Игорь Ляпунов, Солар: Киберустойчивость — это главный запрос бизнеса сегодня

На SOC Forum редакция Anti-Malware.ru взяла интервью у Игоря Ляпунова, старшего вице-президента компании «Ростелеком» по информационной безопасности, генерального директора ГК «Солар». Были затронуты аспекты киберустойчивости бизнеса, включая важность дисциплины, скорости восстановления после инцидентов и поддержания предпринимательского духа в компаниях. Обсуждались уязвимости цепочек поставок, необходимость практической безопасности и рост значимости регуляторных требований, а также влияние ИИ на профиль атак и подходы к защите.

Сегодня AM Live работает на главном событии российской кибербезопасности — SOC Forum. Во второй день форума мы начинаем разговор с Игорем Ляпуновым, старшим вице-президентом компании «Ростелеком» по информационной безопасности, генеральным директором группы компаний «Солар», которая из технологического стартапа выросла в одного из ключевых игроков отрасли. 

У меня первый вопрос: на каком языке вы сейчас разговариваете внутри ГК «Солар»? Это уже корпоративная взвешенность или всё ещё стартаперская скорость?

И.Л.: «Солар» сегодня — это около 2 500 сотрудников. И дух стартапа, конечно, не может равномерно пронизывать всю компанию. Мы стараемся поддерживать энергичное предпринимательское начало, но в значительной части компании это невозможно в полном объёме. Мы несём ответственность за крупные инфраструктуры, под нашей защитой находится фактически половина страны, а кибербезопасность — это дисциплина.

Дисциплина, правильная организация производственных процессов, многоуровневое обслуживание клиентов, обеспечение их киберзащиты — всё это требует строгой структуры. Не хочу использовать околовоенные аналогии, но порядок действительно является фундаментом. При этом в тех направлениях, где речь идёт о развитии бизнеса, создании новых продуктов и творческой работе, мы стараемся сохранять предпринимательский подход. Но ключевое — не внешние проявления.

Важно, что в голове у руководителей: их динамичность, способность адаптироваться. В условиях турбулентности и неопределённости такая подвижность становится решающим конкурентным преимуществом: то, как ты реагируешь на вызовы, как быстро перестраиваешься, насколько оперативно ловишь тренды и используешь возможности, которые открывает кризис. Кризисное время всегда создаёт новые возможности.

Если говорить шире о культуре рынка, понятно, что мы говорим не просто о защите, а об устойчивости. Что такое цифровая устойчивость? Как вы её понимаете?

И.Л.: Когда речь заходит о кибербезопасности, её часто воспринимают как техническую дисциплину. Это действительно технологии и сложные задачи. Но если смотреть глазами бизнеса, ему не интересны технологические детали: какие именно методы, инструменты или искусственный интеллект (ИИ) применяются. Ему нужна непрерывность бизнес-процессов.

Непрерывность обеспечивается комплексом мер. И для многих компаний киберустойчивость — это не абсолютная защищённость, не крепость с толстыми стенами. Многие компании нуждаются в подвижности. А подвижность и максимальная защита — вещи во многом противоречивые. Инциденты возможны — это данность, системы взламывают. Поэтому логичным становится акцент на скорости восстановления.

Главная задача — быстрое выявление атаки, оперативное предотвращение и ограничение ущерба. Есть организации, которые прямо формулируют: да, инциденты возможны, возможны даже остановки. Мы вкладываемся в скорость восстановления, потому что основные потери возникают не в момент проникновения, а в момент простоя.

Киберустойчивость — способность бизнес-процессов функционировать даже при частичном или полном отказе ИТ-систем. И она — это главный запрос бизнеса сегодня.

Поговорим об устойчивости и доверии, о том, что кибербезопасность становится конкурентным преимуществом. Есть ли в России компании, которые уже смогли это реализовать?

И.Л.: Диалог с бизнесом действительно оказался интересным. Я выделил для себя несколько моментов. Первое: у руководителей компаний кибербезопасность сейчас на радаре.

