Профессиональное сообщество
лидеров цифровой трансформации
Редакция Global CIO

Кибербезопасность 2025. Анализ и рекомендации

Кибербезопасность – это то, что, с одной стороны, неразрывно связано с деятельностью любого ИТ-директора или руководителя по цифровой трансформации, а с другой – часто вызывает немало вопросов в части адекватности и предсказуемости того, что происходит в этой сфере. Попробуем приоткрыть завесу тайны над тем, что будет происходить в области информационной безопасности в России в этом году и какие факторы будут влиять на нее, что позволит нам лучше подготовиться к многочисленным изменениям, с которыми постоянно приходится сталкиваться специалистам по ИТ и ИБ.

В какой ситуации мы все сейчас находимся? Думаю, нет смысла говорить о постоянных атаках, направленных на инфраструктуру российских предприятий. Это уже стало реальностью. Злоумышленники используют социальный инжиниринг, уязвимости веб-приложений и скомпрометированные учетные данные сотрудников для доступа к системам. Это тройка остается неизменной уже достаточно давно и вряд ли сильно изменится в 2025 году.

Рекомендация: Стоит выстроить (или пересмотреть) процесс управления активами и уязвимостями, как минимум для доступных извне сервисов, сетевых и прикладных, а также настроить механизмы (использовать сервисы) отслеживания утекших паролей.

Об использовании искусственного интеллекта в организации кибератак говорят многие, но реальность такова, что это только нарастающая угроза. В 2024 году мы видели применение ИИ только при создании фишинговых ресурсов и генерации дипфейков. В наступившем году стоит ожидать расширения сферы использовании ИИ, например, при генерации вредоносного кода и поиска уязвимостей, что выведет кибератаки на новый уровень.

А вот участившиеся разговоры о квантовом шифровании, которое должно предотвратить риски для традиционных методов шифрования, пока стоит отложить в сторону. В ближайшие пять лет этой угрозы нам можно не опасаться, а с уже зашифрованными данными, которые могли попасть в чужие руки, можно расстаться – когда в районе 2030 года появятся работающие квантовые компьютеры расшифровать данные будет несложно.

Оставшиеся две проблемы, которые влияют на рынок российского кибербеза, – импортозамещение и дефицит кадров. В условиях ограниченного присутствия западных вендоров российские компании активно переходят на отечественные решения в области информационной безопасности, что также требуется и в соответствии с действующим законодательством. Начавшиеся разговоры о возможном возвращении иностранных компаний в страну, конечно, интересны, но вряд ли стоит доверять компаниям, которые один раз уже продемонстрировали как они могут одномоментно покинуть страну, отключить доставку обновлений, а в некоторых случаях, превратить ИТ-решения в «кирпич» или привести к удалению всех накопленных данных. Нехватка специалистов по кибербезопасности затрудняет эффективное противодействие угрозам. Лишь 14% организаций уверены в наличии необходимых компетенций для обеспечения безопасности.

Рекомендации: Не мне давать советы по импортозамещению, но я не исключаю появления еще больших запретов на использование иностранного ПО и железа, а также облачных сервисов в критических секторах, что потребует поиска локальных аналогов. А вот с кадрами, в условиях демографической ямы, помочь может только автоматизация рутинных задач, с которыми ежедневно сталкиваются специалисты по ИБ, и речь не только о применении искусственного интеллекта.

Несмотря на отсутствие прорывов в области создания новых кибератак, последствия от них становятся все более разрушительными, что заставляет компании искать новые решения как по обнаружению и предотвращению атак, так и по реализации стратегии резервного копирования, а также страхования киберрисков. Именно поэтому в России наблюдается рост в сегменте SIEM, SOAR и применения ИИ-решений в управлении инцидентами. При этом, понимая, что не все атаки можно предотвратить, компании все чаще обращаются к услугам киберстрахования для минимизации финансовых потерь от киберинцидентов. У нас этот рынок находится на стадии становления, но ожидается его рост в ближайшие годы; особенно если российский парламент примет соответствующий законопроект.

Рекомендации: Присмотритесь к страхованию киберрисков!

