Posts Tagged: Кибербезопасность

Перечень типовых отраслевых объектов критической информационной инфраструктуры (КИИ), утвержденный в феврале 2026 года распоряжением Правительства РФ № 360-р, сделал подход к защите КИИ более жестким. Теперь игнорирование документа грозит не только высокими штрафами, но и остановкой бизнеса.

Какие направления являются наиболее критичными? Требуется ли дальнейшая корректировка действующей в отношении субъектов КИИ законодательной базы? Об этом газете «Энергетика и промышленность России» рассказали директор департамента реализации инфраструктурных проектов «Софтлайн Решения» (ГК Softline) Виталий ПОПОВ и консультант по информационной безопасности UDV Group Ольга ЛУЦЕНКО.

— Что изменило для субъектов КИИ распоряжение №360-р?

Виталий Попов:

— Распоряжение перевело регулирование в более предметный и обязательный формат. Раньше определение объектов, подлежащих категорированию, опиралось преимущественно на внутреннюю оценку самой организации. Теперь к этому добавляется утвержденный государством перечень типовых отраслевых объектов.

То есть поле для произвольного толкования — «будем категорировать или не будем, можно вынести, а можно и не выносить» — сузилось. Попадание объекта под регулирование теперь определяется этим перечнем.

И важный момент: ранее принятые решения по составу объектов КИИ во многих случаях требуют пересмотра.

Ольга Луценко:

— Выход перечня типовых отраслевых объектов КИИ одновременно упрощает категорирование и усложняет соблюдение требований регулятора. Перечень, по сути, диктует субъектам, какие системы обязательно должны быть прокатегорированы.

Субъект КИИ, по большей части, лишен права решать, какие системы включать в перечень объектов КИИ, а какие — нет, поскольку отныне категорирование осуществляется исключительно по принципу наличия системы в перечне типовых отраслевых объектов КИИ.

Данные документы направлены на стандартизацию процессов категорирования для каждой отрасли, при организации категорирования в четком соответствии с этими требованиями у каждого субъекта КИИ может значительно расшириться перечень объектов КИИ, и, что немаловажно — значимых объектов КИИ. Данные изменения ведут к увеличению объема требований по защите информации, включая организационные и кадровые меры.

— Многие, но не все субъекты КИИ уже перешли на отечественное ПО. В чем причина промедления?

Виталий Попов:

— Одно из главных ограничений — зрелость отечественных решений. В ряде сегментов они уже готовы к промышленной эксплуатации, однако в отдельных областях функциональность все еще требует доработки. Дополнительный барьер — сложность и стоимость миграции. Ведь здесь речь идет не просто о замене лицензий, а о комплексной перестройке ИТ-ландшафта — от интеграций и процессов до обучения персонала и организации поддержки.

Отдельный риск связан с человеческим фактором. Переход на новые системы требует времени на адаптацию пользователей, и без системного обучения сопротивление изменениям может снизить эффект даже при технически корректном внедрении.

Ольга Луценко:

— Мы видим три основных группы факторов, влияющих на промедление в вопросе импортозамещения.

Во-первых, высокие трансформационные издержки и технологическая сложность. Импортозамещение в корпоративном сегменте может пройти довольно безболезненно и предсказуемо, основная проблема в переходе на импортозамещенные решения для специализированного ПО (АСУ ТП, SCADA, PLM-системы, промышленные контроллеры). Во многих отраслях энергетики годами выстраивалась цепочка, где иностранное ПО является неотъемлемой частью технологического процесса. Его замена требует полной перестройки технологических процессов и, зачастую, длительных остановок, что для многих субъектов КИИ недопустимо.

Здесь мы переходим ко второй группе факторов, косвенно связанной с первой, — экономическая модель и инвестиционный цикл. У субъектов КИИ, особенно госкомпаний, бюджеты утверждаются на 3–5 лет вперед. Выход нормативных актов об импортозамещении застал многие организации в середине их инвестиционных циклов. Кроме того, стоимость «зрелого» российского ПО для КИИ зачастую сопоставима с закупкой новых аппаратных комплексов, что требует выделения отдельных капитальных затрат, а не операционных.

И третья группа факторов — дефицит компетенций на стыке IT и технологических процессов. Мы столкнулись с ситуацией, когда отечественные разработчики создали качественный продукт, но на стороне заказчика (субъекта КИИ), да и на рынке в целом, сохраняется дефицит архитекторов и инженеров, способных мигрировать сложные гетерогенные среды без потери функциональности и с обеспечением непрерывности процессов. Перестройка процессов под новое ПО требует времени и высокого уровня квалификации.

