Сергей Волков, Cloud.ru: Кибербезопасность уходит в облако вслед за бизнесом

Сергей Волков, директор центра киберзащиты Cloud.ru, ежедневно работает на стыке облаков, регуляторики и новых угроз — там, где привычные подходы к безопасности уже не работают. Пока бизнес ускоряется, а ИИ меняет правила игры, требования к защите становятся жёстче, а роль CISO — сложнее. Почему облако становится базой для кибербезопасности, чего боятся компании и можно ли доверять ИИ — обсудили с Сергеем.

Сергей, расскажите, что Cloud.ru делает для безопасности собственной инфраструктуры?

С. В.: Для Cloud.ru безопасность собственной инфраструктуры — важная стратегическая цель, так как от этого зависит, будут ли клиенты размещать у нас свои системы. Сейчас в нашей ИБ-команде работает более 100 человек. Причём наша система защиты охватывает не только собственные структурные подразделения, но и всю инфраструктуру, которая предоставляется в аренду клиентам.

Системно выстроить работу в этом направлении нам помогают, во-первых, требования законодательства к ПДн, ГИС, КИИ, информационным системам финансовых организаций, а также требования, которые предъявляются международными стандартами (27001, 27701 и др.). Во-вторых, это методика оценки уровня зрелости кибербезопасности компаний, разработанная коллегами из «Сбера».

Созданная система защиты и процессы обеспечения безопасности постоянно проходят проверки на эффективность. Мы регулярно работаем с топовыми Red Team, которые проводят тестирования на проникновение с задачей «сломать всё». По итогам мы пересматриваем модель угроз и дорабатываем процессы. Мы проводим пентесты 4–5 раз в год минимум. Также наши системы размещены на платформе Bug Bounty, где каждый может попробовать найти в них уязвимости. Кроме того, в компании регулярно проходят внешние аудиты, подтверждающие соответствие высоким стандартам кибербезопасности.

Что вы предлагаете клиентам для защиты их инфраструктуры?

С. В.: Облако даёт бизнесу возможность работать в защищённых средах без необходимости закупать и встраивать в инфраструктуру ИБ-решения. Наша задача — обеспечить безопасность данных клиента для каждого используемого им сервиса: будь то виртуальная машина, управляемая база данных или сервисы работы с искусственным интеллектом (AI). Мы как провайдер самостоятельно поддерживаем безопасность на физическом и сетевом уровнях и активно внедряем разные средства защиты, в том числе для новых векторов атак, таких как атаки на LLM.

При этом мы, как и другие лидеры в облачном сегменте, продолжаем работать над формированием культуры «разделённой ответственности». Речь о том, что часть задач по поддержанию безопасности выполняется специализированной командой провайдера в его зоне ответственности, а часть остаётся на стороне клиента. Для закрытия клиентского периметра мы предлагаем партнёрские решения — межсетевые экраны, WAF, защиту от DDoS.

Из собственных разработок — на нашей ежегодной конференции про облака и ИИ GoCloud 2026 мы представили решение для защиты кластеров Kubernetes Container Security, которое разворачивается из облака и не требует самостоятельной поддержки со стороны клиента. Оно закрывает один из актуальных на сегодня векторов угроз. Инструмент позволяет сканировать образы контейнеров на уязвимости, в том числе из БДУ ФСТЭК, а также использовать встроенного ИИ-агента для генерации политик безопасности. Container Security предназначен прежде всего для крупных заказчиков из банковского и госсектора и технологических компаний, которые активно используют контейнеры для запуска своих сервисов. В дальнейшем планируется получение сертификата ФСТЭК на этот продукт.

Также на конференции мы рассказали о запуске решения Guardrails Filter для безопасной работы с LLM-моделями из нашего сервиса Foundation Models. Это первый инструмент для защиты от утечек при запросах к популярным open-source моделям у российских облачных провайдеров. Чувствительные данные в промпте (секреты, API-ключи, персональные данные) автоматически маскируются, и запрос уходит в LLM в обезличенном виде. Guardrails Filter будет также доступен бизнесу для внедрения в режиме on-premise, чтобы обработка данных происходила на его стороне.

