Опубликовано

UDV Group: за 2025 год рост рынка ИБ-аудита превысил 25%

Ольга Луценко, ведущий эксперт по ИБ компании UDV Group, дала комментарий, в котором оценила исследование рынка ИБ-аудита

Согласны ли вы с тем, что за 2025 год рост рынка ИБ-аудита превысил 25% и достиг 25 млрд руб., ? Есть ли у вас собственные цифры?

С такой оценкой рынка можно согласиться. Мы действительно видим устойчивый, планомерный рост сегмента ИБ-аудита из года в год. Собственных агрегированных цифр по рынку в абсолютных значениях мы не ведем, однако по динамике спроса со стороны заказчиков темпы роста в 25% не противоречат нашим наблюдениям.

Как вы оцениваете динамику? Компании просто идут на поводу у регулятора и выполняют некоторые минимальные требования или же речь идет о реальном повышении зрелости?

Ключевым драйвером этого роста остается совокупность внешних факторов. С одной стороны, это общее повышение уровня киберугроз и интереса злоумышленников к российским организациям. При этом фокус атак по-прежнему сосредоточен на крупном бизнесе и значимых объектах, но все более отчетливо прослеживается тренд на атаки через цепочки поставок — проникновение в ИТ-ландшафт крупных компаний через подрядчиков и поставщиков из сегмента МСБ. С другой стороны, именно эти риски подталкивают государство к ужесточению регуляторных требований и развитию механизмов контроля и мониторинга в сфере информационной безопасности.

Роль ИБ-аудита в этих условиях заметно эволюционирует. Если ранее аудит во многих случаях воспринимался исключительно как формальное выполнение регуляторных требований, то сегодня он все чаще используется как прикладной инструмент управления рисками. Компании прибегают к внешней оценке не только для подтверждения соответствия, но и для выявления уязвимых мест в системе обеспечения ИБ — в том числе в рамках подготовки к проверкам или государственному контролю. Дополнительным фактором спроса становится высокая динамика изменений законодательства: аудит позволяет зафиксировать текущий уровень соответствия и понять, какие требования уже закрыты, а какие меры требуют доработки или внедрения.

В результате аудит ИБ все чаще становится первой ступенью реального повышения зрелости. Выявленные недостатки, как правило, не остаются «в отчете», а оперативно прорабатываются — через разработку и актуализацию ОРД, корректировку процессов, внедрение дополнительных технических и организационных мер защиты.

Какие сегменты все чаще идут за ИБ-аудитом?

С точки зрения отраслевой структуры спроса, сегодня основными заказчиками ИБ-аудита остаются субъекты критической информационной инфраструктуры — прежде всего в контексте изменений и практики применения 187-ФЗ. Одновременно мы видим рост интереса со стороны государственных организаций и органов местного самоуправления, что связано с реформированием подзаконной базы в области обеспечения ИБ госсектора, включая требования приказа ФСТЭК № 117 и планируемые изменения в перечнях мер. Именно эти сегменты в ближайшие годы, по нашему мнению, будут формировать основной спрос и поддерживать дальнейший рост рынка ИБ-аудита.

Опубликовано

UDV Group: как правильно организовать цикл обнаружения и реагирования на инциденты ИБ

Автор: Николай Нагдасев, ведущий специалист UDV Group

Инцидент ИБ — не формальность и не тикет, а сбой сложной системы. Инженерный подход к реагированию помогает связать детектирование с критичностью активов, устранить корневые причины атак и превратить каждый инцидент в точку роста устойчивости инфраструктуры.

Введение

Инцидентами информационной безопасности часто управляют формально: зарегистрировать событие, назначить ответственного, закрыть тикет, сформировать отчет. Такой подход кажется удобным, но на практике не устраняет первопричину и не дает накопления опыта, из-за чего проблемы возвращаются. В такой модели центр мониторинга превращается в колл-центр: сотрудники фиксируют события и передают их дальше, но не анализируют причины и не влияют на устранение проблемы. Инцидент же стоит рассматривать как техническую неисправность инфраструктуры. А значит, и реагирование должно строиться по инженерному принципу: диагностика, устранение, анализ причин и модернизация, чтобы исключить повторение ошибки. Такой подход опирается на измеримые метрики — время обнаружения, классификация, обогащение, скорость реагирования — что позволяет строить аналитику и прогнозировать развитие событий. Документация и регламенты становятся ключевыми элементами процесса: когда шаги описаны и контролируются, работа перестает быть формальной и превращается в техническую процедуру. Дальше неизбежно возникает вопрос: насколько хорошо классический цикл реагирования работает в реальных условиях?

Линейный цикл реагирования vs реальная инфраструктура

Классический цикл реагирования в теории выглядит универсально: подготовка, настройка инфраструктуры под сбор событий, детектирование, анализ, подтверждение инцидента, оценка критичности, локализация, устранение, восстановление и постинцидентный разбор. В целом эта модель рабочая. Но в реальной инфраструктуре она не всегда применима в чистом виде. Есть несколько причин, которые неизбежно искажают линейность процесса.

Первая — целенаправленные атаки почти всегда многоэтапные и многовекторные. События фиксируются разными системами и приходят в разное время, часто с задержкой. Если идти строго по линейному циклу и работать только с отдельным фрагментом, аналитик видит лишь часть картины. На ранней стадии полный контекст еще не доступен: одно событие может указывать лишь на отдельный триггер в цепочке реализации атаки, а сам факт атаки становится очевиден уже после того, как злоумышленник оказался внутри. Единичное событие само по себе не возникает: если оно зафиксировано даже в закрытом контуре, значит атака уже прошла другие уровни защиты.

Вторая причина — организационная. Инциденты никогда не обрабатываются одной командой. В процессе участвуют ИБ, ИТ, сетевые инженеры, производственные или бизнес-подразделения. Каждая из групп видит ситуацию из своей плоскости. Если взаимодействие между ними выстроено слабо, то инцидент оказывается в зоне координационного сбоя: действия идут параллельно, несогласованно, сроки растягиваются, ответственность размывается.

Третья причина — опыт. Нельзя ожидать, что организация без практики сразу выстроит эффективное управление инцидентами. Нужны регулярные столкновения с реальными инцидентами: опыт применения защитных средств, опыт анализа, опыт коммуникаций. Это нарабатывается только через практику. Помогают учебные инциденты и тренировки: моделирование реальных кейсов, задействование всех средств защиты, включение профильных команд и оповещение руководства. Такой подход держит людей в тонусе, упрощает взаимодействие и позволяет развивать процесс, не дожидаясь настоящей атаки.

Поэтому в реальности классический цикл не функционирует как идеально линейная схема. Этапы реагирования переплетены между собой, требуют возврата к предыдущим шагам и постоянных уточнений. В живой инфраструктуре процесс становится динамическим и адаптивным, иначе он не отражает характер реальных инцидентов и быстро теряет эффективность.

И именно в этой динамике проявляются самые болезненные узкие места: где реагирование рассыпается, где процесс уходит в формальность, и где ошибки постепенно превращаются в системные проблемы. Первая из них связана с этапом обнаружения.

Проблема №1: обнаружение построено без связи с критичностью активов

Центры мониторинга как правило получают большой поток событий и сообщений, среди которых есть и реальные угрозы, и ложные срабатывания. Простой пример: поступают десять одинаковых событий, указывающих на подозрительную активность. Пять из них — очевидные ложные детекты, четыре относятся к тестовой инфраструктуре, и только одно затрагивает критически важный сервер. Если анализировать события без привязки к активу, на котором произошел инцидент, можно не заметить критичный сигнал или потратить время на второстепенные случаи — и упустить момент, когда ущерб еще можно было предотвратить. Поэтому контекст актива и его значимость должны учитываться с самого начала анализа.

Проблема №2: анализ инцидентов не стандартизирован и зависит от конкретного инженера

Если нет общей методологии, накопленной базы знаний и четкого распределения ролей, каждый инцидент превращается в уникальный случай, который приходится разбирать заново. В такой системе невозможно обеспечить воспроизводимость: нового специалиста нельзя сразу включить в работу и ожидать от него тех же результатов, что от опытного коллеги. Когда процесс завязан на людях, знания тоже остаются у людей. Выводы, решения, найденные уязвимости и удачные практики не переходят в систему и не масштабируются на команду. Организация снова и снова начинает с нуля вместо того, чтобы наращивать опыт. Это искажает картину эффективности: статистика строится на индивидуальных подходах, а не на единых метриках, поэтому сложно объективно оценить, как работает реагирование и где находятся реальные проблемы.

Поэтому здесь необходим инженерный подход: стандарты, чек-листы и закрепленные сценарии для разных типов инцидентов. Это снимает зависимость от личного опыта и позволяет выполнять базовый набор действий одинаково — будь то фишинг, внедрение вредоносного ПО или атаки на учетные записи. Далее важна единая классификация и общий язык описания техник, например, на базе MITRE ATT&CK или внутреннего справочника классификаторов инцидентов компании: это упрощает коммуникацию между командами и делает результаты анализа сопоставимыми. В такой модели выводы и решения становятся предсказуемыми и объективными, а сам процесс начинает опираться на стандарты, а не на интуицию отдельных специалистов. И именно здесь проявляется следующая проблема — как обеспечить одинаковую глубину анализа и качество реагирования для всех типов инцидентов, а не только там, где работает сильный инженер.

