Искусственный интеллект выходит на линию обороны

В 2026 г. упреждающая кибербезопасность будет одним из ключевых технологических трендов. Компании, особенно финансовые, все чаще стараются не просто реагировать на инциденты, а предотвращать их с помощью искусственного интеллекта (ИИ) и машинного обучения. Но, как признают эксперты, «умная» защита пока далека от совершенства. Отечественные решения требуют доработок.

От защиты к предвидению

Упреждающая кибербезопасность входит в число главных российских ИТ-трендов 2026 г., считают в Высшей школе бизнеса НИУ ВШЭ (ВШБ). По мнению исследователей, в информационной безопасности (ИБ) «стратегии, основанные на принципе обнаружения и реагирования, теряют эффективность, когда для обхода традиционных средств кибербезопасности злоумышленники используют искусственный интеллект (ИИ)».

Упреждающая кибербезопасность – это проактивный подход, направленный на предотвращение инцидентов еще до того, как произойдут недопустимые события. «В классической схеме, которую принято называть «реактивной», мы имеем последовательность: «событие – оповещение – расследование – восстановление». Очевидно, что с таким подходом для каких-то инцидентов восстановление либо вообще невозможно, либо крайне затруднено», – рассказывает руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин.

В отличие от классических решений, которые реагируют на уже совершенные атаки, упреждающие механизмы работают заранее: выявляют и устраняют потенциальные точки входа и пути перемещения злоумышленников, объясняет руководитель BI.Zone TDR Андрей Шаляпин. То есть в проактивной модели стараются выполнить все те действия, которые помогут не допустить инцидента, добавляет заместитель генерального директора по кибербезопасности АО «Цикада» Саид Атциев.

Хакеров встречают машиной

«Прежде всего основу проактивной безопасности составляют решения, использующие ИИ и машинное обучение (ML) для анализа сетевого трафика, выявления аномалий и предсказания потенциальных угроз», – рассказывает старший бизнес-аналитик практики кибербезопасности «ТеДо» Максим Кошелев. По его словам, также набор решений упреждающей ИБ включает в себя автоматизированное управление уязвимостями, проактивный мониторинг инфраструктуры и дезориентацию злоумышленников. Именно использование ИИ, ML, а также поведенческой аналитики позволяет осуществить переход от «реакции» к «превенции», отмечает проджект-менеджер «МД Аудит» (входит в ГК Softline) Кирилл Левкин.

По словам директора по продуктам Servicepipe Михаила Хлебунова, к базовым инструментам упреждающей ИБ относятся:

• SOC (Security Operations Center) – центры мониторинга с ИИ-аналитикой;

• SIEM (Security Information and Event Management) – для анализа логов и событий безопасности;

• DLP (Data Loss Prevention) – инструменты для предотвращения утечек данных;

• Threat Intelligence (TI) – платформы разведки угроз.

«Сюда же можно отнести и решения класса Breach and Attack Simulation (BAS), которые позволяют симулировать настоящие атаки и проверять контроль безопасности. Можно пойти дальше, запустив программы Threat Hunting (проактивный процесс поиска угроз в ИТ-инфраструктуре. – «Ведомости. Инновации и технологии»), но это уже для более зрелых IT-инфраструктур», – добавляет Полунин.

 «В нашей компании мы используем следующие подходы: проверку настроек конечных точек как на уровне операционной системы, так и на уровне прикладного программного обеспечения (ПО); анализ внешнего периметра – сканирование публично доступных сервисов и интерфейсов на предмет уязвимостей и избыточных компонентов; поиск слабых паролей и устаревших механизмов шифрования; приоритизацию и автоматизацию исправлений», – рассказывает Шаляпин.

Также существуют административные меры в рамках упреждающей кибербезопаности, отмечает Атциев: «Например, это может быть обучение персонала и повышение его осведомленности о киберугрозах».

ИИ в нападении

Впрочем, все собеседники издания «Ведомости. Инновации и технологии» соглашаются, что главным драйвером развития проактивного ИБ стало именно развитие искусственного интеллекта. И ИИ здесь не всегда играет положительную роль.

«Количество атак будет только увеличиваться, а сложность их будет расти. И в этом я вижу большее влияние ИИ, которым активно пользуются в первую очередь злоумышленники», – признает Атциев. По словам Шаляпина, с появлением инструментов на базе ИИ для злоумышленников снизился порог входа: эксплуатация мисконфигураций (неправильные или небезопасные настройки систем, приложений или инфраструктуры, которые создают уязвимости – «Ведомости. Инновации и технологии») и поиск потенциальных точек атаки стал проще.

Основных сценариев использования ИИ злоумышленниками несколько, рассказывает Хлебунов. Первый – фишинг. В 2025 г. около 80% фишинговых писем создаются с использованием какой-либо формы ИИ, отмечает эксперт. Второй сценарий – дипфейки и голосовое клонирование. По словам Хлебунова, каждый десятый взрослый в мире уже столкнулся с мошенничеством с использованием ИИ-клонирования голоса. Третий сценарий – разработка вредоносного ПО. ИИ заметно снизил барьеры для сложной киберпреступности: теперь преступники с минимальными техническими навыками могут использовать его для проведения сложных операций, говорит Хлебунов.

