«Некролог в рассрочку» для «классических вендоров»: экс-техдиректор Positive Technologies предрек, как ИИ-агенты изменят ИБ-индустрию

Повальный вайб-кодинг обесценивает значимость кода: он уже перестал быть уникальным преимуществом для ИБ-компаний, следует из манифеста основателя CyberOK и экс-техдиректора Positive Technologies Сергея Гордейчика. Основная тяжесть от этого удара по индустрии ляжет на «классических продуктовых вендоров» со штатом в 200–2000 человек. Они недостаточно велики, как инфраструктурные гиганты, и не так гибки, как крошечные стартапы. Одно из ключевых полей битвы за ИБ-рынок завтрашнего дня — это способность компании быстро внедрить проект в системы заказчика, при этом так, чтобы регулятор остался доволен.

Гордейчик назвал свой материал «Манифестом созидателя» — складывающуюся на рынке ситуацию он называет «возвращением к истокам». По его мнению, индустрия ИБ выросла из любопытства к возможностям информационных систем в 1990-е годы, и только после этого она «обросла процессами, квартальными планами, инвесткомитетами, шестимесячными due diligence, архитектурными комитетами, ISO-сертификациями на процессы написания документации о процессах написания документации».

Автор манифеста призывает строить те решения, что способны решить реальную проблему. «Покупайте скорость, убивайте то, что не работает, — пишет Гордейчик. — Верните право последнего слова тем, кто строит, а не тем, кто сводит Excel для следующего заседания».

«Когда и кодить-то особо не надо»

Гордейчик отмечает, что агенты удешевляют софт, но не удешевляют дата-центры, пиринг, scrubbing в десятки терабит и отношения с регуляторами. Чем выше барьер по капитальным затратам и плотнее регуляторная обвязка, тем безопаснее ниша — крупные игроки живут, лишь консолидируются жестче, а мелкие компании, которые будут сдаваться, будут скупаться. Также выживут и решения по типу «мозгов в коробке» для B2B и B2G — это доверенные платформы, в которых агенты уже «обвязаны identity, compliance, аудитом, страховкой и сертификацией». Гордейчик подчеркивает: enterprise и госсектор не купят агентов россыпью, но купят коробку, за которую можно засудить. Это ниша, за которую в ближайшие несколько лет будет идти ожесточенная борьба.

«Классический продуктовый вендор на 200–2000 человек с трёхлетним планом развития, продающий коробки через дистрибуцию, вымирает первым. Он не так гибок, как одиночка, и не капиталоёмок, как инфраструктурный гигант. У него нет ни регуляторной защиты, ни собственных данных. У него есть только продукт, который теперь собирается за квартал. Это некролог в рассрочку», — пишет Гордейчик.

«Я думаю, что это некоторое преувеличение, что одиночка что-то соберет за месяц. Хотя вопрос, что это за одиночка, конечно», — комментирует манифест для SecPost руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин. Однако он соглашается, что рутинные задачи кодинга автоматизируются уже очень давно и пришли сейчас к некоему итогу, «когда и кодить-то особо не надо».

«Тяжело придется новым решениям, которые только пробивают дорогу на рынок, конкурируя с уже известными продуктами. А вот популярным решениям как раз и придётся переходить на новую модель разработки, чтобы не сойти с дистанции», — считает эксперт.

Гордейчик отмечает, что «середина» рынка связана с долгими сроками разработки и тестирования. Полунин также считает, что если цикл выпуска продукта занимает год, затем пилот длится несколько месяцев, и еще год уходит на внедрение и аттестацию, то «проигрыш агентной модели неизбежен».

Ведущий бизнес-архитектор направления генеративного ИИ «Рексофт» Данил Привал также отмечает, что на горизонте 2–3 лет у среднего ИБ-вендора остаются шансы там, «где ценность не в самом коде, а в глубокой интеграции в контур клиента и отраслевой специализации». Можно быстро собрать новый «сканер», но продукт, который глубоко встроен в процессы, точки принятия решений и инфраструктуру клиента, заменить гораздо сложнее.

«Главный KPI выживания правильнее считать не в релизах и не в количестве проданных лицензий, а в доле клиентов, у которых продукт стал рабочим слоем инфраструктуры. То есть сколько крупных заказчиков не просто купили продукт, а реально завязали на него свою эксплуатацию, живут с ним каждый день и продлевают его на следующий цикл», — считает Привал.