Проблема №3: реагирование не синхронизировано между ИТ, ИБ и технологами

В реальной инфраструктуре управление инцидентами оказывается распределено между несколькими командами одновременно. ИТ обеспечивает работу аппаратной платформы и доступность сервисов. Производственные или профильные подразделения отвечают за прикладные системы и свои контуры. Информационная безопасность фокусируется на устранении угроз и ограничении распространения атаки. На бумаге такое разделение выглядит логично, но на практике реагирование сталкивается с размытыми границами ответственности между командами.

Отсюда возникают типичные пограничные ситуации. Например, сетевое оборудование может физически находиться в контуре, за который отвечает производственное подразделение, но при этом оставаться частью общей IT-инфраструктуры. ИТ о нем ничего не знает, у производственников нет нужных технических компетенций, а ИБ физически не может вмешаться. При этом каждая сторона смотрит на инцидент через собственные приоритеты: ИБ стремится остановить угрозу и сохранить артефакты, ИТ — как можно быстрее восстановить работоспособность сервисов, а бизнес — сохранить непрерывность процессов. Такие различные цели легко вступают в конфликт, особенно когда время ограничено.

В итоге реагирование распадается на несогласованные действия. Команды работают параллельно и мешают друг другу, ждут подтверждений от коллег и теряют время. Информация блокируется внутри своих вертикалей и не попадает туда, где нужна. Процесс перестает быть управляемым сценарием и превращается в набор эпизодических шагов.

Чтобы выстроить работу, нужны заранее согласованные сквозные планы реагирования, учитывающие интересы всех сторон. Для критичных систем необходимо определить роли, границы ответственности и порядок действий: кто изолирует сегмент, кто отвечает за сохранение артефактов, кто принимает решение о восстановлении и в каком порядке проводится расследование. Коммуникация должна строиться заранее: команды договариваются о правилах до возникновения инцидента и затем действуют по уже известной схеме.

Поддержать этот процесс помогают в том числе и средства автоматизации — системы класса IRP/SOAR или тикет-система, где фиксируются статус, принятые меры и дальнейшие шаги.

Проблема №4: локализация основана на ручных действиях, а не инженерных процедурах

Несмотря на развитие технологий, локализация во многих организациях по-прежнему выполняется вручную. Это происходит потому, что полностью автоматизировать процесс сложно: инциденты отличаются по признакам и контексту, а уровень подготовленности инфраструктуры в компаниях разный. В итоге реагирование опирается не на стандартизированные процедуры, а на личный подход специалиста. Отсюда возникает непредсказуемость. Два инженера, столкнувшись с одинаковой угрозой, могут действовать по-разному и получать разный результат: один зафиксирует все артефакты и аккуратно соберет доказательную базу, другой пропустит важные детали.

И это напрямую влияет на качество локализации. Ручные операции увеличивают риск ошибок: усталость, стресс или нехватка времени могут привести к тому, что событие будет неправильно интерпретировано, а артефакты — утеряны. Кроме того, такие действия занимают больше времени: то, что автоматизированный сценарий выполняет за минуты, вручную превращается в последовательность долгих шагов.

Ручная локализация сама по себе не проблема — полностью автоматизировать процесс действительно сложно, потому что каждый инцидент имеет собственные признаки и нюансы. Но ручные действия всегда занимают больше времени и сильнее завязаны на человеческий фактор. Один специалист может сделать все быстро и аккуратно, другой — медленнее или с пропусками, просто потому что работает в конце смены или устал. Поэтому задача не в том, чтобы убрать человека из процесса, а в том, чтобы перевести рутинные операции в инженерный формат: использовать автоматизированные процедуры, скрипты и заранее подготовленные сценарии реагирования. Такой подход сокращает долю ручной работы, уменьшает вероятность ошибки и позволяет инженеру сосредоточиться на тех шагах, где действительно нужен его опыт, а не механические действия.

Проблема №5: мониторинг не обеспечивает полноту данных для реагирования

Мониторинг действительно генерирует большой поток информации, однако при работе с конкретным инцидентом контекста часто не хватает. Это нормальная ситуация: специалисты SOC обычно используют несколько систем одновременно, потому что единое окно доступа к данным есть далеко не везде. SIEM выполняет свою задачу — собирает сырые события, коррелирует их и выдает ключевую информацию по факту срабатывания. Но для полноценного анализа этого недостаточно. Например, по доменному имени и IP-адресу пораженного хоста невозможно понять, к какой системе относится актив. Эти данные хранятся уже в других источниках — CMDB или системах учета инфраструктуры. Аналогично и с учетными записями: имя пользователя само по себе мало что говорит, и аналитик вынужден искать информацию вручную — в адресных книгах, справочниках, внутренних базах. В результате реагирование опирается на разрозненные данные и ручной поиск контекста в смежных системах. Чем больше инструментов приходится подключать, тем выше риск ошибки и тем больше времени уходит на обработку инцидента.

Оптимальная модель — когда инфраструктура позволяет обогащать события контекстом автоматически и отображать данные о системе, пользователе или конфигурации прямо в едином интерфейсе работы специалиста центра мониторинга киберугроз. Но на практике это доступно немногим. Поэтому специалистам приходится гибко подбирать источники данных в зависимости от типа инцидента: для хоста — идти в TAM/ITSM, для писем — в журналы почтового сервера, для пользователей — в корпоративные справочники или в службу каталога, для вредоносной активности — в консоль управления средствами антивирусной защиты. Так мониторинг остается базовым слоем, но он не закрывает всю потребность в информации.

Проблема №6: нет инженерной обратной связи — поэтому инциденты повторяются

Во многих компаниях работа над инцидентом фактически заканчивается после восстановления системы. Сервис снова доступен, последствия устранены — значит процесс завершен. Но при таком подходе первопричины остаются неизвестными, и инциденты возвращаются в том же виде. Разорвать этот цикл можно, применяя в частности инженерный подход.

Инженерный подход предполагает постинцидентный анализ: нужно понять не только что произошло, но и почему это стало возможным. Логика та же, что при поиске причины поломки оборудования — разбирать ситуацию до исходного сбоя. Для этого можно использовать принцип «5 почему»: задавая последовательные вопросы, выйти на корневой фактор. Например, заражение критического хоста произошло из-за использования USB-носителя. Почему носитель оказался в системе? Потому что его применение было разрешено. Почему это стало угрозой? Потому что сотрудник не был проинструктирован по правилам обращения. И так далее — пока не станет ясно, где именно возникла системная ошибка, которая привела к возникновению инцидента.

Когда корневая причина найдена, необходимо сформировать набор корректирующих действий — тех самых инженерных «поправок» в систему обеспечения информационной безопасности. Это может быть изменение настроек, обновление средств защиты, корректировка регламентов, обучение сотрудников или пересмотр прав доступа. Суть проста: задача не в том, чтобы вернуть все в исходное состояние, а в том, чтобы устранить фундаментальный сбой и не допустить повторения инцидента в других точках инфраструктуры.

И важный завершающий элемент — проверка эффективности принятых мер. Нужно убедиться, что корректировки действительно работают и проблема не возвращается. Без этого цикл остается незавершенным, а инциденты продолжают повторяться.

Один сценарий — два результата: что дает зрелость процессов

Представим крупную распределенную компанию с множеством удаленных технологических площадок. SOC получает сигнал о вредоносной активности на одном из удаленных узлов. Если процессы не выстроены, проблемы возникают сразу. На этапе обнаружения нет привязки к критичности актива: аналитик занят другой задачей и берется за инцидент только когда освободится, теряя время, в течение которого ущерб еще можно было предотвратить.

Далее начинается ручной сбор данных. У аналитика нет стандартизированного сценария: чтобы понять, что произошло и какой именно хост поражен, он вручную перебирает несколько систем — SIEM, антивирус, службу каталогов, систему инвентаризации, почту — и составляет предварительное описание инцидента. Только на это уходит до часа.

Когда к делу подключаются другие подразделения, ситуация усложняется еще сильнее. ИБ предлагает отключить весь сегмент, чтобы остановить заражение. ИТ хочет ограничиться одним хостом, чтобы минимизировать простой. Владельцы технологического процесса вообще блокируют любые действия, опасаясь остановки производства. Пока стороны договариваются и ищут компромисс, время уходит, и заражение распространяется дальше — например, через общие ресурсы еще на два сервера. В итоге вместо локальной проблемы приходится отключать целый сегмент, увеличивая простой и стоимость инцидента.

Теперь рассмотрим тот же сценарий, но в зрелой модели реагирования. При обнаружении событие автоматически получает приоритет по значимости актива, и аналитик сразу переключается на него. На этапе анализа запускаются автоматизированные сценарии обогащения: подтягиваются сведения об учетных записях, из ITAM/ITSM — данные по хосту, из антивируса — расширенная телеметрия. С использованием автоматизированных сценариев аналитик SOC включает повышенный уровень детектирования угроз в пораженном сегменте сети. Все это занимает считанные минуты.