Второе: специалисты по безопасности не умеют общаться с бизнесом. Некоторым руководителям, которые выступали на форуме, пришлось менять несколько поколений безопасников, чтобы выйти в партнёрскую модель. А это сложно. Специалист по безопасности хорошо разбирается в технологии, но он должен понимать и бизнес, который защищает. Это новый необходимый навык.

Если говорить, является ли кибербезопасность конкурентным преимуществом — и да, и нет. Цифровой мир устроен так, что доверие становится ключевой ценностью. Мы не видим, кто находится по другую сторону цифрового канала, и кибербезопасность становится элементом доверия.

Но появляется ещё один важный аспект — конкурентная дифференциация. На рынке потребительского сегмента наблюдается изменение поведения пользователей. Мы, заходя на интернет-ресурс и предоставляя персональные данные, оцениваем надёжность. Недавние исследования показывают, что доверие становится важнее низкой цены.

Бизнес это понимает. Поэтому компании начинают демонстрировать уровень защищённости данных. Забота о клиенте — ключевая ценность на рынке B2C. Операторы связи уже позиционируют себя как безопасные. Банки активно защищают от мошенничества. Это не всегда источник дополнительной выручки, но это элемент привлечения клиента.

Если подытожить, получается, телеком и финтех идут впереди, затем ретейл?

И.Л.: В ретейле, если брать крупные маркетплейсы и агрегаторы, пока мало публичных заявлений о защите данных. Только у Авито были подобные кампании. Но весь ретейл сейчас под серьёзным давлением, и я уверен, что в ближайшие месяцы они также сделают акцент на заботе о клиенте через кибербезопасность.

А кто не догоняет?

И.Л.: Сейчас, на фоне активного роста количества атак, отставание в защите быстро становится очевидным. Специалистам по безопасности уже не нужно никого убеждать. Число атак и величина ущерба таковы, что если руководитель не уделяет внимания защите, последствия наступят неизбежно.

Когда мы говорим о крупном бизнесе, мы используем термин «цепочка поставок». Можно ли выстроить безопасную цепочку, или это лишь красивая концепция?

И.Л.: С цепочкой поставок всё достаточно ясно. За последние полгода практически все крупные инциденты происходили через поставщиков. Причина проста: небольшие ИТ-компании экономят на собственной безопасности, поэтому их инфраструктура уязвима. Но они получают доступ к системам крупных компаний и становятся тем самым «задним крыльцом». Это один из наиболее привлекательных каналов для атакующих.

Рынок активно погружается в эту проблему. Регуляторы готовят значительный массив нормативных требований для подрядчиков. Крупные компании приводят в порядок инфраструктуру подключения. Распространяется концепция нулевого доверия (Zero Trust) — отсутствие доверия к любой подключённой инфраструктуре.

Всё переходит в юридическую плоскость: договоры с подрядчиками включают ответственность за инциденты, произошедшие по их вине.

На форуме вы говорили, что бизнес вкладывается в сложные системы: системы управления событиями безопасности (SIEM), межсетевые экраны нового поколения (NGFW), но периметр остаётся уязвимым. Что это за «бумага», которая всегда должна быть у бизнеса, чтобы хотя бы закрыть базовый периметр?

И.Л.: Основной источник уязвимостей — это отсутствие порядка. Кибербезопасность — это не только о дорогих системах защиты. Базовые меры должны включать равномерный периметр без «дырок», учёт всех администраторов, своевременную блокировку доступов, отсутствие избыточных привилегий. Мы называем это «нудным кибербезом». Это ключевой уровень, без которого сложные системы обнаружения и предотвращения атак не спасут от профессионального злоумышленника.

Регулятор тоже усиливает требования. Как изменилась позиция регуляторов и чего ждать от них в 2026 году?

