Игорь Бедеров: «Границ между безопасностью физической и информационной больше не существует»

5 часов назад

Разъяснение Верховного суда по делу № 5-КГ25-30-К2 фактически возложило на бизнес материальную ответственность за цифровые мошенничества, совершаемые от его имени. В условиях, когда DDoS-атака оборачивается остановкой завода, а утечка базы — физическим ущербом, различия между физической и информационной безопасностью утратили актуальность. О том, как и почему киберразведка, мониторинг бренда и поведенческий аудит должны сплетаться в единый узел управления рисками, журналу RUБЕЖ рассказал Игорь Бедеров — председатель совета по противодействию технологическим правонарушениям Координационного совета Национального союза безопасности России.

—————————————————————————————————————————————————————————

По разъяснениям Верховного Суда РФ (Определение от 24 июня 2025 г. № 5-КГ25-30-К2), суды не имеют права перекладывать бремя доказывания на потребителя в спорах с компаниями, чьим именем воспользовались мошенники (например, при обращении на сайты-двойники или поддельные сервисные центры).

Верховный Суд установил следующие важные принципы:

- Обязанность компаний: Бизнес обязан отслеживать и пресекать деятельность сайтов-двойников в интернете, которые используют его товарный знак или репутацию для обмана клиентов.

- Недопустимость формального подхода: Суды низших инстанций не должны отказывать потребителю лишь на том основании, что он не смог доказать, что общался с неустановленными мошенниками, а не с самой организацией.

- Защита гражданина: Потребитель не располагает специальными техническими средствами и ресурсами для проверки подлинности доменов и выявления мошеннических схем. Поэтому бремя доказывания того, кто именно владеет спорным сайтом и принимал заказ, лежит на самой организации.

—————————————————————————————————————————————————————————

RUБЕЖ: Как можно охарактеризовать происходящее сегодня на стыке традиционной службы безопасности и задач информационной безопасности?

Игорь Бедеров: Мы входим в этап, когда служба безопасности перестает быть силовым придатком и превращается в аналитический центр управления рисками, вооруженный инструментарием OSINT (Open Source Intelligence) — это сбор, анализ и систематизация информации из общедоступных, легальных источников), киберразведки и прогнозной аналитики. И ключевое слово здесь — «интеграция». Нельзя отдельно мониторить утечки, отдельно ловить сквоттинг и отдельно проверять персонал. Все это — единый цифровой след компании и среды вокруг нее. Бизнес, который это осознает и выстроит процессы уже сейчас, получит не просто защиту, а серьезное конкурентное преимущество в виде устойчивости и управляемой репутации.

RUБЕЖ: Что стало предпосылками для перехода к объединенной концепции пообеспечению безопасности в компаниях?

И. Бедеров: Долгое время корпоративная защита напоминала две параллельные вселенные, где служба безопасности охраняла периметр, активы и персонал, а специалисты по информационной безопасности — серверы, код и данные. Но ландшафт угроз изменился настолько радикально, что эта граница не просто истончилась — она исчезла. Исчезла под давлением сразу нескольких сил: ужесточения ответственности за утечки персональных данных, разъяснений Верховного Суда, возложивших на бизнес материальную ответственность за цифровые мошенничества, совершаемые от его имени, и — главное — взрывного роста хактивизма и диверсионной активности, где цифровая атака и физический ущерб слились в один неразрывный удар. Наступила эра единого центра управления рисками, где киберразведка, мониторинг бренда и поведенческий аудит сплетены в неразрывный узел, разорвать который по старинке уже не получится.

RUБЕЖ: Какие из новых задач для служб безопасности в 2026 году вы считаете наиболее критичными для среднего и крупного бизнеса, и почему именно они могут напрямую повлиять на устойчивость компании?

И. Бедеров: Бизнес окончательно переехал в цифровую среду, а вместе с ним туда же переместились и угрозы, и ответственность. Если говорить о прямом влиянии на устойчивость бизнеса, я бы выделил два наиболее критичных направления, которые из гипотетических рисков превратились в реальные финансовые и правовые обременения.

Первое — это мониторинг незаконного использования бренда, в частности сквоттинг и фишинговые клоны. Именно здесь лежит самый недооцененный пока бизнесом риск. Раньше многие воспринимали подделку их сайта или появление мошеннического Telegram-канала с их логотипом как досадное недоразумение. Теперь, с учетом разъяснений Верховного Суда РФ, это прямая материальная ответственность компании. Если злоумышленники обманули людей от вашего имени, используя ваш товарный знак, а вы не предприняли разумных усилий для мониторинга и блокировки этих ресурсов, суд может возложить возмещение ущерба пострадавшим именно на вас. Представьте, что только один качественно сделанный фишинговый интернет-магазин крупного ретейлера может за выходные собрать сотни тысяч рублей. И возвращать эти деньги, а также компенсировать репутационный ущерб, придется не абстрактным хакерам, которых не найти, а реальной компании, которая предпочла не замечать проблему. Для бизнеса это прямой удар по финансам и доверию аудитории.