На этапе реагирования не требуется ручного согласования между командами: действует заранее утвержденный план реагирования. SOC может изолировать хост или ограничить его сетевое взаимодействие, блокировать учетные записи, задействовать межсетевые фильтры — без длинных согласований и телефонных цепочек. Производственные и IT-подразделения знают свою роль заранее: если хост критичен для процесса, предусмотрен режим работы с ограниченной связностью или переход на ручное управление.

В результате весь цикл — от детекта до локализации — занимает меньше часа, вместо восьми или десяти. Ошибка больше не развивается в полномасштабный инцидент, а остается локализованной на одном объекте. Именно в этом и проявляется ценность инженерного подхода: автоматизация рутинных шагов, стандарты, заранее согласованные роли и сценарии реагирования позволяют резко снизить время и ущерб от инцидентов.

Реагирование как культура инженерии

В конечном счете смысл реагирования определяется не количеством закрытых событий, а тем, как меняется система после каждого инцидента. Управление инцидентами — это не сервис по отработке тикетов и не механический набор процедур, а часть инженерной культуры компании. Инцидент — это признак сбоя сложной системы, и цель управления инцидентами заключается не только в том, чтобы вернуть все в исходную точку, а в том, чтобы сделать инфраструктуру устойчивее.

Организации, которые воспринимают управление инцидентами как непрерывный инженерный цикл, уменьшают последствия атак, быстрее восстанавливаются и точнее прогнозируют риски. Каждое расследование добавляет знания, которые затем превращаются в корректировки процессов, архитектуры и инструментов. Система накапливает опыт, становится более зрелой, а управление инцидентами — предсказуемее и эффективнее. В таком подходе основными ориентирами становится не «погоня» за скорейшим закрытием инцидентов и соответствующие «валовые» показатели SLA, а в большей степени именно стратегические приоритеты: повышение устойчивости всей организации к киберугрозам и предотвращение повторного возникновения инцидентов.

Источник: https://www.anti-malware.ru/practice/methods/Incident-as-an-engineering-problem

Опубликовано

Илона Киреёнок, UDV Group: Компании хотят не просто укрепить защиту, но и сократить время восстановления после атак

За последний год российский рынок информационной безопасности заметно изменился: выросла сложность атак, сместился фокус злоумышленников, а требования бизнеса к ИБ стали более прагматичными. Компании все чаще говорят не только о защите, но и о цифровой устойчивости, эффективности ИБ-команд и предсказуемости решений в эксплуатации. На этом фоне вендорам приходится одновременно развивать продукты, экосистему партнеров и отраслевую экспертизу, адаптируясь к запросам разных сегментов — от промышленности до корпоративных сетей. О том, какие тренды стали определяющими в 2025 г., как они повлияли на продуктовую стратегию и развитие UDV Group, а также о ключевых ориентирах компании на 2026 г. CNews поговорил с Илоной Киреёнок, коммерческим директором UDV Group.

CNews: Если подводить итоги 2025 года, какие изменения вы считаете наиболее значимыми для российского рынка ИТ и информационной безопасности? Что в первую очередь изменилось в запросах заказчиков?

Илона Киреёнок: Если говорить о ключевых трендах, то прежде всего стоит отметить качественное изменение ландшафта угроз. В 2025 году мы видели не столько рост числа атак, сколько рост их качества, сложности и длительности. Если раньше заметная их часть была хаотична и безрезультатна, то сегодня атаки становятся более адресными и чаще достигают цели. Теперь за ними стоят профессиональные и мотивированные команды.

Параллельно меняется и фокус атак. Мы наблюдаем смещение интереса в сторону реального сектора экономики, а также среднего и малого бизнеса. Последнее во многом связано с тем, что крупные компании за последние годы заметно повысили зрелость информационной безопасности, тогда как в сегменте малого и среднего бизнеса по-прежнему остается большое количество уязвимостей из-за ограниченных возможностей, как финансовых, так и человеческих.

Многие руководители сегодня уже не задаются вопросом, произойдет ли инцидент. Вопрос формулируется иначе — когда это случится и насколько быстро компания сможет восстановиться с минимальными потерями для бизнеса.

На этом фоне у заказчиков меняется подход к информационной безопасности. Все чаще звучит запрос на киберустойчивость. Компании хотят не просто укрепить защиту, но и сократить время восстановления после атак, а также минимизировать возможные последствия. Растет количество классов решений, с которыми работают ИБ-специалисты, появляется необходимость снижать операционную нагрузку на сотрудников, автоматизировать рутинные процессы и выстраивать защиту так, чтобы она была устойчивой в долгосрочной перспективе. По сути, мы видим переход от классического понимания кибербезопасности к концепции цифровой устойчивости.

Казалось бы, тут самое время использовать искусственный интеллект, но я бы не стала говорить о его революционном влиянии на базовые функции информационной безопасности именно в этом году. Скорее ИИ начинает активно применяться во вспомогательных сценариях — для помощи специалистам, анализа данных, вспомогательного выявления аномалий. Основные средства защиты по-прежнему работают на фундаментальных подходах.

CNews: Вы говорите о росте зрелости атак и смещении фокуса с периметра на обнаружение инцидентов внутри сети. Повлияли ли эти изменения на продуктовую стратегию UDV Group?

Илона Киреёнок: Да, эти изменения стали для нас определяющими. Модель, в которой безопасность сводится к защите периметра, больше не работает. Сегодня заказчики исходят из того, что злоумышленник рано или поздно окажется внутри сети, и ключевым становится вопрос скорости и точности обнаружения происходящего.

Именно под этот запрос мы и создали продукт UDV NTA. Рост интереса к решениям класса NTA напрямую связан с повышением качества атак: когда периметр уже пройден, сетевой анализ трафика и поведения остается одним из немногих способов увидеть и понять, что именно происходит в инфраструктуре, как развивается атака и какие узлы затронуты. На практике это особенно важно для SOC, которые работают с большим потоком событий от разных источников. UDV NTA позволяет связать эти сигналы с реальной сетевой активностью, получить необходимый контекст и заметно сократить время расследования инцидентов, снижая нагрузку на ИБ-команды.

Параллельно мы видим еще один устойчивый тренд — жесткие ограничения по ресурсам, прежде всего в сегменте среднего и малого бизнеса. Такие компании не могут позволить себе сложную ИБ-архитектуру из множества разрозненных решений. Ответом на этот запрос стал второй новый продукт — UDV MultiProtect. Это комплексное решение по принципу «все в одном», которое закрывает базовые задачи информационной безопасности в одном продукте и одном интерфейсе. Такой подход позволяет обеспечить приемлемый уровень защиты даже при ограниченных бюджетах и дефиците ИБ-специалистов.

В результате и UDV NTA, и UDV MultiProtect отражают ключевые тренды рынка: рост профессионализма атакующих, смещение атак в СМБ сегмент и требование произвести расследование быстро и избежать потерь для бизнеса.

CNews: Если говорить о промышленном сегменте в целом, как за последнее время изменились запросы со стороны предприятий и какие потребности сегодня выходят для них на первый план в части защиты АСУ ТП?

Илона Киреёнок: В промышленности мы видим желание ответственных за распределенные и геораспределенные инфраструктуры ИБ АСУ ТП руководителей и специалистов быть в курсе событий. Для этого в UDV DATAPK версии 3.0 мы добавили новый компонент SuperVision. который дал нашим заказчикам удобный инструмент для видимости и контроля за ИБ АСУ ТП даже в крупных корпорациях, возможность централизованно контролировать состояние систем и оперативно реагировать на отклонения в любой точке распределенной инфраструктуры.

Второй важный запрос связан с оптимизацией затрат. В текущих экономических условиях предприятия все чаще хотят инвестировать только в ту функциональность, которая действительно нужна для конкретных задач и проектов. Поэтому на первый план выходит модульный подход, который мы реализовали в UDV DATAPK, позволяющий гибко собирать решение под нужды конкретного объекта — будь то анализ сетевого трафика, управление уязвимостями, контроль конфигураций или работа с внешними событиями.

Отдельно стоит отметить все большую интеграцию решений АСУ ТП и управления производством с решениями по информационной безопасности. И тут мы развиваем сразу 2 направления. Первый касается внедрения функций, полезных для специалистов АСУ ТП в решениях по информационной безопасности. Так у нас появился продукт Version Control, который занимается управлением версиями проектов ПЛК. Второй трек, конечно же, связан с тесным сотрудничеством с производителями систем управления производством, телеметрии и диспетчеризации. Мы заключили технологические партнерства с ведущими разработчиками в данной сфере и уже получили опыт инсталляций безопасных комплексов телеметрии и управления в 2-х крупных промышленных холдингах.

CNews: Появление сразу нескольких новых продуктов в большинстве случаев требует от вендора расширения экосистемы. Пришлось ли вам усиливать партнерскую сеть или дистрибуцию?

