Алексей Плешков, эксперт по информационной безопасности с более чем двадцатилетним опытом, о том, как трансформировались ИБ-подходы за последние годы, почему инсайдеры сегодня опаснее внешних атак и зачем ИБ пришлось учить язык бизнеса.
– Расскажите о себе. Как вы пришли в информационную безопасность?
– Родился не в Москве, но здесь живу с середины 90-х годов прошлого века. Получил высшее образование в области информационной безопасности в Московском инженерно-физическом институте (МИФИ) по специальности "Комплексное обеспечение информационной безопасности автоматизированных систем". Профессиональный интерес к ИБ сформировался именно в период обучения. С самого начала я фокусировался на сетевой безопасности – уязвимостях, протоколах, операционных *nix-системах, сетевом оборудовании, атаках через интернет, межсетевом экранировании – что в начале 2000-х являлось относительно новым направлением. Но уже востребованным в России и для банковского сектора, и для экономики в целом. Эта тема – сетевая безопасность – меня действительно увлекала и давала пространство для развития.
После окончания института, пришел в банковскую сферу, где в настоящее время занимаюсь практическими вопросами обеспечения информационной безопасности объектов КИИ, организацией защиты персональных данных, а также курирую региональное направление ИБ в одном из банков топ-3 Российской Федерации.
– Не думали сменить сферу деятельности?
– Периодически задаю себе вопрос: стоит ли менять фокус? Но нахожу для себя один и тот же ответ: развиваться можно и нужно, осваивая новые направления внутри банковской безопасности, оставаясь в одной организации или группе компаний. Более чем за 20 лет карьеры мне довелось поработать с самыми разными направлениями ИБ, и в каждом из них я старался находить что-то новое, интересное.
– Зачем вам, безопаснику, диплом MBA?
– Я действительно окончил программу MBA при Российской академии (РАНХиГС) в 2024 г. Это очередной профессиональный вызов – в уже зрелом возрасте осознанно зайти в бизнес-область, которая изначально находилась вне моего базового профиля. В процессе обучения я делал акцент на дисциплинах, которые раньше казались наименее понятными: бухгалтерия, финансовый менеджмент, микро- и макроэкономика.
У каждого направления, в том числе в банковской сфере, есть свой диалект – своя терминология и логика, которые хорошо понятны изнутри, но часто иначе интерпретируются извне. Чтобы говорить с бизнесом на одном языке, необходимо хотя бы в минимальной степени понимать финансовый и управленческий смысл принимаемых решений.
Мне хотелось погрузиться в эти дисциплины, осознать их сложность. Признаюсь, бухгалтерия долгое время казалась мне чем-то почти непостижимым. Но когда начал разбираться в балансах, проводках, деталях статей, изучил нормативку, понял, насколько это трудоемкая и ресурсоемкая область, особенно без автоматизации.
– Вы занимаетесь безопасностью в банках уже двадцать лет. За это время понятие информационной безопасности не только сформировалось, но и заметно трансформировалось. Какие самые значимые тренды в организации ИБ-процессов в банках вы бы отметили за последние пять лет?
– Я бы не хотел уходить в очевидные темы вроде пандемии и массового дистанта, санкционного давления, сложной внешнеэкономической повестки или усиления активности и участия регуляторов в вопросах ИБ. Попробую сфокусироваться на более тонких вещах, которые, на мой взгляд, стали заметными трендами – и организационно, и технически.
Если говорить про организационный контур, первый и, пожалуй, главный сдвиг – информационная безопасность стала более бизнес-ориентированной.
Раньше, часто, работала схема "проще запретить, чем найти решение". Теперь виден другой подход: обсуждение на основе оценки рисков, анализа рынка, сравнения с практиками конкурентов и реального контекста проекта. Появилось больше альтернативных точек зрения, которые учитываются в разговоре между ИБ и бизнесом. Это важный шаг вперед: бизнес получает возможность двигаться, а ИБ – возможность развиваться, внедрять новые инструменты, управлять ими, наращивать компетенции.
Второй организационный момент связан с последствиями Указа Президента РФ № 250 и последующих нормативных актов – в части более выраженного обособления ИБ от других видов безопасности. Исторически безопасность была единым контуром. После выхода 250-го указа во многих финансовых организациях информационная безопасность стала более самостоятельным направлением, встала в один ряд с ИТ, экономической безопасностью, риск-менеджментом и другими ключевыми функциями. Появились коллегиальные органы, где решения принимаются не директивно, а через обсуждение и взвешивание аргументов, что сильно меняет динамику: появляется пространство для компромиссов, для учета разных точек зрения и, главное, для нормального донесения смысла до заинтересованных руководителей.
