— Как вы оцениваете текущее состояние рынка кибербезопасности? Какие есть сложности?

— Интернет давно уже стал пространством, где число потенциальных угроз и злоумышленников стремительно увеличивается. Рынок реагирует не менее динамично: он подвижен, быстро меняется и развивается наряду с ростом киберугроз.

Соответственно, мы видим бурный рост предложений от вендоров практически по всем классам решений для защиты. Сложилась сильная конкуренция, есть возможность выбора между производителями. По некоторым оценкам, в сегменте ИБ-решений работают сейчас около 300 компаний-разработчиков. Объем самого рынка всего за три года вырос почти на треть: с 190 млрд руб. в 2022 году до 300 млрд руб. в 2024-м.

У этого есть и обратная сторона: не всегда вендоры успевают за изменениями и предлагают заказчикам то, что необходимо здесь и сейчас. Не всегда предлагаемые решения актуальны и адаптивны.

Другой момент: при появлении каких-то новых интересных пользователю функций на рынке он не может отказаться от уже приобретенных продуктов. Ради одной «фичи» (специально разработанная возможность программного продукта для улучшения пользовательского опыта. — «РБК Отрасли») переходить на новое решение нет смысла и дорого.

Оптимальнее — собирать такие функции и предлагать некое унифицированное решение. В целом разработчикам стоит выстраивать со своим потребителем более качественный диалог, получать обратную связь, быстрее подстраиваться под текущие потребности и изменения.

— На ваш взгляд, насколько отечественные разработчики и потребители смогли преодолеть последствия санкций?

— Импортозамещение в сфере защиты информации началось еще с 2014 года, поэтому в 2022-м, когда санкции усилились, турбулентности рынок не ощутил. Например, «Ростех» и входящие в его экосистему компании уже давно работают на полностью отечественных решениях.

— Как меняется характер киберугроз и профиль киберпреступника?

— Еще недавно традиционными противниками были хакерские группировки. Они либо похищали информацию и требовали за нее выкуп, либо шифровали информационную инфраструктуру. В результате организация не могла этой инфраструктурой пользоваться, и многие были вынуждены непублично платить, чтобы продолжить работу. Если кто-то отказывался, то информация выставлялась в даркнете на продажу. Попытки промышленного шпионажа тоже были.

С началом геополитического кризиса характер кибератак изменился: киберпреступники действуют не из корыстных интересов, а ставят целью нанести максимальный урон российской IT-инфраструктуре, особенно критической. В их поле зрения не только оборонно-промышленный комплекс, к которому относится «Ростех», но и другие государственные компании, ведомства, объекты ТЭК и т.д.

Помимо нарушения функционирования критической информационной инфраструктуры целью может быть в том числе хищение информации о проектах, контрактах, кооперационных связях.

За неполный 2025 год в корпорации и ее организациях, которые подключены к корпоративному центру Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), зафиксировано несколько миллионов инцидентов и более 1,5 тыс. атак. Это DoS/DDoS, попытки несанкционированной авторизации, внедрения вредоносного ПО и так далее. Об этом говорит статистика нашего центра компетенций в области кибербеза — компании «РТ-Информационная безопасность».

— Какие еще вызовы для рынка кибербезопасности вы видите?

— Само по себе интенсивное развитие информационной сферы — это уже риск и вызов. Сложно сказать, каким будет рынок в будущем, как будут выглядеть нарушители и наши команды, которые противостоят этим нарушителям.

Угрозы стремительно развиваются, и они не описаны нигде, они не отрегулированы. Например, в масштабах страны до сих пор никак не регламентирован вопрос использования искусственного интеллекта (ИИ). Уже сейчас эти технологии влияют на развитие IT и других отраслей. Не редкость, когда ИИ пишет не только рефераты для школьников, но и официальную документацию. Мы постоянно фиксируем такие случаи.

Дальше тренд на повсеместное использование ИИ будет только набирать обороты. При этом регулирование отрасли рискует отстать от реальной практики. Нельзя упустить управление этим процессом.

Да, современные технологии удобны, они позволяют ускорить работу с большими массивами информации. Но с точки зрения здравого смысла неправильно, что искусственный интеллект разрабатывает документацию, например, на IT-системы. Законодательно это сейчас не запрещено, поэтому вопрос нуждается в обсуждении и регулировании.

Еще одним риском сегодня я бы назвал человеческий фактор — самого пользователя. Например, киберриски связаны с пересылкой служебной информации по незащищенным каналам связи. Наивно полагать, что если у почтового сервиса есть требование вводить пароли, то это гарантия защиты. Каждый должен ответственно относиться к информации, которой он владеет как работник организации.

— Работают ли запреты и ограничения на использование тех или иных социальных платформ и ресурсов?

— Во многих государственных организациях сегодня запрещено использование иностранных сервисов и техники. Однако сами работники признаются, что зачастую не воспринимают всерьез эти запреты.