Илона Киреёнок: 2025 год действительно стал для нас годом заметного роста интереса со стороны партнерского сообщества. Мы вдвое расширили партнерскую сеть, при этом сделали акцент не на количестве, а на качестве — появились новые компетентные партнеры, которые прошли обучение, развернули демостенды и готовы самостоятельно работать с нашими решениями. Параллельно мы заключили несколько соглашений о стратегическом партнерстве.

Существенную роль в этом развитии сыграла и дистрибьюторская модель — в этом году мы расширили сеть до трех дистрибьюторов, что позволило повысить доступность решений и упростить работу партнеров в регионах.

Если говорить об ожиданиях рынка, то базовые требования к зрелости и надежности решений вендора остаются неизменными. Однако, в условиях сдержанной экономики все чаще на первый план выходит вопрос оптимизации бюджетов заказчиков и гибкого ценообразования. В этом смысле партнеры видят в нас баланс между качеством решений и их экономической целесообразностью, и этот фактор становится все более важным.

CNews: Вы говорили о сотрудничестве с производителями АСУ ТП и систем управления производством. Насколько вообще имеет значение совместимость решений и предсказуемость их работы в реальных проектах?

Илона Киреёнок: Фактор совместимости действительно один из самых важных, особенно в технологическом и промышленном сегментах. Здесь важно не только то, что решения корректно работают с оборудованием и программным обеспечением разных производителей, но и то, что они гарантированно не влияют на работу сегмента АСУ ТП. Любое некорректное вмешательство в промышленную среду может иметь серьезные последствия — от простоев и брака до аварий и техногенных инцидентов.

В корпоративных сетях фокус несколько иной, но значимость совместимости не снижается. Когда средства защиты способны работать согласованно, заказчик получает единую систему безопасности, а не набор разрозненных инструментов. Это напрямую отражается на качестве обнаружения инцидентов и скорости реагирования.

Именно поэтому в реальных проектах все чаще востребованы решения, совместимость которых подтверждена на практике и которые изначально проектируются с учетом интеграции в существующую инфраструктуру. Для заказчика это означает более предсказуемое внедрение, снижение рисков на старте проекта и устойчивую архитектуру в эксплуатации.

CNews: В условиях дефицита ИТ и ИБ-специалистов многие проекты сегодня сталкиваются с рисками уже на этапе внедрения и сопровождения. Как в этой ситуации меняется роль партнерского канала и на что вы как вендор делаете ставку?

Илона Киреёнок: Сегодня партнерский канал фактически определяет, насколько успешно решение будет внедрено и продолжит эксплуатироваться у заказчика. Ни один вендор, даже самый крупный, не может закрыть все регионы и объекты собственной командой — это просто невозможно.

Поэтому мы делаем ставку на подготовленных партнеров на местах. Мы инвестируем в их обучение и развитие, чтобы партнер мог не просто «продать коробку», а качественно внедрить решение, сопровождать его и говорить с заказчиком на одном языке. В условиях кадрового дефицита это критично: заказчику не нужно расширять собственную команду — он получает и продукт, и экспертизу. В итоге проекты запускаются быстрее, работают стабильнее и требуют меньше ресурсов со стороны бизнеса.

CNews: В этом году вы вышли в новый для себя сегмент — ОПК. С какими особенностями этого рынка вы столкнулись и как это повлияло на подход к продуктам и проектам?

Илона Киреёнок: Выход в сегмент ОПК для нас во многом стал логичным продолжением работы с технологическими партнерами. Точкой входа стал проект, связанный с задачами телеметрии у одного из заказчиков. Наши решения напрямую не занимаются сбором телеметрии, но обеспечивают безопасность съема и передачи данных из сегмента АСУ ТП — и именно это оказалось критически важным в рамках проекта. Этот кейс стал отправной точкой для серии проектов, которые начались в 2025 году и переходят в 2026 год.

При этом мы не ограничиваемся только ОПК. ТЭК и промышленность исторически остаются для нас ключевыми отраслями, и интерес к нашим решениям со стороны этих сегментов стабильно растет. В 2025 году мы кратно нарастили клиентскую базу в промышленности и ТЭК, а по итогам года видим высокий потенциал роста также в сегментах государственных структур и транспорта.

Отдельно стоит отметить выход в ранее нехарактерные для нас отрасли — телеком и финансы. Здесь важную роль сыграл UDV NTA, который оказался востребован в распределенных корпоративных сетях с высокими требованиями к видимости сети заказчика.

CNews: По мере расширения присутствия в новых сегментах и роста клиентской базы все более заметной становится и роль бренда. Как, на ваш взгляд, формируется доверие к ИБ-вендору сегодня и какие шаги UDV Group предпринимала в 2025 году для усиления своей репутации на рынке?

Илона Киреёнок: Сила бренда и доверие рынка действительно тесно связаны, и в основе здесь всегда лежит качество продуктов, успешно проявивших себя в реальных кейсах и инфраструктурах. Без устойчивых, зрелых решений о репутации говорить сложно.

Второй важный фактор — прозрачная и понятная рынку партнерская, лицензионная и ценовая политика. Заказчикам и партнерам важно заранее понимать правила взаимодействия и экономику проектов, особенно в текущих условиях.

Третий элемент — сильная маркетинговая стратегия и системная работа с рынком. Мы активно участвуем в отраслевых и ИБ-мероприятиях, делимся экспертизой в медиапространстве, развиваем публичные каналы и наполняем их практическим, прикладным контентом. Это помогает выстраивать диалог с профессиональным сообществом, а не просто повышать узнаваемость.

Открытие представительства в Москва-Сити стало еще одним шагом к более открытому и прямому диалогу с заказчиками и партнерами. Для нас это прежде всего про клиентоориентированность — фактор, который напрямую влияет на восприятие бренда и уровень доверия к компании.

CNews: Если подытожить разговор, какое достижение 2025 года вы считаете для UDV Group наиболее стратегическим? И на каких ориентирах компания будет фокусироваться в следующем году?

Илона Киреёнок: Для нас 2025 год стал по-настоящему переломным. Это был год более глубокого погружения в потребности заказчиков, осознания того, что мы делаем правильно, а что нет. Мы пересмотрели наш продуктовый портфель, вышли в новые сегменты, заключили новые партнерства. Диверсифицировали выручку — как по отраслям и типам заказчиков, так и по партнерскому каналу, это дает нам ощущение устойчивости.

Мы заключили важные для нас стратегические и технологические партнерства, которые дают нам импульс на дальнейшее развитие, позволяют усилить продукты и выйти на новые рынки с более зрелыми и комплексными предложениями.

В 2026 году мы планируем еще больше сосредоточиться на глубинном понимании потребностей заказчиков и на адаптации решений под задачи конкретных отраслей. Этот фокус мы будем усиливать через технологические партнерства, чтобы предлагать рынку максимально прикладные и эффективные решения. Для нас это логичный следующий шаг в развитии компании и в укреплении доверия со стороны заказчиков.

Источник: https://www.cnews.ru/articles/2026-01-19_ilona_kireenokudv_group_kompanii_hotyat?erid=2W5zFHqWGQg

Опубликовано

Технологическое партнёрство UDV Group и «Цифровые решения»: подтверждена совместимость продуктов для мониторинга сетевой видимости и кибербезопасности

Компании UDV Group и «Цифровые решения» успешно завершили испытания на совместимость своих продуктов, предназначенных для обеспечения сетевой видимости в корпоративных и промышленных инфраструктурах.

В ходе тестирования была подтверждена технологическая совместимость следующих продуктов для защиты корпоративной инфраструктуры: ответвителя трафика DS Optic-TAP, брокера сетевых пакетов DS Integrity EVO и системы анализа сетевого трафика для обнаружения кибератак UDV NTA. Также была проверена совместимость продуктов для защиты промышленной инфраструктуры: ответвителя трафика DS Copper-TAP, агрегатора с однонаправленной передачей DS Diod, брокера сетевых пакетов DS Integrity EVO и комплексной системы киберзащиты АСУ ТП с полной видимостью атак, угроз и выполнением требований законодательства — UDV DATAPK Industrial Kit.

В ходе испытаний продукты UDV Group и «Цифровые решения» продемонстрировали стабильную и надёжную работу, что подтвердило их полную технологическую совместимость. Это даёт заказчикам возможность использовать эти продукты в составе единого решения для эффективного мониторинга сетевой безопасности и видимости как корпоративных, так и промышленных инфраструктур.

Испытания охватили широкий спектр функциональных возможностей. Продукты «Цифровых решений» обеспечивали получение полной копии сетевого трафика, его оптимизацию, включая удаление дублей пакетов, а также балансировку потоков на несколько инстансов системы анализа. Продукты UDV Group, в свою очередь, отвечали за автоматическое обнаружение активов, определение прикладных и промышленных протоколов, обнаружение передачи файлов, а также выявление подозрительной активности и сетевых атак в корпоративном и промышленном сегментах сети.