Покупка современных и инновационных решений по ИБ – это, конечно, выход, но при текущей ключевой ставке – это не самый лучший тратить корпоративные финансы. Поэтому, стоит обратить внимание на встроенные меры по усилению безопасности инфраструктуры – сегментацию, патчинг, настройку прав доступа, управление уязвимостями, отключение неиспользуемых учетных записей, удаление ненужных плагинов и расширений в браузерах и т.п. меры по так называемому харденингу.

Упомянув ранее про законопроект о страховании киберрисков, нельзя не обратиться к теме законодательства. Все-таки ИБ это, как не тяжело это признавать, выполнение множества нормативных актов, которые часто ставятся во главу угла и именно вокруг них выстраивается деятельность специалистов по ИБ. Это не значит, что и ИТ-директора должны делать также, но знать, чем руководствуются их коллеги и почему они выставляют такие требования к ИТ-система, конечно же стоит.

В 2025 году российские органы государственной власти усиливают меры по регулированию и обеспечению кибербезопасности, учитывая возрастающие угрозы и необходимость защиты критической информационной инфраструктуры (КИИ). Ниже представлены ключевые тенденции и инициативы основных регуляторов:

  • Критическая инфраструктура. ФСТЭК России планирует вдвое увеличить количество проверок в 2025 году, сосредоточив внимание на безопасности критической инфраструктуры. При этом Правительство планирует внести изменения в действующее законодательство и уйти от добровольного категорирования объектов КИИ в сторону установления списка тех систем, которые должны быть отнесены к значимым объектам. Этот список уже подготовлен и в этом году планируется его принятие, что заставит компании не только увеличить финансирование на ИБ, но и поменять правила их эксплуатации.
  • Обновление нормативной базы для государственных ИС. С 1 марта 2026 года вступят в силу новые требования по защите информации в государственных информационных системах, заменяя существующий приказ №17. Эти изменения направлены на повышение уровня защиты информации и адаптацию к современным угрозам, вводя немало новых требований, сильно отличающихся от текущей редакции. В частности, планируется установить требования по непрерывному мониторингу, безопасности удаленного доступа, обязательной многофакторной аутентификации, контролю подрядчиков и привилегированного доступа, защите облачных платформ и т.п. Кроме того, к вам из любой ГИС передается информация ограниченного доступа, то ваша система должна соответствовать новым требованиям.
  • Мониторинг кибератак. ФСБ продолжает фиксировать значительное количество компьютерных атак, особенно со стороны проукраинских группировок. В 2024 году такие инциденты составляли значительную часть от общего числа зарегистрированных атак. Это приводит к тому, что большое количество российских организаций становится обязано уведомлять ФСБ об инцидентах информационной безопасности. Мало того, последние изменения требуют предоставления дистанционного доступа к инфраструктуре сотрудникам спецслужбы, которые, в свою очередь, имеют право сканировать внешние ресурсы организаций в поисках неустраненных уязвимостей.
  • Защита персональных данных. Думаю, все слышали об оборотных штрафах, которые вступят в силу весной этого года. И это новый поворот в деле защиты личной информации, которая заставит компании пересмотреть свои подходы, уйдя от бумажной безопасности к реальной. Важно провести аудит политики работы с персональными данными и внедрить дополнительные механизмы защиты (классификацию данных, шифрование, контроль доступа, мониторинг активности пользователей и т.п.).
  • Биометрия. С 2024 года вступил в силу новый закон о регулировании биометрии, и компании, работающие с такими данными, должны обеспечить их безопасное хранение и обработку. И как мы видим, законодатели расширяют спектр сценариев, в которых может понадобиться обработка биометрических персональных данных, – от маркетплейсов до транспорта, от операций с недвижимостью до доступа к финансовым услугам и на стадионы.

Рекомендации: стоит свежим взглядом посмотреть на все то многообразие нормативных актов ФСТЭК и ФСБ, которые были приняты, начиная с 250-го Указа и заканчивая 17/21/239-м приказами ФСТЭК.

Стоит отдельно отметить два важных направления, которым сейчас ФСТЭК уделяет очень большое внимание. Речь идет об анализе защищенности и безопасной разработке; последнее особо важно для лидеров по цифровой трансформации, в ведении которых часто находятся команды разработчиков программного обеспечения.

