в российские облачные среды наглядно демонстрируют эволюционные изменения киберпространства.
Новые техники атак, включая применение ИИ-агентов для реализации всей цепочки атаки и использование систем ИИ для обнаружения уязвимостей и создания дипфейков, позволяют снизить порог входа для злоумышленников, масштабировать применение традиционных хакерских инструментов и автоматизировать взлом. Высокая активность хактивистов, нацеленных на причинение максимального ущерба, дефицит и загруженность кибербезопасников, строгие регуляторные нормы, сложности с финансированием направления ИБ в небольших компаниях (партнерах, поставщиках, подрядчиках) усложняет и без того насыщенный киберландшафт.
В этих условиях ключевая задача ИБ-руководителя — быть не преградой, а драйвером бизнеса, который обеспечивает его киберустойчивость, адекватно оценивает киберугрозы, говорит с топ-менеджментом на языке рисков и поддерживает его ситуационную осведомленность. В финансах и страховании директор по информационной безопасности (CISO) должен выстроить такую систему управления (СУИБ), которая позволит безопасно обрабатывать огромные массивы финансовой информации и персональных данных, обеспечит защищенное взаимодействие с контрагентами, минимизирует риски мошенничества для клиентов и гарантирует выполнение требований законодательства по защите информации.
Кроме того, важно обеспечить процесс подбора и удержания ИБ-специалистов, в том числе с учетом мнения регулятора. Банк России рекомендует использовать профессиональный стандарт «Специалист по информационной безопасности в кредитно-финансовой сфере». Вообще, именно позиция Центробанка, на протяжении многих лет ведущего системную работу по повышению кибербезопасности российского финансового сектора, позволяет подведомственным учреждениям последовательно выстраивать СУИБ и повышать зрелость процессов кибербезопасности — от базовых до продвинутых.
CNews: Как заложить надежный фундамент в основу системы управления ИБ? Какие процессы кибербезопасности являются базовыми?
Сергей Логашин: Говоря про современную кибербезопасность, мы можем обсуждать возможности ИИ-агентов, подход «нулевого доверия», безопасность API и защиту микросервисных архитектур, но все это не имеет смысла без прочного фундамента СУИБ, который состоит из базовых процессов ИБ.
Прежде всего, это управление активами, уязвимостями, конфигурациями, изменениями — без понимания того, какие объекты присутствуют в нашей инфраструктуре, как они настроены, как меняются и какие уязвимости присутствуют в ПО, невозможно выстроить полноценную систему обеспечения ИБ. Давно прошли времена, когда появление нового сервера или приложения в инфраструктуре было значимым событием, которое можно было «отловить» вручную, запросить данные по устройству и поставить его на мониторинг. Сегодня новые объекты в крупных и даже средних компаниях необходимо выявлять автоматически и непрерывно, с дальнейшей их инвентаризацией и классификацией, обогащением в смежных системах, управлением жизненным циклом активов и выстраиванием ресурсно-сервисной модели инфраструктуры, с последующим сканированием на наличие уязвимостей и оценкой безопасности текущих конфигураций.
Скорость выявления уязвимостей можно оптимизировать — например, за счет функционала ретроспективного сканирования, которое позволяет быстрее их обнаруживать за счет анализа предварительно собранной информации о версиях ПО, установленных на проинвентаризированных устройствах. Небезопасные конфигурации также являются разновидностью уязвимостей, а процесс их анализа и применения рекомендованных вендорами настроек (харденинг) можно и нужно автоматизировать. Процесс управления изменениями также следует роботизировать — от получения и согласования требований на внесение изменений до их применения и проверки эффективных настроек, с ведением истории внесенных изменений в карточке актива.
CNews: Как в «РСХБ-Страхование» решена задача автоматизации процессов управления активами и уязвимостями? Какие решения используются?
Сергей Логашин: Для автоматизации процессов управления активами и уязвимостями мы выбрали сканер уязвимостей Security Vision VS (Vulnerability Scanner). Этот продукт пришел на смену другому решению и позволил нам решить сразу несколько задач.
Во-первых, сформировать единый расширенный реестр активов за счет сетевого сканирования и возможности проведения полноценной инвентаризации устройств. В продукте Security Vision VS реализован широкий функционал управления активами, включая сбор различных технических параметров, администрирование конечных устройств и выполнение множества преднастроенных или произвольных команд в удобном веб-интерфейсе с графом связей активов.
Во-вторых, реализовать процесс сканирования активов в соответствии с внутренним регламентом, определяющим сканируемые диапазоны и периодичность сканов.
В-третьих, интегрировать результаты сканирования в процесс управления уязвимостями для автоматического создания задач на устранение по заданным правилам с отслеживанием статусов и подтверждением исправлений.
