Май стал показательным месяцем для отрасли информационной безопасности. Сразу несколько крупных инцидентов, на первый взгляд не связанных между собой, продемонстрировали изменения, которые постепенно накапливались последние годы: искусственный интеллект начинает использоваться для создания инструментов атак, инсайдерские угрозы остаются опаснее внешних злоумышленников, дефицит специалистов становится системным ограничением, а государства всё менее скрывают использование киберопераций как инструмента политики.

ИИ как инструмент атак

В мае Google Threat Intelligence Group сообщила об атаке, которую удалось остановить ещё на этапе подготовки. Злоумышленники использовали искусственный интеллект для создания zero-day-эксплойта, предназначенного для обхода двухфакторной аутентификации в популярном open-source-инструменте администрирования. Судя по характеру подготовки, речь шла не о точечном инциденте, а о масштабной кампании. 

По данным исследователей, код содержал характерные признаки генерации нейросетью: обучающие комментарии, вымышленные оценки CVSS и структуру, напоминающую материалы из учебников по информационной безопасности. Это позволяет предположить, что автор атаки компенсировал недостаток собственных знаний возможностями ИИ.

Тот же месяц показал и другую сторону проблемы. Кемеровская компания направила в суд кассационную жалобу со ссылками на решения высших судебных инстанций. Проверка суда показала, что указанных решений не существовало. Документ был подготовлен с использованием нейросети, а ответственность за недостоверные сведения суд возложил на заявителя. Компания была оштрафована на 50 тысяч рублей.

Оба случая отражают одну тенденцию. Искусственный интеллект снижает порог входа в сложные процессы — как для атакующих, так и для обычных пользователей. При этом он создаёт новый класс рисков, связанных с некритичным использованием сгенерированного контента. Сам по себе ИИ остаётся инструментом. Риски возникают тогда, когда результаты его работы не проверяются человеком.

Инсайдер по-прежнему опаснее внешнего злоумышленника

Одним из наиболее показательных инцидентов месяца стала история братьев Муниба и Сохаиба Ахтеров. Работая в подрядной организации Opexus, обслуживающей более 45 федеральных ведомств США, они узнали о предстоящем увольнении и в течение часа уничтожили 96 государственных баз данных.

Ключевым доказательством стала запись встречи в Microsoft Teams, которая продолжала вестись после завершения разговора с HR-службой. На ней были зафиксированы не только обсуждение плана действий, но и попытки скрыть следы произошедшего, включая запросы к ИИ о способах очистки журналов SQL Server после удаления данных.

Практически одновременно стало известно о компрометации инфраструктуры Trellix. Группа RansomHouse получила доступ к репозиториям исходного кода компании и опубликовала сведения о её внутренней архитектуре. Для организации, защищающей десятки тысяч корпоративных клиентов и сотни миллионов конечных устройств, подобная информация представляет значительную ценность для потенциальных атакующих.

Эти инциденты объединяет один фактор — наличие доступа к критически важным ресурсам. В обоих случаях решающую роль сыграл не взлом периметра, а возможность действовать изнутри или использовать глубокое знание инфраструктуры.

Поэтому принцип минимальных привилегий, контроль действий привилегированных пользователей и тщательная проверка подрядчиков остаются не просто рекомендациями, а базовыми требованиями безопасности.

Масштаб последствий становится важнее сложности атаки

В мае произошла одна из крупнейших кибератак на сферу образования.  Хакеры украли персональные данные платформы Instructure Canvas. Сервис используется примерно в 8800 учебных заведениях, включая Колумбийский университет, Принстон, Гарвард и Джорджтаун.

Во время экзаменационной сессии пользователи вместо учебных материалов увидели сообщение с требованием выкупа. По данным компании, злоумышленники похитили 3,65 ТБ данных, включая персональную информацию студентов и переписку пользователей. Для урегулирования инцидента Instructure выплатила злоумышленникам 10 миллионов долларов.

Ещё один крупный инцидент произошёл во Франции. Агентство ANTS, отвечающее за выдачу паспортов, удостоверений личности и водительских удостоверений, подтвердило компрометацию данных миллионов граждан. Взломано более 11,7 миллиона учётных записей. По предварительным данным, злоумышленник использовал уязвимость класса IDOR в API — один из наиболее известных и давно изученных типов ошибок.

Дефицит специалистов становится фактором риска

По данным исследований рынка труда, около 80% российских организаций не смогли полностью закрыть потребность в специалистах по информационной безопасности. Полностью укомплектованными считают себя лишь 11% компаний. За последние три года доля организаций, которым не хватает более десяти специалистов, выросла почти вдвое.

На этом фоне крупнейшие технологические компании продолжают масштабные сокращения IT-сотрудников. Meta объявила об увольнении около 8000 человек, Amazon за последние месяцы сократила примерно 30 тысяч, Microsoft предложила программы добровольного увольнения части сотрудников, а General Motors проводит перестройку IT-подразделений.

Крупные технологические компании корректируют последствия избыточного найма периода активного роста. В то же время рынок информационной безопасности продолжает испытывать нехватку специалистов, обладающих практической экспертизой в сложных проектах и расследовании инцидентов.

Развитие ИИ и автоматизации способно частично сократить объём рутинной работы, однако не устраняет дефицит квалифицированных специалистов. Скорее меняется структура спроса: потребность смещается от массового выполнения типовых задач к экспертным компетенциям.

Кибероперации становятся официальным инструментом государства

США включили наступательные кибероперации в Национальную контртеррористическую стратегию. Документ прямо предусматривает возможность превентивного воздействия на инфраструктуру террористических организаций в киберпространстве.

Сам факт проведения государствами киберопераций давно не секрет. Значение этого события заключается в другом: подобная практика впервые получила прямое закрепление в официальном документе.

На этом фоне иначе воспринимаются и сообщения о возможном размещении дата-центров на орбите. После атак на объекты AWS на Ближнем Востоке вопрос физической защищённости инфраструктуры перестал быть исключительно техническим. Всё чаще он рассматривается через призму геополитических рисков и устойчивости критически важных сервисов.

Для бизнеса это означает изменение подхода к оценке угроз. Кибербезопасность всё меньше воспринимается как задача ИТ-подразделения и всё больше становится частью стратегии обеспечения непрерывности бизнеса.

Итоги

Майские события показали, что ключевые тренды в информационной безопасности продолжают усиливаться. Искусственный интеллект снижает порог входа как для атакующих, так и для обычных пользователей, но одновременно повышает риски ошибок и злоупотреблений. При этом наиболее серьёзные последствия по-прежнему связаны не с технической сложностью атак, а с человеческим фактором, внутренними угрозами и недостаточным контролем доступа к критически важным ресурсам.

Одновременно кибербезопасность всё больше выходит за рамки ИТ-задач. Дефицит квалифицированных специалистов, масштабные утечки данных и открытое использование киберопераций государствами показывают, что защита информации становится вопросом устойчивости бизнеса и организаций в целом. В этих условиях важны не только технологии, но и способность выстраивать процессы управления рисками, контроля и быстрого реагирования на инциденты.

Смотреть все статьи Смотреть комментарии

Вам будет интересно

оценка кибербезопасности

Оценка информационной безопасности

кибервойны

Когда страны перестали воевать на виду: почему кибератаки стали новым оружием XXI века

Положение ЦБ РФ 683-П

Обзор Положения 683-П

Предоставлю подробную консультацию

Предложу актуальное и наиболее выгодное решение Вашей проблемы.