«Пострадало порядка 75% серверов и до 90% резервных копий», — CISO RuTube об атаке на видеосервис в 2022 году
Атаки на российские видеосервисы за последние три года кратно увеличились как по количеству, так и по сложности. В частности, платформа RuTube в 2022 году стала жертвой крупой атаки, из-за которой сервис был недоступен несколько дней. Об этом, а также о построении ИБ-архитектуры крупнейшего видеохостинга, рисках кибербезопасности при работе с UGC контентом и многом другом в эксклюзивном интервью для SecPost рассказал Алексей Жуков, директор по информационной безопасности Газпром-Медиа Цифровые Инновации (оказывает услуги по ИБ для компаний ГПМХ).
Сколько человек сегодня работает в ИБ-команде Газпром-Медиа Холдинга (в ГПМХ входят: RuTube, онлайн-кинотеатр PREMIER, ТНТ, «Пятница», «Матч ТВ» и др.)? Какова доля ИБ-бюджета относительно ИТ-бюджета?
— На сегодняшний день в ИБ-структуре «Газпром-Медиа Холдинга» работает более 50 специалистов. Я не могу сказать, что это большой штат, поскольку в составе холдинга находится множество активов и мы обеспечиваем информационную безопасность всех сразу, формируя единый подход к управлению киберрисками и стратегию устойчивости к киберугрозам.
Если говорить о соотношении доли бюджета ИБ относительно ИТ-структуры, то это примерно 12-15% средств. Процентное соотношение бюджетов ИБ-структуры холдинга в целом сопоставимо с уровнем крупнейших российских компаний.
Увеличились ли кибератаки на ваши сервисы за последние три года и есть ли увеличение в 2025 относительно 2024 года?
— Атаки на наши сервисы за последние годы кратно увеличились как по количеству, так и по своей сложности. В абсолютных цифрах на RuTube было совершено более 200 крупных DDoS-атак за 2025 год, но также в прошлом году на нас была совершена одна из крупнейших атак за всю историю «Рунета» мощностью 1,5 Тбит. Отразить данную атаку получилось, сведя простой наших сервисов до нескольких секунд. На пользователей это не оказало какого-то влияния, и также это никак не сказалось ни на функциональности и работоспособности сервисов, ни на каких-либо экономических показателях видеоплатформы.
Если сравнивать 2024 и 2025 год, то рост всех кибератак составил 35%. Увеличение связано не только с геополитической ситуацией и возросшими рисками, но и с ростом тренда на использование искусственного интеллекта (ИИ) злоумышленниками. Сейчас почти любой, даже начинающий хакер может за полминуты создать с помощью ИИ работающий эксплойт, тогда как ранее подобный процесс требовал гораздо больше времени, знаний и усилий. В этом и заключается один из главных рисков, который создает ИИ как технология с точки зрения ИБ. Когда кроме значимых положительных эффектов она несет немалый потенциал использования злоумышленниками. Мы также отмечаем рост атак со стороны малоопытных хакеров, из-за чего общее количество попыток взлома системы увеличивается. Успехом такие атаки вряд ли увенчаются, но определенную нагрузку на наших ИБ-специалистов они также создают.
Мы также внедрили ИИ в наш SOC для упрощения идентификации инцидентов на критичные и более простые. Здесь мы используем как свои разработки, так и технологии сторонних вендоров. Такой подход помогает оптимально настроить инцидент-менеджмент, оперативно выявлять их и выбирать наиболее релевантную стратегию реагирования.
Как увеличение атак отражается на вашей ИБ-стратегии?
— Ежегодно из-за роста атак мы пересматриваем свою ИБ-стратегию – анализируем текущий киберландшафт, новые виды киберугроз, изучаем актуальные тренды и соотносим с развитием и ИБ-потребностями наших сервисов. С учетом всего этого каждый год выстраиваем стратегию для видеоплатформ и других активов «Газпром-Медиа» Крупные компании обычно разрабатывают ее на 3-5 лет, однако из-за быстрого темпа нашего развития мы себе такого позволить не можем.
Ваша площадка обрабатывает большие объемы персональных данных граждан РФ. Какие требования это накладывает на сервис? Каким образом организована их защита?
— RuTube, как крупнейший видеохостинг в РФ, является оператором персональных данных (ПД) в соответствии с ФЗ 152. Мы проводим всю методологическую и технологическую работу с субъектами персональных данных: у нас есть отдельно выделенные специалисты, которые занимаются полным перечнем связанных с работой с персональными данными. Персональные данные пользователей проходят необходимые меры по защите с ФЗ 152 в соответствии с моделью угроз и ФЗ.
