Анна Кулашова, Лаборатория Касперского: Промышленность вышла на первое место по атакам — и это новая реальность

На конференции KICS Conf 2025 в Сочи редакция Anti-Malware.ru взяла интервью у Анны Кулашовой, вице-президента «Лаборатории Касперского» по развитию в России и странах СНГ. Анна рассказала о тенденциях в промышленной кибербезопасности, подчеркнув рост числа атак на промышленные объекты и необходимость интегрированных подходов к защите. Она объяснила работу MLAD (Machine Learning for Anomaly Detection, программный продукт для аналитики и выявления аномалий в работе промышленного оборудования — прим. ред.), обсудила с нами вопросы применения ИИ для снижения нагрузки на специалистов SOC и концепцию открытого XDR.

Сегодня у меня в гостях Анна Кулашова, вице-президент «Лаборатории Касперского» по развитию в России и странах СНГ. Анна, привет.

А.К.: Привет, Илья.

Хотелось бы поговорить о кибербезопасности в промышленности и о рынке в целом. Проводили ли вы оценку сегмента кибербезопасности, связанного с защитой промышленных объектов и сетей, в России и в мире? Какова динамика и перспективы?

А.К.: Начну с некоторых цифр, которые сегодня звучали на конференции. К сожалению, промышленность вышла на первое место по количеству атак. По данным наших аналитиков, она обогнала государственный и финансовый секторы, которые традиционно были основными целями злоумышленников. Это связано с несколькими причинами.

Первая — цифровизация промышленности, происходящая во всём мире. С одной стороны, это благо: автоматизация бизнес-процессов, оптимизация, снижение зависимости от кадрового дефицита. С другой — расширение поверхности атаки и изменение ландшафта угроз.

Цифровизация приводит к объединению корпоративных и промышленных контуров — это второй фактор. Даже раньше, когда промышленные сети были замкнутыми, они подвергались атакам. Теперь с ростом взаимосвязей риски увеличиваются.

Третьей причиной стали атаки через цепочки поставок. Многие предприятия работают с подрядчиками и контрагентами, уровень защищённости которых различается, что создаёт дополнительные точки входа для атакующих.

Наблюдается и рост активности группировок, включая хактивистские, которые нацелены на дестабилизацию инфраструктуры и нанесение ущерба предприятиям.

Всё это отражает тенденцию: промышленность развивается и цифровизируется, но при этом производственная, функциональная безопасность по-прежнему стоит выше кибербезопасности. Важно, чтобы меры защиты не нарушали целостность производственных процессов.

Сегмент промышленной кибербезопасности активно растёт большими темпами: подключаются новые защищаемые узлы, сети, предприятия. При этом компании постепенно повышают уровень зрелости своих систем защиты.

Мне кажется, что кибербезопасность операционных технологий (OT cybersecurity) пока ещё не является насыщенным рынком. Здесь много новых компаний, процессы не полностью отстроены, а уровень защищённости неодинаков.

А.К.: Каждая компания развивается по-своему. У кого-то уже есть внутренние регламенты, кому-то ещё предстоит их пересмотреть. В промышленности циклы модернизации и замены оборудования занимают годы, поэтому внедрение мер защиты — процесс комплексный и длительный. Это задача не только специалистов по информационной безопасности, но и инженеров, специалистов по автоматизированным системам управления технологическими процессами (АСУ ТП), а также руководства.

Многие компании осознают важность этой работы, но реализуют её в соответствии со своими возможностями и текущими приоритетами, включая задачи импортозамещения.

Да, мне кажется, что угрозы все осознают. Но в России значительную роль играет соответствие требованиям законодательства в области кибербезопасности, в том числе выполнение нормативов по защите критической информационной инфраструктуры (КИИ). Указы президента и нормативная база также стимулируют развитие рынка. Как ты считаешь, близки ли мы как зрелый рынок к тому, чтобы требования по кибербезопасности воспринимались не как обязанность, навязанная извне, а как фактор, обеспечивающий конкурентное преимущество — снижение простоев и потерь, что в конечном итоге отражается на стоимости конечной продукции?