«В условиях современных кибератак каждый пропущенный пакет — это не просто статистическая погрешность, а потенциально вредоносное воздействие, которое может остаться незамеченным. Подтверждённая совместимость позволяет заказчикам безопасно масштабировать инфраструктуру сбора и обработки сетевого трафика и быть уверенными, что решения для детектирования и расследования атак от UDV Group получают полные и непрерывные данные», — прокомментировал менеджер продукта UDV NTA Михаил Пырьев.

«Эффективность работы систем поведенческого анализа трафика напрямую зависит от качества данных, которые они получают на вход. Совместное использование продуктов “Цифровых решений” и систем класса NTA/NDR значительно повышает результативность обнаружения угроз. Партнёрство с UDV Group открывает нашим заказчикам новые возможности для защиты критической информационной инфраструктуры», — комментирует Алина Павлова, руководитель отдела продвижения продуктов компании «Цифровые решения».

О компании:

UDV Group — российский разработчик высокотехнологичных решений, обеспечивающих киберустойчивость предприятий любых отраслей и масштабов. Ключевыми направлениями компании являются: разработка решений в области кибербезопасности, исследования и внедрения проектов в области цифровой трансформации и информационной безопасности, услуги аудита и консалтинга по вопросам ИБ, а также заказной разработки и технической поддержки. UDV Group входит в Топ-50 крупнейший ИБ компаний России по мнению аналитических центров CNews и TAdviser. Продукты UDV Group входят в реестр отечественного ПО и имеют сертификаты соответствия ФСТЭК России, успешно внедряются в России с 2014 г.

«Цифровые решения» — российский разработчик и производитель сетевого оборудования для управления трафиком и интеграции средств сетевой безопасности. Компания осуществляет полный цикл производства на основе собственных разработок — от аппаратных платформ до технологий работы с сетевым трафиком.

Компания имеет более 20 лет опыта в области исследований и разработки, а её деятельность основана на экспертизе нескольких сотен высококвалифицированных специалистов. Собственная лаборатория и производственные мощности обеспечивают высокую надёжность решений и позволяют развивать линейки оборудования в соответствии с растущими потребностями отрасли.

Опубликовано

Цифровая платформа Bimeister для цифровых моделей промышленных предприятий от FabricaONE.AI (акционер – ГК Softline) подтвердила совместимость с Deckhouse Kubernetes Platform

Компании Bimeister FabricaONE.AI (акционер – ГК Softline) и «Флант» подтвердили полную технологическую совместимость цифровой платформы Bimeister и Deckhouse Kubernetes Platform. Интеграция решений позволит промышленным предприятиям оцифровывать процессы, управлять данными и документами на базе контейнерной инфраструктуры, которая легко адаптируется под рост нагрузки.

В ходе испытаний платформа Bimeister была успешно развернута в кластере Deckhouse Kubernetes Platform. Все ключевые операции — установка приложения, импорт и экспорт документных массивов, интеграция с внешними системами и обработка структурированных данных — прошли проверку и подтверждены как стабильные и производительные.

Платформа Bimeister включена в реестр российского ПО, используется более чем 10 000 пользователями и задействована в крупных промышленных проектах, таких как «Росатом» и «НОВАТЭК». Решение объединяет управление инженерными данными, техническим документооборотом, строительством, эксплуатацией и ТОиР, формируя единую цифровую модель предприятия.

Deckhouse Kubernetes Platform (DKP) зарекомендовала себя как отраслевой стандарт в нефтегазовом секторе. Платформу используют, в том числе, ПАО «Газпром нефть» и другие компании с повышенными требованиями к отказоустойчивости, контролю и предсказуемости эксплуатации. Совместное развертывание Bimeister на DKP обеспечивает стабильную работу при типовых сценариях эксплуатации — включая установку, обработку документных массивов и интеграцию со смежными системами.

«Наши проекты работают в средах с высокой нагрузкой и десятками тысяч инженерных данных. Поддержка Deckhouse Kubernetes Platform гарантирует, что цифровая модель предприятия будет оставаться доступной и управляемой — независимо от сложности инфраструктуры или объёмов данных», – прокомментировал Леонид Есипов, исполнительный директор компании Bimeister.

«В промышленной среде инфраструктура должна быть максимально надежной и стабильной, малейший простой в производстве может обернуться серьезными финансовыми потерями. Deckhouse Kubernetes Platform уже используется в критически важных средах — в том числе на десятках проектов в машиностроении, электроэнергетике, нефтегазовом, металлургическом и других секторах промышленности. То, что Bimeister корректно работает в DKP, означает одно: заказчик может внедрять цифровую модель предприятия, не беспокоясь об инфраструктурном фундаменте — он уже проверен в эксплуатации», — отметил Константин Аксёнов, директор департамента разработки Deckhouse компании «Флант».

Совместное использование Bimeister и Deckhouse Kubernetes Platform позволяет промышленным предприятиям объединить зрелую платформу управления цифровыми активами с проверенной Kubernetes-инфраструктурой, способной выдерживать нагрузку тысяч пользователей и рост объема данных. Такой подход ускоряет цифровую трансформацию и снижает риски при внедрении критически важных ИТ-систем.

Опубликовано

ГИГАНТ: исследование АПК и ритейла

Владимир Кудряшов, директор сервисного департамента компании «ГИГАНТ Компьютерные системы» дал интервью Comnews и прокомментировал, с чем связан рост ИТ-бюджетов в АПК и ритейле в 2025 г. и продолжится ли он в 2026 г. А также поделился мнением о том, насколько важно и актуально внедрение ИИ и развитие ИТ-инфраструктуры в АПК и ритейле в сравнении с другими отраслями?

В своем интервью он, в частности, отметил, что рост ИТ-бюджетов в АПК во многом объясняется эффектом отложенного развития. Исторически этот сектор долгое время оставался среди отстающих с точки зрения цифровизации, но сегодня фактически «догоняет базовый уровень». Существенную роль сыграл регуляторный фактор: значительная часть объектов АПК относится к категории КИИ, и требования по защите, устойчивости и контролю стали обязательными. Это спровоцировало системные инвестиции в инфраструктуру и информационную безопасность.

В ритейле причины иные. Здесь рост ИТ-бюджетов связан не столько с импортозамещением или расширением ИТ-ландшафта, сколько с переходом к построению устойчивой и отказоустойчивой инфраструктуры. На фоне инцидентов последних лет бизнес стал существенно больше инвестировать в информационную безопасность, защиту данных клиентов и непрерывность операций. Фактически ИБ стала одной из ключевых статей роста затрат.

Дополнительным фактором для обеих отраслей стал физический износ инфраструктуры. Оборудование, закупленное в 2021–2022 годах, подходит к концу своего жизненного цикла. Период ожиданий, связанный с возможным возвращением западных вендоров, завершился — компании приняли реальность и начали плановое обновление ИТ-стека, переходя на альтернативные решения.

В 2026 году рост ИТ-бюджетов, вероятнее всего, продолжится, но темпы будут более сдержанными. После скачка 2025 года динамика может немного снизиться, однако тренд на рост сохранится. Это не означает остановку цифровизации — скорее, речь идет о фазе стабилизации перед следующим витком.

Отдельного внимания заслуживает тема искусственного интеллекта. Его внедрение в бизнес-процессы развивается быстрее, чем успевают формироваться регуляторные и институциональные рамки. С каждым новым технологическим циклом путь от появления технологии до ее массового применения сокращается. ИИ — одна из самых быстрорастущих технологий в истории, и времени на «раскачку» у экономики больше нет.

С точки зрения использования ИИ Россия сегодня заметно отстает от мировых лидеров. Это означает необходимость ускоренного развития собственных решений, формирования нормативной базы и выделения целевых бюджетов. Вероятно, в ближайшие годы государственные инициативы и требования будут усиливаться, а основной масштабный эффект от цифровой и ИИ-трансформации проявится в горизонте 2027–2030 годов.

Опубликовано

Вышла новая версия интегрированной платформы оркестрации средств защиты информации, реагирования на инциденты и автоматизации ИБ UDV SOAR 4.1.

Ключевая задача UDV SOAR — сокращение возможного ущерба от инцидентов ИБ за счет автоматизации реагирования. В ситуации постоянного увеличения количества атак и скорости распространения злоумышленников в инфраструктуре после проникновения (а также недостатка кадров) сокращение ручной работы и использование автоматизированных сценариев реагирования становятся необходимостью.

В релизе UDV SOAR 4.1 создание таких сценариев стало ещё удобнее за счет новой функциональности в работе с плейбуками и агентами:

  • добавлена возможность запуска запланированных задач с указанием агентов, на которых их необходимо выполнить;
  • новый режим просмотра информации о скриптах и плейбуках (вся документация, параметры и опции объекта представлены в структурированном виде на одной странице);
  • появилась возможность массового экспорта и импорта скриптов и плейбуков.

Кроме того, в UDV SOAR 4.1 мы обновили модель генерации скриптов встроенного ИИ-помощника, представленного в предыдущем релизе: увеличена скорость и контекст обработки запросов пользователя, а также — улучшены паттерны взаимодействия.

