Команда компании “РТ-Информационная безопасность” выстраивает гибридные модели реагирования, развивает собственный департамент Data Science и готовится к экспорту российских ИБ-технологий. О стратегиях, трендах и практических вызовах отрасли мы поговорили с Артемом Сычевым, первым заместителем генерального директора компании “РТ-ИБ”.
– Артем, расскажите немного о себе.
– Родился в Орле – городе первого салюта. Образование получил в Академии Федеральной службы охраны. Закончил ее с красным дипломом и золотой медалью по специальности "автоматизированные системы обработки информации".
– Почему выбрали направление ИТ?
– Я учился в классе с углубленным изучением математики и информатики. Наш преподаватель, Константин Юрьевич Кривоносов, был настоящим энтузиастом своего дела: мог оставаться в школе до девяти вечера, мы вместе с ним решали сложные задачи по программированию. Он умел заинтересовать. Класс у нас был небольшой – всего двенадцать человек, но все в итоге связали жизнь с ИТ и программированием. Такое педагогическое призвание – редкость. Можно сказать, он вырастил целое "золотое поколение" айтишников 19-й школы из Орла.
Потом, уже на третьем курсе академии, случился второй переломный момент. Мне попался печатный номер журнала "Хакер" – сентябрьский выпуск, посвященный происхождению SQL-инъекций. Тогда я вообще не понимал, о чем читаю, ведь кроме математики у нас в программе почти ничего не было. Но именно это непонимание меня и зацепило. Думаю, это вообще типично для любого специалиста по безопасности – стремление разбираться в неизвестном.
В 2013 г. окончил академию, а дальше началась менее публичная часть моей карьеры – пятилетний период службы. Там я применял на практике все, чему научился в вузе, занимаясь, естественно, вопросами компьютерной безопасности.
После завершения пятилетнего периода службы, я, как и многие, начал искать работу. Обычная история: обо мне никто не знал, опыта в гражданской сфере не было. Когда увольнялся, коллеги в шутку говорили – мол, куда пойдешь, в стартап? Это был 2018 год, и, если сравнивать с нынешней ситуацией, найти работу в ИБ тогда было непросто – особенно если рассчитывал на достойную зарплату. В тот период я писал диссертацию, активно знакомился с профессиональным сообществом, в итоге устроился в компанию "Центр специальной системотехники" на позицию пентестера. Этим направлением занимался несколько лет – фактически реализовал на практике то, о чем когда-то читал в журнале "Хакер". Но, как я сейчас говорю молодым специалистам, пентест – это отличная школа и романтика первых лет, но спустя три-четыре года наступает профессиональное выгорание. Тем не менее как точка входа в информационную безопасность это идеальный старт.
Чуть позже заинтересовался темой SOC – тогда она еще не была такой популярной, как сегодня. Мне стало интересно, как строятся центры мониторинга, какие там процессы, инструменты. Вскоре я решил попробовать себя в "кровавом энтерпрайзе" – перешел в "АльфаСтрахование". Там как раз предстояло построить SOC с нуля. Мы выбрали гибридную модель – частично внутренняя команда, частично внешний MSSP. Я и сейчас считаю, что гибридная модель остается наиболее жизнеспособной.
Позже меня пригласили в "РТ-Информационная безопасность" – строить SOC федерального масштаба. По сути, можно сказать, "SOC всея страны": проект крупный, системный, со множеством направлений. Начинал я именно с SOC, но постепенно подразделение разрослось, появились собственные разработки, направления по пентесту, аналитике, автоматизации. Сегодня в нашей команде порядка 160 специалистов.
– Какие направления развития компании находятся под вашим контролем?
– По сути, я выполняю функции технического директора: отвечаю за ИТ, продукты, услуги. Сейчас к этому добавился и HR-блок – кадры ведь тоже нужно взращивать. Мы не всегда берем готовых специалистов. На первую линию SOC к нам приходят студенты – это осознанная стратегия. Сам я сейчас уже не провожу собеседования с ними, обычно общаюсь с кандидатами уровня руководителей, но принцип подбора остается тем же: важно не только знание, но и мышление.
