CNews: Традиционная парадигма информационной безопасности долгое время базировалась на предотвращении атак. Почему сегодня этого недостаточно?

Андрей Янкин: Необходимость в превентивных мерах никуда не исчезла. Однако раньше всему остальному практически не уделялось внимания. Есть статистика по инвестициям компаний в информационную безопасность пять–семь лет назад: до 90% ресурсов, включая финансовые и временные, уходило именно на превентивные меры. Это была классическая концепция «замка и рва»: построить неприступную крепость вокруг безопасного внутреннего пространства.

Реальность расставила всё по местам. Оказалось, что взламывают всех. Процесс занимает разное время, но в итоге злоумышленники проникают в любую систему. Ключевое различие между компаниями сегодня заключается не в том, преодолеют их периметр или нет, а в том, восстановится ли бизнес после этого и насколько быстро. Кто‑то отделывается лёгким испугом, а кто‑то на недели выпадает из операционной деятельности.

Если смотреть на измеримые параметры, а не только на философию ИБ, то сегодня на превентивные меры часто уходит уже менее 50% бюджетов. Это по‑прежнему важнейшие вещи: периметр, антивирусная защита и многое другое. Но фокус сместился в сторону мониторинга — чтобы вовремя обнаружить злоумышленника, который уже внутри, и успеть отреагировать до того, как он нанесёт ущерб.

Второй важный акцент — это восстановление. Раньше восстановление воспринималось как сугубо ИT‑функция: бэкапы, планы аварийного восстановления. Сегодня же главная актуальная катастрофа для ИT — это не пожары и не наводнения, а шифровальщики. Поэтому массово перестраиваются системы резервного копирования именно под этот сценарий. Защищенный бэкап стал привычной мерой информационной безопасности.

Мир стремительно меняется. Если оглянуться на последние десять лет, становится понятно, что информационная безопасность стала другой. Киберустойчивость — это способность бизнеса продолжать деятельность в условиях непрерывных и неизбежных кибератак. Нас будут атаковать, нас будут взламывать, используя новые технологии, искусственный интеллект, но мы должны продолжать работать. С этой позиции акценты расставляются совершенно иначе.

CNews: Очевидно, на ситуацию влияет и общий рост количества атак. Насколько он значителен?

Андрей Янкин: Рост идёт не на проценты, а на порядки. Количество атак увеличилось в 10, а может быть, и в 30 раз. Раньше мы все были немного теоретиками, готовились к сценариям из маркетинговых брошюр вендоров. Сейчас у специалистов по безопасности просто масса практического опыта. Реальность оказалась несколько иной, чем предполагалось.

CNews: Могли бы вы привести примеры из практики «Инфосистемы Джет», когда переход к модели киберустойчивости помог компаниям не только минимизировать ущерб от атак, но и быстро вернуться к нормальной работе?

Андрей Янкин: Примеров больше, чем можно подумать. Выделю две истории.

Первый кейс произошёл буквально на днях в промышленной компании. Ее взломали и зашифровали данные около трёх месяцев назад. Мы участвовали в восстановлении. Восстановились успешно, хоть и болезненно, так как смогли частично использовать не самые новые бэкапы. По результатам инцидента мы подготовили первоочередные меры — не по построению идеальной безопасности, а по принципу «как сделать так, чтобы в следующий раз всё прошло легче». Мы расстались, а три дня назад общение возобновилось по печальному поводу — им снова сломали периметр и вывели из строя сервер.

Но вот что интересно. Компания за три месяца реализовала около 99% наших рекомендаций по модификации систем бэкапов, сегментации сети и другим базовым вопросам киберустойчивости. Да, успели сделать только основы, но такой темп внедрения мер ИБ мы видели нечасто. В результате взлом закончился на том самом сервере на периметре. Там был дефейс, что неприятно, но атака не смогла распространиться. Сегментация сети не позволила злоумышленнику продвинуться дальше. Это хоть и не слишком веселый, но показательный пример киберустойчивости: люди научились на опыте, сделали выводы и существенно снизили ущерб.

Вторая история более общая. Мы теперь делим компании, с которыми работаем на этапе инцидентов, не на «взломали/не взломали», а на «могут быстро восстановиться или нет». Именно здесь проходит граница между теми, кто попадает в новости, и теми, кто нет. Всё больше компаний понимают, что нужно защищать бэкапы от хакеров, которые целенаправленно их ищут и уничтожают, и регулярно проверять, что из этих бэкапов вообще можно восстановиться.

