Сергей Демидов: «Главное — не запретить, а помочь»

Логотип компании
Почему классическая защита периметра уже не работает? Какие киберугрозы становятся главными для финансового сектора? Как Московская биржа выстраивает безопасность — от облачных технологий до работы с людьми? Об этом в интервью журналу IT Manager рассказал Сергей Демидов, директор по информационной безопасности Московской биржи.

Московская биржа ежедневно обрабатывает огромные объемы данных. Что вас беспокоит больше всего?

На самом деле речь не столько о больших объемах данных, сколько о колоссальных суммах денег, которые ежедневно проходят через финансовый рынок. Объем торгов на Московской бирже может достигать 4-5 триллионов рублей в день, и биржа несет полную ответственность за эти средства. Это деньги не биржи, а участников торгов, финансовых институтов, компаний реального сектора, инвесторов. Поэтому уровень ответственности за операции, проводимые через нашу инфраструктуру, чрезвычайно высок.

Если говорить об угрозах, то, начиная с 2022 года, мы прошли через все типовые сценарии атак. Сейчас главный риск – персонализированные угрозы. Наши оппоненты рассматривают атаки на инфраструктуру не просто как способ воздействия на финансовый рынок, но и как возможность повлиять на экономику России в целом.

Правильно ли я понимаю, что с 2022 года количество атак на Московскую биржу только выросло?

Еще до 2022 года мы наблюдали растущий интерес к бирже. Это началось в 2014 году, когда впервые имя Московской биржи начало появляться на зарубежных форумах. С тех пор этот интерес только рос, а в феврале 2022 года мы зафиксировали резкий скачок атак. С тех пор высокий уровень атак сохраняется. Среди них – постоянные DDoS-атаки, непрерывное сканирование инфраструктуры в поисках уязвимостей. Кроме того, активно применяются фишинг и социальная инженерия. Мы фиксируем десятки тысяч фишинговых писем в месяц, направленных на сотрудников.

Но ключевое слабое звено в безопасности – это человек. Можно инвестировать миллионы в защиту, но если сотрудники не обучены, риск остается. Поэтому мы активно работаем над повышением их осведомленности, проводим тренинги, учим выявлять угрозы.

Вы наверняка анализировали, кто стоит за атаками. Это одиночки или организованные группы?

Интерес к нам проявляют самые разные стороны – от одиночек-активистов, которые пытаются найти уязвимости, до организованных группировок.

Недавно Швейцарский институт опубликовал исследование, посвященное атакам на космическую отрасль, где указано, что за атаками на Роскосмос стояли государственно спонсируемые группировки. Очевидно, что мы тоже являемся для них важной целью. В 2022 году мы наблюдали координированные атаки, в которых участвовало большое количество людей.

Да, мы обсуждали с ведущими экспертами, что в DDoS-атаках часто задействованы зараженные компьютеры, владельцы которых даже не подозревают об этом.

Абсолютно верно. Однако есть разные сценарии. В DDoS-атаках участвуют не только зараженные компьютеры, но и устройства Интернета вещей – камеры наблюдения, холодильники, пылесосы. Они могут быть взломаны и использованы для атак.

Кроме того, есть и другая категория участников – те, кто сознательно загружают на свои устройства специальные программы и добровольно участвуют в атаках.

На пленарном заседании вы говорили о том, что мы постоянно догоняем угрозы, действуем реактивно, а значит, всегда немного опаздываем. Какие конкретные шаги предпринимает биржа, чтобы действовать проактивно?

Во-первых, стоит пояснить этот тезис. Вся индустрия информационной безопасности в значительной степени зависит от того, как развивается искусство нападения. Мы вынуждены адаптироваться к новым угрозам, а противодействие, включая регуляторные меры, почти всегда выступает в роли догоняющего.

ИИ в киберзащите финсектора: проактивно и реактивно

Например, мы уже несколько лет наблюдаем бум социального мошенничества, но активные государственные инициативы, вроде информационных кампаний и программ противодействия, появляются только сейчас. Даже создание единой государственной платформы для борьбы с телефонным и финансовым мошенничеством лишь планируется, хотя проблема известна давно.

Я приводил этот пример в контексте развития атакующих технологий, особенно использования искусственного интеллекта. Здесь опасность не столько в уже известных схемах, вроде deepfake, сколько в применении более продвинутых алгоритмов для атак.

