«Не разделяю эйфорию, связанную с ИИ в кибербезопасности» — CISO Beeline Cloud Егор Бигун

По вашим оценкам, как изменились ключевые киберугрозы для российских компаний за последние годы?

— Концептуально подходы атакующих не претерпели принципиальных изменений. Мы наблюдаем рост в количественных показателях: увеличились мощность и продолжительность DDoS-атак, возросла интенсивность стандартных атак. Однако качественного скачка не произошло.

Из каких стран происходят наиболее интенсивные атаки?

— Анализ показывает, что первоисточник многих атак находится за пределами РФ. Однако после 2022 года злоумышленники активно используют инфраструктуру внутри российского сегмента интернета. В результате атаки формально исходят с российских IP-адресов, что делает такие методы защиты, как GeoIP, менее эффективными.

Сталкивайтесь ли вы с атаками, которые вводят в ступор? С таким, от которых действительно сложно защититься?

— Возросла доля целенаправленных атак, нацеленных на анализ и эксплуатацию бизнес-логики приложений. Это не грубые атаки «в лоб», а тщательное изучение, которое часто имитирует поведение легитимного пользователя. Подобные действия сложно детектировать стандартными средствами защиты, и их можно выявить лишь по аномалиям.

Как эволюционировала киберзащита Beeline Cloud?

— Ключевым изменением стал переход от наложения защитных средств к принципу Security by Design — встраиванию безопасности в архитектуру продуктов на этапе проектирования. Мы убеждены, что корректная архитектура может предотвратить до 95% потенциальных атак. Этот подход, однако, влечет за собой основную издержку — увеличение времени вывода продукта на рынок на 5–20%.

То есть главная трансформация — не во внедрении новых технологий, а в изменении процессов?

— Именно так. В отличие от многих коллег, мы не видим сегодня революционного потенциала у искусственного интеллекта для коренного улучшения ИБ. Наша ключевая трансформация — это изменение культуры: специалист по безопасности становится полноценным членом продуктовой команды с самого начала разработки, а не привлекается постфактум. Безопасность закладывается в ДНК продукта через усиленный анализ бизнес-логики.

Как вы оцениваете состояние российского рынка ИБ-решений?

— Оценка неоднозначна. Есть классы продуктов, например, DLP-системы, которые не уступают, а порой и превосходят зарубежные аналоги. Однако в других областях наблюдается отставание.

Есть три ключевые проблемы:

• Производительность: российские вендоры исторически не были ориентированы на нагрузки крупного энтерпрайза.
• Ценообразование: часто стоимость отечественных решений превышает цену зарубежных аналогов, получаемых через параллельный импорт, при разнице в качестве.
• Техподдержка: резкий рост спроса не был подкреплен пропорциональным ростом числа и квалификации сотрудников служб поддержки.

Когда и при каких условиях, по вашему мнению, отечественные ИБ-решения смогут наравных конкурировать с иностранными?

— При условии развития собственной элементной базы и решения проблем с «железом», на выравнивание в аппаратной части может уйти около 5 лет. В программном обеспечении аналогичный срок позволит если не догнать, то значительно приблизиться к зарубежным аналогам по функционалу и качеству.

Какие рекомендации вы могли бы дать российским разработчикам продуктов информационной безопасности, чтобы они в большей степени соответствовали потребностям заказчиков?

— Надо понимать, что разработчики средств защиты – это определенная каста, их не очень много, и они для себя сами принимают решения, что вот это надо делать, а вот этот запрос, с которым пришел заказчик, либо какой-то сложный, либо, по их мнению, не очень актуальный. И принимают решения не продуктологи, а разработчики. Поэтому я дал бы совет просто к этим запросам заказчиков категорически прислушиваться.

Если мы говорим про защиту сети, межсетевые экраны, то это просто даже техподдержка протоколов маршрутизации, протоколов, связанных с VPN. У нас отставание от западных аналогов, так как у нас часть протоколов просто не поддерживаются. А если и поддерживаются, то лишь их предыдущие версии, которые далеко не всегда безопасны. И вот здесь отставание, действительно, немаленькое. В средствах защиты эти фичи, казалось бы, базовые, не реализованы.

Если в частности пойти: удобный сервис VPN-клиентов для удаленного доступа. У нас до сих пор часть вендоров эту технологию не использует. Придумывают что-то свое, либо что-то нативное: например, встроенный в Windows пытаются использовать, что уже немного моветон.

Вернемся к вашей компании. Каков объем и динамика вашего бюджета информационной безопасности? Растет ли он? Какую долю от выручки составляет?

— В нашем случае он растет пропорционально выручке. Но наша ситуация, наверное, не совсем показательная с точки зрения всего рынка.

