По итогам 2023 г. российский рынок кибербезопасности оценили в 248,5 млрд руб., по сравнению с 2022-м прирост составил 28,5%. Помимо импортозамещения есть еще одна причина, ведущая его вперед. Она связана с человеческим фактором, людьми, у которых есть важный ресурс – любопытство и передовые идеи. Чтобы понять, почему у нашего рынка есть большие шансы совершить технологический переворот, нужно посмотреть, чем он отличается от мирового, и вспомнить, как развивалась кибербезопасность в России.

В салочки с трендами

Сканер уязвимостей, который позже стал первым коммерческим продуктом Positive Technologies, появился в далеком 1998 г. Уже тогда кибербезопасность в России претендовала на «осознанное» развитие, несмотря на то что в те годы к интернет-безопасности (ИБ) относились несерьезно, да и сами киберугрозы были совершенно иными. Если кого-то ломали, то делали это с помощью примитивных вирусов. Хакерский мир тогда был скорее эфемерной материей, но как же он переродился буквально за 10 лет!

В 2010 г. в индустрии случилась «мировая премьера» – кибератака на ядерную программу Ирана. Злоумышленники использовали беспрецедентный по сложности вирус Stuxnet, который вывел из строя пятую часть имевшихся в стране центрифуг для обогащения урана. Это стало переломным моментом для рынка кибербеза. Индустрия открыла для себя новое направление защиты, связанное с промышленностью. Наше исследование тех времен показало, что после появления Stuxnet число уязвимостей, обнаруживаемых в промышленных системах, выросло в 20 раз. Кроме того, все поняли, что на темной стороне тоже есть гении и к встрече с ними нужно готовиться.

Затем главным драйвером развития рынка стала цифровизация. Начиная с 2017-го валовые внутренние затраты на развитие цифровой экономики хоть и умеренно, но росли. Технологичность превращала организации в мобильных и эффективных игроков и в то же время расширяла поверхность потенциальных атак. Этот тренд еще долго будет сохранять свою актуальность. По мере проникновения IT-решений в бизнес индустрия ИБ презентовала новые категории средств защиты, подогревая технологиями спрос на безопасность. По данным Gartner, в 2011 г. объем мирового сегмента ПО для обеспечения безопасности составил $17,7 млрд, в 2015-м – $22,1 млрд. В 2023-м этот показатель достиг $106,8 млрд, согласно подсчетам IDC.

Свой путь российской кибербезопасности

Почти два десятка лет индустрия ИБ в России послушно подхватывала тренды, которые зарождались на мировом рынке. Пытаясь догнать глобальную индустрию, мы наблюдали за тем, как менялись угрозы: росло количество целевых атак на организации, злоумышленники усерднее искали бреши, подбирались к жертвам через подрядчиков, создавали вредоносы массового поражения. У киберпреступников эволюция методов происходила в большей степени синхронно. С учетом темпов цифровизации нам нельзя было медлить – идеи нужны были здесь и сейчас.

Пожалуй, первое, что мы поняли: специалистам по ИБ нужно знать, какие IT-активы есть в инфраструктуре и как они меняются. Осведомленность – залог эффективной защиты от реальных киберугроз.

Еще один серьезный рывок российская ИБ сделала в 2018 г., когда появились продукты класса NTA (network traffic analysis), позволяющие искать киберугрозы в сетевом трафике. На рынке не было этой категории средств защиты, мы просто раньше остальных поняли, что такие продукты нужны. Так Россия стала визионером в этой области. Примерно в то же время о важности подобных решений заговорил и Gartner.

На мировом рынке умеют схватывать проблемы и быстро создавать нишевые продукты. Российская отрасль реагирует медленнее. Но зарубежные коллеги делают акцент на маркетинге и, в отличие от нас, не сильно заботятся о перспективности решений в будущем. Кроме того, многие иностранные компании забывают о том, что системы ИБ нужно тестировать на эффективность и что лучше всего делать это силами независимых исследователей в условиях, приближенных к реальным. Иначе как понять, что продукты работают и способны противостоять злоумышленникам?

Еще одно важное отличие рынков связано с целеполаганием: глобальная отрасль в основном позиционирует ИБ как вспомогательные технологии для обеспечения непрерывности бизнес-процессов. У нас, напротив, кибербезопасность существует в отдельной плоскости и строится для того, чтобы предотвращать реализацию недопустимых для компании рисков. Мы наблюдали за тем, как наши продукты справлялись со своими задачами, и видели, что раз за разом в ходе пентестов «ломались» компании клиентов. Чтобы исправить ситуацию, наша команда создала методологию результативной кибербезопасности, нацеленную на защиту бизнеса от реализации недопустимых событий, например утечек данных или кражи денег со счетов компании. Разумеется, прежде чем попасть на рынок, она была тщательно протестирована на нас самих и наших партнерах-энтузиастах.

Работа, работа, перейди на робота

После того как мы разобрались, какая кибербезопасность нужна бизнесу, перед нами встала новая задача – создать технологии, которые сконцентрируют в себе всю наработанную экспертизу по анализу защищенности и обнаружению кибератак. Сегодня рынок достиг той зрелости, когда человека нужно выводить за периметр механических операций, отнимающих много времени. Например, аналитики центра мониторинга ИБ (security operation center, SOC) собирают данные об инцидентах, ищут и сопоставляют неявные связи между событиями. Эти задачи уже сейчас можно делегировать роботизированным помощникам, в основе которых лежат технологии машинного обучения (ML) и большие языковые модели (LLM). Одной из первых, кто выбрал этот подход, стала компания Microsoft: там широко применяют нейросеть GPT в работе SOC.

Мы тоже двигаемся в этом направлении, развивая технологии автопилотирования. На сегодняшний день нам удалось автоматизировать выявление захваченных IT-ресурсов, сбор данных для расследования атак, прогнозирование дальнейших действий злоумышленников, расчет опасности киберугроз, а также реагирование на подозрительную активность. По нашим подсчетам, автопилотирование во много раз повышает эффективность команд SOC, но людям нужно научиться доверять роботам. В будущем труд экспертов в любой сфере заменят решения на базе ML и кибербезопасность не станет исключением. Уже сейчас уровень проникновения ML в ИБ можно оценить как средний.

Пока рынок прощупывает эту сферу, мы продолжаем участвовать в технологической гонке. Цель – максимально приблизить автопилот к эксперту и наделить его глубокой экспертизой анализа и принятия решений. Тот, кто первым создаст такого робота, можно сказать, совершит переворот. Роль людей сведется к доработке и улучшению технологий, а также к принятию стратегических решений, важных для глобального рынка. Мы постоянно развиваем среду и инструменты, которые позволят нам обучать различные машинные модели и архитектуры для работы со сложными задачами.

Верим, что у российского рынка есть все шансы быть среди лидеров, которые совершают прорыв в этом направлении.

Скорость интеграции искусственного интеллекта в бизнес-процессы поражает воображение. В 2024 г. его в своей деятельности использовали около 43% российских компаний ‒ в два раза больше, чем в 2021 г., подсчитали Национальный центр развития ИИ при правительстве и ВЦИОМ. Подавляющее большинство из них ‒ 97% получили от использования этой технологии финансовый или нефинансовый эффект. О спросе бизнеса на «цифру» и ключевых разработках в этой сфере разобрались «Ведомости. Технологии и инновации» из интервью вице-президента МТС по развитию корпоративного и нового бизнеса Олега Алдошина.