19 Декабря 2025 16:20 19 Дек 2025 16:20 |

Поделиться

Сергей Демидов, ИБ-директор Мосбиржи: Инфобез — это креатив. А креативить под давлением невозможно

«Мы перешли на ограниченный перечень средств защиты, а хакеры не ограничены ничем»

CNews: Какие вызовы, на ваш взгляд, сегодня стоят перед российской финансовой отраслью острее всего в части информационной безопасности?

Сергей Демидов: С 2025 года мы живем исключительно на отечественных средствах защиты информации. В прошлом году большинство компаний переходили на российское ПО, чтобы к 1 января завершить импортозамещение на объектах критической информационной инфраструктуры согласно указу Президента №250.

По моим ощущениям, это создало неравные условия. Мы перешли на ограниченный перечень средств защиты из реестра ФСТЭК, а наши оппоненты ничем не ограничены. Те, кто готовит нападение, и те, кому это нападение может быть интересно, обладают гораздо большим спектром решений. Они думают, как найти брешь и пробраться, а я — каким образом они будут атаковать. Чем умнее и подготовленнее люди с той стороны, тем большим арсеналом оборонительных средств должен обладать и я.

И еще важно понимать, что средства нападения — всегда производные от средств защиты. Большинство сканеров и тактик, которые используются при нападении, разрабатываются в тех же компаниях, которые занимаются защитой. Мировые производители инвестируют десятки миллиардов долларов на разработку СЗИ. У нас же достаточно узкий рынок, мало компаний, которые могут тратить серьезные деньги на их исследование: на всю страну буквально 2–4 компании-производителя СЗИ, которые инвестируют миллиарды рублей в R&D.

Пока, по состоянию на декабрь этого года кажется, что явных прорывов именно средств информационной защиты производства российских компаний не происходило. Везде, где проходили успешные атаки, всегда была целая совокупность факторов, которые привели злоумышленников к «успеху». Но и говорить о том, что если средство защиты попало в реестр, то оно гарантированно спасет нас от всех атак, мы не можем.

Российские производители СЗИ ограничены размерами своего бизнеса: не всегда они могут сработать так же точно и оперативно, как крупные иностранные поставщики.

Осложняет ситуацию то, что темпы роста экономики, по докладам Минфина и Банка России, замедляются, и это скажется в том числе на росте отрасли ИБ.

CNews: Достаточно парадоксальный тренд, ведь на российские средства защиты переходили как раз для того, чтобы повысить уровень безопасности. А получилось, что сами себя ограничили.

Сергей Демидов: Вопрос в том, с какой стороны на это взглянуть. Конечно, в какой-то момент государство и мы, как отрасль, стали с недоверием относиться к зарубежным решениям. Ты покупаешь иностранное программное обеспечение, в котором миллионы строк кода, и могут быть любые закладки, вплоть до самоуничтожения. Коллеги из производственного сектора делились кейсами, когда именно по этой причине переставали работать станки.

И в этом смысле никто не сомневается в том, что переход на отечественные разработки был правильным решением. Но важно понять, что дальше.

CNews: Если в целом оценивать рынок отечественных продуктов, какие на нем сейчас белые пятна? Чего не хватает компаниям?

Сергей Демидов: Если говорить о наполненности рынка, практически в каждом классе решений есть целый набор средств. Зачастую их очень много, но реально действующих прототипов, готовых к внедрению, из условных 50 позиций в реестре ФСТЭК будет два или три.

Если говорить о классах решений, больше всего сложностей с высоконагруженными NGFW (Next-Generation Firewall — межсетевой экран или файервол нового поколения): их тестировали в конце прошлого года в индустриальном центре компетенций «Финансы». Сегодня есть пара условно перспективных решений, мы с ними уже работаем, но пока еще не все вопросы с точки зрения функциональности полностью решены.

