Владимир Дрюков, Solar JSOC: Функции ИТ и ИБ всё больше проникают друг в друга

На SOC Forum мы встретились с Владимиром Дрюковым, директором центра противодействия кибератакам Solar JSOC. В ходе беседы обсудили трансформацию ландшафта кибератак, эволюцию роли CISO, вопросы автоматизации и развития SOC. Также затронули тему, каким будет 2026 год для специалистов ИТ- и ИБ-отделов.

Мы работаем на SOC Forum — главном событии осени 2025 года. Гость нашей импровизированной студии — Владимир Дрюков, директор центра противодействия кибератакам Solar JSOC. Владимир, привет.

В. Д.: Всем привет.

Поговорить хотелось бы об угрозах и о том, как на них правильно реагировать. Ваш Security Operations Center (SOC) — один из крупнейших в стране. Вы видите большое количество атак и работаете с клиентами из разных отраслей. Если говорить о 2025, как изменился ландшафт угроз и какой тренд ты считаешь ключевым?

В. Д.: Наш SOC действительно крупнейший в стране и входит в топ-5 в Европе. При этом у меня есть и другие роли: в моём контуре находится исследовательский центр Solar 4RAYS, где мы ведём расследования, изучаем даркнет и смежные направления. Поэтому на картину я смотрю шире.

Если говорить именно про текущий год, он получился очень плотным: существенно выросла плотность атак. Объекты атак, по сути, те же, но даже количество вирусных заражений увеличилось примерно в 2,5 раза.

Казалось бы, после 2022 года расти уже некуда, но рост продолжается.

В. Д.: При этом мы видим не просто масштабирование, а фокусировку. У атакующих команд есть чётко определённые цели, и до достижения результата (деструктива, утечки данных или публикации в открытом доступе), атака не прекращается. Это принципиальное отличие. Для специалистов по безопасности это, пожалуй, ключевой вывод.

Если вспомнить 2014 год, тогда группировки в основном были ориентированы на монетизацию, и работал принцип «если ты бежишь быстрее соседа, то тебя, скорее всего, атаковать не будут». Сейчас цели заранее определены, и первая отражённая атака чаще становится стимулом для более плотного и агрессивного продолжения.

Второй момент — резкий рост количества группировок. В нашей зоне наблюдения их число увеличилось почти в 2 раза. Это приводит к специализации: в ряде кейсов одни команды занимаются исключительно проникновением в инфраструктуру, после чего передают доступ другим, которые уже реализуют деструктивные сценарии. Это заметно усложняет противодействие.

По-прежнему активно используется вектор атак через подрядчиков. Крупные компании начали лучше выстраивать защиту своих инфраструктур, заказчики усилили контроль подрядчиков. Но остаётся огромное количество небольших ИТ-организаций, которые взламываются, и под угрозой оказываются уже их клиенты. Нередко такие компании являются фактическими сателлитами основных организаций, включая выделенные юридические лица под разработку. Эта проблема, к сожалению, никуда не уходит.

Стоит отметить активное вхождение искусственного интеллекта (ИИ). Недавно была новость об атрибутируемой в Китае группировке, где около 80–90 % работ выполнялось с применением ИИ. Сама по себе технология пока не делает атаки принципиально умнее, чем действия квалифицированного человека, но она увеличивает плотность.

Если раньше злоумышленники двигались по определённым отраслям, а другие почти не атаковали, то при автоматизации атак существует риск, что под ударом окажется вся страна одновременно. Это серьёзный вызов для регуляторов, для Национального координационного центра по компьютерным инцидентам (НКЦКИ) и для нас, чтобы выдерживать и оперативно отражать возрастающую нагрузку без ущерба для клиентов.

В одном из эфиров мы обсуждали, что в зоне наибольшего риска находятся нефтегаз, госсектор и промышленность. Здравоохранение как будто остаётся в тени. Как ты это объясняешь?

В. Д.: Здесь вопрос в абсолютных и относительных цифрах. Если смотреть на отрасли, которые атакуются чаще всего, то на первом месте органы государственной власти, на втором — промышленность, на третьем — нефтегаз и топливно-энергетический комплекс (ТЭК).

Но для медицины и ретейла важна низкая база. Ранее атаки на эти отрасли были единичными, сейчас их десятки. Объекты ТЭК и энергетические компании относятся к критической информационной инфраструктуре (КИИ), они умеют выстраивать эффективную защиту. Для фармы и ретейла подобные атаки — новый вызов. У многих из них не выстроены полноценные системы безопасности, и поэтому воздействие для отрасли оказывается особенно болезненным. В абсолютных цифрах это пока не выглядит критично, но для самих сегментов это серьёзное изменение угрозной модели.

Рост плотности атак вызывает тревогу. Есть ощущение, что в какой-то момент ресурсов отрасли может просто не хватить для противодействия. Насколько этот сценарий реалистичен?