Третий организационный тренд – тиражирование лучших практик и решений внутри групп компаний и по цепочкам взаимодействия "крупный игрок – более мелкие контрагенты". То, что уже апробировано, пилотировано и успешно работает у крупных, при разумной адаптации может внедряться в небольших структурах. Это в каком-то смысле отход от мультивендорности к более унитарной модели, но с точки зрения управления рисками и уменьшения хаоса – выглядит логичным.
Переходя к техническим трендам, я бы выделил три направления, которые в последние пять лет сильно подтолкнули эволюцию защиты – во многом под давлением со стороны злоумышленников.
Первое – взрывной рост социальной инженерии и телефонного мошенничества: вишинг во всех вариациях. Эта угроза стала настолько массовой, что фактически заставила отрасль ускориться. Появилось много новых инструментов и мер – от телеком-уровня до финансового и медийного – контроль на стороне операторов, борьба с симбоксами, технические способы выявления и блокировки злоупотреблений, более зрелые процессы антифрода. Угроза осталась – и, на мой взгляд, она с нами надолго.
Второе – активное использование злоумышленниками технологий искусственного интеллекта. Коммерческие и Open Source-модели применяются для создания контента и более точного введения жертв в заблуждение. Дальше они будут идти не только в генеративность, но и во вспомогательные технологии – компьютерное зрение, чтение документов, автоматизацию разведки и подготовки атаки. Тренд молодой, но развивается очень быстро.
Третье – атаки через цепочки поставок и промежуточные звенья (подрядчиков, контрагентов, участников договорных цепочек). Крупные банки и госструктуры стали заметно лучше защищены, взломать их можно, но это требует времени, ресурсов и компетенций, поэтому злоумышленники смещают фокус на компании поменьше. В даркнете уже давно есть инструкции и сервисы, которые упаковывают подобные атаки.
– А есть ли примеры из личного опыта? Вас или ваших знакомых когда-нибудь атаковали?
– Буквально несколько недель назад я стал объектом атаки с применением технологий искусственного интеллекта. Точнее, атака была совершена от моего имени. Злоумышленники собрали информацию обо мне из открытых источников – фотоизображения, материалы моих интервью в СМИ – и на их основе сгенерировали дипфейк-контент. Это были видеоролик в формате кружка для Telegram, а также несколько изображений, на которых якобы был изображен я. Дальше была использована уже классическая схема "фейковый руководитель". От моего имени пытались выйти на сотрудников финансовой группы, вовлекая их в различные сценарии: от участия в следственном эксперименте до оказания содействия правоохранительным органам в рамках некой проверки, в том числе в качестве свидетелей или экспертов.
К счастью, благодаря действующей в группе компаний программе повышения осведомленности, атаку удалось выявить и остановить на самом раннем этапе – буквально в первые часы. Мы оперативно провели внутреннее оповещение, зафиксировали доказательства и направили их в соответствующие службы. На тот момент удалось если не полностью пресечь атаку, то существенно ограничить ее развитие. До сих пор мониторю учетные записи, от имени которых она велась. Часть из них уже заблокирована, часть находится в процессе блокировки.
– Утечки персональных данных в финтехе чаще являются следствием инсайдерской деятельности или результатом целевых атак извне?
– На практике присутствуют оба вектора, но опыт последних лет показывает, что для финтеха утечки персональных данных чаще связаны именно с инсайдерской активностью. Иногда это злонамеренные действия, а иногда – сбои в стандартных процедурах, ошибки или нарушение регламентов, из-за чего цепочка контроля просто разваливается. Получить доступ к чувствительным данным извне, за пределами контролируемого периметра, при корректно выстроенной защите, крайне сложно, поэтому чаще реализуются другие сценарии: подкуп или иная мотивация сотрудников с базовым или ограниченным доступом.
– В какой степени отечественным решениям удалось заместить продукты ушедших западных компаний, учитывая отсутствие у российских вендоров полноценной экосистемности и сопоставимых технических характеристик?
– Мы, как представители финсектора, еще не до конца закрыли вопрос, связанный с импортозамещением. В достаточном объеме или нет – говорить пока преждевременно. Применительно к финтеху все контролируется со стороны Центрального банка РФ. Где-то есть высокие показатели: банки топ-10, топ-20 рапортовали о хорошем уровне замещения своих средств защиты информации и компонентов инфраструктуры.