Есть, например, решение в области VPN — того, что нужен сотрудникам, чтобы удаленно подключаться к инфраструктуре. Базовый функционал зарубежных решений позволял оценивать защищенность компьютера, на котором он установлен. У нас такого инструмента нет. Можно его собрать из разных решений, но работает это уже не так эффективно и создает дополнительные риски. Производители говорят, что запросов на подобные инструменты — по пальцам пересчитать, и создавать их экономически нецелесообразно.

Или, к примеру, системы управления правами доступов — сначала в реестре было одно решение, сейчас — больше. Но нет настолько качественной, чтобы полноценно развернуть ее на большую компанию со множеством систем.

И если «заныривать» в каждый класс решений, то ты всегда ищешь баланс между тем, чтобы перейти на отечественное и сохранить надлежащий уровень защищенности организации.

CNews: Поменялся ли ландшафт киберугроз за последний год? Вроде бы ситуация стала чуть лучше, если не брать, конечно, кейс известного российского авиаперевозчика, инфраструктуру которого взломали…

Сергей Демидов: У разных ведомств оценки происходящего отличаются. Я участвовал в рабочих группах в Совете Федерации, где коллеги говорили о 200 млрд рублей, похищенных мошенниками в этом году у россиян. И эта сумма больше прошлогоднего показателя.

Мы видим, что случаев сканирования и попыток атаковать инфраструктуру стало на 30% меньше по сравнению с предыдущим годом. Однако атаки эволюционируют. В своих отчетах ИБ-аналитики пишут, что тактики продвинутых хакерских группировок сильно изменились. Скорее всего, они спонсируются недружественными по отношению к России государствами, или, как сейчас правильно говорить, элитами этих государств. Им дают цели. Поэтому после анализа каждого отчета мы проводим учения на своей инфраструктуре.

Рынок вымывает наиболее уязвимых, поэтому компании доинвестировали в базовый набор средств защиты, так что банальных уязвимостей не осталось. Наши противники это понимают и сложа руки не сидят. Происходит эволюция и угроз, и средств защиты от них.

«ИИ скоро начнет массово генерить уязвимости “нулевого дня”»

CNews: Насколько активно в этих тактиках сегодня используется искусственный интеллект?

Сергей Демидов: Активно. Во-первых, это дипфейки: всем известный «звонок босса».

Во-вторых, искусственный интеллект используется в средствах нападения. Атакующим сложно оставаться незамеченными в инфраструктуре и исследовать ее. Сейчас разрабатываются средства, которые мимикрируют под что-то полезное, системное, чтобы не выдавать себя. И это подстраивание, сканирование ниже «уровня радаров» уже может проводиться средствами искусственного интеллекта. Обычно мы быстро — вычисляем сканирование инфраструктуры и блокируем его. В случае с применением ML-алгоритмов это сделать сложнее.

Кроме того, есть средства, которые помогают преступникам эксплуатировать найденные уязвимости, искать тонкие места в уже обнаруженных недостатках инфраструктуры. И это не LLM-ки, которые рисуют веселых котиков, а полноценные ассистенты хакера, которые помогают ему быстрее и эффективнее пробраться внутрь. Так создается плацдарм для совершения атаки.

В-третьих, ИИ применяется и в поиске, и создании уязвимостей «нулевого дня», когда у безопасника ноль дней на подготовку. В начале года произошло революционное событие: в LLM загрузили известные уязвимости и попросили на их основе создать неизвестную. Модель выдала эксплуатируемую уязвимость, которую можно использовать для атаки. Затем наступило затишье, но эксперименты на этом не закончились.

С учетом темпов роста осознанности моделей скоро настанет эпоха, когда уязвимости «нулевого дня» будут генериться массово. Представьте, что в моменте таких уязвимостей не 1, а 10, 100, 1000…

CNews: В общем, скоро ИИ сможет хакерам целую «дорожную карту» выдавать…

Сергей Демидов: Вполне. Но информационная безопасность — состязательная дисциплина. Мы тоже много инвестируем в LLM, которые позволяют выявлять аномалии даже в случае нетипичного нападения. К примеру, если системный файл не предназначен для работы с сетевыми устройствами и при этом демонстрирует признаки взаимодействия с сетевой инфраструктурой, он будет считаться подозрительным, даже если прошел все проверки.

