Игорь Бедеров: «Первые 72 часа — это окно для спасения репутации и снижения ущерба»

Два месяца назад Верховный Суд назад направил разъяснения, согласно которым компании должны нести ответственность за интернет-мошенничество, совершаемое от их имени. В чем главная опасность этого риска для бизнеса?

Главная опасность этого риска для бизнеса, согласно новой позиции Верховного Суда РФ, заключается в прямой юридической и финансовой ответственности компании за действия мошенников, использующих ее имя и атрибуты в киберпространстве, даже если сама компания не виновна в их деятельности.

Если конкретизировать, то произошло смещение бремени ответственности. Ранее потребитель должен был сам проверять подлинность сайтов и услуг. Теперь компания обязана доказывать свою непричастность к фишинговым и мошенническим ресурсам, что потребует от них постоянного мониторинга и активных действий. Более того, компания может быть принуждена к выплатам пострадавшим клиентам через суд за действия преступников, даже если она сама стала жертвой мошенничества.

Отмечу положительную тенденцию. Дело в том, что позиция Верховного Суда, очевидно, должна способствовать превращению службы безопасности из вспомогательной в ключевую структуру компании. СБ должна не просто реагировать на инциденты, а проактивно охотиться за цифровыми двойниками, утечками данных и другими угрозами. Невыполнение этих задач ставит под удар всю компанию. Следовательно, бизнес будет включен в условный контур общественной безопасности и противодействия информационно-телекоммуникационной преступности.

Что вы советуете делать прямо сейчас до появлений детальных методик — мониторинг доменов и «зеркал», работа с выдачей, быстрые юридические реакции, публичные предупреждения клиентам?

Пока детальные методики только формируются, бездействие — это прямой риск. Я советую компаниям уже сейчас включать у себя системы Digital Risk Protection, например, ThreatHunter. Такие решения автоматизируют профилактику кибер- и тайпсквоттинга: постоянно просматривают зоны .ru, .com и другие на предмет доменов-обманок; находят клоны и «зеркала», в том числе фишинговые сайты с украденными логотипами и бренд-атрибутами. Это как раз соответствует тому, что Верховный Суд называет «опровержением принадлежности мошеннических ресурсов». Параллельно формируется «железная» доказательная база для суда и регуляторов — скриншоты, DNS-записи, whois-данные с привязкой ко времени, — что усиливает позицию компании перед Роскомнадзором. И наконец, заранее готовятся жалобы в РКН и обращения регистраторам: так сроки блокировки мошеннических ресурсов сокращаются с дней до часов.

Не стоит забывать и о других киберрисках. Нужен постоянный контроль утечек персональных данных и исходного кода — с учетом «оборотных штрафов» и требований ФСТЭК. Важно регулярно выявлять уязвимости на собственных веб-ресурсах и у партнеров, чтобы снизить риски атак по цепочке поставок. И конечно, вести проактивный мониторинг признаков подготовки хакерских и репутационных атак в отношении компании, ее руководства и торговой марки — в социальных сетях и даркнете.

Утечки данных стали рутиной. Какие шаги в первые 72 часа после инцидента реально снижают ущерб? И для людей, и для самой компании.

Первые 72 часа — это не время для паники, а критическое окно для спасения репутации и минимизации ущерба. Критически важно учесть запрет на оплату выкупа киберпреступникам. Его нельзя нарушать. Дело в том, что у вас нет никаких гарантий, что злоумышленники действительно удалят данные после оплаты. Чаще всего они продадут их следующему покупателю или будут шантажировать вас снова, зная о вашей готовности платить.

Активируйте план реагирования на киберинциденты. Что значит, у вас такого нет? Записываем. Сначала свяжитесь с ответственными за ИБ, юристами, PR-специалистами и руководством. Задокументируйте, от кого и когда поступило первое уведомление, какие системы затронуты, какие первые признаки компрометации. Используйте специализированные инструменты для поиска упоминаний вашей компании, слитых данных или предложений о продаже. Определите, кто стоит за атакой (если это возможно), какую информацию они выложили и на каких условиях.

Затем на основе собранной информации юристы должны подготовить уведомления в Роскомнадзор, которое подается через портал Госуслуг или сайт ведомства. Промедление здесь чревато — из-за увеличения штрафов за несвоевременное уведомление. Уведомление подается в течение 24 часов. В нем необходимо указать причины, характер утечки и предварительную оценку вреда. Собранные ранее данные лягут в его основу. После этого направляется второе уведомление в течение 72 часов. Сюда войдут уже результаты внутреннего расследования, а также сведения об устранении уязвимостей, усилении защиты и т. п.

