Чёрные лебеди: как ИТ-риски влияют на экономику

Что такое «чёрный лебедь»?

Маловероятное, труднопрогнозируемое, но потенциально катастрофическое событие. При этом постфактум часто оказывается вполне логичным, исходя из сложившейся ситуации.

«Термин «чёрный лебедь» давно вышел за рамки финансовой теории и стал универсальным образом. В контексте ИТ данный феномен звучит особенно явно — для нас это не метафора, а реальность. Мы видим, что цифровые системы становятся всё более сложными, взаимосвязанными и уязвимыми, скорость изменений постоянно растёт, а внешние факторы в виде геополитики, регуляторных мер и вызовов цепочек поставок заставляют нас искать нестандартные решения».

Алексей Изосимов

Заместитель генерального директора — технического директора «Т1 Интеграция» (ИТ-холдинг Т1)

«Основные объекты атак злоумышленников — органы исполнительной власти, добывающие компании и ретейлеры. Несмотря на эти риски, за последние 12 месяцев произошёл 30-кратный рост трафика публичных ИИ-сервисов. Проблема в том, что большинство организаций — как коммерческих, так и государственных — не имеет понятных и чётких регламентов по контролю использования таких ресурсов. К нам приходит множество клиентов, которые говорят о потоке данных, поступающих от сотрудников с рабочих мест в публичные ИИ-сервисы. У заказчиков возникают справедливые опасения, что сотрудники отправляют в такие каналы чувствительную информацию и получают оттуда непроверенные данные».

Николай Сивак

Коммерческий директор ГК «Солар»

«Архитектурная гибкость в таких условиях становится основой устойчивости. Для этого мы прибегаем к виртуализации и контейнеризации для отвязки сервисов от конкретных серверов, переходим к использованию платформ, где важна не модель сервера, а стандартизированный слой исполнения (Kubernetes, OpenStack), применяем гетерогенные кластеры, используя оркестраторы, которые умеют учитывать разницу в ресурсах. Мультиоблачные решения тут также могут выступить как инструмент антидефицита».

Алексей Изосимов

Заместитель генерального директора — технического директора «Т1 Интеграция» (ИТ-холдинг Т1)

«Постановление Правительства РФ № 1912 вводит три критерия доверенности ПАК: наличие в реестре Минпромторга, наличие ПО в реестре Минцифры и, самое сложное, сертификат ФСТЭК или ФСБ, если комплекс выполняет функции защиты информации. На практике никто точно не знает, что означает «защита информации». По сути, любой ПАК с аутентификацией по паролю должен иметь сертификат ФСТЭК. Это создаёт сложности и для производителей, и для клиентов — субъектов КИИ. Однако скоро ситуация может измениться — проект изменений в постановление, предложенный Минпромторгом, требует сертификат только тогда, когда основной функцией ПАК является защита информации или обеспечение безопасности значимых объектов».

Павел Карнаух

Директор департамента технической поддержки продаж YADRO

Что включает в себя ПАК?

Это оборудование (компьютер, ноутбук, смартфон и т. д.) и связанное с ним ПО, которые совместно работают над решением конкретных задач. Доверенный ПАК состоит из российских оборудования и софта. Сегодня ПАКи используются в медицине, финансах, производстве, телекоммуникациях и пр.

«На мой взгляд, критерии доверенности ПАК, которые обозначены в постановлении Правительства России № 1912, осложняют появление на рынке слабых игроков, но при этом не сильно влияют на уровень защиты самих ПАКов. Необходимо ввести дополнительные критерии, которые давали бы заказчику уверенность в более высокой степени доверенности таких продуктов. Например, ориентация при создании ПАКов на концепцию Security by Design, наличие списков совместимости таких продуктов с существующими средствами защиты, ведение их производителями общей базы уязвимостей программного обеспечения ПАКов, а также их испытание при помощи программ Bug Bounty».

Марат Чураков

Руководитель департамента по повышению защищённости ИТ-инфраструктуры Positive Technologies

Критерии доверенности ПАК

Постановление Правительства России № 1912:

1. Нахождение программно-аппаратного комплекса в реестре промышленной продукции Минпромторга.
2. Нахождение его ПО в реестре российского программного обеспечения Минцифры.
3. Сертификация ФСТЭК всех его средств защиты.

«В современных условиях для тех, кто связан с доверенными ПАКами, важно: производство компонентной базы ПАКов в России, отсутствие проблем с технической поддержкой программно-аппаратных комплексов, а также анализ их состояния при помощи различных инструментов, например, открытого API, систем мониторинга и безопасности».

Дмитрий Черников

Руководитель департамента детектирования и предотвращения киберугроз F6 MXDR

«Проблемы с надёжностью и совместимостью внутри самих ПАКов практически не наблюдаются. Сложности иногда возникают на стыке. Например, когда ПАК внедряется в инфраструктуру и необходимо подумать о схемах его интеграции в существующую сеть, в системы аварийного восстановления, связку с системой резервного копирования. ПАК — это более закрытая система, и в неё сложнее вносить какие-либо изменения. Устранять такие проблемы можно, в частности, при помощи тщательного проектирования, документирования и тестирования систем безопасности. Это трудоёмкие процессы, но, применённые однажды, в дальнейшем они позволяют заказчикам масштабировать свою инфраструктуру достаточно просто».

Павел Карнаух

Директор департамента технической поддержки продаж YADRO

«ИИ-агенты и вайбкодинг не только приводят к упрощению и облегчению создания ПО, но и усложняют поиск уязвимостей. При этом разработчики, которые не находятся под давлением регулятора, сегодня используют open-source решения, многие применяют чат-боты с ИИ-помощниками, в том числе ChatGPT и DeepSeek, для поиска уязвимостей кода. Однако, по моему мнению и согласно исследованиям, такие решения находят только 50–60% уязвимостей кода. Также важно понимать, что это не проприетарная и незапатентованная история. Мы ориентированы на то, чтобы профессионально заниматься безопасной разработкой».

Николай Сивак

Коммерческий директор ГК «Солар»

«Главный вектор вложений в ПАКи сегодня — это обеспечение их безопасности, ведь проблемы с ней могут привести к потере бизнеса. Вторым по значимости направлением является устойчивость, так как, с одной стороны, даунтаймы приводят к простоям, а с другой — тем же банкам важно иметь возможность постоянно предоставлять отчётность Центральному банку, чтобы не лишиться лицензий. Третье направление — производительность, так как её недостаток может привести к потере бизнеса».

Максим Березин

Директор по развитию бизнеса Orion soft