Еще одно направление — ИИ-помощники. У нас внутри группы компаний есть система MOEX Insight AI, которая помогает сотрудникам в автоматизации рутинных задач. У сотрудников SOC тоже есть алгоритм, который позволяет им ранжировать события, возникающие внутри периметра, чтобы на них обратили внимание. С учетом того, что таких случаев ежедневно возникает больше 30 тысяч, приоритизация помогает меньше внимания уделять событиям, которые по формальным признакам могут считаться подозрительными, но по факту — не что иное как «шум».

CNews: А вы своими силами такие средства защиты с ИИ разрабатываете или с привлечением подрядчиков?

Сергей Демидов: Стратегия группы включает в себя развитие инструментария искусственного интеллекта. Мы встраиваем его в рабочие места сотрудников, он помогает инвесторам работать с финансовой информацией, которая есть у биржи, и анализировать ее.

Поэтому такие продукты мы развиваем самостоятельно, тут очень важна внутренняя экспертиза на стыке искусственного интеллекта, информационной безопасности и финансового мира. Это не значит, что мы все пишем сами, речь, скорее, про насыщение этих моделей, тюнинг под нашу специфику. Это мы делаем внутри нашего центра компетенций.

CNews: Расскажите, какой стратегии придерживается Мосбиржа в области кибербезопасности, как она менялась в последнее время?

Сергей Демидов: Биржа — это во многом ИТ-компания, потому что больше 50% сотрудников — ИТ-специалисты. Наша стратегия информационной безопасности комплементарна стратегии бизнеса и ИТ-блока. Она рассчитана на период до 2028 года и делится на 5 блоков.

Первый посвящен переходу на российские СЗИ, и о нем я уже рассказал ранее.

Второй блок — регуляторика. Не секрет, что информационная безопасность на финансовом рынке — это наиболее зарегулированная область, даже больше, чем классический комплаенс, и об этом свидетельствует объем требований по ИБ — у нас их больше тысячи. Поскольку мы регулируемся Центральным Банком с точки зрения защиты информации, ФСБ — с точки зрения криптографии, для нас важно, чтобы продукты, которые мы делаем, были не только востребованы потребителями и экономически эффективны, но и укладывались в непростой технологический комплаенс. Пока еще регуляторной гильотины не случилось. И новое регулирование мы тоже должны учитывать, помогать рынку его соблюдать, ведь Биржа — это и участники торгов, и брокеры, и банки, и страховые компании. По сути, весь финансовый сектор.

Третий блок нашей стратегии посвящен новой ИБ-культуре работника, которая не должна быть оторвана от общей корпоративной культуры. Мы хотим, чтобы люди не просто были вовлечены, а понимали ценность информационной безопасности и свою роль в создании безопасного ландшафта. Важно, чтобы человек, который получил «звонок босса», в первую же минуту присылал нам скриншот. Только тогда мы сможем остановить волну, а если атака развивается внутри сети — изолировать этот сегмент. Это большая работа с ИБ-культурой, потому что она не меняется по щелчку пальцев или с помощью плаката в коридоре.

Четвертый блок стратегии — это постоянная проверка гипотез с учетом динамичного развития ИИ-инструментов. Сегодня так: ты быстро ищешь гипотезы, что-то запускаешь промышленную эксплуатацию, что-то отсеиваешь или кладешь в бэклог. Может быть, через квартал технология разовьется, и в итоге задачу можно будет решить.

Краткая биография

Сергей Демидов

• заместитель председателя правления по информационной безопасности, Группа «Московская биржа»
• с 2011 года в Мосбирже: участвовал в интеграции Московской межбанковской валютной биржи и Российской торговой системы, выстроил выделенную функцию управления операционными рисками, ИБ
• работал в «Ренессанс Капитал», где отвечал за информационную безопасность и непрерывность бизнеса в российских и международных подразделениях
• участник отраслевых экспертных советов по развитию ИБ-индустрии в стране.

