«Компании все чаще рассматривают ИБ не как вспомогательную функцию, а как неотъемлемую часть устойчивости бизнеса»

На фоне роста количества и сложности кибератак информационная безопасность (ИБ) превращается в стратегически важный актив бизнеса. Одновременно с этим происходят охлаждение экономики и замедление роста ИТ-рынка, из-за чего бизнесу все сложнее аргументировать необходимость инвестиций в ИБ. «Ъ-Технологии» поговорил с вице-президентом «Лаборатории Касперского» по развитию бизнеса в России и СНГ Анной Кулашовой о том, как меняется спрос на ИБ и как компании могут оценить возврат инвестиций, направленных на собственную информационную безопасность.

— Какие три главных тренда на рынке информационной безопасности сейчас?

— Первый тренд связан с развитием цифровизации —усложняется ландшафт киберугроз. Новые инструменты, в том числе искусственный интеллект (ИИ), увеличивают поверхность атак — появляется больше способов проникновения в информационные и технологические системы компаний. К сожалению, растет число и качество как массовых угроз, так и сложных таргетированных атак — они становятся более продуктивными для злоумышленников.

Второй тренд — атаки на цепочки поставок. В 2025 году мы увидели сильный рост этого вектора. Например, крупная компрометация программного обеспечения (ПО) холодного мультиподписного кошелька Safe{Wallet}, через который криптобиржа Bybit работала с активами, привела к хищению средств в эквиваленте около $1,5 млрд.

Есть другой пример, когда в апреле наши эксперты обнаружили атаку через DAEMON Tools — одну из самых известных программ для работы с образами дисков. В этом случае злоумышленникам удалось внедрить в установщики ПО вредоносный код, что привело к более чем 2 тыс. заражений через официальный сайт разработчика. Атака затронула частных лиц и организации более чем в 100 странах. Эти кейсы хорошо показывают масштаб проблемы.

Третий тренд связан с использованием технологий искусственного интеллекта. Киберпреступники активно используют его в атаках. При этом ИИ становится как инструментом, так и объектом атаки. Но есть и хорошая новость: со стороны защищающихся инструменты ИИ для выявления атак и противостояния также активно используются.

— Кроме ИИ, за счет чего атаки становятся более продуктивными?

— Прежде всего растет количество целенаправленных и таргетированных атак, атак через цепочки поставок. Кроме того, существенно сократилось время от выявления вредоносного ПО до начала его эксплуатации злоумышленниками в инфраструктуре организаций. Крупные организации неплохо защищены, но они не живут в закрытом пространстве. У них много контрагентов, подрядчиков, поставщиков и так далее. Большинство громких инцидентов происходило именно через поставщиков.

Это могут быть уязвимое ПО или доверительные отношения с небольшими подрядчиками, которые считают, что они неинтересны злоумышленникам и у них мало ресурсов на кибербезопасность. Нехватка кадровых и финансовых ресурсов делает такие компании удобной точкой входа в более крупные инфраструктуры.

— Если посмотреть в перспективе пяти лет, какие главные тренды вы видите?

— Об этом сейчас все говорят, но ИИ действительно будет одним из ключевых факторов развития отрасли. Инструмент становится массовым, его внедряют повсеместно, но для большинства пользователей это пока что-то неизведанное. Поэтому многие не до конца понимают некоторые гигиенические правила. Они будут постепенно нарабатываться и распространяться, люди научатся с этим работать. ИИ-агенты хоть и упрощают массу задач, но одновременно возникает потребность в системах верификации и контроля.

Второй важный тренд — превращение информационной безопасности в стратегический актив бизнеса. В современном цифровом мире ИБ сопоставима с функциональной безопасностью промышленного предприятия — если злоумышленники могут нарушить ключевые процессы, это нанесет серьезный урон непрерывности бизнеса. Поэтому компании все чаще рассматривают ИБ не как вспомогательную функцию, а как неотъемлемую часть устойчивости бизнеса. Инвестиции в систему безопасности и использование риск-ориентированного подхода начинают влиять не только на уровень защищенности, но и на стоимость бренда, доверие клиентов и общую капитализацию бизнеса. И это совсем иной взгляд на безопасность относительно того, как было еще некоторое время назад и в мире, и в России.