Для реализации или для прогнозирования?

Сначала расскажу о рисках, связанных с атаками, а затем – о том, как мы используем алгоритмы для противодействия этим угрозам.

Главная опасность продвинутых алгоритмов искусственного интеллекта, включая генеративные модели, заключается не только в дипфейках. Более серьезный риск – это возможность автоматизированного поиска уязвимостей. Такие алгоритмы способны выявлять слабые места, которые раньше не были обнаружены существующими инструментами.

Чтобы не оказаться в роли догоняющих, мы развиваем эту компетенцию заранее. Практика показывает, что для работы с ИИ недостаточно просто нанять математиков или инженеров – здесь требуются специалисты с особым складом ума. Мы инвестируем в создание такой экспертизы внутри компании, и это стало одним из стратегических направлений развития биржи.

Сейчас в биржевых продуктах или внутренних процессах еще не так много точек приложения ИИ, но в перспективе 3–5 лет его роль существенно возрастет. Если говорить конкретно об информационной безопасности, у нас уже есть специалисты, которые занимаются аналитикой на основе данных, выявляя потенциальные угрозы до того, как они станут массовыми.

Мы готовимся к атакам, которые либо еще не происходят, либо встречаются крайне редко, – например, к эксплуатации так называемых zero-day уязвимостей. Для этого мы используем алгоритмы выявления вторжений, анализируем сетевой трафик с помощью ИИ и учим системы распознавать нормальное поведение, чтобы в момент отклонений оперативно реагировать.

Фундаментально мы исходим из того, что невозможно создать полностью невзламываемую инфраструктуру. Поэтому наша стратегия – не только защита, но и способность быстро обнаруживать атаки и моментально на них реагировать. При этом инвестировать только в превентивные меры недостаточно, важно уметь эффективно локализовать угрозу, если она все же возникнет.

Расскажите про SOC. Используете ли вы Security Operations Center, и есть ли у вас интеграция с аналитикой поведения и машинным обучением?

Это как раз к вопросу о том, что нельзя делать ставку только на противодействие атакам – не менее важно быстрое обнаружение угроз. Без Security Operations Center сейчас не обойтись. Если раньше можно было полагаться на автоматизированные или полуавтоматизированные системы, то теперь только сочетание экспертных знаний, технологий и продвинутых алгоритмов машинного обучения дает приемлемый уровень безопасности.

Мы убедились, что искусственный интеллект сам по себе пока не способен заменить Security Operations Center, а человек уже не справляется с таким объемом данных, который поступает в рамках нашей инфраструктуры. Поэтому ключевое направление – это синергия: работа экспертов в связке с интеллектуальными алгоритмами.

На горизонте ближайших трех-пяти лет именно эта комбинация – человек плюс продвинутая аналитика – станет основой эффективной кибербезопасности.

Расскажите про Security by Design. Используете ли вы этот подход? Есть ли с ним какие-то сложности?

На самом деле, вся история Московской биржи — это про Security by Design.

Наша инфраструктура включает не только саму биржу, но Национальный клиринговый центр, который выступает центральным контрагентом на торгах, а также Национальный расчетный депозитарий – центральный депозитарий России. То есть мы работаем не только с торговыми системами, но и с финансовыми, клиринговыми, депозитарными и платежными системами.

Все эти системы разрабатываются нашими специалистами — не только с точки зрения кода, но и на уровне архитектуры. Поэтому Security by Design заложен у нас на уровне ДНК. Например, биржевые системы должны быть не просто защищенными, но и предельно быстрыми. Мы обрабатываем до сотни тысяч транзакций в секунду, и традиционные методы защиты, вроде антивирусов, здесь просто не справляются.

Как защитить данные бизнеса от атак

Одно из ключевых решений в рамках этого подхода — организация всех торгов и ключевых операций внутри замкнутого контура. По сути, биржа представляет собой закрытую сеть, которая подключает к себе участников — банки, брокеров, страховые компании. Это не только обеспечивает высокую безопасность, но и делает нас независимыми от внешних интернет-проблем. Например, когда недавно на 15 минут по всей России перестал работать интернет, на торгах это не отразилось — они продолжались в штатном режиме.

