Известный ИТ-эксперт Андрей Масалович – об информационной безопасности
Особое внимание на прошедшем в АлтГУ Межрегиональном форуме «ИТ-трансформация 2025: профессионалы цифрового будущего» уделили кибербезопасности. Ей была посвящена целая секция «Киберустойчивость в условиях нарастающих угроз». «ЗН» побывала на месте событий и выписала основные тезисы КиберДеда – Андрея Игоревича Масаловича, приглашенного эксперта. Он – ученый, преподаватель, подполковник спецслужб в отставке, ИТ-специалист по информационной безопасности, OSINT и конкурентной разведке.
Эта секция – дискуссионная площадка. В ней приняли участие также Сергей Сергеевич Фомин (Министерство цифрового развития и связи Кузбасса), Иван Сергеевич Ситьков и Павел Валерьевич Плетнев (Центр информационной безопасности), Антон Олегович Черкашин и Владимир Владимирович Павельев (Прокуратура Алтайского края).
Блок «Практика обеспечения информационной безопасности в цифровой среде, комплексная безопасность бизнеса, риски, возможности и повышение эффективности».
***
Безопасность в цифровой среде перешла от формального, «бумажного» уровня к реальной, практической. Сегодня это не просто теоретический вопрос, а реальная угроза, которая может коснуться любого. Собственники бизнеса стали более активно участвовать в вопросах безопасности, поскольку угрозы начали реально бить по карману. Возникло понятие continuum planning – постоянное управление безопасностью, когда вопросы безопасности обсуждаются не раз в год, а минимум раз в квартал и чаще, чтобы оперативно реагировать на новые угрозы.
***
Закон о критической информационной инфраструктуре (КИИ), введенный с января 2018 года, начал действительно работать только тогда, когда реальные атаки стали ощутимы. Это дало толчок к зрелости подходов и осознанию важности кибербезопасности. Под санкциями российские ИT-компании проявили себя очень хорошо – были созданы качественные отечественные заменители зарубежных сервисов, которые успешно используются и не ухудшают качество работы.
***
Отдельная и важная тема – влияние искусственного интеллекта на кибербезопасность. ИИ используется как инструмент для атак и для защиты, особенно с появлением больших языковых моделей и нейронных сетей, что значительно меняет ландшафт угроз.
***
Появилась ГосСОПКА – государственная структура, которая анализирует атаки и оперативно делится этой информацией с другими организациями. Это позволяет другим компаниям подготовиться и защититься, превратив каждую атаку в «прививку» для всего сообщества. В финансовом секторе подобные механизмы работают давно – в мире это CERT (в России – ФинЦЕРТ), где атаки на одну организацию становятся методичками для остальных.
***
Для малого и среднего бизнеса в ближайшем будущем ожидается появление аналогичных систем оповещения – «мини-сопок», которые помогут своевременно получать информацию об актуальных угрозах, поскольку они также часто подвергаются типичным атакам. Для обычных граждан уже начали публиковать информацию о мошеннических схемах и типах атак, что снижает их эффективность, так как люди становятся более подготовленными.
***
Современные угрозы нельзя оценивать количеством сканеров и проверок – сейчас реально опасны около 10 основных типов атак, которые актуальны именно в текущий период. Поэтому нужно сосредоточиться на выявлении и защите от этих реальных угроз, а не на формальном соблюдении множества устаревших требований и процедур.
Блок «Интернет-разведка и профессиональный поиск информации»
***
Конкурентная разведка возникла как естественное продолжение промышленного шпионажа с приходом интернета и больших данных: она необходима для понимания, почему «чьи то стрелы летят дальше наших копий».
***
На дискуссионной площадке выявили и определение конкурентной разведки, то есть это сбор и обработка информации из трех источников в рамках закона и этических норм для поддержки управленческих решений и повышения конкурентоспособности. Ключевая мысль в определении – именно законность и этика: мы «лезем» в чужие следы, но должны действовать аккуратно и в правовом поле, поскольку ответственность за проверку контрагентов и проявление должной осмотрительности лежит на бизнесе.
***
Деятельность разведчика живет в «серой зоне»: в российской практике сотни нормативных актов ограничивают доступ к информации (для общего ознакомления полезно знать статьи/акты вроде 272, 273, 274 УК РФ и соответствующие статьи КоАП – но это не юридическая консультация). В серой зоне надо быть предельно аккуратным – не нарушать закон, но понимать, где проходят границы.