А.К.: Да, это напрямую влияет и на стоимость конечной продукции, и на уровень доверия. С одной стороны, за счёт снижения киберрисков можно повысить операционную устойчивость предприятия, если подходить к этому системно и грамотно. С другой — здесь есть более тонкий аспект, с которым, возможно, ещё не научились работать в полной мере. Если компания демонстрирует устойчивость к воздействию различных негативных факторов, в том числе связанных с киберугрозами, это повышает доверие со стороны заказчиков. Это актуально и для сегмента B2B, и для промышленности, где надёжность партнёров имеет ключевое значение.

Производственные цепочки сложны и взаимозависимы. Если один из контрагентов сталкивается с критическим инцидентом в области кибербезопасности и не может обеспечить поставки, это влияет на весь процесс. Поэтому устойчивость и надёжность компании становятся фактором уверенности для партнёров и значимым элементом конкурентного преимущества.

Да, согласен. Потеря доверия может означать потерю рынка: партнёры просто начнут искать альтернативу. Сейчас много говорят об искусственном интеллекте (ИИ) и машинном обучении. В частности, Антон Иванов в интервью со мной рассказывал о перспективах использования GigaChat в решении Kaspersky VM (Kaspersky Vulnerability Management — прим. ред.). Как ты оцениваешь потенциал применения ИИ и машинного обучения в кибербезопасности, особенно промышленной? Может ли это помочь снизить кадровый дефицит?

А.К.: Так же, как и во всей отрасли кибербезопасности. Например, решение с поддержкой первой линии киберразведки KIRA (Kaspersky Investigation and Response Assistant), поставляемое совместно с SIEM KUMA (Kaspersky Unified Monitoring and Analysis Platform), снижает нагрузку на специалистов центров мониторинга (SOC). Инструменты ИИ в управлении уязвимостями позволяют автоматизировать проверки и повышают эффективность.

Отдельно отмечу систему обнаружения аномалий на основе машинного обучения (MLAD). Это решение уже используется на ряде промышленных предприятий и доказало свою эффективность. Оно обеспечивает предиктивную аналитику и даже более сложные функции, поскольку не всегда имеется полная документация на промышленные системы, особенно после 2022 года, когда часть партнёров покинула страну. В таких условиях возникает множество нюансов и сложностей.

Система позволяет восстанавливать бизнес-процессы, включая техническое обслуживание и соблюдение регламентов, а также выявлять аномалии, формировать предиктивную историю и выстраивать рекомендации для операторов. Таким образом, это решение, пришедшее из области кибербезопасности, находит более широкое практическое применение и в поддержке эксплуатационных процессов предприятий.

А готов ли рынок к внедрению ИИ? Недавно мы изучали исследование Массачусетского технологического института (MIT), согласно которому 95 % пилотных проектов по ИИ в бизнесе неудачны. Основные причины — неготовность процессов и персонала. Как обстоят дела у нас?

А.К.: Появление новых технологий всегда вызывает сложности: нужны знания, компетенции и корректная постановка задач. Проблема в том, что для эффективной работы ИИ требуется чётко сформулированное техническое задание или промпт. Это новая компетенция, и специалисты по созданию качественных промптов скоро станут востребованной профессией.

При этом многие российские предприятия демонстрируют зрелые процессы и осознанный подход к использованию таких инструментов. Мы видим, что компании понимают, какие задачи решает ИИ, и применяют его точечно, не заменяя людей, а усиливая их возможности. Ключевой фактор успеха — высокий уровень компетенций инженеров и специалистов заказчика, которые корректно ставят задачи и умеют интерпретировать результаты. Тогда технологии действительно приносят пользу.

Я верю, что условия жизни заставляют применять такие решения. Какой ещё выход? Квалифицированных специалистов не хватает, их число не будет сильно увеличиваться, а работать они не остаются навсегда. Значит, необходимо повышать производительность труда на единицу человеческого ресурса.