Однако в защите ПД, в отличие от защиты ИТ-систем, имеются свои нюансы и специфические требования (какие именно не уточняется, прим ред).
Насколько за последние годы выросла аудитория RuTube? Как в связи с этим поменялись подходы к кибербезопасности?
— В декабре 2025 дневная аудитория RuTube выросла на 23% год к году, до 22,8 млн человек. Сейчас ежемесячная аудитория составляет 85 млн человек. Конечно, и рост аудитории закладывается в ИБ-стратегию: по большей части в увеличение нашего собственного штата. Однако с точки зрения мер киберзащиты почти ничего не меняется. Мы смотрим не на количество аудитории, когда выбираем меры защиты, а на количество рисков. Уровень защищенности и наша готовность к отражению киберугроз остаются стабильно высокими.
Платформа RuTube размещает UGC-контент (пользовательский), в котором также могут быть зашифрованные ссылки или QR-коды с переходом на фишинговые сайты. Проходят ли выкладываемые видеоролики модерацию на фишинг?
— Действительно, есть такие случаи, когда злоумышленник маскируется под пользователя RuTube, шифрует в выкладываемый контент фишинговую ссылку или фишинговый QR-код. Чтобы противостоять этому, у нас есть отдел модерации, который фильтрует весь загружаемый UGC-контент, в том числе на предмет фишинговых или других вредоносных ссылок. В прошлом году было выявлено более 35 тыс. зловредных ссылок, конечно, такие потенциально опасные материалы не проходят модерацию и не выходят на нашей платформе.
Атака мошенника в случае шифровки зловредной ссылки на RuTube, как правило, направлена на обогащение и получение выгоды за счет пользователей площадки. То есть данные ссылки не несут вред самому видеохостингу. Выглядят эти ссылки, как и обычная фишинговая рассылка через почту: «получите 13 зарплату», «улучшите свой ДМС» и т. п. – то есть злоумышленник давит на самое больное. Сегодня хакер – это не просто технический специалист, но и психолог, который понимает, через что можно надавить на людей. И безопасность пользователя здесь – наш безусловный приоритет. Любой подозрительный контент мы не допускаем к публикации.
В мае 2022 года на RuTube была совершена масштабная кибератака, в результате которой сервис не работал несколько дней. Расскажите, пожалуйста, подробно, насколько это возможно, кто и как вас атаковал? Каким образом хакеры проникли в ваши информационные системы? Что вам не хватило в ИБ-инфраструктуре?
— Это была целенаправленная атака, которая шла по нескольким векторам, включая человеческий фактор. На тот момент пострадало порядка 75% серверов и до 90% резервных копий. Бытует мнение, что пострадал и исходный код RuTube, но это не так.
Над восстановлением системы работало несколько команд: ИБ-специалисты, технический и ИТ блоки. В итоге добиться первичного восстановления работоспособности сервиса без особых потерь получилось за двое суток, что, по моему мнению, при таком ущербе – героический труд.
Атака такого масштаба стала возможной из-за того, что для холдинга RuTube на момент 2022 года был новым активом, с очень обширной и гетерогенной ИТ-инфраструктурой, и к тому же с отсутствующей централизацией функции ИБ. Вектор атаки находился на стыке нескольких служб – все это привело к реализации нескольких рисков и атаке. По итогам этой атаки мы увеличили штат ИБ-специалистов, сделали всю ИБ-структуру холдинга централизованной с единым подходом к киберзащите. Ранее у каждого сервиса (RuTube, Premier и др.) была своя собственная ИБ-команда, после атаки в 2022 году ИБ-отдел отвечает за все сервисы «Газпром-Медиа». Помимо этого, технологически не хватало нескольких ИБ-продуктов в структуре RuTube, например, до 2022 года на площадке не было полноценного анализа трафика.
Стоит отдать должное и самим хакерам – злоумышленники «подчищали» свои хвосты так, что даже в случае полного вооружения RuTube средствами кибербезопасности не факт, что они бы были вычислены. Сегодня, спустя почти три года после атаки, мы не можем точно сказать, кто именно из внешних злоумышленников ответственен за атаку на нашу платформу.
Оценивали ли вы ущерб?
— Ущерб от атаки в деньгах сложно посчитать, поскольку остановка процессов на два дня в случае с RuTube не несет таких финансовых потерь, как, например, при успешной атаке на банк. Наши специалисты работали сверхурочно – все понимали важность восстановления площадки.
Какие выводы вы сделали по итогам этой атаки? Расширили ли команду ИБ? Увеличили ли бюджет на ИБ?