Параллельно с уведомлением регулятора работа переходит в фазу глубокого анализа. Используйте цифровые следы (логи, артефакты) вместе с данными из открытых источников о применяемых хакерами тактиках, чтобы восстановить полную цепочку атаки. На основе полученных данных вы затем предложите меры по укреплению киберзащиты: систематический поиск и устранение «дыр» в безопасности, повышение цифровой гигиены, развитие системы мониторинга. Не забудьте позаботиться о своих клиентах и персонале. Сообщите им об инциденте (какие данные украли и чем это грозит), дайте им четкие инструкции по безопасности.

Где сегодня компании чаще всего «промахиваются» в антифроде — процессы, данные, компетенции или вера в «серебряную пулю»?

Читайте также

Управляем складом. Обзор WMS-систем для СМБ и госсектора

IT-World расскажет, как правильно подобрать WMS-систему для компаний разного масштаба — от малого бизнеса до государственных предприятий. Обзор поможет сориентироваться в ключевых типах решений: от простых облачных сервисов до мощных корпоративных платформ и специализированных продуктов для госсектора. Узнайте, на что обратить внимание, чтобы автоматизировать складские процессы и повысить их эффективность.

Излишняя зависимость от одного инструмента или мнения специалиста, обычно понимаемая под «серебряной пулей», действительно, является проблемой. Важно учитывать, что традиционные системы защиты, основанные на строгих правилах и простых алгоритмах, уже не справляются с быстро меняющимися схемами обмана. Для борьбы с мошенничеством нужны более умные и гибкие инструменты.

Эффективный антифрод требует стратегии, которая объединяет несколько уровней контроля, включая верификацию личности, поведенческую аналитику, отпечаток устройства и мониторинг транзакций, которые работают согласованно. Устраните разрозненность между вашими командами по борьбе с мошенничеством, кибербезопасности, аналитике данных и бизнес-операциями. Единое представление об угрозах и разделенная ответственность крайне важны. Стремитесь к созданию единого, надежного источника правды о клиентских идентификаторах и активностях. Качество вашего обнаружения мошенничества напрямую зависит от качества и полноты ваших данных.

Наконец, тактики мошенничества быстро развиваются. Убедитесь, что ваша команда и ваши антифрод-системы постоянно учатся. Это означает регулярное обучение сотрудников и использование моделей машинного обучения, которые могут адаптироваться к новым схемам мошенничества почти в реальном времени.

ИИ-мошенничество взрослеет. Какая грань сейчас опаснее для бизнеса — голосовые дипфейки или видео в онлайне?

И те и другие виды ИИ-мошенничества представляют серьезные угрозы. Однако в настоящее время голосовые дипфейки представляют собой более актуальную и опасную угрозу для бизнеса, чем видео, из-за своей технологической зрелости и легкости масштабирования атак. Голосовые дипфейки позволяют мошенникам подделывать голоса руководителей компаний или финансовых учреждений и проводить мошеннические операции, например устное подтверждение транзакций или изменение банковских реквизитов. Также злоумышленники могут подделывать голос родственника или друга, чтобы попросить финансовую помощь или раскрыть конфиденциальную информацию.

Видеодипфейки чаще несут в себе серьезные репутационные риски. Они активно применяются в политическом и идеологическом противостоянии. За последний год мы неоднократно сталкивались с использованием подобных видео, подделывающих высказывания федеральных и региональных чиновников, а также с их применением для поддержки мошеннических операций.

Вы часто говорите простым языком о сложных схемах. Какие признаки социальной инженерии легче всего донести до широкой аудитории так, чтобы сработало завтра?

Социальную инженерию трудно распознать, так как она часто выглядит убедительно и безобидно. Чтобы избежать манипуляций, рекомендуется проверять источник обращения и личность собеседника. Важно понимать, что злоумышленники очень хорошо изучили вас и ваше окружение. Они придумали качественный предлог для общения с вами. Тем не менее мы можем выделить в их действиях следующие паттерны поведения: они будут использовать угрозы, давление срочности, обращаться от лица авторитетной структуры (Центробанк, МВД, ФСБ и т. п.), а также требовать от вас выполнения тех действий, которые представляют собой табу (сообщить пароль, код подтверждения, перейти по подозрительной ссылке или скачать нелегитимное приложение).

Запомните правило ППС (пауза — проверь — спроси). Услышали срочную просьбу? Успокойтесь, сделайте вдох-выдох. Не поддавайтесь панике. Позвоните человеку или в организацию сами, по официальному номеру. Спросите: «Это вы мне только что звонили?». Расскажите о ситуации кому-то из близких или коллег. Со стороны обман часто виден сразу.

Зайдите в настройки безопасности своего банковского приложения. Вы удивитесь тому количеству настроек, которые сегодня предусмотрены для противодействия несанкционированным списаниям средств. Для минимизации общения с мошенниками отлично себя показали голосовые помощники операторов связи — применяйте их для ограничения спам-звонков.

ОСИНТ-инструменты меняются очень быстро. Что из «классики» ушло за год, а что пришло взамен и действительно помогает расследованиям?