У нас выстроен целый фреймворк отбора и онбординга студентов. Мы его внутри называем "вход в профессию", даже подумывали упаковать его как продукт, чтобы другие SOC могли использовать нашу модель. Система включает тестовые задания, сценарии интервью, последующую адаптацию и трекинг роста сотрудников. В Telegram-канале мы иногда публикуем истории о том, как ребята с первой линии вырастают в инженеров или пентестеров. Несколько человек уже прошли этот путь, и я считаю это одним из лучших показателей эффективности команды.
– А где вы находите будущих специалистов? Сотрудничаете с вузами?
– Сначала мы набирали по сарафанному радио, сейчас активно ищем сами. Конкретных "поставляющих" вузов у нас нет, хотя с некоторыми взаимодействуем. Создать полноценный поток выпускников непросто: партнерство с ведущими университетами стоит дорого. Топ-вуз, имеющий сильную кафедру кибербезопасности, оценивает свое участие высоко – их можно понять. Лучших студентов у них разбирают с третьего курса, они ценят свое время и бренд. Можно, конечно, сотрудничать с вузами поменьше – там обходится без затрат. Хорошие кадры нередко встречаются среди студентов. Но в целом рынок образования стал более коммерческим. И впереди новая волна регулирования: компании, которые хотят получить официальную аккредитацию, теперь будут обязаны выстраивать взаимодействие с вузами, поэтому к этой теме придется вернуться уже в следующем году.
– Как вы планируете обучать специалистов по информационной безопасности организаций Государственной корпорации "Ростех"?
– Это одно из ключевых направлений. В основе этой системы лежит понятная логика: важно не только набирать специалистов, но и постоянно повышать их уровень. В Государственной корпорации "Ростех" планируется разработка внутреннего рейтинга – своего рода системы оценки практических навыков. Главная метрика – не формальные сертификаты, а умение действовать в реальной ситуации. Ведь, как я всегда говорю, взломать могут любого, вопрос в том, как ты реагируешь. Безопасник должен действовать как врач: быстро поставить диагноз, понять, что происходит в сети, принять решение и устранить проблему. Скорость и качество реакции – вот ключевые критерии. Планируется также проводить ежегодные учения на виртуальных киберполигонах: моделировать атаки, где специалисты предприятий будут в реальном времени отрабатывать защиту и реагирование. По результатам таких упражнений можно будет оценить уровень готовности. Это не "рейтинговая гонка", а инструмент развития и одновременно аргумент для бюджетирования обучения. Ведь не все предприятия охотно выделяют средства на повышение квалификации, а здесь можно показать конкретные результаты и обоснованную необходимость.
Кроме того, рейтинг поможет формировать кадровый резерв. Когда на предприятии освобождается руководящая должность, мы сможем быстро увидеть, кто уже имеет нужный опыт, сколько лет работает, какие курсы проходил, – и предложить ему продвижение. Это позволит избежать стагнации и даст людям ощущение роста.
И, наконец, эта система поможет решать задачи, поступающие от регуляторов: ведь Минцифры регулярно запрашивает статистику – сколько специалистов работает, какой у них стаж, возраст, уровень переобучения. Вместо ручного сбора данных мы сможем предоставить актуальную картину по всем предприятиям. А заодно – продемонстрировать, что обучение у нас действительно выстроено системно и качественно.
– В чем специфика работы службы ИБ в структурах Госкорпорации Ростех?
– Закрытость. Даже внутри Госкорпорации Ростех к нам порой относятся настороженно, не спешат пускать специалистов со стороны, даже если мы, по сути, свои. Логика понятна: предприятия оборонного профиля, уровень секретности высокий, поэтому любая внешняя активность воспринимается с осторожностью. Предприятия Госкорпорации Ростех строят самолеты, танки, сложнейшие системы – естественно, у них не может быть слабой цифровой инфраструктуры. Просто здесь процесс изменений идет чуть дольше и требует больше усилий, чем в коммерческом секторе. Но импульс уже задан, и развитие ИБ в Госкорпорации Ростех идет динамично.