— Мы провели глобальную работу над ошибками и это послужило сильным импульсом к кардинальным изменениям по укреплению нашего киберщита и пересмотру стратегии противодействия информационным угрозам. Будет неправильно сказать, что ранее мы не придавали значения ИБ в целом, но по уже вышесказанным причинам это стало возможно. После этого же мы полностью переосмыслили функцию кибербезопасности. Во-первых, была централизована, унифицирована и стандартизирована вся служба ИБ – единые стандарты и правила были необходимы, учитывая масштабность и разрозненность инфраструктуры всех активов холдинга. Мы интегрировали кибербезопасность абсолютно во все процессы внутри компаний, начиная от «идеи» до ее реализации.
Качественные изменения произошли и в команде, и в ее бюджетировании, инвестиции в эту область увеличились в 7 раз, а ИБ стала одним из главных приоритетов в стратегии.
В практическом поле была также проделана большая работа – выстроили эшелонированную систему защиты, внедрены системы по анализу трафика, поведения, защита от веб-угроз и веб-приложений. То есть не только периметральная защита, но и внутренняя.
Стоит отметить также, что в момент атаки на RuTube «Газпром-Медиа Холдинг» не так давно завершил приобретение видеосервиса. На тот момент ИБ и ИТ-системы еще не были окончательно выстроены новым руководством, то есть атака была совершена на этапе перехода и смены менеджмента и акционеров видеохостинга.
После этой атаки и мы, и руководство вывели ИБ-направление в одно из ключевых для всего холдинга: вектор той атаки на сегодня невозможен.
Насколько импортозависима ИБ-система RuTube? Какие задачи решаются с помощью иностранных продуктов, какие с помощью российских? Есть ли трудности в работе с российскими поставщиками, какие именно?
— Мы как крупнейший российский медиахолдинг, включающий видеосервисы с многомиллионной аудиторией, принимаем участие в реализации государственной политики по импортозамещению и защите технологического и информационного суверенитета.
Например, наши системы ИБ импортозамещены на 95%, в их основе используется отечественное ПО. С помощью российских решений у нас ведется мониторинг угроз, анализ трафика, защита от таргетированных атак и вредоносного ПО, и решается много других задач, связанных с кибербезопаностью цифровых сервисов и активов.
Например, ядро системы защиты RuTube от DDoS-атак реализовано на основе решения компании «Гарда» (входит в ИКС-Холдинг), которое с 2022 года обеспечивает защиту большинства магистральных сетей «Рунета». Специфика защиты трафика видеохостинга включает, в том числе, большое количество атак на прикладном уровне, что повлияло на выбор именно этого решения. Оно показало себя эффективным и успешно справилось со всеми возникшими вызовами.
Российские вендоры постоянно совершенствуют свои разработки, предлагают качественные и современные решения в различных областях не только ИБ, но и ИТ в целом. В работе с ними мы не видим каких-то особых проблем. Остальные 5% не импортозамещенного ИБ касается, как правило, «железа», то, чего в данный момент не хватает отечественным решениям – российские продукты пока что не способны «переварить» весь наш видеотрафик. Однако мы внимательно смотрим на появление новых продуктов в этом направлении от российских вендоров.
Если используете ИБ-решения от иностранных вендоров, как происходит техническая поддержка этих продуктов, есть ли сложности?
— Мы практически полностью импортозамещены и процент использования иностранных вендоров минимален, поэтому критических проблем с технической поддержкой данных решений мы не испытываем.
Какие планы по развитию ИБ платформы на 2026 год? Как изменится ИБ-бюджет и количество сотрудников в ИБ-команде?
— Ежегодно мы пересматриваем нашу ИБ-стратегию с учетом актуальных рисков, факторов и требований российского законодательства. Будем продолжать развивать отказоустойчивость сервисов, увеличивать скорость реагирования на инциденты, а также работу по их оперативному выявлению. Главный стратегический приоритет – это надёжность работы цифровых платформ, доступность контента и защищенность пользователей. Мы закладываем рост атак, поскольку, как я уже отмечал, мошенники начали активно использовать ИИ, что позволяет даже малоопытному хакеру пробовать свои силы. Также многое будет зависеть от геополитической обстановки – «положить» RuTube одна из целей хактивизма, и этот потенциальный риск мы также учитываем.
С нашей стороны – мы намерены продолжать развивать свою ИБ-систему. В 2026 году бюджет на ИБ мы увеличили на 10% относительно 2025 года, также планируется увеличить штат ИБ-специалистов еще на 10-15%.
