Гендиректор «РТ-Информационная безопасность» — как ИИ изменил скорость хакерских атак на отечественную инфраструктуру и как с ними справляются российские специалисты
Фото: «РТ-Информационная безопасность»
Для атак на компьютерную инфраструктуру российских организаций и предприятий западные хакеры начали использовать вредоносные программы с искусственным интеллектом (ИИ). Если раньше для поиска точки уязвимости требовались недели, то сейчас скорость атаки выросла в 40 раз — брешь обнаруживается в течение 20 минут. Однако в Госкорпорации Ростех разработан собственный ИИ-защитник, который позволяет эффективно справляться с этой угрозой. О том, как нейтрализуются такие атаки, почему сети взламываются через кадровые отделы или бухгалтерию и как российское защитное программное обеспечение (ПО) не дало погрузить страну в темноту и опустить на компьютерах «синий экран» — в интервью Дмитрия Прендецкого, генерального директора компании «РТ-Информационная безопасность» («РТ-ИБ», входит в Госкорпорацию Ростех).
«Под угрозой всё: энергетика, транспортная отрасль, промышленность, государственные учреждения»
— Увеличилось ли количество кибератак на российские компании и госструктуры за последнее время?
— Всплеск мы наблюдаем, начиная с апреля 2022 года. С тех пор наши ключевые отрасли находятся в состоянии Red Team, непрерывно отражая атаки в режиме 24 на 7. И так живут, по большому счету, все ключевые сферы нашей экономики. Мы сейчас воспринимаем эту ситуацию именно как одну из составных частей боевых действий. И другой трактовки быть не может. До 2023 года целью хакерских группировок было извлечение прибыли. Они воровали данные или блокировали инфраструктуру и требовали за ее восстановление выкуп — по открытым данным, в среднем около 40 млн рублей. Сейчас цель другая — остановить работу. Под угрозой всё: и энергетика, и транспортная отрасль, и промышленность, и государственные учреждения.
— Много ли было атак на Госкорпорацию Ростех в прошлом году?
— За прошлый год было выявлено 14,5 тыс. высококритичных и подтвержденных инцидентов, а также практически 2 млн алертов — они фиксировались не только в контуре госкорпорации, но и у других наших клиентов.
Отмечу, что обеспечение кибербезопасности Ростеха — задача комплексная. Помимо «РТ-ИБ» ее решают также другие центры компетенции, включая «РТ-Информ», при непосредственной координации со стороны блока безопасности корпорации.
— Из каких стран нас атакуют?
— Весь западный мир сосредоточен на том, чтобы нанести нам максимальный урон. Мы прекрасно понимаем, что за хакерскими группировками стоят иностранные спецслужбы и государства. Нам противостоят лучшие умы, а количество атакующих несопоставимо с числом наших кибербезопасников. Немаловажно и то, что нам противостоят граждане постсоветского пространства: они хорошо знают наш язык и психологию, что помогает им, например, более правдоподобно составлять фишинговые сообщения. Несмотря на это, по-моему, наши специалисты более чем успешно справляются с угрозами.
— Меняется ли характер кибератак?
— Да. Начиная с 2024 года против нас начали активно использовать искусственный интеллект. В итоге скорость атак увеличилась примерно в 40 раз. APT-группировки (Advanced Persistent Threat, «усовершенствованная постоянная угроза», длительная кибератака, направленная на конкретную цель. — Ред.) пытаются найти уязвимые места в инфраструктуре компаний: они стараются проникнуть в сети, нанести им урон или похитить важную информацию. Проще говоря, если раньше хакерам требовалась примерно неделя или месяц, чтобы найти входную точку уязвимости в инфраструктуре, то сейчас это происходит за 20 минут. Скорость выросла, и нагрузка на нас увеличилась в те же 40 раз.
— Как проходят такие атаки?
— Примерно 90% атак на инфраструктуру происходят через пользователя — с помощью фишинговых рассылок, то есть писем или сообщений с вредоносными программами. Причем их стараются замаскировать под официальные сообщения госструктур или компаний, работающих с данной организацией, поэтому такие документы подделываются максимально правдоподобно.
Рассылку, как правило, получают по почте сотрудники отделов маркетинга, кадров и бухгалтерии — там достаточно большой поток корреспонденции.
Если файл открывают, происходит заражение компьютера, после чего подключаются соответствующие инструменты: искусственный интеллект помогает распространять вредоносные программы дальше по инфраструктуре. Происходит либо кража данных, либо блокировка всей инфраструктуры.
— Как это выглядит?
— Например, внутри сети нельзя будет пользоваться компьютерами. Вы приходите на работу, а у сотрудников всего предприятия на экранах компьютеров появляется «синий экран». В итоге работа останавливается, и для отдельных предприятий это сверхкритично.
— Легко ли восстановить потерянные данные?