подробнее

И последний блок, который стал актуален в этом году: эффективность инвестиций в ИБ. Пока ни в России, ни в мире нет готовых методологий, которые помогут точно сказать, эффективна ли закупка конкретного СЗИ. При текущем регулировании любую сумму инвестиций можно обосновать, и есть много решений, которые приносят мало пользы. Поэтому нужен подход, который поможет замерять их эффективность.

Мы хотим сделать фреймворк, который помогал бы моделировать объем инвестиций в инфобез в рамках общей финансовой модели компании.

CNews: А у Мосбиржи сейчас на каком уровне инвестиции в киберзащиту?

Сергей Демидов: Конкретных сумм не называем, поскольку мы публичная компания. Но есть международные бенчмарки, которые говорят о том, что инвестиции в ИБ должны быть в пределах 8–10% от уровня инвестиций в ИТ. В 2024 году мы наращивали темп перехода на российские решения, и уровень вложений был выше, но в целом стараемся придерживаться этого подхода.

Как большие данные и гибкая продуктовая архитектура помогают телеком-оператору создавать персональные тарифы

Телеком

CNews: Кстати, по итогам 2024 г. Россия находится на девятом месте среди других стран по расходам на информационную безопасность. Понятно, что расходы не всегда означают эффективность, но насколько этот показатель отвечает вызовам?

Сергей Демидов: Здесь важно учитывать эффект, который возник из-за указа Президента, по которому к 1 января 2025 г. нужно было перейти на российские средства защиты информации. Поскольку весь финансовый сектор является субъектом критической информационной инфраструктуры (КИИ), этот «горбик» инвестиций образовался именно за счет выполнения норм Указа. Скорее всего, в 2025 году этот эффект сохранится: кто-то не успел, кто-то только закупил и т.д. Но в целом производители СЗИ уже видят замедление инвестиций, и для них оно губительно, потому что, кроме повышения тарифов они ничем на это отреагирова

ть не могут: рынок ограниченный.

CNews: Вроде бы опоздавшим сдвинули сроки до 2028 года, а по разным классам решений установили отдельные дедлайны.

Сергей Демидов: Я не рассматриваю это как удлинение сроков, скорее, наоборот. 2028 год появился не как сдвиг текущих сроков, а как расширение периметра объектов КИИ. По сути, у компаний есть еще два года — даже меньше, чем давал

и госкомпаниям, которые попали под импортозамещение в 2022-м.

Повысить спрос можно только регуляторными методами, когда государство мягко стимулирует закупки. Оно расширяет периметр защищенности и повышает уровень инвестиций компаний, в том числе финансового сектора, в отечественные решения, помогая разработчикам получать дополнительный приток денег. Но бесконечно это продолжаться не может.

Допускаю, что произойдет консолидация рынка, или это будет соглашение о допуске на рынок зарубежных игроков из дружественных стран, которые в ответ приоткроют границы нашим разработчикам. Но так или иначе, в ближайшие годы мы увидим эффект.

От продажи «коробки» к гарантированному результату: как меняются запросы рынка

Цифровизация

CNews: Как вы относитесь к ужесточению персональной ответственности ИБ-директоров за утечки данных?

Сергей Демидов: Когда государство сталкивается с каким-то риском, количество рычагов, с помощью которых оно может действовать, у него ограничено: усиление регулирования отрасли и ужесточение наказания.

Но информационная безопасность — состязательная дисциплина, и выигрывает тот, кто эффективнее выстраивает защиту, придумывает механизмы противодействия атакам. Отчасти это креатив. А креативить под давлением невозможно — никуда не уйдет страх, что тебя посадят, снимут с должности, уволят, ты никуда не устроишься. Человек так устроен, что в момент, когда над ним начинает довлеть наказание, он перестает что-либо придумывать. Думаю, тут надо продолжать диалог с регулятором. Это не только моя позиция, многие участники рынка открыто ее высказывают.