А есть зоны развития, связанные с недостаточным финансированием, со сложной архитектурой у отдельных финансовых организаций, но они тоже будут решены, я уверен.
Импортозамещение подталкивает российских вендоров к созданию новых решений, их пилотированию на платформах у финансовых организаций, а также возможности адаптации с учетом поставленных задач под нужды рынка. Это хорошая практика. Естественно, пройти путь в десятки лет за пятилетку очень сложно, но все к этому стремятся.
– Многие российские компании переходят на микросервисные приложения, контейнеры, сервисные шины. Вы тоже в этом тренде? Насколько сложно достроить безопасность контейнерной инфраструктуры рядом с классической?
– С точки зрения трендов вы правы.
В финтехе сейчас действительно активно развиваются микросервисная архитектура, контейнеризация, шины данных и сервисные шины. Я воспринимаю эти направления как способы технической реализации задач, которые формулирует бизнес, – непрерывность, масштабируемость, скорость вывода изменений, устойчивость к нагрузкам. Роль информационной безопасности в этой конструкции заключается в том, чтобы сделать новую инфраструктуру не только эффективной, но и защищенной в рамках классической триады: конфиденциальность, целостность, доступность. Финансовые организации над этим активно работают: развивают подходы и решения, которые позволяют обеспечивать безопасность контейнерной среды – либо на базе Open Source, либо на базе отечественных продуктов, в зависимости от конкретной политики и ограничений.
Информационная безопасность встраивается как функция, которая помогает эту реализацию довести до безопасного состояния: сформулировать требования, выбрать и внедрить инструменты, настроить контроль, выстроить мониторинг, обеспечить соответствие.
Отдельно подчеркну, что одной только обучающей практики недостаточно. Если параллельно не совершенствовать антифрод, не внедрять технологические платформы для своевременного выявления, блокировки или приостановки подозрительных операций, не выстраивать обмен сигналами – с регулятором, межбанковским сообществом, профильными организациями – по схемам мошенничества, признакам атак и группировкам, то эффективность будет ограниченной. Поэтому обязательно нужно добавлять технологическую и процессную составляющие.
– Что можно противопоставить новому технологическому уровню мошенничества, когда с помощью нейросетей подделываются лицо и голос любого человека? Способны ли биометрические технологии отличить подделку от оригинала?
– Если дипфейки создаются на базе LLM и нейрогенеративных технологий, то и системы их выявления, как это ни парадоксально, строятся на тех же самых движках. Речь идет либо о собственных, специально обученных моделях, либо о коммерческих, которые используются с корректными промптами, интерфейсами и сценариями анализа. Такие решения позволяют выявлять дипфейки как по стандартным, так и по нестандартным признакам. Существуют ли технологии, способные это делать? Ответ однозначный – да, существуют. Внедрены ли они в отечественных банках в полном объеме, позволяют ли закрыть все возможные риски? Здесь ответ скорее отрицательный. Пока такие решения не обеспечивают стопроцентного покрытия, но банки последовательно работают над их внедрением именно в тех процессах и системах, где риски наиболее критичны. В первую очередь речь о каналах, связанных с видео и аудио, биометрической аутентификацией, анализом изображений и фотокопий документов, – дистанционном банковском обслуживании, подтверждении личности, работе с заявлениями, реестрами и документами, которые по разным причинам поступают не в виде оригиналов, а в виде электронных копий – как в розничном, так и в корпоративном бизнесе.
Современные технологии дипфейков ориентированы не только и не столько на подделку изображения лица. Их ключевая ценность для злоумышленников – возможность создавать правдоподобный контент под конкретную задачу, процесс и цель, используя правильно сформулированные запросы.
Именно поэтому защита должна быть многоуровневой и контекстной: одной только биометрии уже недостаточно, банки вынуждены усиливать контроль за всеми цифровыми каналами взаимодействия с клиентами и контрагентами.
– Безопасность – это не только процессы и продукты, но и люди. Как вы находите сотрудников? Каких специалистов сегодня не хватает больше всего в финтехе?
– Кадровый дефицит, без сомнения, присутствует. Это системная проблема, которая наблюдается в отрасли уже пять, а то и десять лет. Квалифицированных специалистов, которые способны быстро влиться в процессы, на рынке по-прежнему крайне мало. Это касается и молодых кадров, и специалистов с опытом.