В России происходит ужесточение законодательства в сфере обработки персональных данных, что напрямую влияет на OSINT-практику. С конца 2024 года приняты два новых федеральных закона, устанавливающих более жесткие требования к операторам персональных данных. Использование утекших баз данных, которые раньше были легкодоступны через Telegram-ботов и специализированные сервисы, теперь прямо классифицируется как нелегальная деятельность. А скрапинг (автоматизированный сбор данных с сайтов), который нарушает правила сервиса, теперь находится в серой зоне.

В то же время наблюдается рост интереса к OSINT. Государственные структуры начинают видеть пользу в методологии OSINT не только для частных, но и для государственных целей, что стимулирует диалог с профессиональным сообществом. Бизнес активно применяет OSINT для конкурентной разведки, управления репутацией, проверки партнеров и кибербезопасности. Это создает спрос на легальные и этичные инструменты и методики.

Профессиональное OSINT-сообщество постепенно профессионализируется и переходит от сбора «данных любой ценой» к работе исключительно с общедоступными данными, сделанными таковыми самим субъектом, и их глубокому исследованию. Сегодня побеждает не тот, у кого больше инструментов, а тот, у кого лучше выстроен рабочий процесс. Профессионалы стремятся к созданию автоматизированных цепочек, что снижает человеческую ошибку и ускоряет расследование.

Читайте также

Отечественная альтернатива Oracle Exadata: машины баз данных Tantor XData

Крупный бизнес получил полноценную отечественную альтернативу Oracle Exadata. Машины баз данных Tantor XData предлагают промышленную производительность, гибкость архитектуры и полную технологическую независимость. Российский комплекс обеспечивает масштабируемость, встроенную криптозащиту и ИИ-ассистента для работы с высоконагруженными системами, включая 1С и частные DBaaS-сервисы. Подробнее – в материале IT-World.

Основные изменения связаны не столько с появлением одного «убийственного» приложения, сколько с интеграцией новых технологий в рабочий процесс OSINT-специалиста. Так, ИИ перестал быть игрушкой и стал ключевым инструментом. Он используется для автоматического анализа больших объемов неструктурированных данных (в том числе профайлинга, сравнения образцов, исследования логов и т. п.). ADINT и другие специализированные методики все чаще находят применение в военных целях, а также для отслеживания перемещений преступников по всему миру.

Если бизнес решит строить поведенческую аналитику своими руками, с чего начинать и что точно не делать, чтобы не получить ложные флаги и недоверие пользователей?

Ключ к успеху заключается в тщательном планировании, итеративном подходе и постоянной работе с качеством данных. Начать следует с четкого определения целей, а чтобы избежать ложных срабатываний и недоверия, критически важно уделить внимание контексту и прозрачности.

Для начала сформулируйте, ради каких макро- и микроцелей вы создаете аналитику. Затем выберите ограниченный сегмент (один отдел, один процесс) для отработки сбора данных и построения моделей. Настройте сбор данных с выбранных источников (логи, HR-системы, сети) для формирования понимания «нормального» поведения. Объедините поведенческие данные с информацией из других систем для проверки и улучшения интерпретации.

Не стройте систему в надежде, что алгоритмы сами все найдут. Этого не произойдет. Формируйте конкретные гипотезы для проверки. Помните, что не все аномалии одинаково опасны. Разработайте систему скоринга, которая оценивает совокупность действий, а не единичные события. Продумайте, что будет происходить после срабатывания оповещения. Кто и как будет проверять инцидент? Какие действия предпринимаются? Четкий регламент позволит быстро отделять реальные угрозы от ложных тревог и минимизирует операционные потери.

Сейчас в качестве способа дополнительной защиты активно обсуждают биометрию и системы, которые автоматически распознают мошеннические звонки. Что из этих технологий уже реально помогает компаниям и людям, а что пока остается скорее экспериментом?

На сегодняшний день и системы распознавания мошеннических звонков, и биометрическая аутентификация уже являются реальными инструментами защиты, которые активно используются. Однако их уровень зрелости и область применения различаются.

Распознавание мошеннических звонков реализовано у крупных операторов связи (МТС, «Билайн», Tele2, «МегаФон»). ИИ в реальном времени предупреждает абонента о подозрительном звонке голосовым сообщением. Кроме этого, происходит блокировка по базам номеров и автоматическая фильтрация вызовов из известных мошеннических баз. В ответ мошенники используют звонки через мессенджеры, российские соцсети, на городские телефонные номера. Преступники также применяют схему с пропущенным вызовом, вынуждая жертву саму перезвонить мошеннику.

