OZON3 157-3,28%CNY Бирж.11,49+0,24%IMOEX2 242,84-0,59%RTSI914,9+0,32%RGBI112,08-0,57%RGBITR746,75-0,52%

Игорь Арефьев (ОТП Банк): «ИИ выводит безопасность разработки на новый уровень»

Игорь Арефьев, руководитель направления SecOps ОТП Банка, выступил на панельной дискуссии «Как ИИ влияет на безопасность» в рамках «ИИ Конфы», которая состоялась 1 июля в Москве. Спикер рассказал, как продуктовая безопасность эволюционирует от классического DevSecOps к ИИ-агентам, и обозначил новые векторы защиты инфраструктуры.

По словам эксперта, искусственный интеллект уже сейчас закрывает системные пробелы в традиционном цикле разработки. ИИ-плагины в средах разработки позволяют анализировать код в контексте всего продукта и находить уязвимости в момент их написания. Это превращает дорогие уязвимости, которые обнаруживаются уже в промышленной эксплуатации, в дешевые, которые исправляются до релиза.

«ИИ не заменяет классические инструменты, а обогащает их, – пояснил Арефьев. – Раньше до 60% уязвимостей в отчетах были ложными. Теперь ИИ фильтрует шум, и время на исследование инцидентов снижается примерно на 80%, а у разработчиков перестает копиться бесполезный бэклог».

Говоря о будущем, спикер напомнил о недавнем кейсе по запуску специальной модели Mythos, которая нашла за короткий срок 23 тысячи Zero-Day уязвимостей. Это критические уязвимости, о которых не было информации, но которые требовали внимания в первую очередь.

Чтобы устранять подобные уязвимости Арефьев предлагает внедрять системы Trend Modeling Improved Tools. По его словам, это «будущее информационной безопасности, которое пока не получило широкого распространения».

«Традиционный подход к безопасности разработки больше не соответствует современным реалиям, – считает Арефьев. – Классический DevSecOps предполагает последовательное сканирование кода, создание задач и ручное исправление уязвимостей. Однако в условиях роста ИИ-угроз необходим переход к парадигме автономных агентов. Такие системы должны работать на каждом этапе разработки, непрерывно актуализировать модель угроз, автоматически анализировать изменения в коде, выявлять уязвимости, формировать задачи, разрабатывать прототипы исправлений и внедрять патчи до завершения работы разработчика».

Отвечая на вопрос о защите инфраструктуры при внедрении ИИ-инструментов эксперт выделил три ключевых вектора обеспечения инфобезопасности.  Во-первых, это жесткое управление доступом: ИИ-агенты должны работать в рамках прав конкретного сотрудника с обязательной аутентификацией и полным логированием действий. Во-вторых, создание единого шлюза для всех ИИ-запросов, чтобы заменить хаотичное использование локальных моделей и обеспечить проверку легитимности каждого обращения к банковским системам. И третий, верификация выходных данных: модель может формировать ошибочные ответы, раскрывать конфиденциальную информацию или генерировать вредоносное содержимое.

«Кибербезопасность в 2026 году требует полной смены парадигмы, – резюмировал Игорь Арефьев. – Искусственный интеллект меняет не только способы защиты, но и сам характер угроз. Компании, которые смогут адаптироваться к этим изменениям и построить прозрачную, контролируемую среду для работы с ИИ, получат колоссальное преимущество».

Другие пресс-релизы