Три–четыре года назад, если у компании был бэкап, в 90% случаев она не могла из него восстановиться. Бэкап просто был. Сейчас люди исходят из концепции «не если нас взломают, а когда нас взломают, что мы будем делать?» И начинают приводить в порядок свои системы резервного копирования. Это ярко отражает смену парадигмы. Бэкапы — дорогое решение, но в них инвестируют.

CNews: Какая часть российского бизнеса, по вашей оценке, уже пришла к этой модели?

Андрей Янкин: Концепция «замка и рва» очевидно устарела. Количество компаний, которые всё ещё придерживаются этой концепции, сильно снизилось. Если раньше таких было 70–80%, то сейчас около 50%. Всё больше крупных компаний переходят или уже вполне реализовали концепцию Defense in Depth, а кто-то (не больше 10% процентов) пытаются реализовать элементы Zero Trust. Правда, по нашему убеждению, на данный момент реализовать концепцию Zero Trust вполне просто невозможно из-за отсутствия на российском рынке подходящих средств защиты и необходимости перерабатывать встроенные меры безопасности в прикладном программном обеспечении. Компромисс между мечтой о Zero Trust и реальностью мы называем «Модель Аэропорт». Эта концепция подразумевает разделение ИТ-инфраструктуры на большое число «зон безопасности», как в реальном Аэропорте. И права, и «личность» пользователей проверяются не в при каждой активности в сети, а при переходе из одной зоны в другую или входе извне. Это уже реализовать куда реальнее и немало крупных компаний активно внедряют этот подход у себя.

CNews: Давайте поговорим о роли человека. Насколько меняется важность сотрудников, их обучения и отработки действий на учениях? Как строится новая культура безопасности?

Андрей Янкин: Сегодня мы хотим строить не просто киберустойчивость, а антихрупкую ИТ-архитектуру. То есть быть готовым к ранее неизвестным кризисам и учиться на них, а значит нам надо постоянно меняться и учиться. Спрос на различные виды обучения, тренингов и реалистичных киберучений существенно возрос. Недавно мы изучили запросы более 270 компаний enterprise-сегмента и отметили рост спроса на корпоративное обучение в области кибербезопасности: за первое полугодие 2025 года доля запросов на услуги по повышению осведомленности выросла на 20%. Компании предпочитают выстраивать связную систему: усиливают компетенции ИБ-команд и параллельно повышают киберграмотность всего штата.

Фундаментальная история — начать воспринимать кризисы как возможность для изменений. Я вижу, что наши заказчики стремительно встают на эти рельсы.

Если говорить о цифрах, которые можно померить, то хороший пример — наше мероприятие CyberCamp 2025. Число слушателей практических докладов на нем постоянно растет — за три года оно превысило 42 тысячи человек из 400 населенных пунктов России и стран СНГ. Что касается командных киберучений, то в этом году на участие в них поступило более 500 заявок от команд, отбор прошли 220. Для сравнения CyberCamp 2024 собрал 138 команд, а пять лет назад пришло бы, наверное, 15. Люди сами тянутся к этому, понимая, что без практики они как младенец против профессионального бойца.

Важно, что обучать нужно не только ИБ‑ и ИT‑специалистов. Обучать надо представителей бизнеса, PR, управленческую и операционную команды. От того, насколько готовы производство и PR работать в условиях, когда компьютеров нет, зависит, насколько разрушительным будет инцидент. Такие программы возникают, и это радует. Это кровью заработанный опыт.

CNews: Меняются ли бизнес‑процессы внутри компаний после прохождения киберучений?

Андрей Янкин: Без сомнения. Уровень паники и хаоса у компаний, которые прошли учения, и у тех, кто не прошёл — принципиально отличается. При первом столкновении с реальным инцидентом наступает паралич принятия решений. Лучше отработать это заранее.

Но есть ещё одна важная история. Учения, особенно с вовлечением не только ИБ‑специалистов, но и функциональных департаментов и бизнеса, порождают вовлечённость. Люди начинают чувствовать себя частью команды защиты. Новые меры безопасности тогда воспринимаются не как что-то непонятное от «безопасников», а как общее дело. Перемены и внедрение новых мер проходят гораздо легче и получают поддержку, в том числе финансовую. Возможно, это не менее важно, чем непосредственная подготовка к атаке. Разница между теми, кто учился, и теми, кто нет, заметна невооружённым глазом.