А.К.: Ну и производительность труда, и иногда, я уже упоминала, промышленные системы имеют сложности с доступом к документации либо, например, есть системы, которые телеметрию отправляли внешним сервисам, и сейчас этот доступ ограничен. Если обратная связь собиралась через телеметрию, сейчас это невозможно. Решение здесь — цифровые двойники, которые создают параллельные процессы и позволяют получать обратную связь, продолжая техническое обслуживание сложных систем.

Хотел с тобой поговорить об XDR. Почему, мне кажется, это важно? Вы представили продукт Kaspersky Symphony XDR для промышленности примерно 2 года назад. В целом это достаточно дискуссионная тема по активному реагированию и обнаружению угроз в промышленных сетях. Насколько, с твоей точки зрения, рынок готов применять эту концепцию в промышленности, и как реагируют заказчики на предложение?

А.К.: Всё зависит от конкретного заказчика. Промышленность большая, и разные компании находятся на разных этапах готовности. В целом движение идёт в сторону интеграции: заказчики, осознавшие необходимость объединения своих промышленных SOC, действительно заинтересованы. Крупные предприятия с распределённой инфраструктурой особенно ценят такие решения. У многих из них уже есть собственные SOC в корпоративных контурах, и они понимают, как это применимо для промышленной среды.

В целом зрелость в области информационной безопасности на промышленных объектах достаточно высокая. Ограничение чаще связано с другими задачами, но те заказчики, с которыми мы работаем, осознают цели и задачи. Им нужна единая система управления всем оборудованием и единые методы реагирования на возможные инциденты.

Главная необходимость — возможность реагировать быстро. Если для корпоративного контура критичны часы, то в промышленности важны минуты. Скорость обнаружения и реагирования здесь особенно критична. Каждая секунда имеет значение.

Как ты оцениваешь концепцию, которую ваша компания активно продвигает, — платформенность и экосистемность? Для промышленности насколько важен такой подход? Я слышал от нескольких заказчиков, что им это нравится и не смущает вопрос потенциального вендерлока (привязки к поставщику — прим. ред.).

А.К.: Заказчики ценят платформенность и экосистемность. Мы продвигаем концепцию с открытой единой платформой консолей управления (OSMP). Ключевое слово здесь — открытая. Если заказчик выбирает решение полностью у нас, мы гарантируем синхронизацию всех систем, бесшовную работу и интеграцию в рамках нативного XDR подхода.

Если же у заказчика уже есть предыдущие инвестиции, важно, чтобы они не были потеряны. Концепция открытого XDR и открытой единой консоли управления позволяет интегрировать различные системы между собой. Создание таких платформ трудоёмко, но мы активно двигаемся в этом направлении, и заказчики по-прежнему ценят возможность полного выбора инфраструктуры у нас.

Несмотря ни на что, KICS Conf остаётся международной конференцией: сюда приезжают иностранцы, доклады проходят на английском и испанском. Это здорово. Мне интересно понять, есть ли у наших наработок мировой потенциал? Как вы это оцениваете?

А.К.: С точки зрения промышленной кибербезопасности, у нас есть хорошие заделы, и интерес гостей на конференции это подтверждает. Наши отчёты показывают, что атаки на промышленные инфраструктуры учащаются и становятся реальностью во многих странах. Компании и государства начинают задумываться о промышленной безопасности, и нам есть чем поделиться, включая опыт с точки зрения регуляторов. Мы отмечали, что ряд российских регуляторных требований хорошо сформулирован и может быть источником вдохновения для регуляторов других стран.

Есть и наработки по защите — комплексные, потому что кибербезопасность включает людей, процессы и технологии. Мы больше говорим о технологиях, но нельзя забывать про людей и процессы, как всё это выстраивается. Здесь нам есть чем делиться, и иностранные гости проявляют живой интерес: внимательно слушают, задают вопросы, ведут диалог в кулуарах. Всё это подтверждает, что у нас есть большое будущее.

Это здорово. Анна, спасибо тебе за интересную беседу и интервью!