— Требуется ли дальнейшая корректировка действующей в отношении субъектов КИИ законодательной базы?

Виталий Попов:

— Категорирование — процесс, который нуждается в уточнении. Базовое направление — детализация: более конкретное регулирование с указанием методик применения типовых объектов на практике. Нужны единообразные подходы и понятные правила пересмотра ранее проведенного категорирования, чтобы применение норм было прозрачным и однозначным.

Законодательство в этой сфере постоянно уточняется — и это нормально. Появляются новые объекты, меняется инфраструктура у заказчиков, и регуляторика просто вынуждена подстраиваться под эти изменения.

Ольга Луценко:

— На наш взгляд, стоит детально подойти к стимулированию создания «связанных» решений (стеков). Сейчас субъект КИИ часто вынужден самостоятельно связывать в единую систему российскую ОС, российские СУБД, SCADA и средства защиты. Юридически это разрешено, но технически часто возникают конфликты совместимости. Нужна корректировка законодательства в части госзакупок (44-ФЗ, 223-ФЗ), чтобы разрешать и поощрять закупку технологических стеков (полных экосистем) у одного интегратора или вендора, несущего полную ответственность за работоспособность комплекса, даже если цена такого стека выше суммы отдельных компонентов.

Кроме того, рассмотреть возможность усиления ответственности за нарушение требований для поставщиков ПО. Важно законодательно усилить ответственность разработчиков ПО за наличие недекларированных возможностей (бэкдоров) в продуктах, поставляемых для КИИ. Переход на отечественное ПО теряет смысл, если оно имеет критические уязвимости, заложенные на этапе разработки.

Также важно законодательно закрепить возможность утверждения долгосрочных дорожных карт миграции для сложных технологических объектов.

В целом, движение в сторону технологического суверенитета КИИ идет правильным курсом, но сейчас рынок и регуляторы проходят этап «болезни роста». Ключевая задача на ближайшие два года — перейти от тотальной замены к управляемой, риск-ориентированной миграции, где приоритетом будет не формальное исполнение предписания, а фактическая устойчивость инфраструктуры к киберугрозам.

— Как можно приоритизировать критичные системы, оценивая риски и запросы исключений для технически невозможных к замене компонентов?

Ольга Луценко:

— Это один из самых сложных практических вопросов. Приоритизация должна строиться на риск-ориентированном подходе. Можно использовать следующий алгоритм.

Категорирование и сегментация. В первую очередь замещению подлежат системы, которые имеют прямой выход в сети общего пользования или сопряжены с корпоративными сетями (сегменты, где риск компрометации наиболее высок). Системы, находящиеся в изолированных контурах АСУ ТП, имеют более высокий допустимый срок эксплуатации иностранного ПО при условии усиления средств защиты.

Оценка критичности бизнес-функции. Замена начинается с систем, остановка которых на период миграции наименее критична или для которых создан полный «откатный» сценарий. Самые критические системы должны замещаться в последнюю очередь, но с использованием механизма «песочниц» и тщательного нагрузочного тестирования.

Запросы исключений (ПО, технически невозможное к замене). ФЗ-187 и подзаконные акты предусматривают эту возможность. Здесь важна доказательная база и необходимость компенсационных мер.

Источник: https://www.eprussia.ru/epr/530/4865318.htm?sphrase_id=10621065&q=Луценко

14 апреля в пространстве Comedy 34 состоялся бизнес-бранч «ИИ-Дорожная карта 2026: с чего начать, если вы не IT-компания?».

Мероприятие, организованное «Хабом событий» совместно с форумом «Время цифры», собрало собственников бизнеса и топ-менеджеров, заинтересованных в практическом применении ИИ.

Искусственный интеллект уже давно перестал быть темой исключительно IT-компаний и технологических стартапов. Сегодня бизнес стоит не перед выбором «внедрять или нет», а перед более сложными вопросами:

1. С каких задач и процессов стоит начинать внедрение ИИ?
2. Какие проекты гарантированно окупаются, а какие несут неоправданные риски?
3. Как избежать типичных ошибок — от переоценки возможностей до избыточных затрат на неподходящие решения?

Программа бизнес-бранча «ИИ-Дорожная карта 2026: с чего начать, если вы не IT-компания?» была выстроена вокруг практических аспектов внедрения ИИ. Ключевые темы:

1. оценка внутренней готовности компании к ИИ-трансформации;
2. выбор приоритетных точек входа для первых ИИ-инициатив;
3. различия между ИИ-агентами и ИИ-ассистентами: где и как применять?
4. расчет ROI для ИИ-проектов: методики и реальные кейсы;
5. роль руководства в принятии решений: как выстроить стратегию и управление рисками.