“Автоматизация реагирования — важный элемент инженерного подхода к управлению инцидентами. Она не только сокращает рутинную нагрузку на персонал, но и снимает зависимость от личного опыта конкретного специалиста, обеспечивая воспроизводимость и сохранение удачных решений в команде, и как следствие — рост устойчивости инфраструктуры бизнеса.” — прокомментировал исполнительный директор UDV Group Виктор Колюжняк.

Опубликовано

Затраты бизнеса на кибербезопасность в 2026 году продолжат расти

Расходы коммерческих компаний и госорганизаций на информационную безопасность (ИБ) в следующем году увеличатся, но изменится их структура. Это будут траты уже не столько на точечные технологии, сколько на комплексную защиту. Об этом корреспонденту «РГ» сообщило большинство опрошенных им экспертов.

— Ожидается, что в 2025 году рост расходов сохранится на уровне 15-25 процентов для большинства отраслей, при этом государственный и финансовый секторы покажут максимальные темпы. В 2026-м рынок может войти в фазу консолидированного роста на уровне 10-18 процентов, — поясняет кандидат экономических наук Mупегну Нзусси Кевин Грас.

По словам генерального директора ИТ-компании Appfox Вячеслава Богаткина, рынок перешел от догоняющих закупок к более осознанным инвестициям:

— Если в 2023-2024 годах компании часто закрывали базовые уязвимости и экстренно заменяли ушедшие решения, то в 2025-м расходы все чаще направлялись на защиту от конкретных рисков. В среднем по рынку рост сохраняется, но он уже не столь равномерный: у крупных компаний и госсектора бюджеты продолжают увеличиваться двузначными темпами, тогда как у части регионального бизнеса рост замедлился.

Исследование FinExpertiza показало, что в 2024 году российские крупные и средние организации потратили на продукты и услуги в области кибербезопасности рекордные 209 миллиардов рублей. Наибольшие вложения были зафиксированы в сферах информации и связи, финансов и страхования, добычи полезных ископаемых, энерго- и теплоснабжения, транспортировки и хранения, образования.

— Сегодня каждая шестая организация в России сталкивается с киберинцидентами хотя бы раз в год. Речь идет о реальных нарушениях работы: системы подвергаются несанкционированным вторжениям, заражаются вредоносными программами, хакерские атаки блокируют работу оборудования и приложений. В 29 процентах случаев такие инциденты приводят к сбоям информационных систем, в 16 процентах — к утечкам конфиденциальных данных, а в 20 процентах — к повреждению или полной потере информации, — отмечает президент FinExpertiza Елена Трубникова.

В исследовании указывается, что больше всего на кибербезопасность тратили в Москве (4,5 миллиона рублей в пересчете на одну организацию), Санкт-Петербурге (1,6 миллиона), Ямало-Ненецком автономном округе (979,1 тысяча). А вот несколько республик СКФО попали в десятку субъектов, где расходы на нее были самые маленькие. Это Ингушетия (33 тысячи рублей), Дагестан (33,5 тысячи) и Северная Осетия (50,6 тысячи), кроме того, в двух последних регионах организации выделили на защиту данных в полтора раза меньше средств, чем годом ранее.

— Снижение расходов на кибербезопасность в ряде регионов, включая отдельные республики Северного Кавказа, скорее всего, связано не с отсутствием угроз, а с ограниченностью бюджетов и более низким уровнем цифровизации. Там, где ИТ пока не является критической частью операционной деятельности, траты на безопасность считают второстепенными и их могут отложить. Это рискованная стратегия, но в условиях экономических ограничений она, к сожалению, понятна, — считает Вячеслав Богаткин.

По мнению ИТ-директора финтех-компании MoneyCat Александра Мезенцева, снижение расходов в отдельных случаях можно связать с высокой ключевой ставкой, доходившей до 21 процента, и, соответственно, высокой стоимостью кредитов. Бизнес был вынужден перераспределять бюджеты, а кибербезопасность все еще воспринимается как не самая обязательная статья расходов.

— Базовый набор типов атак остался прежним. Но заметно изменилась тактика злоумышленников: они перешли от массовых и громких нападений к более точечным, скрытым и адресным. При этом продолжают оставаться наиболее опасными атаки через подрядчиков и цепочку поставок, — говорит руководитель отдела технической поддержки продаж UDV Group Денис Назаренко.

Как отмечает Mупегну Нзусси Кевин Грас, на цепочечные атаки приходится до 45 процентов масштабных инцидентов. Метод борьбы с ними — сквозной аудит безопасности главных подрядчиков и внедрение модели Zero Trust («никому не доверяй»). Также существуют программы-вымогатели с двойным шантажом. Они не только блокируют доступ к файлам или системам, шифруя их, а затем требуют выкуп за их восстановление, но еще и крадут конфиденциальную информацию, угрожая ее публикацией. Актуальный метод защиты в этом случае — регулярное и изолированное от основной сети резервное копирование, когда две копии создаются на разных типах носителей, а одна — вне площадки. Конечно, хакеры не обошли вниманием и нейросети. Их использование для генерации персонализированных писем и голосовых дипфейков повысило успешность фишинговых атак на 15-25 процентов. Здесь главный метод противодействия — анализ почтового трафика и имитационные тренировки сотрудников.

— Злоумышленники все активнее используют ИИ: фишинг стал не просто массовым, а быстрым и дешевым, — подтверждает генеральный директор РТК Софт Лабс Евгений Семенов. — Фишинговый сайт сейчас можно собрать за минуты. Кроме того, на базе старых утечек сформировались подробные нелегальные цифровые профили граждан и сотрудников: в связке с ИИ это дает более таргетированные, выверенные атаки.

— Заметно выросла доля умных атак, не хаотичных, а выстроенных, с пониманием бизнес-процессов и поведения пользователей, — добавляет основатель CPA-сети FCN Татьяна Мичурина. — А часть классических угроз вроде простых вирусных атак стала менее актуальной: бизнес научился с ними работать.

Генеральный директор Atomic Capital Александр Зайцев указывает на еще один нюанс, если речь идет о слиянии или поглощении компаний:

— В этом случае главная цель кибератак обычно заключается в нанесении ущерба репутации, чтобы снизить капитализацию фирмы. Причем на них способен как покупатель, который может уменьшить свои расходы на фоне появления информации об уязвимости предприятия, так и сама компания. В последнем случае это целенаправленное действие для препятствия сделке при попытке агрессивного поглощения бизнеса. Инициированная самой компанией кибератака призвана снизить привлекательность сделки в глазах покупателя и заставить его отказаться от нее.

По мнению Дениса Назаренко, с учетом изменений законодательства и планов регуляторов усилить контроль за исполнением их требований можно с высокой вероятностью ожидать дальнейшего роста инвестиций в информационную безопасность в 2026 году:

— Так как многие предприятия еще не завершили формирование комплексных систем обеспечения ИБ, в ближайшее время приоритетом останутся технические меры защиты. Однако есть основания рассчитывать, что и бюджеты на обучение сотрудников будут постепенно расти и их закрепят в структуре обязательных ежегодных затрат. Бизнес осознал, что даже при наличии зрелой многоуровневой системы ИБ человеческий фактор остается уязвимым элементом. Многие компании уже инвестировали в специализированные SA-платформы и начали системное обучение сотрудников. Этот подход дает заметный эффект в виде снижения числа успешных атак, построенных на социальной инженерии.

Вячеслав Богаткин также ожидает дальнейшего роста затрат на кибербезопасность, но отмечает, что компании будут больше инвестировать в комплексные решения: управление доступами, безопасность облачной инфраструктуры, DevSecOps и защиту данных на уровне приложений. А генеральный директор российской операционной системы Uncom.OS Никита Кочерженко отмечает прогресс в системе обучения сотрудников: все больше организаций уходит от формальных инструктажей к регулярным тренировкам — фишинговым симуляциям, разбору инцидентов, учениям по реагированию.

— Рынок будет уходить от покупки разрозненных «коробок» к комплексной архитектуре и управляемости: инвентаризации активов, управлению уязвимостями и обновлениями, контролю привилегий и доступов, мониторингу и реагированию, резервному копированию и восстановлению, безопасности разработки (DevSecOps). И параллельно будет вестись системная работа с человеческим фактором, — заключил Кочерженко.

Мнение

Петр Щербаченко, доцент Финансового университета при Правительстве РФ:

— Центр стратегических разработок прогнозирует, что в 2025 году российский рынок информационной безопасности составит 369 миллиардов рублей, а к 2028-му вырастет до 715 миллиардов. В первом полугодии 2025-го злоумышленники чаще всего атаковали госучреждения (21 процент от общего количества успешных атак на организации), промышленные предприятия (13 процентов), ИТ-компании (шесть) и медицинские учреждения (шесть). Наиболее распространенными методами стали использование вредоносного программного обеспечения, социальная инженерия и эксплуатация уязвимостей.

Инциденты грозят бизнесу не только финансовыми потерями из-за оплаты штрафов и необходимости восстановления систем, но и долгосрочными последствиями — это снижение доверия клиентов, потеря рыночных позиций, ущерб деловой репутации.