Усилия в первом направлении связаны с тем, что регулятор в ходе аттестации объектов информатизации выявил множество типовых недостатков:

  • Не проводится анализ уязвимостей, даже критических, несмотря на наличие соответствующей методики регулятора.
  • Отсутствует функциональное тестирование средств защиты (продукты покупаются по рекламным листовкам, а не реальной проверке возможностей ИБ-решений).

  • Не тестируются методы обхода систем защиты с помощью пентестов, решений класса BAS, кибериспытаний и иных методов оценки защищенности.

  • Используются несертифицированные средства защиты.

Чтобы улучшить процесс аттестации, который критикуется многими специалистами, считающими этот способ оценки защищенности бессмысленной тратой ресурсов, ФСТЭК в этом году планирует выпустить 3 новых методических документа, с которыми придется иметь дело директорам по ИТ:

  • Методику испытаний систем защиты информации информационных систем путем осуществления тестирования ее функций безопасности (функционального тестирования)
  • Методику анализа уязвимостей в информационных системах
  • Методику испытаний систем защиты информации информационных систем путем тестирования на проникновение. Кстати, Банк России в начале 2025 года также выпустил методику анализа уязвимостей и проведения тестов на проникновение в финансовых организаций.

А в новых требованиях ФСТЭК, которые придут на смену 17-му приказу, о чем я написал выше, будут установлены правила устранения уязвимостей из ранее принятой регулятором методики, выполнение которой во-многом ложится на ИТ-службу:

  • Критические уязвимости должны устраняться в течение 24 часов.
  • Уязвимости высокой степени опасности – в течение 7 дней.

Также упомянуть, что Советом Федерации был разработан законопроект, вводящий в российское законодательство отношения в сфере деятельности по поиску уязвимостей и оценке уровня защищенности объектов (bug bounty) информационной инфраструктуры Российской Федерации, устанавливает права и обязанности участников этих отношений и определяет основы государственного регулирования указанной деятельности. И это тоже может стать частью системы оценки защищенности отечественных организаций.

Рекомендации: стоит провести ревизию своих подходов к оценке защищенности инфраструктуры и приложений, которые должны стать автоматизированными (иначе просто невозможно реализовать все то, что будут требовать регуляторы).

Безопасная разработка – это еще одна тема, которой регуляторы, ФСТЭК, Банк России и Минцифры, уделяют немало внимания и это понятно. Лучше выпускать безопасное ПО, чем заниматься устранением уязвимостей в нем. В этом направлении также сделано немало и будет сделано еще больше. Например, программные компоненты с открытым кодом теперь должны проходить сертификационные испытания, а владельцам информационных систем стоит требовать у поставщиков ПО и СЗИ Software Bill of Materials (SBOM) с корректным перечнем всех используемых компонентов, как это делает сама ФСТЭК в соответствие с порядком испытаний и поддержки безопасности средств защиты информации, в состав которых входят заимствованные программные компоненты с открытым исходным кодом, утвержденным ФСТЭК в сентябре 2024 года.

Организации, разрабатывающие ПО для госструктур, должны пересмотреть процессы разработки, внедрить методологии безопасной разработки и провести сертификацию своих процессов согласно порядка сертификации процессов разработки безопасного программного обеспечения средств защиты информации, утвержденного приказом ФСТЭК России от 1 декабря 2023 г. №240 (его, кстати, будут в этом году снова менять). ФСТЭКу вторит и Минцифры, которое также подготовило в конце прошлого года проект изменений в правила ведения реестра отечественного ПО, в которых предусмотрено, что с 1-го января 2026 для ПО, стремящегося в реестр, необходимо подтверждать наличие процедуры устранения ошибок и уязвимостей.

Наконец, нельзя не сказать о развитии Центра исследования безопасности системного программного обеспечения, в котором анализируется безопасность ядра Linux, которое положено в основу всех отечественных операционных систем. Также ФСТЭК готовит в этом году новую редакцию методики выявления уязвимостей и недекларированных возможностей в программном обеспечении, новые ГОСТы по безопасной разработке ПО, включая методики динамического и статического анализа, композиционный анализ и методику оценки уровня внедрения процессов разработки безопасного программного обеспечения.

