Главная уязвимость при защите данных ― сам человек. Интервью со специалистом в области информбезопасности Натальей Милославской

Что такое информационная безопасность с точки зрения науки? Какие технические решения разрабатываются для защиты данных? Искусственный интеллект — это новые риски для информационной безопасности или возможности дополнительной защиты? Об этом ― в интервью с Натальей Георгиевной Милославской.

― В течение последних нескольких лет участились сообщения об успешных кибератаках на те или иные цифровые системы: информационные, банковские, объекты энергетики. С чем связан этот рост: с увеличением количества самих кибератак из-за политических и вооруженных конфликтов или появились технологии, позволяющие эффективнее проникать в системы?

― Конечно, геополитическая ситуация здесь играет очень большую роль. Как только на планете возникают горячие точки, начинаются массовые атаки. Так появилось понятие «хактивизм» — взлом с целью привлечения внимания общественности к какой-либо проблеме. На первых порах хактивизм имел чисто социальный окрас без денежного интереса: никто не требовал выкупа за информацию, которая публиковалась в поддержку той или иной проблемы. Сейчас же хактивисты решили монетизировать свою деятельность, и это течение, к сожалению, активно растет. Таков один из новых трендов, характерных для современности.

Рост количества атак очень существенен, это отмечают самые разные аналитические и консалтинговые компании, которые проводят независимые исследования в разных частях света. Одновременно специалисты фиксируют и усложнение самих атак. Они оценивают среднее время обнаружения атакующего в сети в 45 дней.

Помимо геополитической ситуации, есть и другие факторы. По сведениям некоторых компаний, примерно три четверти всех атак — это киберпреступления, совершенные ради финансовой выгоды и выкупа за восстановление доступа к данным. При этом данные не только крадут, но и шифруют, ставя под угрозу инфраструктуру компаний. Обычно от начального проникновения до полного разрушения IT-инфраструктуры проходит от двух до трех месяцев, а под угрозой находятся даже очень солидные организации, относящиеся к критической информационной инфраструктуре. Встречаются и длительные атаки, продолжающиеся до трех лет: «засланный казачок» устраивается в компанию, ведет себя как обычный сотрудник, но при этом копирует и продает информацию на сторону. Но есть и другие цифры. В 2025 г. всего 27 секунд ушло на взлом, который совершил ИИ-автомат группировки PUNK SPIDER. Вообще число атак с применением ИИ в 2025 г. выросло на 89% за год. Среднее время «прорыва» (от начального проникновения в сеть до начала кражи данных) сократилось до 29 минут.

82% атак теперь проходят без вирусов (malware-free). Хакеры просто заходят под украденными учетными данными.

Еще примерно пятая часть атак — это кибершпионаж. Конкурентная борьба между странами за новые технологии и знания всегда была и остается. Поэтому я бы не сказала, что здесь превалируют исключительно политические проблемы. Как раньше основной фон задавали преступления, так они и остаются.

― Насколько кибератаки и взломы стали успешнее?

— Это оценить сложнее. Если в квартиру открылась дверь, человек зашел, стоит на коврике и не делает ничего плохого, то сразу называть его преступником мы не будем. Точно так же и в систему могут войти, посмотреть, возможно, собрать какую-то информацию, но пока никак ее не использовать. Более того, сбор информации не всегда связан со взломами. Существует направление OSINT (Open Source Intelligence) — поиск по открытым источникам и сбор общедоступной информации.

Можно отметить, что цели атак постоянно меняются. Если в январе 2026 г. это были IT-компании, госсектор, промышленность и наука, то позднее атакам подверглись ретейл, отдельные индивидуумы, медицина. Как видите, финансовые организации давно ушли с первых позиций. Злоумышленники проявляют интерес к любым типам данных: от традиционных (служебных, коммерческих, технических) до персональных, сведений об учетных записях, почтовых сообщений, конфигурационных данных, журналов регистрации событий. Злоумышленники используют информацию, полученную в результате предыдущих кибератак и находящуюся в открытом доступе, для организации новых атак. Это включает поиск уязвимых ресурсов, первичный доступ к инфраструктуре, кражу и публикацию данных. И, конечно, рынок киберпреступности становится все более организованным, с доступом к услугам и средствам, которые могут использоваться даже неопытными злоумышленниками.