Участники получили конкретную дорожную карту действий на 2026 год с примерами интеграции ИИ в реальные бизнес-процессы.

Особое внимание было уделено прикладным кейсам и опыту крупных компаний. Среди спикеров: Анастасия Дерменжи (BDM Raft, предприниматель), Павел Путинцев (менеджер продукта Alpina GPT, Alpina Digital), Алексей Сметанин (CEO PresentSimple.ai) и Алан Хортиев (генеральный директор Neuro Fusion, предприниматель и вице-президент Федерации интеллектуальных игр БРИКС). В выступлениях были затронуты такие темы, как промтинг, ИИ-агенты, кастомная разработка, автоматизация презентаций и опыт издательской группы «Альпина» по внедрению ИИ-платформ.

Один из спикеров, Павел Путинцев, менеджер продукта Alpina GPT (Alpina Digital), отметил высокую практическую ценность мероприятия: «Бизнес-бранч оказался полезен для нетворкинга – нашлись потенциальные партнеры и клиенты. Такие отраслевые встречи важны: рефлексия после подобных ивентов помогает улучшать и позиционирование продукта, и его функционал. Форум «Время цифры» нельзя пропускать, ведь это возможность за один день выстроить партнерства с теми, кто обычно вне зоны доступа».

Камерный формат делового бранча позволил выстроить живой диалог без избыточной теории — с акцентом на обмен опытом между собственниками и руководителями, а также возможностью обсудить собственные кейсы с экспертами. Программа включила сбор гостей, выступления спикеров и открытое общение.

Мероприятие было ориентировано на собственников бизнеса, генеральных, операционных и функциональных руководителей, HR-директоров и руководителей подразделений, которым важно понимать, как связать ИИ с реальными бизнес-процессами, экономикой и стратегией компании.

Бизнес-бранч стал частью деловой линейки форума «Время цифры», который пройдет 27 мая в Центре событий РБК. Подробная информация о мероприятии, фотоотчёт и контакты организаторов — на официальном сайте: https://forum.digital-leaders.online/

Источник: Pronline.ru, группа компаний Pro-Vision

Российский бизнес все чаще сталкивается не только с атаками как таковыми, но и с их «второй фазой» — шантажом и попытками монетизации инцидентов. При этом однозначно оценить масштаб проблемы сложно: компании крайне редко выносят такие случаи в публичное поле. По оценке Аналитического центра компании UDV Group, рост интереса злоумышленников к вымогательству нельзя напрямую связывать только с ужесточением регулирования и штрафами за утечки.

«Компании публично крайне редко признают факты вымогательства, поэтому достоверно оценить динамику сложно. При этом нельзя однозначно утверждать, что именно штрафы за утечки стали ключевым драйвером для злоумышленников. Скорее это один из дополнительных рычагов давления наряду с угрозами раскрытия факта взлома, остановки инфраструктуры, публикации внутренней переписки и других последствий», — отмечают эксперты UDV Group.

На практике сценарии давления становятся все более комплексными: злоумышленники комбинируют угрозы раскрытия данных, остановки процессов и репутационного ущерба. Это создает для бизнеса ситуацию, в которой решение о реакции на инцидент приходится принимать в условиях высокой неопределенности.

При этом поведение компаний, столкнувшихся с шантажом, остается в значительной степени скрытым от рынка. Те, кто идет на выплату, почти никогда не подтверждают это публично. Однако накопленный практический опыт позволяет сделать важный вывод: выплата выкупа редко закрывает проблему.

«Здесь важно понимать, что те, кто соглашается на такие условия, почти никогда не говорят об этом публично, поэтому полную картину рынка увидеть сложно. При этом из непубличных кейсов, о которых известно от коллег, можно сделать неприятный вывод: выплата выкупа обычно не решает проблему, а, наоборот, показывает злоумышленникам, что на компанию можно давить и дальше. В результате они нередко возвращаются уже с новыми требованиями и большими суммами», — подчеркивают эксперты UDV Group.

Вместо этого компании все чаще рассматривают альтернативные стратегии реагирования, в центре которых — управляемость ситуации и снижение долгосрочных рисков. Один из ключевых подходов — переход к контролируемой публичности.

Выход в публичное поле, несмотря на неизбежный репутационный ущерб, лишает злоумышленников главного инструмента давления — угрозы раскрытия информации. В такой логике компания перестает быть объектом шантажа и получает возможность самостоятельно управлять коммуникацией и повесткой.

Однако публичность — лишь часть комплексного ответа. Не менее важно быстро локализовать инцидент и объективно оценить его масштаб. Практика показывает, что злоумышленники часто намеренно преувеличивают уровень своего доступа, создавая у бизнеса ощущение полной компрометации инфраструктуры.