Источник: https://www.rg.ru/2025/12/30/reg-skfo/tehnicheskij-nokaut.html

Опубликовано

Жёстче, шире, быстрее: как растут требования по ИБ к МСБ

Автор: Ольга Луценко, эксперт UDV Group

За последние пару лет государство заметно усилило требования по кибербезопасности — и теперь это касается не только крупных компаний, но и малого бизнеса. Формально новые правила предназначены для «больших», но по цепочке быстро доходят до всех подрядчиков. Если заказчик обязан выполнять жёсткие требования, он начинает требовать того же от своих партнёров.

Можно выделить три направления, где давление на МСБ растёт сильнее всего.

Первое — обработка персональных данных. Практически любая организация МСБ является оператором персональных данных и попадает под требования 152-ФЗ и подзаконных актов: услуги по записи, обработка обращений, ведение клиентской базы являются обработкой персональных данных. С ужесточением 152-ФЗ пришло максимально строгое отношение и к любым утечкам. Если раньше это могли считать технической ошибкой, то теперь — полноценным инцидентом с серьёзными последствиями.

Второе — закон о критической инфраструктуре (187-ФЗ). Государство активно выясняет, какие компании до сих пор не определили, являются ли они субъектом КИИ, и в этот список всё чаще попадают те, кто раньше не думал о своей «критичности». Субъектом КИИ может быть не только организация, непосредственно функционирующая в заявленных 187-ФЗ отраслях деятельности, но и компании, обеспечивающие взаимодействие систем-объектов КИИ, а также подрядчики, которые эксплуатируют клиентские части таких систем и не задумываются, что владеют ими на праве аренды и обязаны защищать их как субъект КИИ. Примерами могут служить небольшие ЦОДы, на мощностях которых размещаются объекты КИИ. Ранее для малого и среднего бизнеса наблюдалось более лояльное отношение регулятора, который в частных случаях давал МСБ некоторое время на самоопределение и категорирование. На текущий момент взят тренд на ужесточение, и отсутствие выстроенного процесса категорирования и защиты объектов КИИ может привести к административной ответственности.

Третье — работа с государственными структурами. На фоне текущей обстановки внимание к подрядчикам госорганизаций усиливается. Согласно приказу ФСТЭК № 117 государственные органы, государственные учреждения и государственные унитарные предприятия должны устанавливать требования по информационной безопасности к любым подрядным организациям, обрабатывающим чувствительную информацию. Так, к примеру, при получении доступа к любой информации ограниченного доступа и её последующем хранении в системах подрядчика, госорган будет диктовать подрядчику те же требования по ИБ, какие сам обязан выполнять по 117 приказу ФСТЭК. В ближайшее время ожидается дополнение и расширение Приказа, что сделает контроль для госорганов, а равно и для их подрядчиков, строже. Ответственность госорганов за безопасность своих подрядчиков увеличится,

а значит, проверки внутри цепочек станут строже.

Фактически государство закрывает те точки риска, которые могут стать входом для злоумышленников.

И очень часто эти точки находятся именно в небольших компаниях, через которые можно добраться

до крупных игроков.

Это не временный тренд. Усиление требований будет расти

Исторически небольшим компаниям иногда делали поблажки. Например, если организация не успевала вовремя пройти категорирование по 187-ФЗ или поздно реагировала на новые требования, регулятор мог отнестись мягче. Но эта эпоха подходит к концу. Судя по последним публичным заявлениям, подход выравнивается: требования к качеству процессов безопасности становятся одинаковыми и для корпораций, и для малого бизнеса. Малые компании больше не рассматриваются как исключение — это полноправные участники цифровой экосистемы, от которых тоже ожидают зрелого уровня защиты.

Для части МСБ усиление требований — это не вопрос будущего, а уже текущая реальность. Компании-операторы персональных данных (ПДн), а также те, кто подпадает под 187-ФЗ как субъекты КИИ, автоматически попадают под требование о передаче информации в ГосСОПКА путем взаимодействия с НКЦКИ. Для операторов ПДн остается доступной опция оповещения НКЦКИ об инцидентах через Роскомнадзор, без прямого технического подключения к ГосСОПКА, но для субъектов КИИ взаимодействие с ГосСОПКА в технической части станет обязательным уже в ближайший год. И речь более не идёт о возможности взаимодействия по телефону, факсу или через сайт, как это было ранее, а о полноценном подключении к системе мониторинга, обмене данными об инцидентах и выполнении технических требований. Отсюда логично следуют два необходимых шага:

  1. Нужно ещё раз внимательно пройтись по нормативным актам и понять, подпадает ли организация под 187-ФЗ или под требования 152-ФЗ по персональным данным.
  2. Если компания подпадает под 187-ФЗ, важно учитывать, что регулятор может прийти с вполне конкретным запросом по подключению к ГосСОПКА и проверке технического исполнения требований.

По сути, расширение норм — это уже не гипотетический сценарий «когда-нибудь потом». Это устойчивый тренд, который постепенно становится обязательной частью реальности для малого и среднего бизнеса.

Как не надо делать: что ломает безопасность ещё на старте

У малого и среднего бизнеса есть два особенно неудачных подхода к выполнению регуляторных норм — оба приводят к проблемам, просто разного типа.

Первый вариант — это покупать всё подряд «на всякий случай». Иногда компании стараются решить вопрос деньгами: берут любое средство защиты, которое нашлось в интернете или которое продал настойчивый интегратор. В результате появляются дорогостоящие решения, которые либо не нужны, либо не подходят под реальные требования. Получается перегруженная система, которая тратит бюджет, но не делает безопасность качественнее. Это попытка «перестраховаться», которая часто превращается в лишние расходы без результата.

Вторая крайность — просто ничего не делать, рассчитывая на то, что отсутствие защиты обойдётся дешевле. Эта стратегия давно устарела. Штрафы по 152-ФЗ теперь рассчитываются от оборота и капитала — суммы могут быть сопоставимы с годовой прибылью небольшой компании. То, что раньше можно было решить деньгами, сейчас может стоить бизнеса.

Обе стратегии ведут в тупик: в одном случае компания переплачивает, в другом — резко увеличивает риски.

Как выполнить требования законодательства: три ключевых направления для МСБ

Для малого и среднего бизнеса в России решение задач по информационной безопасности в 2025 году сопряжено с исполнением трех основных направлений законодательства. Важно не пытаться закрыть всё сразу, а понять, какие из них применимы к деятельности вашей организации, и действовать целенаправленно.

1. 152-ФЗ «О персональных данных» — касается почти всех

Кто обязан соблюдать: практически любая компания, которая собирает данные клиентов (даже только имя и телефон для записи), работает с данными сотрудников или партнёров.

Суть требований: Вы — оператор персональных данных (ПДн), законом закреплена ваша обязанность защищать обрабатываемые ПДн от несанкционированного доступа и от утечек. Перечень применяемых мер зависит от объема и типа обрабатываемых ПДн.

Что нужно сделать — базовый минимум:

1) Получать согласие на обработку ПДн от клиентов и сотрудников (через форму на сайте, подписанный документ; ст. 9 152-ФЗ).

2) Определить требуемый уровень защиты: провести инвентаризацию, сформировать перечень информационных систем (ресурсов) и обрабатываемых в них персональных данных. На основании полученной информации определить уровень защищённости (постановление Правительства от 01.11.2012 № 1119).

3) Издать обязательные документы:

o Приказ о назначении ответственного за обработку ПДн (п.1 ч.1 ст. 18.1 152-ФЗ).

o Политика обработки ПДн (публичный документ, должен быть размещен на сайте) (п.2 ч.1 ст. 18.1 152-ФЗ).

o Описание системы защиты ПДн (внутренний документ, где перечислены принятые меры; потребуется для заполнения уведомления в Роскомнадзор в соответствии с п. 7 ч.3 ст. 22 152-ФЗ).

4) Разработать комплект организационно-распорядительной документации (ОРД). В качестве начального этапа допустимо реализовать «нулевые меры» из Приказа ФСТЭК № 21 — это набор организационных документов (регламенты по инцидентам, управлению доступом, резервному копированию и т.д.), которые не требуют внедрения дорогостоящих средств защиты безопасности, но систематизируют обеспечение ИБ и строят основу для ИБ как постоянного процесса.

5) Со всеми сторонними сервисами, которые имеют доступ к вашим ПДн (хостинг, облачная CRM, рассылочный сервис), необходимо заключить договор поручения обработки ПДн. Это перекладывает на них часть ответственности по закону. Договор должен транслировать те же требования в части обработки ПДн, которые вы соблюдаете в соответствии с установленным уровнем защищённости (ч.3 ст. 6 152-ФЗ).

6) Уведомить Роскомнадзор: Подать уведомление об обработке ПДн на сайте Роскомнадзора (есть исключения, например, если обрабатываются только данные сотрудников для трудовых договоров; п.1. Ст. 22 152-ФЗ).

К чему стремиться: для повышения зрелости и доверия партнёров, а также соблюдения требований законодательства, необходимо реализовать меры соответственно установленному уровню защищенности.