При этом есть еще киберфейки — от фальшивых новостей о взломах до фиктивных утечек данных, что создает атмосферу паники и недоверия.

― То есть информационная безопасность сегодня — это не только безопасность в сети?

― Разумеется. Мы часто слышим термин «кибербезопасность», и он уже не режет слух. Но для людей, работающих в этой области долгое время, понятие ИБ гораздо шире, чем только компьютерная безопасность. Международная организация по стандартизации ISO в 2012 г. выпустила стандарт, посвященный кибербезопасности. Там была схема, показывающая взаимосвязь: ИБ включала в себя кибербезопасность как подмножество. А в 2023 г. этот стандарт пересмотрели и термин «информационная безопасность» из него вообще исчез, осталась только «кибербезопасность». Но и «бумажную» безопасность никто не отменял: на вашем столе может лежать много интересных документов, доступных для случайных людей. Если документы не уничтожили должным образом (например, не использовали шредер), они могут оказаться в мусорной корзине, где будут найдены и использованы для последующей атаки. Мусорная корзина есть и на компьютере. В любых информационных системах находится огромное количество различных уязвимостей. Если их вовремя не заметить и не устранить, злоумышленники получат преимущество.

Нельзя забывать, что люди часто выступают слабым звеном в системе безопасности. Социальная инженерия, фишинг и другие методы манипуляции могут быть использованы для обхода мер защиты.

Сегодня как никогда важна скорость реагирования на атаки: если ваша система безопасности реагирует дольше пары минут, вы уже проиграли. Человек-аналитик больше не успевает за машиной. Будущее видится за автономной защитой.

― Я сталкивался с мнением о том, что злоумышленники, люди, атакующие на этом фронте, всегда идут впереди и постоянно находят новые механизмы проникновения. А те, кто им противодействуют, остаются в позиции догоняющих, разрабатывая защиту от методов взлома, которые уже применяли. Так ли это?  

― Такая ситуация, вероятно, будет сохраняться всегда. Организованная преступность располагает незаурядными умами, которые руководят процессом. Преступники разрабатывают методы и средства взлома, о которых мы пока еще не знаем и видим только их отдельные следы. К сожалению, у них в руках огромные ресурсы, позволяющие финансировать новые разработки и наем людей для создания инструментов, — в отличие от защитников, которые ограничены бюджетом и временем на реагирование.

Атакующие имеют возможность выбирать момент и метод атаки. Они могут экспериментировать с различными подходами и находить уязвимости, тогда как защитники вынуждены защищаться от всех возможных угроз.

До сих пор многие организации так и не осознают масштабы угроз и не принимают достаточных мер для защиты своих систем. Это может быть связано с недостатком обучения сотрудников и отсутствием культуры безопасности. Без постоянного мониторинга ИБ систем сложно обнаружить атаки на ранних стадиях.

В то же время существует огромное количество точек входа в систему, и мы не можем предположить, на каком направлении они сосредоточат усилия. Приходится распределяться по всему периметру, а в результате складывается ситуация, в которой рвется там, где тонко…

― Что такое информационная безопасность в целом и кибербезопасность в частности с точки зрения науки? Это математика?

― У ИБ есть вполне четкое определение: если кратко, то это состояние защищенности определенного информационного актива. С научной точки зрения это не физика и не математика в чистом виде, а комплексная задача. Задействованы теория информации, компьютерные науки, сетевые технологии и, конечно, физика, потому что речь идет в том числе об электромагнитном поле излучения. Можно снимать излучение, находясь за километр от комнаты, в которой работает компьютер, и прекрасно видеть и понимать, что происходит на экране. Это и криптография, включающая преобразование данных в зашифрованный вид. Это направление очень быстро развивается: раньше отличным методом защиты считали квантовую криптографию, но ее уже освоили злоумышленники, поэтому теперь разговор идет о постквантовой криптографии.