Но Security by Design — это не только закрытые сети. Вся архитектура наших систем, распределение компонентов, их внутренняя организация — все продиктовано требованиями безопасности и надежности.

Если смотреть в будущее, этот подход будет востребован еще больше. Современные атаки давно ушли с уровня периметра и сетевых протоколов — основные уязвимости теперь в приложениях. Злоумышленники ищут слабые места не в инфраструктуре, а в самих бизнес-приложениях.

Чтобы минимизировать эти риски, важно не только правильно строить архитектуру приложений, но и внедрять безопасные практики разработки. Это еще один ключевой элемент защиты, позволяющий выявлять потенциальные уязвимости на ранних этапах.

Так что Security by Design для нас — это не просто концепция, а фундаментальный принцип, на котором строится вся работа с нашими системами.

Вы упоминали про выделение критичных вычислений в отдельные контуры. Есть ли у вас стратегия по этому вопросу?

Конечно, самый безопасный компьютер — это тот, который отключен от сети и лежит в сейфе, но он, очевидно, работать не будет. Биржа не может существовать в изоляции, она связана с брокерами, банками, компаниями реального сектора и другими участниками рынка. Поэтому здесь важно находить баланс. С одной стороны, критичные вычисления действительно должны быть изолированы, чтобы обезопасить инфраструктуру. С другой — биржа по своей природе не может быть закрытой системой, потому что все участники должны иметь к ней доступ. Именно поэтому мы делаем ставку на безопасные интеграционные механизмы. В первую очередь это API, которые позволяют защитить внутренние процессы, но при этом обеспечивают удобную и контролируемую интеграцию с внешними системами.

Как строите оценку рисков?

Сейчас тема оценки рисков развивается очень активно. Стоит отметить, что значительный вклад в формирование правильного подхода к управлению киберрисками в финансовом секторе внес Банк России. Его требования по операционной надежности фактически адаптируют классические методы работы с операционными рисками к киберугрозам.

Но помимо регуляторных требований, вырос и интерес бизнеса к киберрискам. Если раньше основными целями атак были банки, поскольку там находились реальные деньги, то после 2022 года стало ясно, что в зоне риска абсолютно все. Под ударами оказались не только финансовые организации, но и ИТ-компании, производственные предприятия — те, кто раньше не сталкивался с подобными угрозами. Бизнес начал задаваться ключевыми вопросами: сколько стоит информационная безопасность? Насколько она эффективна? Каковы реальные риски и какие убытки возможны при недостаточных инвестициях? Эти вопросы лежат в основе классического риск-менеджмента.

В этом смысле управление киберрисками стало своеобразным «переводчиком» между технологическим языком и языком бизнеса, языком денег. Если просто сказать: «Мы нашли уязвимость CVE-2025-004», это мало что говорит руководству. Им важно понимать, какую конкретную угрозу эта уязвимость несет именно для их компании, насколько она критична и стоит ли тратить ресурсы на ее устранение.

Не все риски требуют немедленного устранения. Некоторые можно минимизировать, другие — принять, если их последствия допустимы для бизнеса. Поэтому важна не просто техническая оценка, а взвешенный подход, который учитывает и потенциальные убытки, и стоимость защиты.

Роль ИБ растет, но растут и затраты на нее. Если раньше считалось, что бюджет на безопасность должен составлять 3–7% от общего ИТ-бюджета, то сейчас, по нашим наблюдениям, он может доходить до 20%. Такие расходы требуют аргументированного объяснения. Именно поэтому качественный риск-менеджмент становится неотъемлемой частью работы, позволяя бизнесу понимать, почему инвестиции в безопасность необходимы и как они соотносятся с реальными угрозами.

Вы говорили на форуме ИТ-Диалог, что подход с периметром устарел. Можете раскрыть эту тему и объяснить, на каких принципах строится ваша модель безопасности?

Сейчас большинство уязвимостей находятся не на периметре, а внутри самих приложений, и атакующие сосредоточены именно на их поиске. Поэтому полагаться исключительно на защиту периметра больше неэффективно.

Здесь важно, насколько глубоко информационная безопасность интегрирована в структуру компании. До сих пор я встречаю подход, когда безопасность существует в виде обособленного подразделения, которое строит вокруг организации защитный периметр, ставит системы мониторинга и считает, что на этом работа завершена. Но этот метод устарел, потому что он не охватывает весь перечень реальных угроз.