Если говорить о способах привлечения, то классическое собеседование – лишь часть истории. Мы активно используем стажировки и различные форматы временного включения в команду на этапе обучения или практики, которую студенты проходят в профильных вузах, что дает возможность посмотреть на человека в работе и понять, насколько он подходит по уровню и мотивации. Для специалистов с опытом мы широко используем модель привлечения в проектный штат через подрядные организации и крупных контрагентов. В рамках договорных отношений они отрабатывают задачи, а мы оцениваем их уровень и вовлеченность, после чего принимаем решение – продолжать сотрудничество в штатном формате либо оставлять взаимодействие на проектной основе.
Отдельное направление – работа с учебными центрами и профильными программами по информационной безопасности. Мы проводим открытые мероприятия, митапы, профессиональные активности, где рассказываем о своих задачах, потребностях и вакансиях. Аудитория таких мероприятий, как правило, уже профильная – люди из ИБ-сообщества. Если кому-то из них интересен формат и задачи, то диалог продолжается уже в индивидуальном порядке. Ну и, конечно, никто не отменял сарафанное радио. В свое время, работая в МИФИ в качестве ассистента и преподавателя, я активно привлекал студентов и коллег в команду информационной безопасности одного крупного банка.
Серьезная проблема – острый дефицит грамотных инженеров по информационной безопасности. Речь идет не о тех, кто умеет пользоваться ИИ и формулировать запросы, а о специалистах, которые способны поддерживать платформы, обеспечивать их безопасность и выстраивать корректную инфраструктуру. О людях, которые понимают разницу между межсетевым экраном и системой обнаружения вторжений, умеют строить мониторинг, знают сетевые протоколы, разбираются в классической сетевой безопасности, анализируют криптопротоколы, находят уязвимости в коде и понимают модели работы вредоносного ПО. Это специалисты с классическим инженерным образованием, ориентированные не на менеджмент, а на техническую глубину, – те, кто чувствует проблематику ИБ буквально на кончиках пальцев.
Отдельно стоит упомянуть специалистов, работающих с управлением уязвимостями. Здесь целый спектр ролей: от пентестеров до архитекторов безопасности и аналитиков. Это люди, которые умеют выявлять алгоритмические уязвимости, особенности различных типов приложений, инфраструктурных компонентов и процессные изъяны. Эта область сейчас активно развивается, но нередко в нее приходят люди без реального практического опыта, воспринимая ее как нечто романтизированное – связанное с хакингом и взломами.
– Какой вы видите архитектуру информационной безопасности крупного банка через пять лет? Какие технологии станут основой защиты, а какие подходы уйдут в прошлое?
– До известных оракулов в шляпе мне, конечно, очень далеко. Но, если говорить о горизонте пяти лет, то для меня архитектура информационной безопасности – это прежде всего история про отказоустойчивость, стабильность и непрерывность. Про более высокий уровень технологического суверенитета по сравнению с тем, что мы имеем сегодня. Про более четкое понимание политизации угроз и их сегментации.
Ключевым фактором, на мой взгляд, останется поддержка со стороны бизнес-подразделений – более глубокая и осознанная, чем сейчас. Работа по донесению до бизнеса смысла и ценности информационной безопасности, выстраивание диалога на одном языке – началась относительно недавно и должна продолжаться. Через пять лет это даст измеримый результат.
С точки зрения технологий, будет продолжаться развитие эшелонированной защиты и реализация стратегии Zero Trust. Причем Zero Trust должен стать базовым архитектурным принципом – примерно так же, как когда-то стала базовой парольная защита, затем двухфакторная, а позже и многофакторная аутентификация.
Отдельный фокус – сокращение времени выявления и реагирования на инциденты ИБ. Чем быстрее реакция профильных подразделений, регуляторов и других участников процесса, тем ниже потенциальный ущерб. Для этого нужна зрелая технологическая база, актуальная нормативная документация и понятная система мотивации.
Наконец, перспективным направлением я считаю активное применение инструментов на базе искусственного интеллекта для противодействия современным атакам. ИИ уже используется злоумышленниками, и этот тренд будет только усиливаться. При этом в защитных технологиях его применение пока сдерживается нормативными ограничениями и определенным уровнем недоверия. Я надеюсь, что на горизонте пяти лет ситуация изменится: решения на базе ИИ станут более зрелыми, финтех научится применять их осознанно и точечно, появится понимание, в каких задачах они действительно эффективны и какие организационные и технологические условия для этого необходимы. Поскольку модель догоняющего – сначала злоумышленник, потом защитник – никуда не исчезла, использование ИИ в защите становится не вопросом эксперимента, а вопросом выживания в условиях усложняющихся кибератак.