Второе критичное направление — это мониторинг рисков информационной безопасности, с особым акцентом на обнаружение утечек персональных данных, исходного кода и API-ключей в публичных репозиториях. Напомню, что в прошлом году все субъекты предпринимательства добровольно-принудительно стали операторами персональных данных. Как следствие, на них начали распространяться оборотные штрафы за утечки данных пользователей, а также значительные штрафы за сокрытие подобных инцидентов. В свою очередь, утечка исходного кода или ключей API несет в себе целый букет проблем. Во-первых, тот софт, в разработку которого компания вложила десятки, а то и сотни, миллионов рублем, моментально становится общедоступным. Во-вторых, доступ к API-ключам, который может привести к несанкционированной авторизации взломщика внутри корпоративной сети. Последствия могут парализовать бизнес за минуты: от полной компрометации клиентской базы с последующими многомиллионными штрафами до шифрования или уничтожения инфраструктуры. Более того, обнаружение утекших секретов — это индикатор низкой внутренней зрелости процессов, и для среднего бизнеса, который только выходит на уровень зрелой кибербезопасности, это самый вероятный сценарий катастрофы.

Оба эти направления объединяет одно свойство: они находятся на стыке технологий и права. И если раньше здесь была «серая зона», то теперь судебная практика и регуляторика закрывают этот пробел, превращая невнимательность подразделений безопасности в прямой убыток. Именно поэтому они критичнее для устойчивости, чем даже прямые хакерские атаки на периметр — к атакам морально готовы, а к ответственности за чужие действия, которую можно было предотвратить мониторингом, пока нет.

RUБЕЖ: Вы указываете на то, что основанием для мониторинга предложения товаров и услуг третьими лицами стали разъяснения ВС РФ по делу № 5 КГ25 30 К2. Почему?

И. Бедеров: Как разъяснил Верховный суд в деле № 5-КГ25-30-К2, бремя доказывания отсутствия связи с мошенническим сайтом лежит на компании, а не на потребителе. Это означает, что если вы не сможете доказать, что сайт-двойник не имеет к вам отношения, суд может возложить на вас ответственность за действия мошенников. Поэтому ключевая задача подразделения безопасности — выстроить процесс, который позволит фиксировать нарушения и получать доказательства, признаваемые судом.

Дело № 5-КГ25-30-К2 обязывает компании активно отслеживать случаи неправомерного использования своего бренда в интернете. Для этого необходимо настроить автоматический мониторинг упоминаний вашего бренда, названия компании, товарных знаков в поисковых системах (Яндекс, Google) и социальных медиа; периодически проверять регистрацию новых доменных имен, созвучных вашему бренду, в зонах .RU, .РФ и других; искать сайты, которые копируют ваш дизайн, фирменный стиль, логотип.

RUБЕЖ: Как на практике компании могут выстроить процесс документирования сквоттинга и передачи материалов для блокировки ресурсов, чтобы минимизировать юридические риски?

И. Бедеров: Задокументируйте весь процесс внутри компании. Заведите журнал или электронную папку, куда будете собирать дату и время обнаружения каждого нарушения; все собранные доказательства; копии всех обращений в регистратору, хостинг-провайдеру и государственные органы; полученные ответы. Это позволит вам в любой момент подтвердить, что вы действовали добросовестно и своевременно.

Документирование доказательств — это фундамент, от качества которого зависит 90% успеха. Сюда входит фиксация копий тех страниц веб-ресурса, на которых имеются нарушения. Она может предполагать нотариальный осмотр, но Верховный Суд допускает также самостоятельную фиксацию (включающую URL-адрес страницы, дату и время совершения скриншота, данные специалиста). Дополнительно рекомендую сохранить копируемые страницы в Wayback Machine archive.org. Если предполагается, что веб-ресурс содержит фишинг или вредоносного программное обеспечение, проверьте его через VirusTotal. Фиксация детектов — весомый аргумент в пользу вредоносности ресурса.

В своем обращении необходимо четко указать, какие именно ваши права нарушены. Если сайт использует ваш товарный знак без разрешения, это прямое нарушение исключительного права. В таком случае, к жалобе нужно приложить свидетельство на товарный знак. Если сайт использует название вашей компании, это нарушение прав на фирменное наименование. Регистрация домена, тождественного вашему товарному знаку, может быть признана актом недобросовестной конкуренции в соответствии со ст. 14.4 Федерального закона "О защите конкуренции". Если скопирован дизайн или интерфейс, потребуется патент на промышленный образец или договор авторского заказа.