Ключевыми факторами выбора сканера уязвимостей Security Vision VS стали получение расширенной информации по активам при инвентаризации, высокая скорость сканирования, а также гибкие возможности автоматизированного процесса управления выявленными уязвимостями с постановкой и контролем задач на устранение, подтверждением устранения.
CNews: Какие еще процессы ИБ целесообразно автоматизировать, а какие пока что остаются в ручном режиме?
Сергей Логашин: В идеальном случае, нужно автоматизировать все те процессы кибербезопасности, которые поддаются алгоритмизации и уже достигли определенного уровня зрелости (т.е. задокументированы и управляемы). Завершив автоматизацию базовых процессов и получив логически связную структуру активов, можно переходить к роботизации управления задачами и планами по ИБ, документами, внутренними и внешними аудитами, отчетностью, соответствием законодательству. Моделирование угроз и нарушителей, управление киберрисками (включая качественную и количественную оценку) и киберинцидентами, непрерывностью бизнеса, ИБ-осведомленностью также можно автоматизировать.
Результативность такой автоматизации напрямую зависит не только от уровня зрелости процессов, но и от технического функционала платформы автоматизации, чья ценность существенно возрастает, если в ней поддерживаются разнообразные протоколы и интеграция с ИТ/ИБ-системами, ведется единая ресурсно-сервисная модель инфраструктуры, обрабатываются актуальные и обогащенные данные из различных источников, а внутренняя логика обладает достаточной гибкостью для цифровизации самых сложных корпоративных процессов.
Среди функций, которые пока остаются в ручном режиме даже в самых продвинутых компаний, можно отметить применение механизмов, способных негативно повлиять на защищаемую инфраструктуру и поэтому требующих ручной проверки и согласования, а также экспертные этапы расследования инцидентов (форензика, реверс-инжиниринг ВПО). Кроме того, вручную выполняются и некоторые задачи противодействия внутренним нарушителям, а также полномасштабные киберучения и проведение занятий по повышению осведомленности для персонала. Наиболее эффективным до сих пор остается общение именно с живым человеком в дополнение к различным методам геймификации и интерактивного взаимодействия.
CNews: Насколько важно применять риск-ориентированный подход при управлении кибербезопасностью в страховом и финансовом бизнесе?
Сергей Логашин: Говорить на языке киберрисков с топ-менеджментом важно в любой отрасли — переход в плоскость финансов и бизнес-ценностей позволяет современному CISO занять достойное место на вершине корпоративной иерархии и получить доступ к необходимым ресурсам. Однако, именно в финансовом секторе работа с рисками наиболее распространена и регламентирована — от стандарта PCI DSS и Базельских соглашений до стандартов Банка России и Положения ЦБ РФ №716-П. При этом страховой бизнес по своей природе связан с оценкой рисков, статистикой и актуарными расчетами, поэтому именно в нашей сфере применение риск-ориентированного подхода будет как нигде органичным и естественным.
При управлении киберрисками важно не только выбрать применимый стандарт или фреймворк (от обязательных норм ЦБ РФ до ISO 27005, NIST RMF, COSO ERM или FAIR), но и использовать достоверные, непротиворечивые и актуальные ИБ-данные: статистику инцидентов, оценку стоимости активов, сведения об уязвимостях и состоянии мер защиты, финансовые показатели учреждения. Использование количественной оценки киберрисков (того же метода Монте-Карло) позволяет оценить целесообразность возможных мер обработки риска, выбрать оптимальное решение и обосновать необходимость его реализации. Контролировать и визуализировать состояние киберзащищенности компании помогут ключевые индикаторы риска (КИР) и ключевые индикаторы соответствия — при их превышении могут автоматически запускаться митигирующие действия.
Использование централизованной автоматизированной системы, в которой агрегируются все ИБ-релевантные данные по активам, уязвимостям, инцидентам, состоянию соответствия законодательству, киберзащищенности и ландшафту киберугроз, позволяет накапливать необходимую статистику и выполнять более точные количественные расчеты киберрисков. Такой системой, например, может быть платформа Security Vision SGRC.
CNews: Киберинцидент рано или поздно может произойти даже в самой защищенной инфраструктуре. Как можно минимизировать ущерб?
Сергей Логашин: Теория управления рисками учит нас, что для митигации рисков можно или снижать вероятность реализации угрозы, или снижать уровень последствий (ущерба). Если не удалось предотвратить киберинцидент, то следует оперативно на него отреагировать — выявить, проанализировать, локализовать, устранить, восстановить работоспособность бизнес-процесса и затем провести пост-инцидентные действия.