Дело в том, что высшее образование и так не предоставляет кадров в нужном количестве. Каждый год потребность в них растет быстрее, чем количество выпускников. Так они еще и уходят в ИТ, ведь инфобез не настолько крутой, мы не программируем в гамаках на модных компьютерах. Да, мы улучшаем бренд работодателя, создаем комфортные условия, стараемся давать интересные задачи, чтобы инфобез не казался узким и кондовым. Но перспектива уголовной ответственности — это дополнительное давление на всю отрасль, потому что еще больше усложняет привлечение специалистов.

В финальной версии инициативы, о которой вы говорите, наказание предусмотрено за умышленные и осознанные действия конкретного человека. Я надеюсь, что уголовная ответственность будет только в тех случаях, когда человек умышленно взял базу и куда-нибудь ее слил. И это должно быть доказано.

CNews: А в целом, по вашим ощущениям, обратной связи от регулятора хватает российской ИБ-отрасли, или диалог до конца не налажен?

Сергей Демидов: Проблема во множественности регуляторов. Финансовый сектор — это и Банк России, и ФСБ, которая курирует криптографию, и ФСТЭК, которая отвечает за общие вопросы безопасности. Роскомнадзор курирует персональные данные. Многие еще сталкиваются с законом «О связи», наш бизнес тоже отчасти связан с телекоммуникациями и предоставлением доступа участникам торгов. При излишнем регулировании требования различных институций перекрывают друг друга.

Но надо понимать, что в мире нет хороших примеров эффективного «надзорного органа». В США была попытка назначить «киберцаря», но не увенчалась успехом. И понятно, что государству важно балансировать различными ветками и механизмами.

Хорошо себя показывают сейчас технические комитеты, где предварительно рассматривают изменения в нормативную базу. К примеру, в прошлом году активно обсуждались стандарты по безопасной разработке, которые были очень нужны рынку, чтобы правильно строить такие процессы. В этом году они уже инкорпорируются в требования к финансовым организациям.

Поэтому механизмы есть — важно, чтобы в них участвовали. Наш опыт показывает, что зачастую проблема не в том, что государство не готово слушать. Рынок просто не может прийти с единой выраженной позицией. Свои правки к проектам в технических комитетах дают 3–5 компаний, а участников на рынке — сотни.

CNews: А ассоциации не помогают? По идее, они же представляют консолидированную точку зрения.

Сергей Демидов: «Ассоциация Финтех» — молодцы, они проактивно собирают обратную связь с компаний. Тем не менее, в технических комитетах тоже важно участвовать. Но многим это кажется пустой тратой времени.

CNews: Лично вы каких изменений сейчас ждете в нормативно-правовой базе в сфере информационной безопасности?

Сергей Демидов: История с инфобезом уже перенасыщена регулированием. Нам, скорее, требуется регуляторная гильотина. И желательно, чтобы рынок в этом тоже активно участвовал.

Хорошо было бы убрать дублирующие нормы, распределить их между областями регулирования, чтобы не получалось, что одна система подпадает под три различных вида законодательства: в области персональных данных,

КИИ и финансовой деятельности (в части требований к операционной надежности).

Сейчас есть задача не только сделать все безопасным, но и простимулировать разного рода высокотехнологичные сектора: финтех, регтех, лигалтех. Их участники уже на старте сталкиваются с регуляторикой и требованием «привести в соответствие». Стартапы вынуждены тратить на это свои деньги и деньги инвесторов, что в результате разрушает бизнес-модель.

Важно помочь им выстрелить, это может породить новые продукты и даже целые отрасли. Среди таких механизмов есть «песочницы». Но и они работают не быстро. С точки зрения регуляторики им нужно помочь. Надеюсь, мы к этому придем.

Анжела Патракова

Поделиться

Подписаться на новости Короткая ссылка