  1. 187-ФЗ «О безопасности критической информационной инфраструктуры (КИИ)» —
  2. для субъектов КИИ, а также их поставщиков и подрядчиков

Кто обязан соблюдать:

1) Организации, функционирующие в установленных сферах деятельности (Субъекты КИИ);

2) Поставщики услуг связи, обработки данных для субъектов КИИ; владельцы серверной части систем, функционирующих в установленных сферах деятельности (пример: размещение сервера системы покупки и оплаты билетов, предоставление услуг по модели “Platform as a service” (PaaS);

3) Компании, являющиеся подрядчиками организаций, выполняющих работы по гособоронзаказу (в части поставки работ, услуг и продукции в рамках контракта по гособоронзаказу).

Как проверить: если вы оказываете ИТ-услуги (хостинг, облачные серверы, техподдержку, разработку, обслуживание сетей) организациям в установленных сферах деятельности, спросите у вашего заказчика:

  • Является ли он субъектом КИИ?
  • Размещены ли на вашей ИТ-инфраструктуре компоненты объектов КИИ Заказчика?
  • Какие категории значимости присвоены таким объектам?

Сферы деятельности субъектов КИИ: здравоохранение, наука, транспорт, связь, энергетика, государственная регистрация прав на недвижимое имущество и сделок с ним, банковская сфера и иные сферы финансового рынка, топливно-энергетический комплекс, атомная энергетика, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая промышленность, металлургическая промышленность, химическая промышленность.

Что нужно сделать, если вы попадаете под сферу действия 187-ФЗ:

  • Провести категорирование систем, функционирующих в установленных сферах деятельности (компонентов объектов КИИ Заказчика, функционирующих на вашей инфраструктуре), и направить результаты во ФСТЭК России (Постановление Правительства от 08.02.2018 № 127).
  • Внедрить организационные и технические меры защиты, соответствующие Приказу ФСТЭК России № 239.
  • Осуществлять мониторинг и реагирование на инциденты в установленном порядке (Приказ ФСБ России от 19.06.2019 № 282).

Важно: Требования 187-ФЗ довольно сложные и комплексные, требуют вложения ресурсов и больших трудозатрат. Главное для МСБ — заблаговременно выяснить отношения с заказчиком из скоупа действия 187-ФЗ, определить риски и заложить эти риски и расходы в стоимость контракта.

3. Приказ ФСТЭК № 117 — для подрядчиков государственных учреждений, государственных органов, государственных унитарных предприятий

Кто обязан соблюдать: Компании, которые являются исполнителями по государственным или муниципальным контрактам и в рамках этих контрактов получают доступ к информационным системам (ИС) госорганов или обрабатывают служебную информацию.

Суть требований: Вы должны обеспечить защиту информации в той ИС, к которой вас допустили, на уровне, требуемом классом защищённости этой ИС.

Что нужно сделать:

1 Выяснить у Заказчика класс защищённости ИС, с которой вам предстоит работать.

2 Подготовить свою инфраструктуру в соответствии с требованиями Приказа № 117 для этого класса. Это может касаться:

  • Использования сертифицированных средств защиты информации (СЗИ);
  • Организации защищённого канала связи;
  • Управления уязвимостями и обновлениями;
  • Обеспечения мониторинга информационной безопасности;
  • Обеспечения защиты от атак, направленных на отказ в обслуживании (DDOS);
  • Соответствия помещений определённым требованиям по физической безопасности: исключение несанкционированного доступа к средствам обработки информации, определение перечня пользователей, допущенных в помещения, контроль физического доступа и т.д.

3 Пройти аттестацию своих объектов информатизации (если Заказчиком предъявлено соответствующее требование) или предоставить заказчику необходимые документы, подтверждающие безопасность (например, паспорт ИС).

Практический совет: При участии в тендере на госзаказ внимательно изучите техническое задание (ТЗ) на предмет требований по безопасности. Их выполнение — ваша обязанность, и затраты на это нужно сразу закладывать в цену контракта.

Почему «пересидеть тихо» больше не стратегия безопасности

Малый и средний бизнес долгое время работал по принципу: «Ну и что, если требования сложные? Максимум — штраф. Заплатим и пойдём дальше». Эта модель была распространена почти повсеместно. Но сегодня она перестала работать сразу по нескольким причинам.

Штрафы больше не символические. Да, суммы выросли. Но главное — сами штрафы перестали быть основной проблемой. Они стали индикатором того, что компания не управляет рисками. И после такого сигнала внимание регулятора обычно только усиливается.

Последствия утечек стали реальными, а не «на бумаге». Раньше истории об утечках воспринимались как что-то далёкое. Сегодня каждый месяц появляются кейсы, когда даже небольшие компании оказываются в новостях. Статистика утечек подтверждает это: по результатам исследования Kaspersky Digital Footprint Intelligence, в 2024 г. сохраняется тенденция роста доли утечек информации в сегменте МСБ — показатель увеличился с 18,1% до 27,8%. При этом большинство инцидентов связано с утечками персональных данных – они составляют 64,8% от общего числа случаев в России. По итогам 2025 г. тренд на увеличение количества утечек из малых организаций сохраняется. Утекшие клиентские данные, договоры, переписка, доступы — всё это мгновенно становится репутационной проблемой.

Клиенты больше не готовы закрывать глаза. Уровень цифровой зрелости вырос. Клиенты стали внимательнее относиться к тому, кому доверяют данные и процессы. Если компания «засветилась» в контексте утечки, партнёр может отказаться от сотрудничества просто потому, что риск слишком высок. Особенно если речь идёт о подрядных цепочках, где МСБ является звеном между крупным заказчиком и его системой.

Потеря доверия бьёт сильнее штрафов. Штраф можно оплатить один раз. А вот восстановить доверие — месяцы или годы. И это напрямую влияет на продажи: клиенты уходят к более защищённым игрокам, партнёры выбирают более надёжных поставщиков, а крупные заказчики исключают компанию из тендеров.

Последствия инцидента стали дороже, чем его предотвращение. Когда бизнес останавливается на несколько дней, когда данные шифруют или крадут — это не только экстренные расходы. Это срыв обязательств, простой сотрудников, разрыв контрактов, потеря клиентов. Даже одна серьёзная атака может легко превысить все затраты на нормальную ИБ за несколько лет.

Источник: https://globalcio.ru/discussion/55823/

Опубликовано

UDV DATAPK Industrial Kit 3.0 получил сертификат соответствия ФСТЭК России по 4 уровню доверия

UDV Group информирует о получении сертификата ФСТЭК России по 4 уровню доверия на свое флагманское решение для кибербезопасности любых АСУ ТП — UDV DATAPK Industrial Kit 3.0. Работы по сертификации успешно завершены в декабре 2025 года. Документ подтверждает, что UDV DATAPK Industrial Kit 3.0. может использоваться организациями, в обязанности которых входит выполнение строгих регуляторных требований к безопасности средств защиты информации, в том числе — субъектами критической информационной инфраструктуры (КИИ) для обеспечения безопасности значимых объектов КИИ.

Сертификат гарантирует соответствие продукта установленным требованиям к системам обнаружения вторжений уровня сети 4 класса защиты (профиль «ИТ.СОВ.С4.ПЗ.») и позволяет использовать UDV DATAPK Industrial Kit 3.0 для защиты конфиденциальной информации и обеспечения безопасности значимых объектов КИИ любой категории значимости, полностью соответствуя требованиям Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и Приказа ФСТЭК России от 25.12.2017 2017 № 239.

UDV DATAPK Industrial Kit 3.0 применяется для защиты конфиденциальной информации, обеспечения безопасности объектов КИИ и опасных производственных объектов на промышленных предприятиях крупного и среднего бизнеса: в энергетике, оборонно-промышленном и агропромышленном комплексах, машиностроении, нефтегазовой и химической и других отраслях.

Также наличие сертификата такого уровня позволяет организациям из наиболее критических отраслей российской экономики применять решение в АСУ ТП любого класса защищенности и выполнить требования Приказа ФСТЭК России от 14.03.2014 № 31.

UDV DATAPK Industrial Kit помогает экспертам по ИБ и АСУ ТП справляться с современными вызовами кибербезопасности и не беспокоиться о влиянии на технологические процессы. Благодаря полной видимости ландшафта, комплексному подходу к выявлению атак и скрытых угроз до момента их реализации и возможности закрыть требования законодательства, c UDV DATAPK Industrial Kit промышленные предприятия могут быть уверены в киберустойчивости своего производства.

«Кибератаки на объекты критической информационной инфраструктуры России не прекращаются, а их количество постоянно растет. Для защиты субъекты КИИ ищут сертифицированные, безопасные и эффективные решения для киберзащиты производственного сегмента. Такие решения должны гарантировать соответствие требованиям российского законодательства. Наличие сертификата ФСТЭК по 4 уровню доверия UDV DATAPK Industrial Kit 3.0 подтверждает, что наше решение полностью отвечает этим потребностям», — отмечает Виктор Колюжняк, директор UDV Group.