— Хорошо, если на предприятии существует резервное копирование данных — это называется бэкап. Но сейчас при целенаправленной хакерской атаке, как правило, заражаются и они. И вы попадаете в замкнутый круг: восстанавливаете инфраструктуру из бэкапов, но там уже находится вредоносное программное обеспечение, которое повторяет свои действия. В итоге предприятия могут понести колоссальные убытки из-за остановки производственных процессов, кражи персональных данных и разработок.
— Какие еще существуют особенности атак?
— Вредоносное программное обеспечение пишется под конкретный объект и создается таким образом, чтобы нанести максимальный урон. Например, помимо прочего, оно может заставить владельцев заменить всё «железо». Такие случаи мы видели в коммерческих организациях, и хорошо, что они не касались нашей корпорации.
— Можно ли оценить экономический ущерб от таких атак?
— Для одних предприятий недельный простой не станет критическим, тогда как для ритейла он может обернуться колоссальными убытками. Можно только предполагать, сколько потеряет крупная сеть супермаркетов, если все ее магазины закроются хотя бы на несколько часов.
Мы также видели, какие неудобства может доставить результативная хакерская атака на транспорт: прошлым летом были отменены десятки авиарейсов, и пострадали тысячи людей.
«ИИ противодействует ИИ в автоматическом режиме»
— Как правильно выстраивать систему кибербезопасности в сложившихся условиях?
— Наша компания начала с разработки собственного программного обеспечения EDR (Endpoint Detection and Response), которое обеспечивает защиту конечных точек. Оно в автоматическом режиме выявляет и реагирует на киберинциденты. ПО устанавливается у конечного пользователя — это и серверное оборудование, и рабочие места.
— Искусственный интеллект помогает защищать сети?
— В начале 2024 года при доработке своего продукта мы встроили в него модуль искусственного интеллекта. Он позволяет быстрее реагировать на хакерские атаки. Проще говоря, искусственный интеллект в автоматическом режиме противодействует искусственному интеллекту.
При защите он позволяет отключить определенный хост (узел сети. — Ред.) или заблокировать вредоносные программы, чтобы они не распространялись дальше. Если автоматическое реагирование невозможно, ПО оповещает аналитика, который быстро принимает необходимые меры. Благодаря искусственному интеллекту нам удалось автоматизировать более 30% работы аналитиков, что существенно облегчило их рутину.
Кроме того, наши программы автоматически формируют отчеты об инцидентах и самостоятельно реагируют на них. Роль человека не изменилась — он просто не отвлекается на ложные срабатывания. Только за прошлый год 125 127 подозрений на инциденты были закрыты автоматически с помощью использования классификатора на основе машинного обучения, поэтому аналитик сосредоточен на том, что действительно важно.
Ему не нужно анализировать огромное количество событий и делать соответствующие выводы. К нему поступает отчет по десяти действительно значимым инцидентам, и он принимает решения по их устранению.
— Какие могли быть последствия, если бы вовремя не внедрили программы с искусственным интеллектом?
— Пришлось бы резко наращивать штат до уровня, при котором сотрудники смогли бы обрабатывать полученную информацию. Представьте: штат увеличивается со 100 человек до 500 за короткий срок, а затем снова растет.
При этом нужно учитывать, что специалистов на рынке не хватает. В таких условиях удержать ситуацию под контролем было бы практически невозможно.
— Были ли случаи попыток добраться до документов, составляющих гостайну?
— Всё, что касается гостайны, хранится на персональных компьютерах без выхода в интернет, поэтому подобраться к ней извне невозможно. Я, честно говоря, не слышал, чтобы такая информация куда-то утекала — таких случаев не было. А вот персональные данные утекают повсеместно. С этим мы все сталкиваемся в повседневной жизни.
— В какой из стран эффективнее всего работают службы кибербезопасности?
— На Россию направлено в сотни раз больше хакерских атак, чем на какую-либо отдельно взятую страну на Западе. При этом количество результативных атак в целом сопоставимо, а возможно, на нас приходится даже меньше. Это говорит о том, что система и вся отрасль у нас находятся на хорошем уровне.
Возьмем продукты той же «Лаборатории Касперского» — эта компания входит в число мировых лидеров в области информационной безопасности. До 2022 года их антивирус был установлен в государственных учреждениях США, и это показатель качества и надежности.
Если бы у нас не было собственных готовых продуктов защиты, мы не могли бы говорить о своей независимости. Тот, кто разрабатывает программное обеспечение, им и управляет. Запад, не будь у нас своего продукта, не упустил бы возможность нанести нам максимальный урон.
— Что бы случилось, если бы у России не было своих разработок?
— При желании, наверное, страну можно было бы удаленно погрузить в темноту и устроить всем «синий экран». В таком случае, вероятно, оставался бы единственный способ что-то сохранить — отключить электропитание всей инфраструктуры или поставить жесткий файрвол (межсетевой экран) на входе в страну, чтобы тщательно фильтровать весь входящий трафик. Но нам удалось удержать ситуацию под контролем, не прибегая к крайним мерам.
Оценили 9 человек
14 кармы