Обеспечение ИБ требует знания самых разных дисциплин, причем не только технических. Сюда же относятся взаимодействие с людьми, этика, психология и знание законодательства, которое не всегда совершенно. Надо понимать, что уязвимости системы — это ее определенные свойства, которые могут быть использованы для самых разных целей, и мирных, и немирных. И это не только ошибки в коде. Сюда же относятся неправильная настройка и конфигурирование систем, ошибки самого человека и многое другое.

― В других выступлениях вы говорили, что 80% успешных атак спровоцированы именно человеком и только 20% — это победа над самой системой…

― Так и есть. Начальная стадия большинства современных атак — это рассылка фишинговых писем. Если человек ловится на этот обман и переходит по ссылке, то он сам предоставляет информацию. То же самое касается и телефонного мошенничества. Все это ― область интереса ИБ, а специалист, работающий в этом направлении, должен обладать объемными энциклопедическими знаниями.

― Учитывая эту многогранность, возможно ли сформулировать ключевую научную задачу, которая должна быть решена в области информационной безопасности?

― Если обобщать, то суть обеспечения ИБ сводится к сохранению информационных ресурсов, критически важных для государства, организации или конкретного человека. Но единственного пути к решению этой задачи нет.

Сегодня важно создавать модели угроз, которые позволяют понимать, чему именно предстоит противостоять. Но, к сожалению, все разговоры о создании проактивной или, иначе, упреждающей защиты пока не привели к каким-то готовым решениям ― злоумышленники пока остаются впереди. Тем не менее надо хотя бы пытаться прогнозировать проблемы, которые могут возникнуть в системе, и учиться выявлять аномалии. Для этого нужно очень хорошо знать свою систему, понимать, как она функционирует в штатном режиме, и оценивать любое отклонение от этой нормальной работы как попытку проникновения. Создание более эффективных алгоритмов для обнаружения необычного поведения в системах, чтобы выявлять потенциальные угрозы до того, как они нанесут ущерб, до сих пор считается актуальной задачей. Автоматическая адаптация к новым угрозам и кибератакам в реальном времени, обеспечение безопасности устройств интернета вещей, которые часто имеют ограниченные ресурсы и могут быть уязвимы к атакам, более глубокое понимание методов социальной инженерии и разработка эффективных мер противодействия, поиск баланса между высоким уровнем безопасности и удобством для пользователей ― вот лишь некоторые задачи, которые требуют обязательного решения.

― В последние годы активно развиваются системы искусственного интеллекта. Как их оценивают специалисты в области информационной безопасности: это новые риски или, наоборот, возможности для защиты систем?

― Надо рассматривать не просто ИИ, а ИИ, реализованный в соответствующих системах. В России создали ГОСТ по регламентации работы таких систем в критической информационной инфраструктуре РФ, в котором рассматриваются и возможные уязвимости. К рискам относят, например, возможность переобучения модели, подмену данных, на основе которых модель учится, инверсию модели для ее тщательного изучения. Существуют также возможность обхода средств защиты систем и уязвимости аппаратного обеспечения, на котором работают эти системы. Сегодня много говорят о галлюцинациях систем ИИ. Приведу мнение экспертов: они отмечают, что за первую половину 2025 г. атаки с использованием ИИ выросли более чем на 50% по сравнению с 2024 г.

В то же время ИИ — это инструмент двойного назначения, способный помочь и тем, кто защищает системы. Обучившись на огромных объемах информации, ИИ способен понимать, к чему может привести то или иное событие, прогнозировать риски и быстрее реагировать на инциденты. Он может управлять доступом, бороться с мошенничеством, распознавать фишинг, тестировать программы. Можно даже создавать киберполигоны для обучения специалистов по ИБ: такие тренировочные системы позволят оперативно вырабатывать у сотрудников подразделений безопасности навыки отражения атак, актуальных в данный момент.