Заявления об обесценивании кода эксперт в области ИТ и ИБ компании «Стахановец» Алексей Миронов называет «преждевременными». Миронов отмечает, что на практике ИИ физически не способен самостоятельно писать и поддерживать крупные энтерпрайз-проекты с гигабайтами кода.

«С каждой новой итерацией нейросети теряют понимание сложной структуры, плодят ошибки, архитектурные несостыковки и дыры для хакеров, так как ИИ в принципе не может обеспечить безопасный процесс непрерывной разработки в рамках DevSecOps», — отмечает эксперт «Стахановца».

Классическая вендорская модель среднего размера сохранит жизнеспособность в сегментах, требующих сложной архитектуры, глубокой интеграции и работы с конфиденциальными данными (например, DLP и Identity Management), считает Миронов. Но ключевым фактором выживания для вендоров будет не скорость генерации строк одиночками с агентами, а обеспечение архитектурной надежности и безопасности продукта в долгосрочной перспективе.

«Самоубийство в рассрочку»

К жертвам нового мирового ИБ-порядка Гордейчик также относит пентест, который «станет кнопкой», Bug Bounty превратится либо в конвейер автотриажа, либо в премиум-ложу для «нуликов», серединного сегмента в этом бизнесе не будет. Корпоративный ИТ/ИБ перестанет быть «департаментом, который покупает дорогие игрушки, чтобы говорить «Нет»», пишет Гордейчик.

То же ждет бизнес-модели по схеме «плати за объем» (pay-by-volume). Это касается и SIEM, и DLP, и CAB, и PAM. «Платить за гигабайты в мире, где агент на лету отбрасывает 80% шума — это самоубийство в рассрочку», — пишет автор манифеста.

Массовый отказ от модели «по гигабайтам» начнется в тот момент, когда крупный заказчик увидит, что ИИ действительно стабильно срезает шум, не ломает расследование и это можно закрепить в SLA, считает Привал из «Рексофта». Платить будут за понятный результат — сколько инцидентов нашли, подтвердили и довели до реакции. И бюджетная инерция — далеко не единственный тормоз, считает эксперт.

«Есть и вполне приземленные причины сохранять нынешнюю модель: банкам и телекому по-прежнему нужно долго хранить логи, иметь след для аудита, расследований и разговора с регулятором и надзорными органами», — считает Привал, отмечая, что статус-кво держится не только на привычке, но и на том, что модель «от результата» пока плохо стыкуется с требованиями к хранению и разбору событий.

Миронов из «Стахановца» также считает, что массовый отказ от лицензирования SIEM и DLP тормозится не инерцией бюджетов, а жесткими требованиями в ИБ. Доверять ИИ самостоятельное принятие решений в работающих системах крайне опасно, считает эксперт. Он также приводит в пример события марта–апреля 2026 года, когда в Amazon инструменты на базе ИИ, допущенные до продакшена, подвергли потенциальной угрозе около миллиона пользователей и обошлись компании в ущерб более чем $490 млн потенциальных продаж.

Описываемый Гордейчиком сценарий может реализоваться только если доверие к ИИ будет на уровне CISO и регуляторов — никто не подпишется по SLA, в котором написано, что «мы сами за вас отфильтровали всё ненужное», считает Полунин из «Газинформсервиса». Другой важный фактор заключается в том, что требования к тому же логированию довольно жесткие, и на это есть причины — лучше перебдеть.

«Никто не хочет оказаться в рамках ретроспективного расследования инцидента перед консолью, где отсутствует 90% логов, потому что так решил ИИ», — убежден эксперт.

«Steam для ИБ»

Гордейчик обращает внимание на то, что в мире, «где пентест делается за вечер, а compliance-чекер за два», возрастает роль стоимости внедрения. Установка решения в корпоративный контур может занимать минимум три месяца. Дельта внедрения — и есть «главный оставшийся барьер», а не код. Автор манифеста видит узловую точку в «Steam для ИБ» — среде, в которой на внедрение нового модуля будет уходить две кнопки, а не целый квартал.

«Кто построит такой слой первым в регулируемом контуре — забирает не рынок одного продукта. Забирает право быть точкой входа для всех остальных. Это и есть ЦУП в зрелой форме: снаружи — витрина для клиента, внутри — среда для созидателей, которые приносят «скилы», «думалки», «решалки». Стыкуются через единую шину, политики и аудит», — считает Гордейчик.