Есть исследования, что и в мире, и в России бюджет на информационную безопасность в год – приблизительно 8-10% от бюджета ИТ в целом. Эти цифры подтверждаются в ходе общения с клиентами, и мы в них верим. В 2025 году снижение бюджетов на ИБ мы действительно видим. Оно заключается не в отказе от каких-то средств защиты, а в оптимизации, иногда очень жесткой. То есть какой-то запас прочности с точки зрения средств защиты, производительности, часов, аутсорса уже исчерпан. Есть понимание, что в целом бюджеты на ИТ ужимаются, и пропорционально с ними сокращаются бюджеты на информационную безопасность.

Используете ли вы ИБ-сервисы от внешних поставщиков? И в целом как относитесь к аутсорсингу в области информационной безопасности?

— Наше подразделение, отдел сервисов кибербезопасности, по факту занимается аутсорсингом для наших клиентов. Мы к этому относимся хорошо, потому что мы это продаем. При этом, с другой стороны, мы сервисами инфраструктурной безопасности тоже пользуемся. Понятно, что у нас своих компетенций хватает, но есть те истории, когда это просто выгоднее.

Как пример. Допустим, в случае пентестов, это разовый сервис, но все же, мы привлекаем специалистов извне. Вообще, в принципе пентест внутри компании – это далеко не всегда эффективно. Потому что нам нужно выдержать независимость. Есть программное обеспечение в области ИБ, которое мы потребляем по модели SaaS, но это тоже сервис все равно. Когда надо идти за сервисом? Когда тебе это выгодно и когда тебе это удобно. Когда у нас либо то, либо другое, либо все вместе, то мы совершенно не испытываем какие-то внутренние противоречия, потребляя сервис информационной безопасности.

Это тоже интересный момент, ведь внутренние пентестеры могут больше знать о том, где может быть потенциальная уязвимость.

— Не без этого, да, но тогда пентест становится не совсем честным. То есть если внутренние уязвимости мы знаем, мы должны их и так закрывать. Я согласен, это очень спорный момент, но внутренний пентестер как раз может понимать, где тоненько, и полезть туда. И по сути сконцентрировать все свое внимание в той области, то есть у него глаз может быть замылен. Я не говорю, что внутренний пентестер это плохо. При прочих равных я бы имел и внутренних, и внешних пентестеров, еще где-то сбоку. Да, разумеется. Но именно без внешнего пентеста точно нельзя.

Каковы планы развития собственных ИБ-сервисов Beeline Cloud?

— В 2026 году мы планируем запуск трех новых сервисов безопасности. Их ключевое отличие — независимость от облачной инфраструктуры Beeline Cloud. Они будут предназначены для защиты клиентских систем вне зависимости от их места размещения. Мы уже можем анонсировать два из них: это сервис анализа защищенности инфраструктуры и сервис для обеспечения безопасной удаленной работы.

Компания недавно прошла сертификацию ISO. Для чего это было нужно?

— Сертификация заняла 9 месяцев подготовки и 2 месяца самой проверки. Ее цели многогранны. Во-первых, это привлечение клиентов: наличие сертификата критически важно для международных компаний и ряда российских заказчиков. Во-вторых, это повышение доверия, так как сертификат наглядно демонстрирует зрелость наших процессов. Наконец, была достигнута внутренняя оптимизация — процедура позволила систематизировать систему управления ИБ, сделав ее более целостной и эффективной. Мы намерены и в дальнейшем регулярно проходить ресертификацию.

Как вы оцениваете кадровую ситуацию в области ИБ? Есть ли дефицит?

— Если в целом говорить про специалистов, то с ними сейчас плохо. Их очень мало на рынке. Все не очень хорошо и по количеству, и, к сожалению, по качеству тоже. У нас был памп рынка с точки зрения зарплат и так далее. И сейчас далеко не всегда резюме соответствует уровню ожиданий от кандидата. И в таком случае у нас бывает 20-30 собеседований на одну позицию. Причем эта позиция очень среднего уровня.

Как вы относитесь к использованию искусственного интеллекта в ИБ?

— Я не разделяю эйфории по поводу ИИ и категорически против того, чтобы он принимал решения в области безопасности. Текущий уровень технологий не позволяет заменить специалиста. Однако ИИ может быть высокоэффективным инструментом для решения конкретных прикладных задач, таких как анализ больших данных и поиск аномалий. Важно, что такие системы требуют месяцев обучения для достижения приемлемой эффективности, и работать с ними должен опытный специалист. Моя главная опаска — что неверное использование мощных ИИ-инструментов неопытными сотрудниками может привести к деградации их профессиональных навыков и, как следствие, к общему снижению уровня безопасности. ИИ — это не конкурент, а потенциально мощный инструмент в руках профессионала.