И есть третий фактор, который будет с нами достаточно продолжительное, к сожалению, время,— это геофрагментация мира. Для киберпреступников мир по-прежнему глобален, они свободно обмениваются информацией в даркнете. А для государств и компаний появляются новые границы, в том числе в обмене информацией, что усложняет ландшафт, с которым мы имеем дело, и то, как мы с этим работаем.

— А что сдерживает развитие отрасли?

Во-первых, дефицит кадров — этого ресурса всегда не хватает. Это создает двойственную ситуацию: с одной стороны, дефицит подталкивает к внедрению новых технологий, включая искусственный интеллект. С другой стороны, сами эти технологии требуют инвестиций, времени на внедрение и перестройку процессов, что не всегда возможно при уже ограниченных ресурсах и может временно усиливать нагрузку на отрасль. Поэтому эти тренды будут идти рука об руку, но в итоге все равно двигать всю отрасль вперед.

Вопрос не только в объеме кадров, но и в том, каких специалистов не хватает и как учиться выстраивать новые бизнес-модели взаимодействия, сотрудничества человека и ИИ. Здесь есть определенный временной промежуток, в течение которого нам нужно будет научиться работать по-новому.

Во-вторых, экономические условия заставляют бизнес внимательнее подходить к расходам, однако вопросы ИБ по-прежнему остаются в фокусе собственников и советов директоров. Другое дело, что бизнес и IT-ландшафты развиваются быстрее, чем компании успевают в это инвестировать. И как раз от экономических сложностей больше всего страдает малый и средний бизнес, у которого и до этого средств на безопасность не было. А поскольку они одни из участников цепочки поставок и доверительных отношений, тут все и начинает усложняться.

— Экономика замедляется, IT-рынок растет медленнее, компании режут бюджеты на IT, и в том числе на ИБ. Как меняется спрос на ИБ?

— Спрос на ИБ сохраняется. Бюджеты на ИБ сокращают не так часто, как на ИТ, но для руководителей все более важным становится вопрос обоснованности затрат. Российский рынок кибербезопасности довольно зрелый — и это хорошо. Наши заказчики хорошо разбираются в вопросах кибербезопасности. Мы работаем по всему миру и видим, что большое количество ситуаций, с которыми российские заказчики уже научились работать эффективно, в ряде мест кажутся откровением.

Тем не менее владельцы, инвесторы, советы директоров все чаще запрашивают обоснование инвестиций в кибербезопасность. И здесь появляется необходимость в дополнительном инструменте, который позволит количественно показать и верифицировать, что дает бизнесу ИБ.

Опираясь на риск-ориентированный подход, совместно с «Технологиями Доверия» мы провели исследование, направленное на оценку возврата инвестиций в решения по информационной безопасности. Для того чтобы результаты были максимально универсальными, мы смоделировали типовую крупную российскую компанию и выделили наиболее вероятные сценарии кибератак. На ее основе мы проанализировали внедрение различных решений «Лаборатории Касперского» и рассчитали потенциальный возврат инвестиций. Полученные результаты показали ROI от 272% до 848% в перспективе двух-трех лет. Более 200% — это очень хорошая окупаемость. А уж 848% — это впечатляющий результат.

Отдельно хочу отметить сервисы киберразведки, Threat Intelligence, спрос на которые среди российских заказчиков растет. Они широко применяются организациями по всему миру: помогают понимать актуальный ландшафт угроз, выявлять релевантные для их компании векторы атак и принимать обоснованные решения о приоритетах защиты. Соответственно, и отдача от их использования получается внушительная: по данным нашего исследования, вложения в решения Threat Intelligence дают наибольший возврат инвестиций — 848%.

