Киберустойчивость госсектора: ужесточение законов и еще больше ИИ

На дворе конец 2025 года, и мы продолжаем украшать нашу киберёлку подводить киберитоги и делиться киберпрогнозами. Мы уже вглядывались ^[1] в кибершторм, оценили ландшафт киберугроз ^[2], направленных на Россию в целом. Заглянем в госучреждения и законодательные акты. 

Алексей Батюк

Технический директор по развитию отрасли ИБ

Киберсреда и мотивация массовых взломщиков изменились

В далёком 2022 году государственный сектор был объектом ^[3] почти каждой шестой успешной кибератаки*: было зафиксировано ^[4] 403 инцидента**, на четверть больше, чем годом ранее. Около половины нападений были направлены на официальные веб-ресурсы органов власти. В последующие годы атаки на этот сектор приобрели яркий хактивистский характер. внимание ^[5] общественности к своей акции, то в 2025 году, наряду с традиционными целями, они преследуют финансовую выгоду и совершают более серьезные киберпреступления. Все меньше хактивистов делают громкие заявления об успешных взломах. Проникнув в госинфраструктуры, часть групп занимается шантажом и вымогательством, угрожая ведомствам обнародовать похищенные персональные данные, что чревато для них крупными штрафами — до 500 млн рублей с 30 мая 2025 года.

Один из сценариев, свойственный проправительственным хактивистам, — сначала незаметно собрать ценные сведения для передачи (или продажи) иностранным спецслужбам, а затем дестабилизировать работу госучреждения либо оказать деструктивное воздействие на захваченную критически важную инфраструктуру, вплоть до ее необратимого повреждения.

*_{В Positive Technologies успешной считают кибератаку, в ходе которой злоумышленникам удалось достичь поставленных целей, то есть получить доступ к информационным ресурсам, нарушить нормальную работу или доступность систем, украсть, исказить или удалить информацию. Успешная атака эквивалентна киберинциденту.}

** _{Каждая массовая атака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается Positive Technologies как одна отдельная, а не как несколько}.

Первые серьезные требования ИБ к работе с подрядчиками и интеграции ИИ

Ведомства планомерно встраивают ИИ в системы государственного планирования и управления, в системы управления финансами и бюджетной политикой. Лица, ответственные в госструктурах за исполнение таких проектов, обращаются за консультациями к ведущим игрокам отечественного рынка ИБ: например, их интересуют темы защиты и конфиденциального использование общедоступных больших языковых моделей и их интеграция в корпоративные системы кибербезопасности.

В 2025 году приказ ФСТЭК от 11.04.2025 № 117 значительно расширил меры по защите информации:

🔺 Появились регуляторные требования к безопасности работы с поставщиками ПО, а также с технологиями искусственного интеллекта ^[6], если в государственные IT-системы внедряются решения на его основе.

🔺 Закреплены комплексные требования к безопасному использованию ИИ в государственных и ведомственных информационных системах. Документ обязывает операторов обеспечивать защиту данных, моделей и процессов обучения ^[7] ИИ, применять только доверенные технологии, исключать передачу информации ограниченного доступа разработчикам моделей, а также контролировать корректность запросов и ответов ИИ, включая выявление недостоверных результатов.

Эти нормы фактически формируют новую регуляторную рамку, в которой государственные структуры должны использовать ИИ осознанно, прозрачно и под управлением, исключая риски искажения решений, утечки данных и неконтролируемого влияния алгоритмов на критически важные функции.

Positive Technologies активно участвует в формировании национальных требований по безопасному использованию искусственного интеллекта: наша компания входит в Консорциум исследований безопасности технологий ИИ и принимает непосредственное участие в разработке нормативной базы и методик тестирования доверенных технологий.

Уже в ближайшее время все ИИ-сервисы и средства защиты с ИИ, применяемые в государственных системах и на объектах разрабатываемому ГОСТу ^[8] по безопасности искусственного интеллекта, используемого в объектах КИИ, а также полностью выполнять требования вышеназванного приказа ФСТЭК — от использования доверенных технологий и запрета обучения на служебных данных до контроля достоверности ответов и документирования угроз ИИ.

