Правильно рассчитываем риски киберугроз и бюджет на ИБ
3 мин
75
4
Главной задачей для CISO в 2026 году станет защита от многоэтапных атак с использованием искусственного интеллекта. Это не просто фишинг, а сложная операция, которая проводится в несколько этапов. Сначала сотрудника обманывают с помощью дипфейка или сверхперсонализированного письма для получения доступа в инфраструктуру. Затем автоматизированные инструменты начинают искать и похищать ценную информацию внутри сети.
Основная цель таких атак — финансовая выгода. Преобладают два вектора нападений. В первом случае злоумышленники стремятся похитить личные данные и использовать их в мошеннических схемах. Для этого они используют персонализированные фишинговые сообщения, дипфейк-звонки «из банка» или «от руководства», захват мессенджеров и почты, чтобы выманить доступы, одноразовые коды, реквизиты карт и т.п.
Второй вектор связан с заказными, прицельными атаками на конкретную организацию, чтобы получить данные, которые являются коммерческой тайной. В непростых экономических условиях любой информацией о сделках, контрактах, планах можно манипулировать в своих целях, чтобы сбивать цену, срывать переговоры, давать конкурентам преимущество. При этом нападения через личные устройства сотрудников, мессенджеры и почту при таком характере атак никуда не денутся, просто станут гораздо убедительнее и опаснее благодаря ИИ.
Чтобы противостоять таким сложным, многоэтапным атакам, классических антивирусов и файрволов уже недостаточно. Защита должна быть эшелонированной и закрывать всю цепочку действий злоумышленника. С учётом этого имеет смысл заложить в бюджет три ключевых класса систем.
Во-первых, чтобы обнаружить саму атаку на ранней стадии, когда вредоносное ПО попадает на компьютер сотрудника, необходимы EDR-системы. Они анализируют не только изменения в файловой системе, процессах и сетевых подключениях, но и нетипичное поведение пользователей и безфайловые атаки. Сегодня такие системы способны остановить даже неизвестные угрозы, созданные с помощью ИИ.
Во-вторых, для защиты от конечной цели атаки — кражи данных — нужны DLP-системы. Даже если злоумышленник получил доступ в инфраструктуру, DLP не даст ему выгрузить конфиденциальные документы, финансовые отчёты или базу клиентов из системы компании либо же сохранит цифровой след злоумышленника — кто и как именно действовал в системе.
И в-третьих, чтобы связать отдельные события (например, срабатывание EDR на одном хосте, подозрительная активность в сети, попытка доступа к файлам от DLP) в единую картину атаки, не обойтись без SIEM-платформ. Именно они позволяют увидеть всю цепочку действий злоумышленника и вовремя на них среагировать.
При проектировании системы информационной безопасности нельзя забывать и про требования регуляторов. В 2026 году в этой сфере ожидаются серьёзные изменения. Так, с 1 марта 2026 года вступает в силу приказ ФСТЭК №117, который вводит строгие правила для использования ИИ в госсистемах и на объектах КИИ. Также ФСТЭК готовит национальный стандарт, который закроет специфические риски нейросетей.
Ожидается и ГОСТ, который стандартизирует работу DLP-систем. Так что бизнесу уже сейчас стоит актуализировать свою модель угроз под новую регуляторику и планировать переход на сертифицированные решения.
Что можно сделать прямо сейчас для повышения своей устойчивости? Провести комплексный аудит средств защиты и зрелости процессов безопасности. Это поможет приоритизировать инвестиции по реальным рискам. На первое место традиционно выходит защита данных компании: финансовой информации, доступов руководителей, облачных хранилищ и критической инфраструктуры. И конечно, всё это нужно дополнять регулярным обучением сотрудников, ведь любой бизнес строят люди. А человек — это самое слабое место в кибербезопасности.