Биометрическая аутентификация широко внедрена в повседневные сервисы для удаленного открытия счетов и подтверждения операций в банках; бесконтактной оплаты в магазинах и метро; оформления ЭЦП, доступа к порталу Госуслуг. Однако следует помнить, что для критически важных операций (например, доступ к банковскому счету) биометрию лучше использовать в связке с другими методами (например, с паролем или PIN-кодом), что обеспечивает многофакторную аутентификацию.

Массовые инфоповоды — удобная почва для мошенников. Какие темы этого года они эксплуатировали особенно ловко и почему именно они «зашли»?

В 2025 году мошенники действительно умело эксплуатировали массовые инфоповоды, играя на актуальных тревогах и интересах общества. Они эксплуатировали темы крупных розничных распродаж, государственных сборов, военной операции и инвестиционных возможностей. Успех этих мошеннических схем объясняется тем, что они мастерски используют мощные психологические триггеры и актуальный информационный фон.

Рассылки от имени известных магазинов или уведомления от банков и военкоматов воспринимаются как легитимные. Мошенники используют поддельные домены и стилизуют письма под официальные, что снижает бдительность. Схемы, связанные с СВО, играют на чувствах тревоги, надежды и отчаяния людей, ищущих информацию о близких. Финансовые мошенники используют жадность и страх упустить выгоду, предлагая нереально высокие доходы. Многие люди не до конца понимают, как работают криптовалюты, электронные госуслуги или как именно должны происходить коммуникации от банков. Этой неосведомленностью также пользуются злоумышленники.

Что бы вы добавили в корпоративные стандарты безопасности с учетом свежих судебных подходов — роли, метрики, регламент реагирования, публичные коммуникации?

В связи с актуальными судебными трендами и ужесточением регуляторных требований, корпоративные стандарты безопасности действительно требуют пересмотра. Основное внимание следует уделить не только техническим аспектам, но и управленческим процедурам, а также выстраиванию прозрачных процессов.

Что, на мой взгляд, следует добавить в корпоративные стандарты безопасности? Во-первых, определение ролей и ответственности в области защиты данных. Сотрудники должны понимать правовые аспекты работы с информацией и последствия нарушений.

Читайте также

Артем Калашников: «Уровень защиты определяется самым слабым звеном»

В информационной безопасности больше нет внутренних тем. От зрелости подрядчиков до поведения сотрудников — все напрямую влияет на устойчивость бизнеса. Компании выстраивают доверие внутри экосистем, ищут баланс между контролем и удобством, осторожно пробуют ИИ и пересматривают отношение к open source. Известный эксперт по кибербезопасности Артем Калашников объясняет IT-World, почему ИБ должна проектироваться вместе с бизнесом, что мешает автоматизировать контроль и как культура становится реальным инструментом, а не лозунгом.

Во-вторых, разработка эффективного регламента реагирования на инциденты. Например, стоит включить в регламент обязанность по уведомлению регуляторов и партнеров о серьезных киберинцидентах, а также установить четкие сроки и ответственных.

В-третьих, внедрение метрик эффективности кибербезопасности, в том числе метрик по кибергигиене (процент сотрудников, прошедших тренинг по фишингу) и эффективности защиты (время обнаружения и нейтрализации угрозы).

Наконец, налаживание коммуникации и формирование культуры кибербезопасности. Это подразумевает создание среды, где каждый сотрудник понимает свою ответственность за безопасность.

Кроме того, я обратил бы внимание на внедрение подхода Zero Trust, усиление контроля за привилегированным доступом и регулярный аудит безопасности цепочки поставок.

Если смотреть на рынок услуг цифровой безопасности, чего ему сейчас не хватает — кадров, методик, регуляторной ясности или координации между участниками?

На текущий момент рынок услуг цифровой безопасности в России сталкивается с комплексом взаимосвязанных проблем. Острее всего ощущается дефицит квалифицированных кадров, но также присутствуют и сложности с координацией между участниками, регуляторные барьеры и нехватка методик для малого бизнеса.

Отчетливо ощущается острый дефицит специалистов уровня Middle и Senior, особенно в SOC, анализе угроз и сетевой безопасности. Малому и среднему бизнесу не хватает доступных и простых в использовании решений, поскольку большинство вендоров сконцентрированы исключительно на крупном бизнесе. Отмечаются сложности интеграции решений разных вендоров в гибридных и мультиоблачных средах. Фрагментация политик безопасности, операционная неэффективность.

В борьбе с кадровым голодом растет популярность моделей MSSP (Managed Security Service Provider) и аутсорсинга SOC (Security Operations Center). Наблюдается тенденция к более глубокой интеграции искусственного интеллекта и машинного обучения в средства защиты для автоматизации обнаружения угроз и реагирования на них. А чтобы закрыть потребности малого бизнеса, ведущие вендоры начинают развивать облачные платформы безопасности по подписной модели, в том числе для малого бизнеса. Это делает современные инструменты защиты более доступными с финансовой и эксплуатационной точек зрения.