Рекомендации: если в штате вашей организации существуют команды разработчиков, то стоит заняться внедрением (или пересмотром) процессов DevSecOps, направленных на повышение уровня безопасности того ПО, которое разрабатывается в интересах вашей организации.

Таким образом можно отметить, что в 2025 году российские регуляторы и законодательные органы будут активно работать над совершенствованием нормативной базы и усилением мер по обеспечению кибербезопасности, адаптируясь к новым вызовам и угрозам в цифровой сфере, а российским ИТ-директорам придется учитывать все упомянутые новые вызовы и регуляторные изменения в сфере кибербезопасности, которые напрямую влияют на управление цифровой инфраструктурой компаний.

А что директора по цифровой трансформации (CDTO), для которых кибербезопасность – это не только вопрос защиты, но и стратегический фактор, влияющий на цифровую трансформацию бизнеса, доверие клиентов, инвестиции и цифровую зрелость компании. Поэтому я считаю важным перечислить ключевые аспекты, на которые надо обращать внимание главному цифровизатору организации:

  • Безопасность встраивается в цифровые продукты и процессы, а значит кибербезопасность перестает быть отдельным процессом, а частью цифровой ДНК бизнеса. Именно поэтому у нас стали говорить о безопасной разработке, конструктивной безопасности (в конце 2024 года был принят ГОСТ на эту тему) или подходе Security-by-Design, подразумевающем внедрение DevSecOps в процессы разработки цифровых продуктов с самого начала их проектирования (такие требования есть не только у ФСТЭК, но и у Банка России).
  • Использование новых технологий (ИИ, big data, IoT, цифровые двойники, беспилотный транспорт и т.п.) требует учитывать новые типы атак. Например, при внедрении ИИ-решений в аналитику бизнеса важно учитывать риски подмены данных и атак на ML-модели. И неслучайно государство создало консорциум по доверенному и безопасному искусственному интеллекту (и даже не один), который разрабатывает стандарты в этой области, которые могут стать обязательными уже в 2025 году (в проекте приказа ФСТЭК на замену 17-му приказу такая норма уже есть).
  • Многие компании строят экосистемы (маркетплейсы, сервисы для партнеров, финтех-платформы), где безопасность становится частью конкурентного преимущества. Поэтому CDTO должен учитывать безопасность API, обмена данными на уровне архитектуры системы. Не случайно Банк России выпустил свои требования по безопасности OpenAPI и установил требования к финансовым платформам, а ФСТЭК расширила свои требования по безопасности и на внешние системы, с которыми взаимодействует ГИС или объект КИИ, которые вступят в силу в 2026 году.
  • В 2025 году атаки на цифровые платформы и мобильные приложения могут стать одним из главных векторов угроз. Например, уже наблюдаются подмены API-запросов, компрометация облачных сред, взломы подрядчиков. Поэтому так важно внедрять концепцию Zero Trust, задумываться о защищенных API и борьба с ботами, а также внедрять машинное обучение для прогнозирования неизвестных атак.

Рекомендации: самое простое, что можно сделать, – включить специалистов по ИБ в команду цифровой трансформации или делать их встречи регулярными. Тогда можно будет выявлять риски на самой ранней их стадии, а не после разработки и ввода в промышленную эксплуатацию той или иной цифровой системы.

Если честно, то я мог бы еще много чего написать относительно того, на что стоит обратить внимание в 2025-м году с точки зрения кибербезопасности. Но и уже перечисленных тем достаточно, чтобы понять, что борьба с атаками и выполнение законодательных требований – это не блажь и не эпизодическое мероприятие, которое можно сделать спустя рукава и по-быстрому. Это непрерывный процесс, который должен быть тесно сопряжен с ИТ-стратегией и направление на достижение вполне понятного результата – недопущение событий, имеющих катастрофические последствия для бизнеса компании. И этот результат не может быть достигнут только силами ИБ – без ИТ не обойтись.

Автор: Алексей Лукацкий, бизнес-консультант по безопасности, Positive Technologies

1071

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

фильтр
Предметная область
Отрасль
Управление
Мы используем файлы cookie в аналитических целях и для того, чтобы обеспечить вам наилучшие впечатления от работы с нашим сайтом. Заходя на сайт, вы соглашаетесь с Политикой использования файлов cookie.