В этих условиях критическую роль играет качественное расследование инцидента. Даже при наличии собственной команды ИБ целесообразно привлекать внешних специалистов с опытом реагирования: независимая экспертиза позволяет точнее определить границы атаки и выявить скрытые риски.

Отдельный блок задач связан с правовыми и коммуникационными обязательствами. При риске утечки персональных данных компания должна действовать строго в рамках регуляторных требований, включая уведомление Роскомнадзора. Параллельно важно своевременно информировать контрагентов, сотрудников и другие затронутые стороны, чтобы минимизировать возможные последствия и координировать дальнейшие действия.

UDV Group: после инцидента в приоритете управляемость и готовность к кризису

Далее ключевой задачей становится оперативное усиление защиты. Это может включать смену учетных данных, пересборку прав доступа, замену сертификатов, а также временное ограничение работы отдельных систем. В ряде случаев контролируемый простой становится более безопасной стратегией, чем попытка сохранить полную операционную активность в условиях компрометации.

В итоге ключевой вывод выходит за рамки конкретных сценариев реагирования: даже зрелые компании не застрахованы от подобных инцидентов. Человеческий фактор, уязвимости нулевого дня и развитие инструментов атак, включая использование ИИ, сохраняют высокий уровень неопределенности.

В этих условиях устойчивость бизнеса определяется не только уровнем превентивной защиты, но и готовностью к кризисным сценариям — отработанными процессами реагирования, коммуникации и восстановления.

Российский бизнес продолжает оставаться уязвимым для кибератак — и причина здесь не столько в отсутствии технологий, сколько в системных ошибках их настройки и эксплуатации. По данным компании «Бастион», до 80% атак завершаются успехом злоумышленников именно из-за таких факторов. При этом около половины организаций не проводят регулярные проверки внутренней среды и игнорируют базовые меры защиты — от сегментации сети до контроля привилегий.

Этот разрыв между доступными инструментами и реальной практикой напрямую связан с уровнем зрелости компаний в области кибербезопасности.

«Текущий уровень можно охарактеризовать, как поляризованный. В целом, крупные российские компании (Субъекты КИИ, банки, многие отрасли промышленности) за последнее время повысили свой уровень кибербезопасности, во многом это последствия неблагоприятных внешних условий (участившиеся атаки хакеров на российскую ИТ-инфраструктуру), а также последовательной работы регуляторов по ужесточению ответственности и усилению мониторинга исполнения требований существующих. Тем не менее, многие компании продолжают жить в парадигме «авось, пронесет» и игнорируют вопросы кибербезопасности, особенно сильна эта позиция среди представителей малого и среднего бизнеса. Основная причина уязвимостей их инфраструктуры именно в том, что кибербезопасность до сих пор воспринимается как ИТ-задача, а не как бизнес-процесс. Также подобная статистика вызвана недостаточным вниманием компаний к информированию и обучению сотрудников вопросам кибербезопасности. Большинство атак, так или иначе, основаны на социальной инженерии и на ошибках, которые люди допускают от недостаточной погруженности в вопрос», — комментирует Ольга Луценко, ведущий ИБ-эксперт UDV Group.

Фактически речь идет о структурной проблеме: безопасность не встроена в бизнес-процессы и не воспринимается как фактор устойчивости. Отсюда — высокая доля инцидентов, связанных с человеческим фактором, и отсутствие регулярной практики внутреннего контроля.

При этом экономическая логика давно очевидна: предотвращение инцидентов обходится бизнесу кратно дешевле, чем ликвидация последствий.

«Здесь работает принцип «1-10-100». Рубль, вложенный в предотвращение атаки на этапе проектирования, экономит 10 рублей на устранении уязвимости и 100 рублей на ликвидации последствий простоя. Для понимания масштаба: оборотный штраф по линии Роскомнадзора, при утечке персональных данных, может достигать полумиллиарда рублей, но это лишь малая часть айсберга. Гораздо тяжелее операционные потери: простой производственной линии в промышленности может стоить от 5 млн рублей в час, остановка отгрузок в ритейле или логистике — это потеря клиентской лояльности на месяцы вперед. Внедрение же базового набора мер (сегментация сети, резервное копирование и MFA) для средней компании сопоставимо с двухнедельным простоем одного отдела. Вывод: процессная безопасность всегда дешевле, чем восстановление репутации и данных с нуля», — отмечает Ольга Луценко, ведущий ИБ-эксперт UDV Group.