– Какие главные вызовы в защите внутренней инфраструктуры вы видите сегодня?
– Я бы, наверное, не стал ограничивать это только внутренней инфраструктурой – проблема шире. Главное, что мы наблюдаем сейчас, – это колоссальный рост числа инцидентов. Их так много, что у специалистов буквально замыливается глаз. Когда ты работаешь внутри компании, ежедневно анализируешь потоки событий, то неизбежно теряется чувствительность: все кажется рутиной. Главный вызов – научиться среди массива срабатываний различать действительно критические инциденты, а не ложные сигналы. Ошибиться в каждую сторону одинаково опасно: можно пропустить атаку или, наоборот, потратить ресурсы на проверку шума. Именно поэтому особое значение имеет автоматизация анализа, корреляция событий и постоянное развитие аналитического мышления у специалистов.
– В структуре Госкорпорации Ростех сотни предприятий. Как вы выстраиваете координацию и обмен опытом по вопросам ИБ?
– Это действительно одна из самых сложных задач. Специфика Госкорпорации Ростех – в закрытости предприятий. Большинство из них выполняют гособоронзаказ, поэтому обмен информацией традиционно строился через бюллетени, письма, служебную переписку. Наш первый шаг – создание корпоративного мессенджера RT-Link, который позволил наладить живое общение между специалистами, обмениваться новостями и оперативными рекомендациями. Сейчас хотим развивать публичный канал внутри RT-Link, где соберутся сотрудники по направлениям ИБ. Планируем делиться аналитикой, обновлениями, кейсами, и главное – сформируется профессиональное сообщество.
Следующий этап – запуск внутреннего портала по кибербезопасности Государственной корпорации "Ростех", на котором каждое предприятие сможет зарегистрироваться, указать ответственных, а мы, в свою очередь, будем видеть, кто именно работает на местах, какое обучение прошел специалист, какие компетенции ему нужно развить. Идея в том, чтобы создать систему персонализированного обучения. Не социальный рейтинг, как иногда шутят, а инструмент развития, чтобы понимать, кто на каком уровне находится и чем можно помочь. Мы уже ведем эту работу совместно с корпоративной Академией Ростеха: цель – выстроить настоящую экосистему знаний и роста специалистов по ИБ внутри госкорпорации.
– Какие сервисные модели SOC вы считаете наиболее жизнеспособными?
– Безусловно, гибридную. Я работал по обе стороны – и как заказчик, потребитель услуг SOC, и как их поставщик. И с обеих позиций вижу: самая живая и устойчивая модель – именно гибридная.
Главное преимущество в том, что на стороне заказчика остаются свои специалисты, которые знают внутреннюю инфраструктуру, процессы, особенности бизнеса. Ни один MSSP-провайдер, каким бы опытным он ни был, не может знать внутреннюю структуру компании так же хорошо, как люди, которые в ней работают каждый день. Поэтому идеальная схема, когда MSSP берет на себя мониторинг, экспертизу, корреляцию событий, а команда на месте умеет грамотно реагировать.
Полностью внутренний SOC – вещь дорогая и, по сути, нежизнеспособная. Найти и удержать квалифицированных специалистов крайне сложно: их в стране можно пересчитать буквально по пальцам. А ведь таких людей надо не просто нанять, но и обучить, обеспечить им постоянную практику.
Гибрид – идеальный баланс. Он объединяет внутреннюю вовлеченность и глубокое знание инфраструктуры с внешней экспертизой и постоянным профессиональным развитием. Это модель, в которой выигрывают и компания, и специалисты.
– У компании "РТ-Информационная безопасность" есть и собственные продукты для защиты. Какие принципы вы закладываете в продуктовый портфель?