Но даже стандартные средства анализа сетевого трафика, песочниц, системы детектирования и реагирования уже обеспечивают хорошую окупаемость, существенно снижая среднегодовые потери от киберинцидентов после внедрения.

Исследование помогает сделать разговор об информационной безопасности более прикладным для бизнеса — прежде всего для финансовых директоров и советов директоров, которые оценивают проекты через призму инвестиций и возврата на вложенный капитал.

В ближайшее время мы также планируем запустить ROI-калькулятор, который поможет компаниям любого масштаба рассчитывать потенциальный эффект от инвестиций в ИБ с учетом индивидуальных параметров бизнеса.

— Расскажите поподробнее про ROI. Он завязан на риски потерь?

— Да, есть проверенные методологии количественной оценки риска. Мы опирались на многолетний опыт компании «Технологии Доверия». Их методология выверена, проверена на реальных проектах и согласуется с существующими бенчмарками. Ее можно адаптировать под конкретную компанию.

Возьмем простой пример. Внедрили защиту конечных устройств, поставили антивирусные решения, но не уделили внимание двухфакторной аутентификации. Это может быть связано с разными причинами: от нехватки компетенций до непонимания уровня риска или возможностей нарушителей (хакеров или администраторов). Методология позволяет оценить слабости защиты и перевести в цифры вероятности реализации инцидента в пределах года с конкретным ущербом в рублях.

Скорость реагирования на инциденты высокой критичности имеет принципиальное значение. Чем быстрее мы обнаруживаем атаку, локализуем ее и предотвращаем дальнейшее распространение, тем выше уровень защищенности всей инфраструктуры. Именно на этом основана концепция нулевого доверия — подход, при котором мы изначально исходим из того, что в любую инфраструктуру можно проникнуть. Этой же логикой мы руководствовались при разработке нашего исследования. Следующий важный вопрос — какими инструментами обеспечивается такая скорость реагирования и насколько эффективно они позволяют сокращать время обнаружения и нейтрализации угроз. Внедрение этих инструментов сокращает те самые пресловутые Mean time to detect и Mean time to respond (среднее время обнаружения и реагирования), которые в конечном итоге являются показателями эффективности отдела ИБ в компании или сторонней организации.

— Если говорить о потерях бизнеса — каков средний размер и от чего он зависит? Зависит ли это от размера предприятия, от отрасли?

— Конечно, зависит от размера компании и отрасли, но в каждой есть своя специфика. По данным наших аналитиков, в 2025 году три наиболее атакуемые индустрии — это госсектор, промышленность и ИТ, причем ИТ обогнали финансовый сектор и по числу, и по сложности атак. В исследовании мы рассмотрели усредненную крупную компанию на 10 тыс. рабочих мест. Общий профиль риска по ИБ (среднегодовой ожидаемый ущерб) для такой компании оценивается примерно в 7 млрд руб. в год — это очень существенно.

Что входит в этот общий профиль рисков? Во-первых, мы смотрим на события высокой степени критичности, к которым относятся нарушения условий конфиденциальности информации, работоспособности ИТ-системы и сервисов для бизнеса. К примеру, среднегодовой ожидаемый ущерб из-за выхода из строя одного или нескольких базовых ИТ-сервисов вроде Active Directory, DNS, сетевого оборудования и других критичных систем оценивается более чем в 3 млрд руб.

С точки зрения потери конфиденциальности для организации такого размера, когда мы учитываем различные параметры ущерба, к примеру оборотные штрафы, это еще более 3,5 млрд руб. При этом по отраслям есть специфика. Так, например, в промышленности потенциальный ущерб еще выше, потому что риски могут затрагивать не только простой дорогого оборудования, но и риски третьего уровня, то есть угрозы жизни и здоровью людей. Там оценки, конечно, будут гораздо выше.