На практике это означает, что даже базовые меры защиты способны существенно снизить риски — но только при условии их системного внедрения и регулярного контроля. Без этого компании продолжают накапливать технический и организационный долг, который рано или поздно реализуется в инцидент.

При этом в ближайшие годы характер атак будет меняться, и давление на бизнес только усилится. По оценке экспертов, можно выделить несколько ключевых направлений эволюции угроз.

«Выделю три возможных ключевых тренда на ближайшие 3-5 лет: Первое — эксплуатация доверия к подрядчикам. Взламывать напрямую хорошо защищенную крупную компанию становится дорого и долго. Атакующие будут массово компрометировать небольших ИТ-интеграторов, бухгалтерские фирмы на аутсорсинге или разработчиков ПО. Через обновления легитимного софта злоумышленники получат доступ к сотням крупных клиентов за одну операцию. Стоит отметить, что ФСТЭК осведомлен об этом векторе и планирует запретить возможность прямого удаленного подключения к инфраструктуре для подрядчиков в отношении субъектов КИИ.

Второе — манипуляция данными вместо их кражи. Если раньше данные шифровали ради выкупа, то теперь их начнут незаметно менять. Например, искажать показатели датчиков на производстве (температуру, давление) или подменять банковские реквизиты в платежных поручениях прямо в системе бухгалтерии. Это наносит катастрофический ущерб, который могут не заметить в течение месяцев.

Третье — рост атак на среду виртуализации. В условиях импортозамещения и перехода на российские ОС и гипервизоры, инфраструктура виртуальных рабочих столов (VDI) станет приоритетной мишенью. Компрометация сервера виртуализации позволяет отключить сотни рабочих мест разом, нанося непоправимый ущерб инфраструктуре», — подчеркивает Ольга Луценко, ведущий ИБ-эксперт UDV Group.

Таким образом, фокус смещается от единичных атак к масштабируемым сценариям компрометации — через цепочки поставок, доверенные каналы и критические элементы инфраструктуры.

В этих условиях ключевая задача для российского бизнеса — не догонять угрозы постфактум, а выстраивать управляемую систему кибербезопасности как часть операционной модели. Это требует не только внедрения технологий, но и пересмотра подхода: от точечных мер к процессной, регулярно проверяемой защите.

Именно такой подход позволяет сократить уязвимость и избежать ситуации, когда инцидент становится не исключением, а закономерным результатом накопленных рисков.

Российский разработчик UDV Group представил новый релиз своего продукта для контроля версий и централизованного хранения проектов ПЛК — UDV DATAPK Version Control 3.1.

UDV DATAPK Version Control – это первое и на сегодняшний день единственное на рынке РФ специализированное решение для хранения версий проектов ПЛК и отслеживания изменений в них. Продукт решает ключевые инженерные задачи в работе с ПЛК ведущих зарубежных и российских производителей (Siemens, Schneider Electric, Allen Bradley, Овен, Регул, ТРЭИ и других) в одном окне, помогая обеспечивать непрерывность технологического процесса:

• отслеживание изменений в проектах ПЛК, сравнение версий и отображение различий — система фиксирует, кто, когда и что именно менял в проекте;
• централизованное хранение версий — инженеры всегда знают, где лежат актуальные проекты;
• быстрое восстановление — при возникновении сбоя в производственном процессе можно быстро отследить цепочку изменений и восстановить последнюю рабочую версию проекта.

Улучшенный контроль версий ПЛК в релизе 3.1 позволяет видеть не только кто и когда внес изменения, но и конкретные блоки и теги в проекте, которые были отредактированы, а также сопоставлять версии проекта ПЛК в репозитории и на самом контроллере, чтобы убедиться, что на ПЛК загружена именно та версия, которая считается эталонной.

Кроме того, в UDV DATAPK Version Control 3.1 появился ряд обновлений, делающих работу с решением удобнее. Теперь инженер может задать тип проекта ПЛК, чтобы избежать версионирования временных файлов, возникающих при открытии/закрытии среды разработки, а также — быстро скачать актуальную версию десктоп-приложения продукта и логи для облегчения обновления и обслуживания.

“UDV DATAPK Version Control дает предприятию не просто замену иностранного продукта, а собственный рабочий контур для управления проектами ПЛК. И это не архив и не классический бэкап. У предприятия появляется единая точка хранения, понятная история правок, сравнение версий и быстрый путь возврата к рабочей конфигурации после сбоя или ошибки. Для АСУ ТП сегодня это уже не дополнительная функциональность, а фундаментальный элемент безопасности и непрерывности технологического процесса, который должен находиться в предсказуемой и управляемой среде.” — прокомментировал директор Лаборатории кибербезопасности UDV Group Владислав Ганжа.