«Часто говорят, что злоумышленники осваивают новые технологии быстрее, чем ИБ-специалисты. Логика в этом есть. У нападающих по умолчанию более открытое мышление, нет условий решения задачи, нет нормативных ограничений и корпоративных стандартов. Зато есть полная свобода выбора инструментов и методик. Любая регуляция — будь то требования ФСТЭК, стандарты использования ИИ или корпоративная этика — это «гири» для специалиста по информационной безопасности. Необходимые, но тормозящие.
И это не абстракция. Порог входа в технологии взлома сегодня упал до минимума. То, что называется «скрипт-кидди» [термин для обозначения неопытных хакеров, которые используют готовые скрипты без понимания принципов работы программного обеспечения и ИБ – ред.], теперь доступно даже подросткам без знаний. Причина проста: у них в помощниках — искусственный интеллект. Раньше в их арсенале были скрипты, выложенные более опытными товарищами. Сегодня — смекалка и правильно написанные промпты. Результат — многообразие совершенно невообразимых средств нападения, способных обходить и средства обнаружения вторжений, и антивирусные программы. Они мимикрируют под действия легитимных пользователей, понимают паттерны поведения и притворяются ими. В таких условиях традиционные подходы к защите часто бессильны.
Остается только одно — думать, как нападающий. Именно поэтому так важно «белое хакерство». Чтобы защититься от фрода, нужно понимать, как он работает. Белые хакеры — это технические аудиторы нового поколения. Они не просто ищут уязвимости, они показывают, где узкие горлышки и что именно нужно поменять, чтобы система не ломалась под реальным давлением.
Если говорить о технологиях, влияющих на уровень ИБ сегодня, то начну от обратного — с того, что, на мой взгляд, не работает, но звучит громко. Например, квантовые технологии. Для коммерческого использования это все равно что летать на сверхзвуковом самолете на работу: можно, но дорого и непонятно зачем. С блокчейном чуть проще, хотя на рынке все чаще говорят о его «смерти». Теоретически сценарии его применения в сфере ИБ можно придумать, но на практике об этом почти никто не знает. На слуху разве что инициатива с цифровым рублем — и то это скорее про финтех, чем про ИБ.
А вот в сфере ИИ есть подвижки. Он снимает с пользователей рутину там, где человеческого внимания не хватает, чтобы сделать «на пятерку». Под автоматизацию первыми попадают линии технической поддержки и аналитики невысокой квалификации — для написания поисковых запросов, выявления девиантного поведения. Алгоритм, благодаря ретроспективной насмотренности, может четко сказать: это действие типично или нет для пользователя.
Все эти задачи могут, должны и будут передаваться аналитическим моделям. Причем не столько большим языковым моделям (LLM), сколько узкоспециализированным нейросетям, которые не анализируют весь интернет, а работают в контексте конкретной задачи. Это не сверхмозг — это просто эволюция технологий.
Тормозит же массовое внедрение ИИ как раз уровень развития технологии. Даже если «бредогенерация» происходит в одном случае из десяти — суть не меняется. В кейсах, связанных с ИБ, такой диалог особенно рискован. На простенький запрос можно получить связный ответ, а вот там, где модели не хватает контекста, — вполне реальна галлюцинация. Поэтому самый рабочий подход сегодня — «доверяй, но проверяй».
Масштабных публичных кейсов успешного внедрения новых технологий в ИБ пока крайне мало. Инструменты ИИ массово распространены, но процент суперуспешного внутрикорпоративного применения, которое вывело бы бизнес на новый уровень, близок к нулю. Сейчас, возможно, время не революций, а эволюций. Компании только учатся эффективно управлять своими данными, внедряют приземленные и практичные инструменты. Многим еще предстоит пройти путь до высокоинтеллектуальных упражнений с ИИ. А перепрыгнуть этап сбора и накопления данных невозможно — это топливо, без которого ничего не поедет.
Не менее важна и просветительская работа. Сегодня в тренде — спрятать «под капот» все, что касается защиты, чтобы пользователь продолжал чувствовать себя в безопасности. Максимум — поставить галочку, что ознакомился с политикой конфиденциальности. По сути, это удобство в обмен на приватность, а иногда и на безопасность. Это атрибут цифровой экономики, но параллельно нужно объяснять людям, как грамотно использовать ИИ: не только как извлекать выгоду, но и как не навредить себе и другим. Если этого не делать, человеческий мозг со временем может перестать строить даже простейшие логические связи.
Что касается правового регулирования — здесь тоже все неоднозначно. В мире кибербезопасности есть термин «бумажная безопасность», но практическая, эффективная безопасность не всегда связана с выполнением нормативов. Более того, бизнесу порой просто не хватает ресурсов на выполнение всех требований — особенно когда они противоречат друг другу. Но есть и работающие вещи. Например, требования к процедуре разработки и проверки средств защиты. Они выравнивают и бизнес-процессы, и применяемые технологии.
Идеальная модель взаимодействия государства, бизнеса и граждан — это симбиоз: объяснить правила — и дать работать по ним. В каких-то вопросах он уже выстроен, но компромисс между тем, что «было бы здорово», и реальной регуляцией — сложный путь.
Здесь мог бы помочь беспристрастный ИИ, в «совете директоров» которого — ключевые эксперты отрасли, руководители предприятий и представители государства. Такая цифровая коллегия, способная услышать и сопоставить все мнения, чтобы вынести оптимальное решение. Возможно, именно так мы сможем выйти на новый уровень цифрового доверия — не через страх и запреты, а через понимание, сотрудничество и технологическую зрелость».
Проект реализован на средства гранта Санкт-Петербурга.