В. Д.: Я бы не стал рисовать апокалиптический сценарий, хотя обеспокоенность разделяю. Здесь есть две важные стороны. Первая — заказчики, вендоры и сервис-провайдеры активно инвестируют в эффективность безопасности. Речь идёт об автоматизации, машинном обучении и ИИ. Их задача — не замена человека, а прогнозирование и обогащение контекста, чтобы аналитик быстрее получал всю информацию в одном окне. Это позволяет теми же кадровыми ресурсами обрабатывать существенно больший объём инцидентов.

Вторая сторона — образование. Тема кадрового голода всем известна, и её давно приняли как данность. При этом доступ к образовательным программам, бесплатным курсам и стажировкам заметно расширился. При относительно небольших затратах специалист может быстро повысить квалификацию в кибербезопасности. Это потенциальная точка роста: перевод теоретиков в практиков и более мягкое наращивание кадрового потенциала.

Некий асимметричный ответ: ты делаешь ставку на рост производительности труда за счёт автоматизации. Речь идёт об использовании искусственного интеллекта и машинного обучения уже на «светлой стороне»: в логике противостояния брони и снаряда. Параллельно через обучение мы пытаемся частично снижать кадровый голод. Как ты относишься к позиции, что в качестве такого же асимметричного ответа стоит делать акцент на сокращение поверхности атак: на харденинг, базовые технические меры и ту самую рутинную, «черновую» работу, которой зачастую просто не хотят заниматься?

В. Д.: Мы обсуждали это в рамках секции про роль Chief Information Security Officer (CISO). Это действительно важный тренд. Я называю его дисперсией. Функции ИТ и ИБ всё больше проникают друг в друга. Специалисты по безопасности делают часть «черновой» ИТ-работы, а ИТ-команды берут на себя элементы управления безопасностью.

При этом цифровизация развивается настолько быстро, что, уменьшая поверхность атаки в одном месте, мы часто автоматически расширяем её в другом. Переход на собственные решения также несёт риски: не все технологии прошли длительный путь зрелой разработки, не все разработчики полноценно внедряют безопасную разработку. В совокупности с импортозамещением и ростом цифровизации это создаёт дополнительную нагрузку, и бизнес не готов от этого отказываться, несмотря на риски.

Автономный SOC сейчас активно обсуждается. У нас недавно был эфир на AM Live, посвящённый этой теме. В целом эксперты сходятся во мнении, что отрасль движется именно в этом направлении, однако никто пока не берётся называть конкретные сроки. Одни говорят о 2027-м, другие ориентируются ближе к 2030-му. Как ты оцениваешь эту динамику? Реалистично ли в ближайшей перспективе хотя бы частично разгрузить или заменить первую линию, о чём мы, по сути, говорим уже несколько лет?

В.Д.: В ближайшей перспективе речь идёт скорее о сокращении времени анализа инцидента. Искусственный интеллект используется как помощник, который добавляет контекст и ускоряет работу аналитика. Были попытки создать решения, где первая линия полностью исключается, но пока они не дали ожидаемого результата. Зато активно развивается класс систем поддержки принятия решений и дополнительной аналитики для SOC.

Сроки не называют из-за консервативности отрасли. Специалисты по безопасности доверяют человеку больше, чем ИИ, особенно на фоне инцидентов в крупных компаниях. Ответственные за устойчивость, безопасность системы предпочитают дождаться технологической зрелости.

Да, и многие с воодушевлением обсуждают новости о том, что в отдельных компаниях вновь начали нанимать разработчиков, разочаровавшись в попытках заменить их искусственным интеллектом, который должен был самостоятельно писать код.

В.Д.: Знаешь, это типичный консерватор: в публичных комментариях он заявляет, что заниматься этим нельзя, это плохо, а на практике у себя «в подвале» аккуратно собирает прототип очередного проекта. Я уверен, что по мере дозревания технологий мы увидим множество интересных экспериментов и практических опытов от разных команд и компаний в области автоматизации.

В ближайшей перспективе в консервативном сценарии ты согласен, что это, скорее, копилот для SOC — такой помощник-аналитик, который повышает эффективность работы и снижает нагрузку, ускоряя выполнение рутинных операций?

В.Д.: И да, и нет. Помимо роли копилота, я ожидаю значительного упрощения процессов типового реагирования. То, что сейчас выполняется сотрудниками вручную, будет автоматизировано, включая использование технологий искусственного интеллекта. Это затронет только стандартные кейсы, типовые сценарии и типовые поверхности атаки. Оно останется под контролем копилота, но окончательное решение будет принимать оператор.

В контексте нашего разговора, как меняется роль CISO? С одной стороны, он по-прежнему должен глубоко разбираться в технологиях, но с другой — всё больше требуется управленческий навык. Постоянные изменения, ограниченные бюджеты и ресурсы требуют от него действовать как опытный полководец на поле, принимая решения стратегически, без прямых столкновений. Какие навыки при этом выходят на первый план?

В.Д.: Если смотреть на эволюцию роли CISO, до текущего момента можно выделить 3 ключевых навыка. Первый — работа с регуляторами и нормативная база. Без этого в нашей стране эффективная деятельность просто невозможна. Второй — технологическая экспертиза. На определённом этапе технология привела к тому, что полноценная команда кибербезопасности насчитывает 10, 15, 20 или даже 50 человек, поэтому третьей компетенцией стал people management (управление людьми).