Безопасность объектов КИИ будет контролироваться жестче

Федеральный закон от 07.04.2025 № 58-ФЗ ^[9] (вступил в силу 1 сентября 2025 года) вводит новую обязанность для субъектов КИИ: теперь они должны информировать НКЦКИ не только о зафиксированных инцидентах*, но и о компьютерных атаках**. Для значимых объектов время уведомления об атаке составляет до трех часов, для прочих объектов — до 24 часов. Таким образом, предоставление отчетности в НКЦКИ носит уже не формальный, а практический характер, отражающий реальное состояние защищенности объектов и их готовность отразить угрозы. Чтобы объекты КИИ соответствовали новым требованиям, на них должны быть установлены корректно работающие средства защиты, налажены процессы ИБ, а контролировать выполнение задач должна команда подготовленных специалистов по киберзащите.

В ближайшее время также будут определены и утверждены перечни типовых отраслевых объектов КИИ с подробным описанием их инфраструктуры и особенностей ее категорирования. Организации, чьи объекты информационной инфраструктуры соответствуют обозначенным характеристикам, автоматически будут внесены в список для прохождения обязательной процедуры категорирования.

*_{НКЦКИ считает компьютерным инцидентом факт нарушения и (или) прекращения функционирования информационного ресурса (ИР), сети электросвязи, используемой для организации взаимодействия ИР, и (или) нарушения безопасности обрабатываемой ИР информации, в том числе произошедший в результате компьютерной атаки.}

**_{НКЦКИ определяет компьютерную атаку как целенаправленное воздействие программных и (или) программно-аппаратных средств на ИР в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой ИР информации.}

Отраслевые центры ГосСОПКА на подходе

Стало известно, что готовится ^[10] нормативно-правовой акт об аккредитации центров ГосСОПКА.

Кроме того, некоторые ФОИВ РФ прорабатывают концепции создания отраслевых центров компетенций по кибербезопасности, которые одновременно будут являться и отраслевыми центрами ГосСОПКА.

Две стороны одной медали: почти полное импортозамещение СЗИ и нехватка экспертов

Уровень импортозамещения решений для кибербезопасности в госсекторе достиг 95–98% ^[12], такие данные приводит ФСТЭК. Практически повсеместно применяются системы отечественных разработчиков. В частности, российские NGFW успешно прошли пилотные тесты и уже находятся на стадии активного внедрения либо в эксплуатации. Однако основной проблемой на объектах КИИ и в госучреждениях остается нехватка квалифицированных кадров в области ИБ, способных обслуживать, настраивать высокотехнологичное ПО и работать с ним.

Интерес злоумышленников к отечественному софту не угасает

Госорганы (и, частично, бизнес) следуют курсу импортозамещения, вследствие чего российские ОС и ПО постоянно находятся в фокусе внимания атакующих ^[13], причем эта тенденция сохраняется с 2022 года.

🔮 По нашим прогнозам, в 2026 году злоумышленники будут еще активнее искать слабые места в них и как можно незаметнее эксплуатировать уязвимости нулевого дня.

Мы также ждем роста количества специализированных хакерских инструментов, нацеленных на опенсорсные Linux-системы и отечественные платформы на их базе.

Эффективным способом укрепления защиты софта, по нашему мнению, является выход российских вендоров, подрядчиков и IT-партнеров на кибериспытания ^[14], которые проводятся на багбаунти-платформах. Эта мера в числе прочего позволит государственным организациям, равно как и другими участникам рынка, регулярно оценивать киберустойчивость инфраструктур самих разработчиков, а значит, и надежность работы с ними.

Острые проблемы регионов и пути их решения

По данным отраслевых исследований,❗на рынке не хватает около 50 тысяч специалистов в области кибербезопасности, тогда как образовательная система ежегодно готовит лишь 8–10 тысяч профильных выпускников, и до 46% вакансий в госсекторе ^[15] остаются незакрытыми месяцами. Официальные лица — как регуляторы, так и представители органов государственной власти — подтверждают масштаб проблемы: в стране ощущается системная нехватка квалифицированных кадров в области ИТ и ИБ, особенно значимая ^[16] для госорганизаций и объектов КИИ. На этом фоне становится очевидной необходимость комплексных мер — от отраслевых центров компетенций до новых федеральных программ подготовки специалистов.