***
КиберДед заострил внимание на том, что раньше важны были «приемы» (у него самого было, например, более тысячи приемов взлома). С возрастом важнее методология: понять задачу и способы ее решения – тогда приемы будут работать. С точки зрения интернет-разведки условный арсенал можно разделить на четыре блока по 250 приемов каждый:
Google хакинг. Использование поисковых систем (прежде всего Google) как инструмента обнаружения структуры адресного пространства, порталов, открытых ресурсов. Почитайте книги Джонни Лонга (Google Hacking, Google Hacking for Pentesters) для ознакомления. В них описаны подходы к использованию поисковиков для подготовки атак и пентестов.
Хакинг и уязвимости. Классов уязвимостей – сотни, но в живой эксплуатации около 150 классов, из которых критичны примерно 20 для большинства организаций. Нужны глубокие знания конкретных уязвимостей – иначе вас будут ломать через стандартные каналы. Пример вечного приема: SQL-инъекция – технически выполнима с одиночной машины и остается актуальной многие годы.
Практическая рекомендация: изучать практические руководства (например, «Ловушка для багов» и практики на Linux/Kali) – чтобы перейти от теории к реальным атакам/защите.
Гаджеты и сбор данных. Телеметрия устройств. Большинство устройств шпионит. Данные собираются как на устройствах, так и в централизованных базах. Приемы работы с утечками данных из гаджетов и анализа баз, где они хранятся, – важная часть арсенала.
Человеческие ошибки. Социальная инженерия и рутинные «ляпы». Уязвимость человека – постоянна. Не только навязчивая социальная инженерия, но рутинная проверка прошлых ошибок пользователей и администраторов дает результат. Если в управлении информационной системой есть человек – он может быть сломлен. Интернет рождался трижды – каждое рождение добавило новые уязвимости и новые возможности разведки:
Первое рождение (1970-е) – сети для передачи файлов; протоколы были «голыми» (например, WTP с открытыми реферами), остались первичные уязвимости и концепция «интернет рождается голым, безопасность натягивается позже».
Второе рождение (1991) – первый сайт, затем поисковые системы; открытая информация утекала больше, чем думали, и поисковики стали мощными инструментами слежения. Google оказался настолько всевидящим, что история браузера раскрывает много личного – болезни, доход, интересы.
Третье рождение (2004) – социальные сети: люди стали сами выкладывать контент, делая себя прозрачными. Это радикально упростило разведку по профайлам, публикациям, геометкам.
На примере PayPal и Питера Тиля показано, как большие данные позволили выявлять «слабые сигналы» – необычные транзакции, схемы финансирования терроризма и т. п. Именно из этой идеи в 2004-м родился продукт для мониторинга соцсетей (Volunteer Technologies), а через год и соответствующая соцсеть – иллюстрация, что сначала создаются инструменты слежения, затем – объекты слежения. На обсуждении был вынесен и волнующий многих вопрос – суверенный интернет. В обсуждение этого часто приводят в пример Китай, который, как известно, уже давно практикует такой вид интернет-сети. Андрей Игоревич утверждает: китайский путь уникален – его нельзя просто повторить, он опирается на особую политическую и демографическую модель. Практика показывает, что цифровой суверенитет – важная цель, но требует комплексного подхода, а не спорадических инициатив. Нужны планы по аппаратной и программной базе: собственные процессоры, BIOS, ядро ОС, инфраструктура сервисов. Иначе любая «чужая железка» или сервис становятся угрозой (может шпионить, выключаться, превращаться в «кирпич»). Примеры стран с подобным опытом: Турция делала свои аналоги, Руанда выпускает смартфоны Mara – идея комплексного подхода и последовательной индустриализации. Чтобы отечественные продукты окупились, нужен экспорт и масштаб рынка.
Заключение: интернет-разведка – сочетание методологии и практики. Важнее не набор приемов, а понимание задач и подходов: как искать, как анализировать, как легально и этично получать информацию. Тот, кто знает структуры данных, механизмы поиска, уязвимости, особенности устройств и человеческие слабости, – получает преимущество в конкурентной разведке.
Блок «Искусственный интеллект кибербезопасности»
Искусственный интеллект в кибербезопасности – это, по сути, нейронные сети, которые способны к самообучению. Их обучают данными, и они со временем совершенствуются. Пока у нас в большей степени используются отдельные элементы ИИ. Например, на базе платформы «Мини-цифра» работает робот, который заменяет регистрацию документов в системе. Это автоматизирует рутинные процессы: регистрацию обращений граждан, обработку документов, их подготовку к подписанию – все это теперь делает робот, что освобождает сотрудников от монотонной работы.
Что касается более сложных решений – у компании «Сбер» есть технология распознавания документов, которая сейчас внедряется в МФЦ. Это помогает операторам, значительно ускоряя обработку больших объемов документов – десятков и сотен тысяч, что позволяет сэкономить огромное количество времени. Результаты этой работы мы сможем показать на следующих встречах.
Эльвира ПЕТРЕНЕВА
Фото Дмитрия ГЕРАЙКИНА