Сегодня же добавляется дисперсия с ИТ. Без понимания ИТ-инфраструктуры невозможно полноценно выполнять роль CISO. Каждый ИБ-директор одновременно участвует в планах восстановления после аварий (Disaster Recovery Plan, DRP), обеспечивает киберустойчивость и стабилизацию систем. Аналогичная ситуация и в разработке: CISO вынужден взаимодействовать с кодом, выступать переводчиком для разработчиков, которых сейчас огромное количество.

Отдельно стоит отметить коммуникационную составляющую. Сегодня кризис часто связан с инцидентами кибербезопасности. Если несколько лет назад было модно выдавать обычный ИТ-сбой за кибератаку, сейчас за это последует внимание Роскомнадзора, проверки по Указу Президента о дополнительных мерах по обеспечению ИБ (№ 250 от 01.05.2022) и т. д. Персональная ответственность CISO возросла, включая уголовные риски. Интеграция в антикризисные штабы и коммуникацию становится проксирующим звеном между пиаром и публичной позицией компании — это новый навык, который приходится осваивать.

Современные команды стали гибридными, единицы компаний остаются закрытыми. Теперь в обязанности CISO входит управление цепочкой поставщиков, сервис-провайдеров, вендоров, технической поддержкой и другими участниками, поскольку каждый из них влияет на общий уровень кибербезопасности. В совокупности современный CISO всё больше приобретает функции операционного директора. Его компетенции охватывают операции и взаимодействие со «смежниками», что может стать интересной траекторией для тех, кто хочет развиваться за пределами традиционной роли безопасника.

Если рассматривать вопрос с точки зрения карьерного роста и подготовки специалистов для позиции главного по информационной безопасности, как ты думаешь, кому сейчас проще развиваться в этом направлении? Опытному специалисту или руководителю среднего звена из ИБ? Либо, например, лучше взять сильного менеджера из ИТ-сферы с минимальным ИТ-бэкграундом и обучить его специфике работы в ИБ, чтобы в итоге он мог выполнять функции не хуже, а возможно, даже лучше опытного безопасника? Бывали ли у тебя такие примеры на практике?

В.Д.: Разные истории бывают среди моих коллег и заказчиков, да и у меня самого путь начинался с технической поддержки. Но, на мой взгляд, для позиции главного по ИБ ключевыми квалификационными требованиями являются 2 аспекта.

Первое — системное мышление. Процессы кибербезопасности, архитектуры систем, сложность кода и взаимодействие компонентов настолько многослойны, что без способности структурировать информацию, обрабатывать её и формировать понятные выводы и целостные картины принимать корректные решения при инцидентах или атаках крайне сложно.

Второе — коммуникация. Навыки, аналогичные CISO, включают умение продавать, объяснять ценность инициатив, управлять людьми. Всё остальное, знание ИТ, ИБ, разработка, — вторично: эти компетенции можно развивать в процессе работы. Но глубина владения ими должна быть достаточной, чтобы эффективно руководить коллективом и обеспечивать кибербезопасность организации с учётом её специфики.

Если я тебя правильно понял, то выходит, что независимо от подхода, именно soft skills выходят на первый план, по крайней мере на текущий момент.

В.Д.: Да, перевешивают. Освоить кибербезопасность можно, и при наличии системного мышления в этом точно разберёшься. Но если ты интроверт, привыкший работать за компьютером и минимально взаимодействовать с людьми, то даже защитить стратегию оказывается крайне сложно, практически нерешаемо.

И в завершение хочу задать вопрос о прогнозах. Как ты оцениваешь ситуацию в 2026 году? По нашим исследованиям и опросам, настроения на рынке достаточно пессимистичные: бюджеты большинства компаний либо не растут, либо растут незначительно, и складывается впечатление, что организации вынуждены затягивать пояса. Угроз, как мы обсуждали, не становится меньше, скорее наоборот. Поэтому оснований для оптимизма пока немного. Каким ты видишь 2026 год?

В. Д.: Недавно общался с одним из коллег, и мы пришли к мысли, что любой вызов или возникающая проблема всегда является точкой роста, возможностью переосмыслить процессы и что-то улучшить. Мне кажется, это станет хорошим рычагом для поиска новой эффективности.

Например, ИТ-подразделения смогут активнее поддерживать кибербезопасность, если больше внимания будет уделяться дизайну систем. Возможно, бизнесу будет проще принимать непопулярные решения, например, полностью отключать свои периметры и центры обработки данных на ночь, когда бизнес-процессов нет, экономя ресурсы на дневное время. В таких поисках компромиссов и решений может формироваться другой ландшафт кибербезопасности и вырабатываться новые правила игры на ближайшие годы.

Согласен с тобой. Каждое кризисное состояние — это точка роста и возможность поиска новых, нестандартных и инновационных решений. Надеюсь, мы сможем их найти и будем продолжать совместный поиск в следующем году.

Владимир, благодарю за содержательное и интересное интервью. Всего вам самого безопасного!