CNews: Подходя к финалу, как вы показываете бизнесу, что вложения в киберустойчивость — это не просто затраты, а снижение финансовых потерь и защита репутации? Какие метрики и аргументы наиболее показательны?

Андрей Янкин: Начнём с бэкапов. Инвестиции в них считаются довольно просто: если нас зашифруют, чтобы продолжить деятельность, нужны бэкапы. Они должны остаться незашифрованными. Скорость восстановления бизнес‑процессов — расчетная величина; потери от простоя можно посчитать. Здесь всё считается в рублях, особенно если компания знает стоимость часа простоя.

С системами защиты, мониторингом, киберразведкой — сложнее. Часто используются не количественные, а качественные оценки, а иногда и чисто житейские подходы. Клиенты спрашивают: «А как было у тех, кого сломали? У нас так же? А у передовых компаний как сделано? Давайте сделаем где‑то посередине». Многие бизнес‑решения принимаются так. Практика показывает, что решения эти чаще верные и принимаются очень быстро.

Интересная зарождающаяся история — кибериспытания с назначением наград по аналогии с баг‑баунти. Белые хакеры пытаются не найти уязвимость, а показать реализуемость катастрофического сценария, например получить доступ к технологическому процессу. Ведь захватить контроллер домена зачастую раз в 10 проще, чем похитить крупную сумму денег или остановить происзводство. Назначая всё большую награду, можно понять, какого уровня злоумышленник нужен, чтобы пробиться. Видимо, за этим подходом будущее.

В целом обосновывать вложения бизнесу стало проще. Руководители — гибкие люди, быстро реагирующие на риски. Они слышат о проблемах от коллег и понимают необходимость действий. Часто они даже адекватнее смотрят на риски, чем мы, замыленным взглядом ИБ-шника. Они сами приходят и говорят: «Делайте это, денег дам столько, результат покажите в таком виде».

Формализма с гигантскими трактатами об ИБ-рисках, посчитанных до рубля, становится меньше. Сейчас кажется, что качественный подход с условной пятиуровневой шкалой адекватнее и быстрее, и бизнес это нормально воспринимает. Десять лет назад мы нон‑стоп писали эти обоснования, сейчас спрос упал. Время не тратят на формализм. Качественная шкала, референсы на рынке, понятные финансовые последствия — «простой три дня, миллиард рублей» — часто достаточно для решений. Это подход, имеющий право на жизнь.

CNews: И последний вопрос. Какие следующие вызовы ждут кибербезопасность и киберустойчивость? Какие тренды будут определять отрасль в ближайшие годы? И что вы думаете о зарождающихся квантовых вычислениях?

Андрей Янкин: Антихрупкость — это история про работу с «чёрными лебедями», непредсказуемыми событиями. Поэтому готовиться надо к тому, чего не знаешь. Фундаментальные принципы: избыточность в ИT (запасные системы и решения), готовность меняться, наличие планов «Б» и «В» на случай масштабного обрушения ИТ.

Я часто расспрашиваю коллег про грядущие риски и катастрофы, большинство из них говорят про искусственный интеллект. Это главный тренд. Но неожиданности могут прийти из других областей. Например, энергетическая безопасность. Если нет электричества, как организовывать безопасность? Социальные истории: старение населения, дефицит молодых специалистов с гибким умом. Кто будет работать на первой линии SOC, если не освоим ИИ?

Квантовые вычисления с точки зрения ИБ — это и новые возможности, и новые вызовы. Вызовы в том, что они делают бессмысленной современную асимметричную криптографию, основанную на сложности разложения на простые множители. Это приведёт к возможности расшифровки огромных массивов ранее сохраненных данных, что повлечёт колоссальные не только экономические, но и социальные последствия. Но ответ лежит здесь же — квантовое шифрование, основанное на физических принципах. Оно уже переходит из прототипов в промышленные решения.

Как практики, мы на это смотрим просто: когда это произойдёт, мы освоим, протестируем с вендорами и будем внедрять. Много раз уже так было. Прогнозировать можно бесконечно, но жизнь принесёт совершенно неожиданных «чёрных лебедей». Человечество столько раз выживало за счёт своей природной способности меняться, сможет продемонстрировать эту способность и в будущем.