ИИ в защите

Новая технология является источником не только новых угроз, но и возможностей. «ИИ позволяет самим организациям принципиально иначе выстраивать собственную стратегию информационной безопасности», – указывают в ВШБ. Сама идея проактивной защиты зародилась еще в начале 2010-х гг. вместе с развитием систем SIEM и TI, однако как отдельное направление упреждающая кибербезопасность сформировалась после 2018 г., когда технологии ИИ позволили анализировать огромные объемы данных о кибератаках в реальном времени, рассказывает Левкин.

По его словам, ИИ позволил системам безопасности не просто фиксировать угрозы, а предсказывать их, выявлять скрытые закономерности и моделировать поведение злоумышленников. «Это дало толчок развитию решений нового поколения – от автоматизированных SOC до цифровых двойников сетевой инфраструктуры для симуляции атак», – отметил Левкин. По словам руководителя группы по оказанию услуг в области кибербезопасности, партнера компании Kept Ильи Шаленкова, ИИ помогает анализировать результаты киберучений, выявлять закономерности, автоматически подбирать сценарии атак и прогнозировать потенциальные слабые места. С его помощью можно быстро проверить десятки сценариев и оценить, где защита действительно может не выдержать, добавил эксперт.

Кроме того, ИИ может предвидеть сбои системы, обнаруживать уязвимости программного обеспечения и расставлять приоритеты в исправлении уязвимостей, говорит Хлебунов. «Еще один сценарий – обнаружение аномалий: ИИ может выявлять тонкие аномалии в сети и реагировать на угрозы в режиме реального времени. Также ИИ позволяет идентифицировать дипфейки, используемые для обхода KYC, помечать фишинговые электронные письма, сгенерированные ИИ и т. д.», – сказал он.

Финансы на линии огня

Российские компании особенно нуждаются в современных методах защиты и прежде всего таких, которые не реагируют на угрозу, а заранее выявляют ее и устраняют на ранних подступах. «На протяжении многих лет наша страна входит в число наиболее приоритетных целей киберпреступников», – отмечает Хлебунов. По его словам, с июля 2024 г. по сентябрь 2025 г. на Россию пришлось около 15% всех успешных кибератак в мире и около 70% атак, зафиксированных в СНГ. В первом полугодии 2025 г. количество атак только в финансовом секторе выросло почти на 15%. «Чаще всего это кибератаки с применением вредоносного ПО для кражи денег через онлайн-доступ к банковским счетам (банкеров)», – говорит он.

Действительно, опрошенные эксперты говорят, что финансовый сектор, наряду с госсектором, энергетикой, обороной, является одним из главных потребителей продуктов упреждающей кибербезопасности.

«Финансовый сектор значительно регулируется государством в области ИБ. И некоторые из технологий упреждающей кибербезопасности стали обязательными для внедрения в финансовых организациях. Например, сканеры уязвимостей и системы обнаружения и предотвращения вторжений», – рассказывает заместитель руководителя департамента по безопасности банка «Кубань Кредит» Олег Волков.

Самым ярким показателем успешного использования технологий упреждающей кибербезопасности является применение анализаторов уязвимостей в программном коде, отмечает он. «Многие финансовые организации, которые разрабатывают свое ПО для обслуживания клиентов, достаточно успешно используют такие системы, а их приложения дистанционного банковского обслуживания, доступные для скачивания клиентами, не содержат критических уязвимостей», – говорит Волков.

Упреждение в бета-версии

Однако в большинстве своем вендоры пока не могут полностью удовлетворить финансовые организации. «Техническая база для упреждающей кибербезопасности – это обученные ИИ-модели, –указывает заместитель начальника департамента защиты информации Газпромбанка Алексей Плешков. По его словам, часть решений базируются на взятых в интернете готовых иностранных моделях, другая часть – это созданные по международной методологии, но обученные на отечественных выборках данных модели, которые не позволяют пока достигать заявленных маркетингом результатов.

Это проекты, продолжает Плешков, для развития и доработки которых нужен заинтересованный заказчик, готовый ждать и инвестировать в будущее продукта. «Считаем, что в будущем фокус информационной безопасности продолжит смещаться в сторону все большего упреждения, но всегда останется пространство для детектирующих и реактивных методов информбезопасности, ввиду экономической нецелесообразности упреждать 100% всех видов рисков», – говорит заместитель председателя правления Совкомбанка Альберт Борис.

Для компаний, особенно финансовых, все-таки эффективнее инвестировать в решения, направленные на предотвращение инцидентов, нежели ликвидировать его последствия, поэтому упреждающие средства защиты становятся наиболее оправданным выбором, не согласен Кошелев.