— Если говорить про инвестиции бизнеса в ИБ, то каков их средний размер и как он меняется?

— Объем инвестиций сильно зависит от размера организации, степени зрелости и от индустрии. Так или иначе, традиционно одним из самых продвинутых в этой области является банковский сектор, где информационная безопасность входит в общий контур операционной устойчивости сектора и напрямую связана с защитой финансовых активов.

Отдельный аспект связан с репутацией — фактором, который сложно выразить в цифрах, но который все сильнее влияет на бизнес-решения. Клиенты чаще доверяют тем компаниям, которые демонстрируют зрелый подход к кибербезопасности и инвестируют в ее развитие. Постепенно ИБ становится не только защитной функцией, но и элементом конкурентного преимущества.

Крупные промышленные заказчики все чаще включают требования по кибербезопасности в работу с поставщиками: запрашивают подтверждения мер защиты, оценивают зрелость процессов и фиксируют это в договорах.

Это создает дополнительный стимул для рынка: компаниям необходимо системно развивать ИБ, чтобы оставаться надежными партнерами. Чтобы поддержать этот процесс, мы провели исследование и создаем ROI-калькулятор, который позволит обосновывать инвестиции в кибербезопасность без необходимости выстраивать сложные расчеты с нуля.

— Как отличается популярность ваших решений в малом и крупном бизнесе? Какие решения востребованы и почему?

— Здесь опять же все зависит от ресурсов и зрелости бизнеса. Если у компании есть свой центр мониторинга, он предполагает определенный класс решений — такие клиенты могут приходить за вторым мнением или дополнительной автоматизацией с использованием ИИ на первой линии обработки инцидентов.

Небольшие компании ограничиваются базовой защитой конечных устройств, которую часто требует регулятор. При этом они могут пользоваться, например, средствами того самого непрерывного мониторинга от вендора. У них нет этих возможностей анализировать сложные атаки, но есть возможность получать доступ к нашей экспертизе. Мы сейчас видим большой интерес и всплеск со стороны как раз средних предприятий к решениям такого класса. Думаю, этот тренд продолжится.

— В рамках исследования вы смотрели, насколько компании готовы к внедрению решений. Готовы ли и как меняется этот показатель?

— В целом компании готовы и серьезно об этом думают. У всех уже есть некий минимальный набор средств защиты. Многие приходят и говорят: «Помогите нам в части достаточных инструментов, на которые мы можем опереться помимо собственного качественного анализа по риск матрице».

— Какой нужен уровень технической готовности? Есть ли базовый минимум или можно заходить с нуля?

— В целом тут достаточно желания сделать первый шаг. Понятно, что современные средства развиваются и какая-то техническая подготовка должна быть. Но здесь и мы сами, и наши партнеры проводят обучения, есть документация. Мы вкладываем достаточно много сил, чтобы максимально облегчить вход, мы это делаем для заказчика любого размера.

Хочу обратить внимание, что с конца 2023 года у нас работает «Регуляторный хаб», где по запросу мы помогаем заказчикам понять, какие есть требования со стороны регуляторов к ним и какие технические меры нужны для выполнения этого минимума. Вот этот инструмент у нас активно работает, развивается и многие заказчики им пользуются.

— Дайте три совета компании, которая хочет быть более защищенной.

— Во-первых, это непрерывный мониторинг и проверка всех систем для обнаружения реагирования на любые инциденты. Во-вторых, нужно придерживаться подхода нулевого доверия, который в том числе будет связан с обеспечением надлежащего шифрования ваших данных, сегментации, изоляции систем. Для этого, конечно, нужно проводить инвентаризацию, знать, что находится в периметре организации.

И, конечно, мы бы не были «Лабораторией Касперского», если бы не сказали про кибериммунный подход. Он подразумевает, что безопасность закладывается еще на этапе проектирования систем или устройств, в том числе когда в разработке применяются возможности ИИ.

Интервью взял Дмитрий Шер