– В основе всей экосистемы наших решений лежит философия реагирования – Response First. Я всегда считал и продолжаю считать, что самое важное в кибербезопасности – это скорость и качество реагирования. Можно строить любые системы защиты, но если ты не умеешь вовремя отреагировать на инцидент, то все остальное теряет смысл. Из этой идеи вырос наш флагманский продукт RT Protect EDR, входящий в линейку RT Protect. Его ядро – именно реагирование: защита конечных точек, предотвращение шифрования, кражи данных, локализация угроз. Ведь все самое ценное, что пытаются атаковать злоумышленники, хранится именно на рабочих станциях пользователей.
Постепенно экосистема стала расширяться. Мы создали портал угроз RT Protect TI, где объединяются механизмы мониторинга даркнета, корреляции и автоматического анализа событий. Рост количества инцидентов заставил нас искать новые подходы, и логичным шагом стало использование искусственного интеллекта. Так появилась вторая ветвь нашей экосистемы – RT Protect AI, ориентированная на гиперавтоматизацию и аналитику больших данных.
Если говорить о принципах, на которых все построено, то их три:
- Реагирование – как основа философии и архитектуры.
- Гиперавтоматизация – когда все, что можно автоматизировать, действительно автоматизировано.
- Централизация – единый контур управления, где любое новое правило корреляции, написанное на одном из предприятий Госкорпорации Ростех, автоматически распространяется по всей инфраструктуре.
Это и есть наша стратегия: соединить искусственный интеллект, скорость реакции и централизованное управление в единую экосистему защиты.
– Поговорим подробнее про искусственный интеллект и гиперавтоматизацию.
– Мне не нравится, что сегодня термин "искусственный интеллект" используют повсюду – часто просто ради модного слова. А заглянешь "под капот" – там либо обычные скрипты, либо математическая статистика, переименованная в ИИ. Заказчики нередко не до конца понимают, что это такое. Мы используем генеративный ИИ прежде всего для ускорения реагирования. Например, у нас накоплена огромная база описанных инцидентов. Мы обучили модель на этих данных, и теперь она помогает автоматически формировать текстовое описание инцидента, классифицировать его и предложить корректное оформление отчета. Казалось бы, мелочь – но это экономит минуты, а в нашей сфере время критически важно. Чем быстрее инцидент описан и передан заказчику, тем быстрее начинается реагирование.
Кроме того, генеративный ИИ мы применяем и для автоматической проверки текстов отчетов – даже орфографии. Снаружи это выглядит как незначительная деталь, но на деле каждая такая автоматизация экономит десятки секунд. А в совокупности – минуты и часы оперативной работы. Поэтому гиперавтоматизация для нас – не красивый лозунг, а инструмент, который напрямую сокращает время реагирования и повышает качество работы SOC.
– В каких пропорциях это все остается под контролем специалистов по ИБ?
– Сейчас чуть меньше половины. В текущих реалиях, благодаря развитию генеративного искусственного интеллекта, мы можем все больше и больше рутинной работы специалистов по ИБ отдавать искусственному интеллекту. Постепенно мы движемся к тому, чтобы все отдать под управление моделей – когда одна ИИ-система перепроверяет другую. В наших продуктах это уже работает: существенную долю ложных срабатываний автоматически обрабатывает модель, снижая нагрузку на наших специалистов. При этом система устроена так, что одна модель контролирует выводы другой, а еще отдельный слой алгоритмов перепроверяет действия самих аналитиков. Ведь человеческий фактор никуда не исчез – даже опытный специалист может ошибиться.
Пример: SOC работает 24/7, сменная работа. И если ИИ замечает, что один аналитик закрыл инцидент иначе, чем обычно делают его коллеги, то система автоматически отправляет инцидент на проверку второй или третьей линии. Все это строится на реальных данных, накопленных за три года работы. Мы постоянно подвергались атакам, и именно этот массив инцидентов позволил качественно обучить модели.