Вы получили сертификат соответствия процесса РБПО, который до этого был всего у 7 компаний на рынке. Зачем это облачному провайдеру?

С. В.: Это напрямую связано с развитием нашей платформы для создания гибридных и частных облаков Evolution Stack, которая получила сертификат ФСТЭК в октябре 2025 года. Наличие сертификата ФСТЭК позволяет использовать защитные механизмы платформы для реализации требований по защите персональных данных (ПДн), государственных информационных систем (ГИС), критической информационной инфраструктуры (КИИ).

В начале 2026 года мы получили сертификат ФСТЭК России, подтверждающий соответствие процессов безопасной разработки программного обеспечения (ПО) требованиям ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования» (РБПО). Без сертификата РБПО каждую новую версию продукта пришлось бы сертифицировать заново, а это минимум год на каждую итерацию.

В процессе прохождения внешней сертификации аудитор подтвердил, что актуальному ГОСТу соответствуют все 25 процессов РБПО: анализ исходного кода, использование безопасной системы сборки, безопасная поставка ПО, поиск уязвимостей при эксплуатации и другие. Теперь мы выпускаем обновлённые версии гораздо быстрее.

Cloud.ru предоставляет облако для ГИС и объектов КИИ. Как обеспечивается защита в этом случае?

С. В.: Evolution Stack изначально проектировался с учётом самых строгих государственных требований — по приказам ФСТЭК № 17 и № 239 для ГИС и КИИ. Для тех клиентов, которые по каким-то причинам не могут использовать публичное облако, мы совместно с коллегами из компании BI.ZONE строим частное облако под ключ. Оно соответствует всем требованиям законодательства, располагается локально, при необходимости часть функций всё ещё можно вынести в публичное облако.

Каковы главные страхи клиентов из банков и промышленности при переходе в облако?

С. В.: Есть 2 страха, которые мы видим чаще всего. Первый — боязнь того, что облачный оператор получит доступ к данным клиента. Эта проблема решается прозрачностью: все действия со стороны облака должны логироваться, и эта информация должна быть видна клиенту. Второй — недоверие к самой безопасности облака. Здесь работает риск-ориентированная модель — если у облака есть независимые внешние аудиторы, которые подтверждают зрелость процессов и достаточность инвестиций в безопасность, бизнес может принять этот риск осознанно.

Облако для клиента — это возможность передать часть своих систем на аутсорс. Это касается и систем информационной безопасности, которые уже не отделимы от ИТ-систем. Облачный провайдер обязан иметь штат высококвалифицированных специалистов по информационной безопасности (КБ), чтобы системы заказчиков были в безопасности.

Закон о хранении банковской тайны в облаках снова на повестке. Готовы ли вы к этому как потенциальный поставщик услуги?

С. В.: Готовы. Ждём конкретного набора требований и информации о том, кто и как будет проверять соответствие, чтобы убедить не один конкретный банк, а все банковское сообщество. Логика простая: облачные провайдеры всегда стараются обеспечить максимальный уровень соответствия требованиям — только тогда к тебе могут прийти клиенты из традиционных секторов. Так будем действовать и в этом случае.

Bug Bounty с BI.ZONE — каковы результаты и зачем это нужно, если у вас уже есть Red Team?

С. В.: Это принципиально разные инструменты. Red Team — команда, которую мы нанимаем на ограниченный срок, они работают как APT-группировка, только «белая», это про глубокое проникновение и дальнейшую доработку модели угроз. Bug Bounty — постоянно работающее сообщество из 200–300 профессиональных хакеров, которые ищут уязвимости, ошибки конфигурации, архитектурные просчёты, смотрят на инфраструктуру глазами атакующего. Максимальная выплата за найденную у нас уязвимость составляет 400 000 рублей.

Как вы относитесь к использованию ИИ в задачах ИБ?

