На отраслевых форумах давно сложился консенсус: России нужен суверенный искусственный интеллект в сфере информационной безопасности. Аргументы известны: зависимость от западных вендоров, рост числа целевых атак, необходимость защищать объекты критической инфраструктуры собственными инструментами.
Но есть вопрос, который на этих форумах почти не звучит. Аналитик Батранков задал его на SecurityLab и мы считаем, что он заслуживает широкого обсуждения.
Вопрос простой: на каких данных учить этот ИИ?
ИИ в кибербезопасности не пишется вручную. Его обучают на реальных примерах: вот вредоносный файл и нормальный; вот атака в сетевом трафике и обычная активность. Чем больше реальных, правильно размеченных примеров тем точнее система. Чем хуже данные — тем больше пропущенных атак и ложных срабатываний. С этим как раз у нас проблема.
Что именно отсутствует? Остановимся на ключевых пробелах
Национального репозитория вредоносных программ нет. Создание публичного антивирусного сканера было предусмотрено ещё в нацпрограмме «Цифровая экономика» в 2017 году. На реализацию выделили 90 миллионов рублей. В 2023–2024 годах проект был заморожен из-за отсутствия финансирования. Закрытые базы есть у Kaspersky и BI.ZONE, но единого национального архива нет.
Архива русскоязычного фишинга нет. Часть данных есть у Сбербанка, часть у Group-IB — которая работает из Сингапура. Компании, специализирующиеся на антифишинге, накапливают свои коллекции. Национального репозитория, доступного для обучения модели, не существует.
Размеченных данных катастрофически мало. Сырые журналы событий не учат ИИ сами по себе. Их нужно разметить: указать, что именно произошло, какой инструмент использовался, на каком этапе цепочки взлома находится инцидент. Разметка одного сложного инцидента занимает у опытного аналитика несколько дней. Нет ни программы подготовки таких специалистов, ни стандарта разметки, ни финансирования.
Данные с киберполигонов и CTF-соревнований не агрегируются нигде. Positive Hack Days проводится ежегодно. Киберполигон Positive Technologies генерирует контролируемые сценарии с известным исходом — идеальный обучающий материал. Однако каждая площадка хранит данные у себя.
Кто за это отвечает — и почему ответ неочевиден
Никто конкретно не отвечает за сбор этих данных — ни одно ведомство не получило такого поручения: Минцифры строит платформу для городских данных, ФСТЭК регулирует инфраструктуру, ФСБ лицензирует средства защиты. Каждый занят делом, но задача повисла в воздухе потому что никому формально не поручено её закрыть.
При этом каждый день без централизованного сбора — это данные, потерянные навсегда. Инцидент, который не попал в датасет сегодня, не попадёт в него никогда.
Что это означает для бизнеса
Пока дискуссия о суверенном ИИ продолжается на уровне концепций, атаки происходят в реальном времени. Главным вектором по-прежнему остаётся человек: фишинговое письмо, звонок от «службы безопасности банка», поддельная страница авторизации.
Технологическая защита не заменяет человеческую осознанность, она её дополняет. Пока национальная библиотека угроз строится, сотрудники Вашей организации принимают решения каждый день. И от того, насколько они обучены, зависит реальный периметр безопасности.
Именно системное обучение цифровой грамотности и имитация фишинга в контролируемых условиях — является основой того, что мы делаем в StopPhish. Не разовые инструктажи, а тренировка устойчивого иммунитета.
🌐 О нашей платформе: https://stopphish.ru