Качество исходных данных – это основа. Если данные плохие или их очень мало, то и модель не покажет достойных результатов. Более того, есть и новые риски – например, Data Poisoning, когда в процесс обучения намеренно закладывается вредоносная логика. И тогда при атаке система попросту не заметит аномалию. Это кажется банальным, но далеко не все уделяют этому внимание. Поэтому важно критически относиться к тому, что тебе продают под видом "интеллекта". Кстати, именно для этого я и создал свой Telegram-канал sychevlab – место, где обсуждаю реальные примеры, делюсь наблюдениями и стараюсь популяризировать критическое мышление в ИБ. Сегодня, на мой взгляд, это ключевой навык.
– Что, на ваш взгляд, самое важное сегодня для специалистов по информационной безопасности?
– Главное для современного ИБ-специалиста – не просто знание инструментов, а способность мыслить критически, задавать правильные вопросы и понимать взаимосвязь между технологиями, рисками и бизнесом. Именно это определяет профессиональный уровень сегодня. Сейчас многие компании, даже не из сферы ИБ, активно внедряют ИИ в свои продукты, не до конца понимая, как он устроен. И вот тут появляется новая проблема. Все больше используется генеративное кодирование – так называемый вайб-кодинг, когда модели ИИ создают программный код автоматически. Часто этот код никто не проверяет: его пишет не человек, а генеративный искусственный интеллект, за которым некому присматривать. Это открывает массу уязвимостей и повышает риск инцидентов.
– Какие продуктовые направления выглядят наиболее перспективными – с точки зрения безопасности и с точки зрения спроса?
– Мы видим устойчивый рост интереса со стороны малого и среднего бизнеса. Эти компании все чаще становятся жертвами кибератак, но при этом о защите задумываются в последнюю очередь. Причины понятны: когда бизнес небольшой, каждая копейка на счету. Наша цель – сделать решения, которые будут доступны малому и среднему бизнесу. Самый частый запрос от таких заказчиков – буквально: "Сделайте так, чтобы нас не зашифровали". Поэтому защита от шифровальщиков остается базовым и самым востребованным направлением.
Кроме того, наблюдается бум решений по проверке кода, можно сказать даже, что рынок перенасыщен ими. А вот защита искусственного интеллекта – это действительно новый тренд. Компании активно внедряют ИИ, но пока относятся к нему с осторожностью, понимая, что вместе с пользой приходят и новые риски. Еще одно перспективное направление – автономные ИИ-агенты для решений задач по кибербезопасности, начиная от написания правил корреляции, триажа инцидентов и заканчивая автоматическим поиском уязвимости.
– То есть основная цель атакующих сегодня – именно остановка деятельности компании?
– Да, именно так. Атакующие сначала проникают в систему, воруют данные, а потом просто уничтожают инфраструктуру. Без выкупов, без переговоров – просто чтобы нанести максимальный ущерб. Это уже не киберпреступность в классическом смысле, а фактически цифровой терроризм. Раньше даже у хакеров существовали определенные неписаные правила – не трогать больницы, социальные учреждения. Теперь таких ограничений нет: атакуют всех подряд.
Тем не менее я считаю, что российская ИБ-индустрия очень быстро сориентировалась. Прошло всего несколько лет с момента ухода иностранных вендоров, а мы уже выстроили рабочие системы, которые реально защищают компании. Поэтому мы смотрим в сторону экспорта – в дружественные страны, конечно. Понимаем, что международный рынок сложный, особенно с учетом санкций, но все равно идем туда. Убежден, что российские компании сегодня одни из лучших в мире. Нас атакуют сильнее, чем кого бы то ни было, именно поэтому наши решения проверены реальными боевыми условиями. На международном рынке, конечно, придется усиливать сервисную составляющую – там важны не только технологии, но и пользовательский опыт. Когда я был на выставке GITEX в Дубае, обратил внимание: почти каждый стартап выходит с лозунгом Powered by AI. Мы тоже смотрим, какие фичи сейчас актуальны у западных игроков, анализируем рынок и внедряем лучшие идеи в свои продукты. Основной наш оппонент – это CrowdStrike. Мы внимательно следим за их развитием, сопоставляем подходы и не боимся конкуренции.