Именно на идее быстрого восстановления после атаки и строится парадигма киберустойчивости: даже самую безопасную инфраструктуру можно взломать (никто не защищен от эксплуатации уязвимостей нулевого дня), но процессы реагирования на инциденты должны быть выстроены так, чтобы ущерб от взлома был минимален. Процесс управления киберинцидентами, разумеется, можно и нужно роботизировать — это позволяет как минимум структурировать действия команды, последовательно проходить этапы реагирования, учесть все особенности инцидента, выполнить автоматизированные действия по реагированию (изолировать хост, заблокировать аккаунт, удалить фишинговое письмо и т.д.).
Эффективность реагирования обычно измеряется через различные метрики (MTTD, MTTR, MTTC и т.д.), но важна не сама по себе скорость выполнения действий, а снижение финансового ущерба от атаки: если последствия инцидента незаметны для бизнеса и пользователей, то команда реагирования и система автоматизации справились успешно. Для автоматизации управления киберинцидентами используются системы класса SOAR — платформы оркестрации, автоматизации и реагирования на киберинциденты, которые работают в связке с корпоративными СЗИ, системами SIEM, TIP и UEBA. У наших коллег из Security Vision в продуктовом портфеле есть решения классов SOAR, SIEM, TIP, UEBA, а также NG SOAR — продукт, комбинирующий функционал сразу нескольких продуктов. Все эти классы систем позволяют оперативно выявить киберинциденты и отреагировать на них, минимизировав ущерб для бизнеса.
CNews: Каковы перспективы отечественного рынка киберстрахования? Ждать ли взрывного роста?
Сергей Логашин: Киберстрахование — это один из способов обработки остаточного риска, когда все необходимые контрмеры реализованы, но вероятность успешной атаки все равно существует. С одной стороны, российский рынок уже более 10 лет обсуждает услуги страхования киберрисков, и некоторые игроки активно продвигают их на рынке. С другой стороны, мешает ряд факторов: отсутствие полноценной открытой статистики по киберинцидентам, сложности с оценкой уровня защищенности страхователей и с выявлением реальных причин инцидентов, а также неочевидные и долгосрочные последствия от кибератак, которые сложно прогнозировать.
Вероятно, рынок могут подстегнуть законодательные нормы. Так, уже сейчас Банк России готов обсуждать принципы вмененного страхования от киберрисков, а рост уровня ответственности за утечки персональных данных и за инциденты на объектах КИИ может дополнительно увеличить спрос. Тем не менее, в свете текущей экономической ситуации сложно прогнозировать однозначный успех какого-либо направления — многие компании сегодня готовы экономить на необязательных затратах.
CNews: Какие защитные решения и технологии, на ваш взгляд, имеют большой потенциал и будут активно развиваться в ближайшие годы?
Сергей Логашин: Безусловный тренд последних 3 лет — системы ИИ, которые сейчас активно применяются и атакующими, и защитниками. Однако, как всегда, хакеры не связаны какими-либо юридическими обязательствами, а их задача сегодня может сводиться к созданию верного промпта и обходу защитных механизмов ИИ (например, за счет задания легенды о выполнении санкционированного пентеста). Это чрезвычайно низко опускает порог входа в киберпреступность для новичков – по сравнению с моделью MaaS (malware-as-a-service, «Вредоносное ПО как услуга»), которая тоже демократизировала кибервзломы 10 лет назад, системы ИИ дают хакерам в разы более опасные и мощные инструменты.
Уже сейчас ИИ успешно находит уязвимости в огромном количестве ключевых продуктов. Например, модель Claude Mythos от Anthropic уже обнаружила тысячи опасных уязвимостей в продуктах крупных зарубежных вендоров, и даже страшно представить себе, что произойдет, когда такие могущественные системы станут доступны атакующим. Кроме того, ИИ-агенты, управляемые MCP-сервером, могут интегрироваться с различными хакерскими инструментами и выполнять сложные атаки с вымогательством и шифрованием данных практически в автономном режиме — от злоумышленника требуется, условно говоря, только ввести адрес своего криптовалютного кошелька, на который жертвы будут отправлять выкуп, а все остальное делает ИИ.
Очевидно, что адекватный ответ на такие угрозы возможен лишь с использованием ИИ на «светлой» стороне. Именно поэтому внедрение систем ИИ в различные защитные решения можно только приветствовать, а также ожидать, что именно такие СЗИ будут востребованы и актуальны уже в самое ближайшее время.
■ Рекламаerid:2W5zFJDNVQuРекламодатель: ООО «Интеллектуальная безопасность»ИНН/ОГРН: 7719435412/5157746309518Сайт: https://www.securityvision.ru/