Другое направление — это обучение системы, способной коррелировать разные события, связанные с проникновением. Мы уже говорили о том, что сегодня атаки становятся сложнее: если раньше взлом проводился одной цепочкой событий, то сейчас злоумышленник проходит множество этапов, чтобы добиться цели. При этом отдельные события могут выглядеть как совершенно безобидные, но в итоге привести к проникновению. Обученный ИИ способен оценить разрозненные события как единое целое и выявить атаку. Так что системы ИИ могут приносить и вред, и благо, вопрос лишь в том, как их использовать.

― Есть какие-то тренды в кибербезопасности, кроме ИИ, и насколько отечественные технологии конкурентоспособны?

― Да, новые средства регулярно разрабатываются, и в рамках импортозамещения активно идет создание российских продуктов. Я стараюсь участвовать во всех конференциях по сетевой безопасности и вижу, насколько расширяются стенды и растет количество новых решений. В каких-то продуктах одна сильная сторона, в других — иная, но продукты получаются очень достойные. А главное, мы можем им доверять. В них нет скрытых закладок, в отличие от зарубежной техники, которая у нас в карманах и на столах.

Одно из трендовых направлений в технологиях кибербезопасности — это межсетевые экраны нового поколения. У нас они называются «многофункциональные межсетевые экраны уровня сети». Межсетевой экран — это большой фильтр, который обрабатывает входящий и исходящий трафик и оценивает, что разрешено пропускать, а что запрещено. При этом все зависит от того, как администратор настроит этот фильтр. Если раньше анализировались только адреса, то теперь появились инструменты для глубокого изучения поля данных — той части, где содержится сам документ или его фрагмент, представляющие интерес для злоумышленника. А современные решения не просто рассматривают пакеты информации, но оценивают их в контексте, то есть учитывают, что происходит в среде в данный момент. В один момент времени входящий пакет может быть вполне безобидным, но если вокруг разворачивается что-то еще, например выведен из строя компьютер администратора, ситуация выглядит настораживающе — и этот трафик уже не будет пропущен. Именно на такие действия нацелены межсетевые экраны нового поколения, которые должны работать в связке с защитой конечных точек в сети.

Другое крупное направление, которое пока несовершенно, — создание централизованного зонтика безопасности над сетью. Это сложная задача, и ее решение лежит скорее в плоскости не программного, а аппаратного решения, потому что железо всегда надежнее ― его, в отличие от программы, труднее подменить. Но создание такой системы потребует изменения аппаратных платформ. Пока в этом направлении удается комбинировать только некоторые средства защиты. Например, есть системы, способные собирать информацию из разных источников и, поняв, что отдельные события ― это развитие одной и той же атаки, дать сигнал, чтобы запустить средства защиты. Автоматизировать эту работу полностью пока не получается, мы в начале пути, но развитие продолжается. Даже появился термин «оркестрация» ― автоматизированное управление различными процессами, связанными с обеспечением ИБ.

Можно добавить, что сейчас обеспечение безопасности — это не о том, как пользователь входит в сеть и на отдельные ресурсы, а о том, как система продолжает контролировать его в процессе всей работы.

В целом развитие средств защиты информации — это интересный процесс. Я давно веду хронологию, в которой отражена эволюция таких методов с 1970-х гг., когда появились первые средства биометрической идентификации, антивирусы, пароли. Витки этой эволюции четко видны, и понятно, что следующий виток приведет нас к чему-то абсолютно новому. Но к чему, мы пока не знаем. Например, сейчас заказчики опять больше доверяют отдельному серверу для удаленного подключения и отдельному прокси-серверу, а не встроенным в межсетевой экран.