От недостатка квалифицированных ИБ-специалистов особенно страдают регионы: привлекаемые высокими зарплатами выпускники профильных вузов, как правило, переезжают в Москву и Санкт-Петербург. Чтобы улучшить ситуацию, региональные ведомства совместно с крупными вендорами, и Positive Technologies в их числе, запускают образовательные программы, просветительские проекты и другие инициативы, а также открывают филиалы информационно-аналитических центров, чтобы популяризировать на своих территориях направление ИБ, заинтересовать престижной работой и удержать как можно больше местных специалистов.

Еще одним возможным вариантом преодоления кадрового дефицита в сфере ИБ может стать использование MSSP-сервисов; в некоторых регионах госорганизации уже отдали им предпочтение. Однако, несмотря на привлекательность подобной модели, она имеет ряд существенных недостатков именно для владельцев государственных сервисов и субъектов КИИ. Например, крайне сложно, используя такой сервис, соблюдать комплаенс, то есть поддерживать необходимые стандарты безопасности.

В некоторой степени разрешить дилемму может автоматизация. Разумеется, полностью заменить экспертов автоматизированными СЗИ невозможно, однако сочетание мер, включающих подготовку собственных специалистов, применение аутсорсинга там, где это целесообразно, и автоматизацию ежедневных типовых операций служб ИБ — уже сейчас дает хороший результат. Разработчики широко применяют методы и модели машинного обучения, и современные решения для ИБ теперь взяли на себя максимум рутинных задач сотрудников первой и второй линии SOC, передавая экспертам третьей линии детальные отчеты для более глубокого анализа и принятия решений.

Старт непрерывного обучения

Программы обучения сотрудников госучреждений станут регулярными, это важный тренд, укрепление которого мы прогнозируем в ближайшие годы. Предусматривается, что повышать уровень киберграмотности будут не только рядовые госслужащие, но и ИТ-специалисты. В обучении первой группы больший акцент будет сделан на инструктаж о том, как распознать фишинговые письма мошенников и иные попытки атак, проводимых с помощью методов социальной инженерии.

Оценка устойчивости госсектора на практике, с наглядным результатом

Цифровизация ведомств и государственных организаций подразумевает радикальное укрепление их киберзащиты и готовности противостоять нападениям любой сложности. Выбор методов оценки проведенной работы зависит от многих факторов, в том числе от внутренних регламентов со стороны государства. Positive Technologies, со своей стороны, предлагает практический механизм проверки работоспособности внедренных СЗИ в случае хакерских атак — закрытые кибериспытания с четко прописанными заданиями по реализации недопустимых событий для конкретного органа власти (например, сбой в предоставлении услуг населению, небезопасная обработка персональных данных или их утечка). В соответствии со строгими правилами кибериспытаний приглашенные исследователи безопасности остановятся в шаге до завершения неприемлемого сценария, чего достаточно для подтверждения возможности его выполнения. Предлагаемый нами подход позволяет выяснить, гарантирует ли выстроенная система кибербезопасности раннее обнаружение атак и эффективное противодействие злоумышленникам, защищает ли она самые важные и ценные для организации активы.

Выход организации на закрытые кибериспытания дает ответ на вопросы:

🔹 были ли организацией закуплены нужные СЗИ

🔹 сфокусированы ли СЗИ на защите целевых и ключевых систем, взлом которых может поставить под угрозу работу учреждения и привести к необратимым последствиям.

Кроме того, этот механизм через призму конечного результата защищенности дает реальную оценку рациональности вложенных в проект бюджетных средств.

О том, как проходят открытые кибериспытания на платформе Standoff 365 мы много пишем в блоге. В частности, можно почитать свежую статью от команды защиты здесь ^[17]. А вот статьи про взлом СБП ^[18] и системы контроля посетителей PassOffice ^[19].

А мы в скором времени продолжим знакомить вас с киберитогами и киберпрогнозами. Stay Safe & Tune!