Сергей Лебедь: «Важнейшие решения в кибербезопасности пока принимает человек»

Потери от преступлений в цифровом пространстве увеличиваются на четверть ежегодно, а искусственный интеллект все успешнее осваивают и кибербезопасники, и хакеры. О том, насколько изменился киберландшафт в России и мире, где сосредоточены основные угрозы и что помогает отечественным компаниям оперативно реагировать и предотвращать киберинциденты, в интервью «Ведомости&» рассказал вице-президент по кибербезопасности «Сбера»* Сергей Лебедь.

– Ключевое влияние на ландшафт киберугроз в России и мире в первую очередь оказывает активное развитие и использование технологий искусственного интеллекта (ИИ). При этом ИИ-инструменты применяются как для атак, так и для защиты. По данным зарубежных аналитиков, ежегодный прирост потерь от киберпреступлений в мире составляет 25% – этот глобальный тренд свидетельствует о том, что в противоправных целях инструменты ИИ пока используются активнее и эффективнее, чем для целей защиты. Причина в том, что не все компании могут обеспечить «умную» защиту должного уровня: это дорого, сложно, усугубляет ситуацию и дефицит кадров.

Другой мировой и российский тренд – рост атак через цепочки поставок, т. е. злоумышленники пытаются атаковать крупный, хорошо защищенный бизнес через взлом его менее защищенных контрагентов или дочерних компаний. В мире наблюдается двукратный рост атак через цепочку поставок. Мы в «Сбере» предвидели это и последние годы активно работали над повышением уровня зрелости кибербезопасности всей нашей группы. Сейчас этот уровень достаточно высок даже по международным меркам.

– Конечно, связан. Цифровое пространство уже превратилось в альтернативное поле боя. Об этом свидетельствуют политически мотивированные атаки. Они не имеют цели получить прямую финансовую выгоду, их задача – дестабилизировать, обрушить процессы в государственных структурах и крупных компаниях, подорвать доверие людей к этим организациям и руководству страны в целом. В этом контексте под угрозой в первую очередь оказываются российские госструктуры и сервисы. Для российских организаций ключевыми угрозами остаются DDoS-атаки, утечки данных, а также сохранилась актуальность атак с использованием программ-шифровальщиков. Кроме этого злоумышленники активно занимаются поиском уязвимостей в IТ-инфраструктуре организаций. При подготовке и проведении всех типов атак используются инструменты ИИ, что позволяет злоумышленникам увеличивать скорость, интенсивность атак, расширять спектр целей, а значит, увеличивать результативность.

В прошлом году на «Сбер» было совершено 75 мощных DDoS-атак, под ударами оказалось более 200 сервисов банка. Не вдаваясь в детали, могу сказать, что самая мощная из атак была такой, что системы защиты абсолютного большинства российских компаний ее бы не выдержали, но мы справились: по итогам года у нас 0 минут простоя в работе всех цифровых сервисов.

– С 2022 г. из сферы кибербезопасности, как и из многих других сфер, ушли иностранные вендоры. В том числе это касается организаций, которые предоставляли аналитику и данные об актуальных киберугрозах и методах противодействия им. Если посмотреть, что же произошло за эти четыре года, можно сделать вывод, что от ухода пострадали скорее они, чем мы: они лишились рынка, а мы создали собственные и вполне функциональные альтернативные решения.

В России сейчас действуют как платные сервисы, специализирующиеся на Threat Intelligence (киберразведке), так и бесплатные. Бесплатно информацию, например, предоставляет ФСТЭК России. У «Сбера» есть платформа по управлению киберугрозами, которая называется X Threat Intelligence**, доступ к ней также бесплатен для всех компаний России. К ней уже подключено более 500 компаний. В основном это сырьевые организации, банки, финтех, разработчики программного обеспечения и компании из сферы кибербезопасности. Считаю, что и другим организациям страны следует активнее подключаться с учетом стоящих рисков. Сделать доступ свободным – наше принципиальное решение. Технологические возможности позволяют нам получать и анализировать информацию о любой новой угрозе в мире в течение 2 часов с момента публикации в сети информации о ней.