С. В.: Нам просто придётся его использовать. Это не вопрос выбора — это вопрос симметрии. Те, кто нападает, уже активно применяют ИИ-модели. Для задач ИБ это дополнительный ресурс, который существенно ускоряет процесс работы подразделения ИБ — работник, которому не нужно платить зарплату, который не ходит в отпуск.

Мой приятель — челюстно-лицевой хирург с двадцатилетним стажем. Недавно он пришёл ко мне с нескрываемым беспокойством: пациенты приходят на приём с заключениями, сгенерированными языковыми моделями, и он, как эксперт, с ними соглашается: «Сергей, я становлюсь ремесленником». Я объяснил ему, что модель даёт наиболее релевантный ответ на запрос, но она же галлюцинирует, то есть может додумывать и ссылаться на несуществующие факты. Задача эксперта — взять её ответ, проанализировать, найти слабые стороны, дополнить своими знаниями. Модель — второй мозг, а не замена первому.

В ИБ то же самое. Мы уже автоматизируем простые задачи, например, L1-аналитики в SOC используют ИИ для первичной сортировки инцидентов. Главная сложность сейчас — добиться минимума ложных срабатываний. Далее мы перейдём к более сложным сценариям: оркестрации, реагированию, аналитике угроз. Отдавать всё ИИ пока нельзя, но игнорировать его уже невозможно.

Отдельный аргумент в пользу облачного ИИ: модели Cloud.ru работают в изолированной среде без выхода в интернет, данные разных клиентов не пересекаются, модели не дообучаются на клиентских данных. Мы проверили это в том числе пентестом. Это принципиальное отличие от иностранных провайдеров, где данные могут собираться, профилироваться и попадать к третьим лицам.

Согласны ли вы с тезисом о том, что ИТ-сектору придётся идти в облака как раз из-за вопросов безопасности, так как потребление тех же агентных систем возможно только в них?

С. В.: Сто процентов. Людям нельзя запретить использовать агентные системы для рабочих задач, а раз невозможно запретить, это нужно возглавить: создать безопасные сценарии использования, ограничить потоки данных и дать для этого удобные инструменты. Компания, которая запрещает сотрудникам использовать ИИ, спровоцирует их теневое использование (Shadow IT) — неконтролируемое и опасное. Агентные системы требуют мощной инфраструктуры и безопасной среды. Бизнес сам придёт к облаку, просто потому что разворачивать и безопасно эксплуатировать это у себя on-premise экономически неэффективно.

Куда движется рынок облачной безопасности? Что актуально для России?

С. В.: Глобально — это Neocloud. Облако становится нижним слоем, поверх которого работают платформы нового поколения. Классические облака обычно предлагают широкий набор стандартных сервисов: виртуальные машины, сети, хранилища. В случае Neocloud ставка сделана на узкую, но очень востребованную область — обучение и запуск AI-моделей, быстрый доступ к GPU и оптимизацию под ML-пайплайны.

Параллельно идёт движение к Security-as-a-Service — это бизнес-модель, в которой сервис-провайдер услуг безопасности интегрирует свои сервисы в корпоративную инфраструктуру заказчика. В этом случае защита «подключается» автоматически ко всему, что появляется в инфраструктуре: виртуальным машинам, контейнерам, базам данных. При этом совокупная стоимость владения для компании снижается за счёт облачной архитектуры решений, оплаты сервисов по подписке и отсутствия капитальных затрат для заказчика.

Мы ориентируемся на Azure и AWS, смотрим, что активно используют клиенты, и адаптируем свои сервисы под российское законодательство. Стратегически движемся к концепции Shift-left (подход в разработке программного обеспечения (ПО), при котором тестирование интегрируется в начальные стадии — прим. ред.) и строим облако из компонентов, которые изначально сложно сломать.

Какой практический совет вы бы дали коллегам-CISO?

С. В.: Каждый день вставать и задавать себе вопрос: что я сделал сегодня, чтобы улучшить безопасность компании и при этом помочь бизнесу? Это про ежедневный труд ради киберустойчивости. Кибератаки случаются — к ним надо быть готовым, но гораздо важнее думать стратегически.

Сергей, большое спасибо за интересное интервью. Всего вам самого безопасного!