― Вы стояли у истоков отечественной школы сетевой безопасности. Как она развивалась? Ведь это относительно молодое направление, и учебники появились не так давно…

― Я присоединилась к этой школе не с самого начала, а чуть позже. Мое основное образование ― прикладная математика, и потому я хорошо представляю, как устроены операционные системы и программы. Я занималась кибернетикой, которую тогда называли буржуазной лженаукой. Но уже более 30 лет работаю в области ИБ.

Все люди, которые начинали развивать направление ИБ в СССР, ― самоучки. Нам никто ничего не рассказывал, учебников не было, информацию собирали по крупицам из разных источников.

Интересно, что в области ИБ очень много терминов, связанных с военной тематикой: «демилитаризованная зона», «эшелонированная защита», «киллчейн» ― цепочка событий, по которым развивается атака. Это связано с тем, что в профессии много людей из силовых структур, они выходили на пенсию в достаточно молодом возрасте, и им хотелось куда-то приложить свои знания. Многие занялись ИБ в гражданской жизни.

В 1995 г. в МИФИ образовался единственный в мире факультет ИБ. Я точно знаю это, поскольку 12 лет была заместителем председателя рабочей группы по обучению ИБ Международной федерации по обработке информации (IFIP). Этому обучали во многих странах, но на отдельных кафедрах и в рамках отдельных дисциплин. Мы же открыли полноценный факультет в составе пяти кафедр. В 1997 г. МИФИ был признан головным учебно-научным центром по проблемам ИБ в системе высшей школы РФ среди 29 вузов России, где велось обучение различным аспектам ИБ. В 1998 г. образовалась кафедра ИБ банковских систем, на которой я до сих пор работаю. Мы разработали собственную магистерскую программу под названием «Обеспечение кибербезопасности и киберустойчивости объектов», логически заменившую более старую программу «Обеспечение информационной безопасности и непрерывности бизнеса», по которой обучаем магистров в настоящее время.

― Как сегодня выглядит ситуация с образованием в области информационной безопасности?

― К сожалению, преподавательский состав становится все старше, а молодежи всегда не хватает. Это общая проблема, не только в нашем направлении. В основном остаются энтузиасты своего дела, готовые делиться знаниями в любое время, тратить на это выходные… Бóльшая же часть считают, что карьера важнее: одно дело — обучиться и зарабатывать деньги в каком-нибудь банке, и совсем другое ― делиться этими знаниями.

Я считаю, что задача высшей школы ― создать солидный скелет фундаментальных знаний, на который можно нарастить все, что хочешь, в зависимости от того, какая специализация сегодня востребована. Наша задача сегодня ― дать студенту платформу, на основе которой он сможет дальше развиваться самостоятельно. При этом в области ИБ и сетевых технологий нельзя останавливаться: мы не можем рассказать, что произойдет через месяц, а новые подходы придется изучать и мне. Саморазвитие — это элемент, на который должен рассчитывать любой специалист по ИБ, никто не сможет рассказать обо всем, с чем придется столкнуться в самом скором будущем.

― С учетом этой постоянной изменчивости, стабильного роста технологий и новых подходов к проникновению в системы может ли человек сегодня каким-либо образом минимизировать риски утечки информации и, в идеале, обеспечить себе полную сетевую безопасность?

― Полную безопасность обеспечить не удастся. Идеальная система вряд ли существует. Другое дело, что у каждого есть допустимые и недопустимые риски: для кого-то потеря 5 тыс. руб. будет критичной, а кто-то не заметит и утрату 15 тыс. руб. И этими рисками в какой-то степени можно управлять.

И в первую очередь здесь важна элементарная бдительность. Ни в коем случае нельзя сразу реагировать на поступающие требования, запросы и звонки, нужно обдумать ситуацию и понять, что происходит. К сожалению, излишней доверчивостью отличается пожилое поколение ― так оно было воспитано в советские годы.

Любое действие, даже сообщение в соцсети «Ура, я завтра еду в отпуск» может побудить злоумышленников к действиям. Как я уже говорила, бóльшая часть успешных атак в информационном поле спровоцирована человеческим фактором.

Интервью проведено при поддержке Министерства науки и высшего образования РФ