В 2025 г. дополнительно на платформе мы реализовали мониторинг утечек и контроль внешнего периметра подключенных организаций с предупреждением о DDoS-атаках. Платформа X Threat Intelligence автоматически агрегирует информацию об уязвимостях с сайтов вендоров, базы данных угроз ФСТЭК, блогов, форумов, специальных источников (в том числе из DarkNet), а также содержит информацию, основанную на собственных исследованиях «Сбера». На платформе в том числе публикуются результаты тестирования обновлений и дистрибутивов программного обеспечения. Они проверяются на идентичность и подлинность, проходят антивирусный контроль и проверку на наличие уязвимостей. Более того, подключенные организации благодаря сервису узнали о десятках тысяч фишинговых ресурсов, которые маскировались под их бренд.

– Только за счет данных киберразведки можно предупредить более 90% кибератак, именно поэтому «Сбер» активно изучает информацию о возможных угрозах и методах противодействия им. В целом мы уже перешли от реактивной к проактивной кибербезопасности, которая подразумевает прогнозирование и нейтрализацию угрозы до начала ее реализации. Действовать на опережение нам позволяет внутренняя платформа киберразведки, в работе которой используется мультиагентная система ИИ.

Мы активно используем информацию о киберугрозах из этой внутренней платформы. В том числе за счет этих данных по итогам года у нас 0 руб. потерь от хакерских атак.

Она ежедневно обрабатывает более 1500 источников информации. Каждый час мы получаем свыше 1000 сообщений о новых киберугрозах и технологиях на разных языках. Без применения ИИ было бы невозможно собирать, анализировать такой объем данных и делать выводы. На выходе – уникальные знания о потенциальных киберугрозах. Например, мы можем выявлять и блокировать серверы злоумышленников до начала их использования в атаках, обнаруживать фишинговые домены еще до появления на них контента или формировать правила обнаружения неизвестных вирусов. ИИ собирает данные, обогащает их контекстом, дает прогнозы относительно угроз и рекомендации по их устранению. Наша внутренняя платформа киберразведки как раз и является фундаментом для X Threat Intelligence.

– На мой взгляд, первое, что необходимо сделать организации, чтобы оставаться безопасной и киберустойчивой, – это навести порядок в своей IТ-инфраструктуре. Чем лучше она описана и учтена, тем более качественные процессы кибербезопасности можно построить поверх нее. Многие при построении систем защиты этому вопросу уделяют недостаточно внимания.

Второе – это, конечно, внедрение технологий ИИ во все аспекты обеспечения кибербезопасности. В современном мире злоумышленники уже используют их для ускорения и повышения сложности кибератак. Противостоять этому человеку самостоятельно, без поддержки ИИ, невозможно.

– Говорить за другие компании не буду, но приведу пример из личного опыта. В SOC «Сбера» есть еще одна мультиагентная система с рабочим названием «Кибераналитик». Она в режиме, близком к реальному времени, обрабатывает 100% киберинцидентов и 70% из них закрывает самостоятельно – т. е. без участия людей.

«Кибераналитик» проводит анализ инцидентов. Для этого он запрашивает информацию из различных внутренних систем, формирует описание инцидентов, план реагирования и выполняет активные действия по этому плану, а также при необходимости самостоятельно общается с сотрудниками для уточнения информации. Система сама принимает решения по блокированию угрозы благодаря синергии технологий машинного обучения, генеративного ИИ и автоматизации. Если ситуация требует подключения сотрудника SOC, «Кибераналитик» предоставляет эксперту подробное описание произошедшего события и детальные рекомендации с готовым планом действий.