Если безопасность не встроена в процессы разработки и ИТ-инфраструктуру с самого начала, есть риск, что уязвимости останутся незамеченными. Некоторые из них можно выявить еще на этапе анализа кода, но если они дойдут до эксплуатации, обнаружить их будет намного сложнее. И это не значит, что они не будут использованы злоумышленниками.

Особенно это актуально для финансового сектора, где организации во многом работают на собственных ИТ-решениях. Банки, брокерские компании, инвестиционные платформы разрабатывают свои мобильные приложения, клиентские сервисы, внутренние системы. В таком окружении классическая модель защиты с жестким периметром уже не работает. Безопасность должна быть встроена в сам процесс разработки.

Но этого недостаточно. Сегодня мы говорим о формировании культуры безопасности, о том, что каждый сотрудник должен быть вовлечен в процесс защиты информации. Безопасность должна быть интегрирована не только в ИТ, но и в работу с бизнесом, в процессы риск-менеджмента. Нужно понимать, куда движется компания, какие у нее стратегические задачи, и строить защиту с учетом этих приоритетов.

Информационная безопасность должна перестать быть «запретительным» подразделением, которое только ограничивает и запрещает. Ее роль должна трансформироваться в роль помощника, который позволяет бизнесу развиваться безопасно. Сейчас в ходу модный термин «энейблер» – так вот, наша задача именно в этом: не мешать, а помогать бизнесу внедрять новые продукты и функции, обеспечивая при этом защиту.

А если говорить о классическом периметре, то облака точно не вписываются в эту концепцию. Сейчас многие компании используют гибридные или полностью облачные инфраструктуры. Как вы относитесь к облачной безопасности?

Здесь наблюдаются два разнонаправленных тренда, и не только в России, но и во всем мире.

Первый – это осознание того, что тема облаков была сильно переоценена. Пять лет назад многие компании активно переходили в облака, рассчитывая, что это решит все их проблемы, но на практике во многих бизнес-сценариях облачные решения не оправдали ожиданий. Сейчас мы видим, что часть компаний по прошествии нескольких лет эксплуатации начинают отказываться от облаков.

Второй тренд – это растущий интерес к облачным технологиям в отдельных сегментах. Многие компании продолжают использовать облака для определенных задач, и это создает дополнительные вызовы. Один из ключевых – регуляторные риски. На сегодняшний день использование облачных сервисов в финансовом секторе находится в своеобразной серой зоне. Банк России подготовил законопроект, который сейчас рассматривается в Государственной Думе. Если его примут, облака получат более четкое регулирование, выйдя из неопределенного статуса. Пока этого не произошло, многие организации вынуждены лавировать между необходимостью использовать облачные технологии и отсутствием четких правил работы с ними.

Чтобы разобраться с реальными угрозами, связанными с облаками, мы в Ассоциации Финтех начали проект, который я для себя назвал «Карта тревожности по облакам». Мы спросили компании, какие риски они видят в облачных технологиях, и оказалось, что каждый воспринимает угрозы по-разному. Часто это даже не четко сформулированные риски, а скорее интуитивные опасения конкретных специалистов по безопасности.

Мы собрали эти опасения, структурировали их и перевели в язык конкретных угроз. В результате получилась довольно разносторонняя картина. Есть технологические риски, связанные с управлением облачной инфраструктурой и ее надежностью. В России сейчас представлено множество облачных провайдеров – не только крупные игроки, такие как VK Cloud, СберCloud и Яндекс Cloud, но и средние и мелкие компании. Уровень зрелости их бизнес-процессов может быть разным, и это может создавать угрозы стабильности их сервисов.

Кроме того, есть кредитные риски. Если облачный провайдер – небольшая компания, существует вероятность, что он просто прекратит свою деятельность, а компания, передавшая в облако часть своих процессов, окажется в сложной ситуации. Также существуют правовые риски, например, если облачный сервис перестанет выполнять бизнес-процессы, компания понесет убытки. Важно заранее понимать, какие компенсации возможны в таких случаях. Ну и, конечно, регуляторные риски – те самые, которые пока еще не до конца сняты.