В нашей госкорпорации тоже действует большой ряд запретов — на использование в служебных целях иностранных мессенджеров, почтовых сервисов, телефонов и других устройств. Мы следим за тем, как работники исполняют эти требования. Наказание может быть жестким, вплоть до дисциплинарных взысканий и увольнения.

Важно понимать, что киберугрозы переходят в вопросы личной безопасности. Чтобы не стать мишенью кибермошенников, нужно не забывать об информационной гигиене.

— Какие специалисты в области информационной безопасности наиболее востребованы?

— Острее всего ощущается нехватка «штучных» специалистов, например по форензике — компьютерной криминалистике. Их очень сложно найти — в России всего лишь пара курсов, на которых учат расследовать инциденты.

Современный специалист по информационной безопасности — это человек широкого профиля, широкого кругозора. Это не просто инженер. Он должен быть специалистом одновременно в юриспруденции, управлении, технологиях и других сферах.

Например, в ОПК специалист по информационной безопасности выполняет гораздо более широкий спектр задач, чем просто обеспечение защиты данных. Эти профессионалы работают на пересечении нескольких компетенций, включая защиту «закрытой» информации, обеспечение общего режима, который есть на предприятии.

Мы должны квалифицированно проводить экспертизу всех правовых актов, которые принимаются: насколько каждое нововведение, каждая новая инициатива соответствует актуальным требованиям с точки зрения информационной безопасности.

В целом потребность «Ростеха» составляет около 2,5 тыс. человек по 40 наиболее востребованным IТ-специальностям ежегодно. И мы стараемся решать кадровый вопрос как путем создания привлекательных условий для сотрудников, так и обучая собственный персонал.

— Насколько сложно найти специалистов с подтвержденной практикой?

— Госкорпорация — не типичный пример для рынка. В нашу службу безопасности чаще всего попадают специалисты из собственного контура — уже обученные и проверенные, те, кто успел себя проявить в наших холдингах.

В организациях «Ростеха» специалистов по ИБ в основном подыскивают в технических вузах: у нас много партнерских программ с ведущими учебными заведениями страны, в том числе с «Бауманкой», МГУ и др. Как правило, в ходе учебной или преддипломной практики студенту удается проявить себя и показать профессиональные и человеческие качества. Такому специалисту могут предложить трудоустройство и до получения диплома о высшем образовании. Нередко срабатывает и сарафанное радио — рынок ИБ очень маленький, так что хорошие специалисты на виду.

— Как проводится обучение собственных специалистов в сфере информационной безопасности? Насколько эффективны форматы турниров и корпоративных чемпионатов по сравнению с классическим обучением?

— В 2025 году мы организовали соревнования по кибербезопасности на площадке с корпоративного чемпионата «Время первых», где соревнуются рабочие и инженеры самого разного профиля. Партнером выступила группа компаний «Солар» — провайдер кибербезопасности, решения которого мы используем в повседневной работе.

В ходе киберучений мы проверили навыки команд Blue team (команды в области ИБ, отвечающие за защиту информационных систем от атак и угроз. — «РБК Отрасли») по 20 направлениям. Например, участники должны были найти следы кибератак в логах системы обнаружения вторжений Suricata и выявить инструмент сканирования узлов, дату атаки, с какого адреса она была реализована. Оттачивались сценарии реагирования и расследования киберинцидентов, основанные на реальных практиках. Польза от подобных учений, безусловно, высокая.

Добавлю также, что мы регулярно проходим проверки и учения по инициативе спецслужб. Это всегда стресс-тест, который показывает, насколько важно постоянно быть готовым к отражению кибератак. Такие учения нас многому научили, помогли оптимизировать работу.

В то же время «киберучения» нужно проводить не только для специалистов по информационной безопасности, но и среди простых пользователей — тех, кто отвечает за функционирование производственных систем. Мы стараемся обучить всех коллег азам информационной гигиены и привить простые привычки, позволяющие защитить и себя, и служебные данные.

«Академия Ростеха» и центр компетенций «РТ-Информационная безопасность» на регулярной основе проводят онлайн-обучение, семинары и различные курсы. На них мы рассказываем об особенностях работы с персональными данными, о противодействии компьютерным атакам и различным мошенническим схемам — смишингу, фишингу и т.д.

Эта просветительская работа дает свои плоды: в компании высокий уровень бдительности сотрудников. В последнее время мы не фиксируем проникновение в нашу инфраструктуру с помощью подобного рода мошеннических схем.

— Какие технологические и организационные тренды будут определять работу команды киберзащиты?

— Стоит отметить усиление жестких режимов защиты и снижение публичности как компаний, так и конкретных сотрудников. С 2022 года предприятия ОПК, например, вывели значительную часть систем и ресурсов из открытого интернет-пространства. Многие компании теперь не раскрывают данные о себе и своих сотрудниках, ограничивают доступ к информационному обмену с внешней средой, убирая все важное внутрь и усиливая его защиту. Это помогает уменьшить риски, сократить количество потенциальных точек для атак и повысить безопасность информационных систем.