Такой подход позволяет нам более рационально использовать время специалистов по кибербезопасности, которых сегодня остро не хватает на рынке. Автоматизация рутинных процессов и отработки типовых инцидентов освобождает экспертов для решения действительно сложных задач: проактивного поиска угроз, анализа новых векторов атак и стратегического планирования защиты.

Благодаря работе «Кибераналитика» мы за последние два года сократили время анализа киберинцидентов более чем в 20 раз, а время реагирования на них – в 6 раз, и это не предел.

– За 2025 г. количество сканирований периметра банка с целью поиска уязвимостей увеличилось почти на 60%. Так вот, чтобы действия злоумышленников не были успешными, мы действуем на опережение и самостоятельно ищем уязвимости на всех наших цифровых поверхностях с помощью мультиагентной атакующей системы. По сути, это механизм, который действует как внешний или внутренний злоумышленник, другими словами, хакер. Эта система действует в связке с «Кибераналитиком» и обогащает его данными о потенциальных угрозах, что позволяет нам непрерывно совершенствовать средства защиты и действовать проактивно.

Я полагаю, что будущее кибербезопасности именно за такими мультиагентными системами, которые способны быстро выявлять потенциальные векторы атак, адаптироваться, исходя из найденных уязвимостей, и успешно противостоять им – защищаться и автономно восстанавливаться. Всем компаниям необходимо уже сейчас строить подобные системы, так как в скором будущем абсолютное большинство кибератак будет осуществляться именно с помощью мультиагентных атакующих систем и без современных подходов к защите противостоять им будет невозможно.

– Как и любые другие цифровые продукты, ИИ-модели могут иметь уязвимости. Никаких специфических рисков с технической точки зрения нет, риски находятся на уровне пользовательского взаимодействия: неверная интерпретация запросов, искажение фактов из-за неполных данных или ошибок в обучении модели. Например, промпт-инъекции – атаки через специально составленные запросы, которые заставляют модель игнорировать изначальные инструкции и выполнять команды злоумышленника. Чтобы избегать подобных рисков, все ИИ-модели и продуктовые интеграции с ними, как и вообще все цифровые продукты в «Сбере», перед выходом в промышленную эксплуатацию проходят проверки на уязвимости. Во время тестирования, например, имитируются тысячи промпт-атак десятков различных типов.

Для поиска подобных уязвимостей нами разработана модель угроз для кибербезопасности ИИ. Она охватывает все ключевые этапы жизненного цикла ИИ-систем – от подготовки данных и разработки до интеграции в продукты и сервисы. Документ описывает 70 угроз моделей генеративного (GenAI) и предиктивного (PredAI) ИИ. Рекомендую всем, кто разрабатывает и внедряет ИИ-модели в любой отрасли, пользоваться уже наработанным и систематизированным опытом. Документ находится в открытом доступе. Мы опубликовали его на нашем портале «Кибрарий», который посвящен вопросам кибербезопасности.

– ИИ – это инструмент, помощник, а не замена человека. ИИ позволяет эффективнее обрабатывать огромные массивы данных, делать выводы и даже совершать действия в случае типовых инцидентов. Но есть категория критических действий, которые на современном уровне развития мультиагентных систем пока еще рано полностью доверять ИИ. Мы стремимся сделать системы защиты полностью автономными, но даже в этом случае у эксперта должна быть возможность проконтролировать и «откатить» действия ИИ, если в этом будет необходимость. Поэтому привилегия принимать важнейшие решения в кибербезопасности и нести за них ответственность пока остается за человеком.

Подводя итог, хочу подчеркнуть, что для профессионала возможность перепоручить решение ряда задач ИИ является не поводом расслабиться, а возможностью перенаправить освободившиеся ресурсы на совершенствование своих компетенций, в том числе в части работы с теми же инструментами ИИ, решение стратегических задач, определение направлений развития. Синергия технологий и человеческого разума, по-моему, тот путь, по которому нам следует идти и в рамках развития кибербезопасности как отрасли. &

* Публичное акционерное общество «Сбербанк России». ** 18+