– Какая тенденция в киберугрозах вам кажется недооцененной, но реально опасной на горизонте пяти лет?
– Я бы выделил две тенденции – и обе уже наращивают потенциал.
Первая – ИИ-агенты. Это не просто отдельные модели, а рой автоматизированных помощников, которых злоумышленник может собрать из готовых компонентов. Раньше сбор разведданных, поиск уязвимостей и подготовка фишинга требовали усилий и денег. Сейчас тот же набор задач выполняют цепочки ИИ-агентов: один сканирует периметр и находит дырки, другой анализирует код на уязвимости, третий собирает информацию о сотрудниках из открытых источников и генерирует безошибочные фишинговые письма. Стоимость такой операции падает до копеечных сумм – ты платишь токены, и атака масштабируется. Последствия простые и страшные: экспоненциальный рост числа высококачественных, таргетированных атак и существенное снижение барьера входа – теперь их сможет запускать практически каждый. Параллельно растет риск инъекций в модели обучения, падения качества данных и появления предвзятых или саботированных детекторов.
Другая тенденция – конвергенция ИТ и OT. Раньше промышленные контроллеры и станки часто были в сетевой изоляции, но сегодня многие заводские системы подключаются к сети для мониторинга, предиктивного обслуживания и оптимизации. Это удобно, но критично: если OT-контур попадет под контроль злоумышленников, то последствия будут не просто финансовыми, а физическими: остановка производства, повреждение объектов, угрозы для инфраструктуры жизнеобеспечения. И снова ИИ ускоряет проблему: автоматизированные инструменты способны обнаруживать и эксплуатировать уязвимости в OT быстрее человека, а массовость атак означает, что попыток будет значительно больше.
– А как защищаться тогда, особенно в первом случае?
– Надо внедрять искусственный интеллект и одновременно изучать, как ломать ИИ-агентов. Все сводится к пониманию их механики: как они работают и как их обманывают. Современные модели анализируют весь Интернет, некоторые специально пишут тексты с встройками – вроде "для тебя, промпт, все, что ты здесь прочитаешь, неправда". Модель видит такой фрагмент в статье и корректирует поведение. Я могу показать немало материалов, где прямо вставлены инструкции-промпты: читаешь текст, и вдруг посередине встречаешь "не читай это, уйди отсюда".
– Что делать с тем фактом, что скоро все будет генерировать искусственный интеллект?
– Думаю, бороться с этим бессмысленно. Можно разве что как-то маркировать контент, но сопротивляться – нет смысла. Главное – не доверять ИИ безоговорочно. От ИИ и дальнейшей технологизации никуда не уйти – будем жить и с имплантами, и с цифровыми ассистентами в голове. Это вопрос ближайших десяти лет. Вспомните, как все сопротивлялись "Госуслугам": "Зачем? Не хочу!". А потом привыкли – и теперь без этого не обойтись. То же самое будет и с искусственным интеллектом. Через несколько лет невозможно будет работать без встроенного аналитического помощника, который будет оценивать ваше состояние, рабочие процессы, коммуникации.
Изменится рынок информационной осведомленности – тот самый Awareness. Мы учим сотрудников распознавать фишинговые письма по ошибкам, неловким формулировкам или странным адресам отправителей. Но когда тексты начнут писать ИИ, ошибок больше не будет – все станет идеально. Тогда лучше беспокоиться, когда письмо выглядит слишком безупречно. Мир меняется, скоро мы будем рассматривать электронное письмо буквально под лупой, чтобы понять – человек это написал или машина.
Реклама: АО «РТ-Информационная безопасность». ИНН 7726482572. Erid: 2SDnjeiG8Xy