Как полагает Миронов из «Стахановца», подобную платформу в российском регулируемом контуре первыми смогут создать государственные экосистемы в плотном партнерстве с крупнейшими облачными провайдерами, обладающими госаккредитацией. Роль внедренцев и кастомизаторов скорее всего займут крупные системные интеграторы, поскольку именно на уровне суверенных облаков сегодня концентрируется необходимый вычислительный, административный и регуляторный ресурс для стандартизации аттестаций.

«Однако важно понимать, что ответственность за потенциальные утечки все равно ляжет на конечного заказчика, поэтому бизнес будет с большой осторожностью относиться к «двухкнопочным» решениям, требуя глубокого аудита подключаемых модулей», — подчеркивает Миронов.

Еще лет 10 назад эксперты массово уверяли в неизбежности перехода в облака, но встали серьезные препятствия, вспоминает Полунин из «Газинформсервиса». «Доверие облакам крайне невелико, а вот позиция регулятора — довольно жесткая», — поясняет эксперт. При использовании ИИ речи о полном контроле над контуром тоже не идет, и Полунин задается вопросом: какие же будут новые аргументы у вендоров, чтобы изменить это отношение?

«Да, в РФ, с ее регулированием, может появиться консорциум, который объединит в себе и облако, и сам продукт, и даже методики расчета рисков, но что-то мне подсказывает, что это даже не обсуждается пока», — отмечает эксперт.

Привал из «Рексофта» полагает, что стартовое преимущество сейчас будет скорее у госаккредитованных облачных провайдеров, чем у интеграторов или государственных систем как таковых. Дело в том, что именно облако контролирует базовый слой сразу целиком — и доступы, и сеть, и хранилища, и API. Облачные провайдеры, таким образом, могут дать «compliance «из коробки»».

«Государственные экосистемы могут быть сильны в отдельных суверенных сценариях, но в среднем они медленнее по продуктовому циклу. Поэтому первыми, скорее всего, окажутся не те, кто лучше всех пишет код, а те, кто раньше других соберет аттестованную платформу с понятным порталом соответствия и готовыми шаблонами безопасного подключения», — считает Привал.

«Битва за стандарт» и «театр регуляторного абсурда»

Несмотря на рост рынка информационной безопасности, в нем «происходит тихая катастрофа, о которой пока никто не говорит», пишет Гордейчик. Современные регуляции построены на принципе «один деятель = один человек», но это не ограничение, а базовое допущение. Автор приводит примеры:

• PCI DSS требует уникальной идентификации каждого человека с доступом к платежным данным, но что, если распоряжаться ими будет не человек?
• NIST SP 800-63 — полностью построен на модели «абонент = человеческий человек».
• ФСТЭК и ЦБ РФ работают с терминами «пользователь», «субъект доступа», где субъект предполагается человеком. ГОСТ 57580 требует MFA для критичной инфраструктуры. Но когда у вас 500 агентов, делающих платежные операции, MFA теряет операционный смысл.

«Ни один крупный регулятор не готов к миру, где половина идентичностей — не человеческие», — подчеркивает Гордейчик. По итогу возникают два одновременных процесса. Первый — это «битва за стандарт», под которой подразумевается гонка вендоров, при которой та компания, что сможет первой прийти к регулятору с готовой моделью, словарем, процедурой аудита, сможет, по сути, написать регулирование под свой продукт. Второй процесс автор манифеста называет «театром регуляторного абсурда», при котором организации подтягивают требования 2010 года к реальности 2026-го. Агенты будут оформляться как сервисные утечки, цепочки делегирования не будут логироваться, аудитор не будет знать, что спрашивать, а CISO — что отвечать.

«Так продолжится до первого громкого инцидента. После — паническое регулирование, написанное за неделю и плохо совместимое с реальностью», — пишет Гордейчик.

Полунин из «Газинформсервиса» и Миронов из «Стахановца» сходятся во мнении, что «черный лебедь» для регуляторики ИИ скорее всего будет связан с крупным объектом КИИ, который приведет к серьезным последствиям на государственном уровне. Однако Миронов также полагает, что достаточно резонансным инцидентом может стать и особенно крупная утечка масштабом в миллионы записей — но не по вине хакеров, а из-за внутреннего автономного ИИ-агента с избыточными правами.

Полунин считает, что по инерции статус-кво будет сохраняться довольно долго. А Миронов отмечает: российские регуляторы традиционно действуют проактивно. Но на формальную адаптацию стандартов под инвентаризацию агентских идентичностей потребуется еще около двух лет для накопления технической практики.