И.Л.: Позиция регулятора существенно изменилась. Федеральная служба по техническому и экспортному контролю (ФСТЭК) России внимательно отслеживает изменения в киберпространстве, потребности отрасли и бизнеса. Сейчас практически все изменения законодательства, включая документы ФСТЭК России, Министерства цифрового развития, связи и массовых коммуникаций и Федеральной службы безопасности России, проходят обсуждение с рынком.

За последние 3 года произошёл значимый сдвиг. В 2021–2022 годах преобладала «бумажная безопасность», когда наказание следовало не за инциденты, а за несоответствие требованиям. Сейчас ответственность наступает за реальные инциденты и ущерб. Это сместило фокус с формального соответствия в сторону реальной защиты. Введены оборотные штрафы за утечки персональных данных: бизнес видит прямые финансовые риски. Для критической инфраструктуры наступает уголовная ответственность.

Нормативная база постепенно становится более гибкой. В центре внимания оказывается реальная эффективность защиты, а не формальные предписания вроде необходимости приобрести сертифицированный межсетевой экран. Регулятор всё чаще концентрируется на требованиях к безопасной разработке, которая является ключевым элементом построения защищённых систем. Изменения идут в сторону практической, результативной безопасности.

И я доволен, что действующая регуляторная система стала значительно более восприимчивой к реальным потребностям.

А что ждать рынку в 2026 году? Мы ещё ни разу не упомянули искусственный интеллект.

И.Л.: Искусственный интеллект оказывает заметное влияние. Количество атак растёт на 20 % в год. Это не критично, но меняется профиль: простых атак становится меньше, сложных — значительно больше.

Искусственный интеллект стал инструментом атакующих, снижая порог входа. Раньше для проведения сложной атаки требовались серьёзные знания и дорогие инструменты. Теперь ИИ даёт рекомендации и инструкции, и атакующих становится гораздо больше.

Даже в области атак отказа в обслуживании (DDoS) наблюдаются серьёзные изменения. В 2022 году мы считали, что атака в 3 Тбит/с является критической. В 2025 году была зафиксирована атака мощностью 11,5 Тбит, и нам удалось её отразить. Это наглядно демонстрирует рост возможностей атакующих.

А безопасники справятся с киберпреступниками, использующими ИИ? Или нужны новые специалисты?

И.Л.: В одиночку — нет. Атаки, основанные на машинном обучении, по сути такие же, как любые другие, но их становится очень много. С учётом дефицита специалистов и масштаба автоматизации у злоумышленников отражать их вручную будет сложно.

Со временем искусственный интеллект войдёт в ядро кибербезопасности. Сейчас он работает на периферийных задачах: рекомендации, выявление аномалий и др. Основная роль — за человеком. Переход к полноценному применению ИИ — это технологическое и организационное усилие.

Если подводить итоги года, чего ожидать в 2026 году? Искусственный интеллект, атаки — что ещё?

И.Л.: Количество атак будет расти. Бизнес будет под большим давлением, поскольку злоумышленники стремятся монетизировать атаки: вымогательство, хищение денег, разрушительные воздействия.

Для специалистов по безопасности наступает непростое время: бюджеты сокращаются вместе с экономикой. Придётся искать способы получать больший результат за меньшие средства. Такие периоды всегда стимулируют нестандартные решения и развитие технологий. Поэтому 2026 год будет сложным, но интересным.

Мы говорили, что отрасль прошла уникальный путь. Сможем ли в 2026 году говорить о выходе на экспорт технологий? Или будем развиваться внутри страны?

И.Л.: На большой трибуне можно было бы сказать, что кибербезопасность — главный несырьевой экспортный продукт России. Но объективно — нет. У нас действительно уникальная экспертиза, знания, опыт противодействия угрозам. Запрос есть и от дружественных, и от недружественных стран. Но проблема в том, что зарубежные рынки зрелые и требовательные. Конкуренция высока. Выходить туда с «недоупакованным» продуктом, описанным через функции, а не через ценность для клиента, невозможно.

Спасибо, Игорь, за откровенный разговор на SOC Forum. Желаем удачи и развития вашей компании!