Но что оказалось интересным – для каждого из этих рисков есть способы их избежать или минимизировать. Если просто смотреть на картину в целом и говорить «облака – это страшно», то да, кажется, что риски очень высоки. Но когда проблему разбивают на составляющие, становится понятно, что с каждым риском можно работать. Именно этим мы сейчас занимаемся в Ассоциации Финтех – формируем унифицированный набор решений, который компании смогут применять. Мы уже несколько раз представляли наши наработки на конференциях, и они находят отклик. Такой подход – сначала разложить проблему на составляющие, а затем искать пути управления конкретными рисками – позволяет избавиться от излишней тревожности и принять взвешенные решения.

И еще один важный момент. Россия сейчас находится в особой ситуации: тренд на облачные технологии у нас может быть даже более выраженным, чем в других странах. Причина в импортозамещении и необходимости цифрового суверенитета. Если раньше бизнес мог выбирать между локальными и зарубежными решениями, то теперь спрос на отечественные программно-аппаратные комплексы значительно вырос. При этом рынок оборудования и ПО ограничен – и по числу производителей, и по доступным мощностям. Именно поэтому облачная модель, которая по сути является формой шеринговой экономики, может оказаться для России даже более востребованной, чем для западных стран.

Хотела бы напоследок спросить о самом слабом звене в информационной безопасности – о человеке. Что вы делаете для минимизации этого риска? И возможно ли распространять культуру безопасности не только внутри компании, но и на участников торгов?

Начну с внутренней работы. Для меня приоритет – это не просто обучение, а именно повышение вовлеченности сотрудников, изменение корпоративной культуры. Тут не работает простой подход: повесил плакаты в столовой «Думай о безопасности» – и все вдруг начали думать. Формирование культуры – это всегда комплекс мер, потому что люди воспринимают информацию по-разному. Кому-то важны визуальные материалы, кому-то – тренинги, а кто-то лучше понимает на личных примерах.

Мы постоянно тестируем разные методы. Например, регулярно рассылаем фишинговые письма, но не просто стандартные, а продуманные так, чтобы проверять реальное внимание сотрудников. Однажды мы разослали письмо якобы от меня – Сергея Демидова. Оно выглядело вполне правдоподобно: ссылка в письме вела на «облачный сервис», который действительно использовался в компании, а документ назывался «Требования по безопасности». В итоге ряд сотрудников перешли по ссылке, хотя у письма были явные признаки подделки: неверный домен, некорректная ссылка.

Этот пример показал, что важно не просто обучать сотрудников распознавать конкретные виды атак, а развивать критическое мышление. И здесь мы уже видим положительную динамику: правильные паттерны поведения у многих выработались на уровне привычки – люди проверяют ссылки, обращают внимание на домены, при сомнениях отправляют письмо в Security Operations Center на проверку.

Основной показатель культуры безопасности – снижение числа случаев, когда люди неправильно реагируют на фишинговые атаки, переходят по вредоносным ссылкам или открывают вложения. И это достигается не только тестами и учениями, но и правильной коммуникацией.

Но культура безопасности – это не только индивидуальное поведение, но и взаимодействие между подразделениями. Сейчас в компании активно переходят на продуктовый подход, и информационная безопасность встраивается в эти процессы через механизмы риск-менеджмента. Когда сотрудники воспринимают нас не как людей, которые просто требуют соблюдения правил, а как партнеров, которые помогают разбираться с новыми угрозами, это создает доверие и вовлеченность.

Что касается внешней работы – мы занимаем довольно активную позицию, участвуем в отраслевых ассоциациях, помогаем компаниям адаптироваться к новым вызовам информационной безопасности. Но здесь механизм немного другой. Наша задача не просто «научить» рынок бороться с угрозами, а помочь профессиональному сообществу в этой сфере – чтобы участники были защищены, эффективны и соответствовали регуляторным требованиям.

Комплаенс играет здесь ключевую роль. Важно не только противостоять угрозам, но и работать в рамках правил, которые задает регулятор. И здесь наша роль скорее поддерживающая – мы помогаем рынку выстроить правильные процессы, а дальше уже профессиональные участники распространяют эти знания внутри своих компаний.

Опубликовано 04.02.2025

Похожие статьи