В современном мире информационная безопасность — один из ключевых аспектов национальной безопасности и устойчивого развития. Новые угрозы в цифровой среде требуют комплексного подхода. Почему ИИ усилит, но не заменит потребность в кибергигиене и необходимость классических мер и средств защиты? Об этом порталу PLUSworld рассказывает заместитель генерального директора Angara Security, директор Angara MTDR Тимур Зиннятуллин.
В последние годы значимым вызовом и одновременно инструментом стал искусственный интеллект (ИИ). Он используется как для автоматизации злонамеренных процессов, так и для совершенствования систем защиты. Активное внедрение ИИ в различные сферы жизни ускоряет процессы, но параллельно растет число этических и сугубо практических вопросов безопасности.
Спрос на базовые СЗИ и кибергигиену останется и вырастет
В России сформировалась зрелая отрасль информационной безопасности с широким спектром продуктов и услуг, которые постоянно дополняются инструментами на основе генеративных нейросетей и больших языковых моделей. Однако, как отмечает эксперт, национальный цифровой ландшафт крайне неоднороден: компании существенно различаются по уровню зрелости ИБ и применяемым подходам к защите своих сетей.
Дальнейшее развитие технологий искусственного интеллекта приведет к росту спроса на уже известные, достаточно базовые средства и меры защиты. Этот вывод сделан на основе статистических данных, полученных экспертами Angara Security в рамках выездных реагирований на инциденты.
Практически каждый третий инцидент, с которым сталкиваются специалисты по реагированию и цифровой криминалистике, не связан с эксплуатацией уязвимостей нулевого дня или сложными ИИ-атаками. Основные причины — своевременно не проведенная инвентаризация цифровых активов и доступные извне управляющие протоколы. То есть все то, что было актуально еще 14 лет назад.
Таким образом, необходимо уделять повышенное внимание базовой кибергигиене и внедрению традиционных мер защиты параллельно с развитием передовых технологий, особенно на фоне новых рисков, связанных с бесконтрольным использованием ИИ сотрудниками на рабочих местах.
Так ли безобиден запрос в ChatGPT?
Сегодня злоумышленники меняют вектор атак, смещая фокус с ИТ-периметра на цифровой след. При этом они активно используют новые возможности. ИИ применяется для создания адаптивного вредоносного ПО, способного в реальном времени обходить классические СЗИ, а также для анализа больших данных и сбора информации для целевых атак.
Одновременно растет угроза со стороны рядовых пользователей. Многим кажется безобидным запрос в ChatGPT или другому ИИ-ассистенту, однако каждое такое обращение оставляет цифровой след об организации или человеке, доступный как минимум разработчику модели.
Согласно исследованию Иллинойского университета, языковая модель GPT-4 после специального обучения продемонстрировала способность самостоятельно эксплуатировать уязвимости нулевого дня. При этом, как напоминает эксперт, создатели популярных больших языковых моделей за рубежом зачастую являются сотрудниками силовых ведомств или тесно сотрудничают со спецслужбами, что повышает уровень потенциальных угроз для организаций по всему миру.
Стандартизация подходов и терминов — ключевой вызов
Следует указать на системную проблему интеграции новых решений. Важно стандартизировать форматы не только входных, но и выходных данных для бесшовного встраивания инноваций в эшелонированную защиту.
К сожалению, за последние 10 лет мы, как индустрия информационной безопасности, так и не смогли до конца договориться о единых форматах даже начальных данных в области киберразведки — например, индикаторов компрометации (IoC) или сведений об инцидентах. До сих пор параллельно используются несколько стандартов. В случае с искусственным интеллектом, поскольку речь идет о более высокоуровневых и сложных вердиктах и предиктах, договариваться о стандартах необходимо уже сегодня.
Ключевым и болезненным вопросом остается формирование доверенных датасетов для обучения ИИ-систем в сфере ИБ. Компании неохотно делятся подобной информацией, а процесс разметки данных крайне трудоемок. Отсутствие качественных данных для обучения может серьезно замедлить развитие систем и средств защиты на основе ИИ.
Поэтому уже сейчас необходимо активнее работать над выработкой единых стандартов, форматов нормализации и таксономии данных на национальном уровне. В России этот диалог ведется, однако он требует большего внимания к вопросам унификации.
ИИ-ассистенты: не замена, а усиление аналитиков
Отвечая на вопрос о том, заменит ли ИИ дефицитных специалистов по информационной безопасности, эксперт приводит пример из собственного опыта. Уже несколько лет назад автоматизация на базе скриптов и булевой логики (алгебры логики, алгебры высказываний — раздел математической логики, в котором изучаются логические операции над высказываниями) позволила существенно разгрузить операторов.
По его словам, результаты показали, что автоматизация уже около трех лет назад условно заменила одно круглосуточное кольцо мониторинга, то есть сократила нагрузку аналитиков в объеме 5–6 операторов. Это позволило специалистам сосредоточиться на более сложных задачах. Современные ИИ-ассистенты — следующий этап развития: они дают возможность обрабатывать большие объемы телеметрии, анализировать логи и выявлять больше потенциальных угроз. Таким образом, ИИ не заменяет специалистов, а трансформирует их нагрузку, повышая операционную эффективность каждого аналитика.
Развитие ИИ меняет требования к кадрам, но не отменяет основ
Объем знаний в кибербезопасности накапливается стремительно. То, что 10 лет назад считалось продвинутым навыком (например, чтение кода), сегодня стало базовым требованием к выпускнику. Современные студенты уже умеют обучать модели и анализировать их выводы.
При этом остается неизменная составляющая — требования к базовым аспектам: аудиту, инвентаризации, моделям управления доступами и другим фундаментальным процессам. Поэтому важно, чтобы молодой специалист, приходя в компанию, мог реализовать свой потенциал в работе с инновациями, а не «выгорал» в рутинных процессах, которые, тем не менее, остаются критически важными.
В заключение стоит отметить, что ИИ становится мощным инструментом как в арсенале защитников, так и у злоумышленников. Однако он не является панацеей и не отменяет непреложных основ информационной безопасности. Напротив, на фоне роста сложности угроз надежная кибергигиена, грамотная инвентаризация активов и своевременное обновление базовых СЗИ становятся только более актуальными.
Будущее национального цифрового мира — за симбиозом квалифицированных специалистов, фундаментальных практик защиты и интеллектуальных ИИ-ассистентов, работающих в рамках единых стандартов.
Фото: предоставлено автором