Дальнейшее взаимодействие с регистратором и хостинг-провайдером представляет собой самый быстрый способ заблокировать сайт. Регистратор — это компания, у которой был куплен домен, а хостинг-провайдер — на серверах которой физически размещен сайт. Если регистратор и хостер не реагируют, подключайте государственные инструменты. Подача заявления в Роскомнадзор eais.rkn.gov.ru/feedbackForm/ представляет собой первый шаг для блокировки противоправного контента. Кроме этого используйте специальную форму на портале "Госуслуги"  pos.gosuslugi.ru/lkp/poll-anti-fishing/, она предназначена именно для фишинговых и мошеннических сайтов. Если в действиях мошенников есть признаки уголовного преступления (например, кража средств), обращайтесь в МВД. Также можно направить информацию в НКЦКИ (Национальный координационный центр по компьютерным инцидентам) через форму на сайте cert.gov.ru/ivedomlenie.php. Наконец, даже если сайт не заблокирован, важно удалить его из выдачи. Используйте формы Google Safe Browsing и Яндекс для сообщения о фишинге.

RUБЕЖ: Мониторинг рисков для информационной безопасности предполагает выявление утечек данных в публичных источниках и обнаружение собственного кода или API ключей в репозиториях. Какие инструменты и подходы вы бы порекомендовали для автоматизации этих процессов?

И. Бедеров: Попытки выявлять утечки и утекшие секреты вручную сегодня равносильны попыткам вычерпать ложкой море. Современная цифровая среда генерирует их в таких объемах, что без автоматизации мы обречены узнавать о компрометации постфактум, когда данные уже проданы на теневых форумах

Первый контур — выявление утечек данных в публичных источниках. Наша цель — узнать, не «засветились» ли корпоративные учетные записи, документы, клиентские базы или парольные хэши в скомпрометированных дампах, которые гуляют по даркнету и специализированным площадкам. Базовый, но обязательный уровень — это проверка по доменам и адресам корпоративной почты через сервисы-агрегаторы, такие как haveibeenpwned.com, intelx.io, fingerprint.to, hudsonrock.com или leakradar.io. Они позволяют быстро понять, не фигурирует ли ваш домен в известных утечках. Если мы говорим о более глубоком и непрерывном мониторинге, то подключаются платформы класса Threat Intelligence и Digital Risk Protection, которые агрегируют данные из сотен источников — закрытых Telegram-каналов, даркнет-маркетов, теневых форумов. В качестве открытых примеров таких систем можно назвать analyzer.vecert.io, haveibeenransom.com или breach.house.

Второй контур — обнаружение собственного кода и API-ключей в публичных репозиториях. Разработчики используют GitHub, GitLab, Bitbucket, а также форумы и Pastebin-подобные сервисы, и иногда по невнимательности или для отладки загружают туда конфиги с жестко зашитыми токенами. Ручной поиск здесь немыслим, но существуют специализированные поисковые движки, прочесывающие весь публичный код. Я бы рекомендовал внедрить в процессы регулярный мониторинг через такие платформы, как grep.app и sourcegraph.com — они позволяют искать по содержимому миллионов репозиториев, используя сложные регулярные выражения. Сервисы searchcode.com и publicwww.com тоже хорошо показывают себя для поиска по уникальным строкам, фрагментам вашего кода, именам внутренних серверов или структур.

Главный подход — это не разовые проверки, а непрерывный цикл «обнаружение — верификация — реагирование». Технически это выглядит так, что вы настраиваете в специализированных TI/DRP платформах список ключевых слов и паттернов, включая домены, названия проектов, форматы ваших токенов. Система в фоновом режиме сканирует пространство и при нахождении совпадения отправляет алерт. Дальше вступает аналитик, при обнаружении API-ключа в репозитории необходимо не просто паниковать, а моментально отозвать этот ключ на стороне сервиса, оценить, кто и когда мог им воспользоваться, и инициировать внутреннее расследование. При обнаружении утечки корпоративных данных — оценить объем скомпрометированной информации, подготовить уведомление в Роскомнадзор, если это требуется законом, и запустить процедуру принудительной смены паролей.

RUБЕЖ:  Чем будет грозить компаниям игнорирование новых реалий при обеспечении безопасности?

И. Бедеров: Компания, не автоматизировавшая эти процессы, фактически расписывается в собственной несостоятельности перед регулятором. Штрафы за утечку персональных данных сегодня оборотные, а не символические, а скомпрометированный API-ключ от облачного провайдера может породить счет на миллионы рублей за арендованные злоумышленниками вычислительные мощности. Внедрение даже бесплатных или условно-недорогих инструментов мониторинга — это не выбор, а базовая гигиена.

RUБЕЖ: В рамках расширения функционала проверок и охраны территории Вы упоминаете MICE, а также выявление скрытых рисков и нелояльности персонала. Насколько применима эта модель в российских реалиях, и какие «красные флаги» стоит отслеживать HR и специалистам по безопасности?

И. Бедеров: В условиях проведения СВО, российские предприятия вынуждены расширять модель оценки благонадежности своего персонала в части лояльности и многочисленных скрытых рисков. Модель проведения вербовки MICE (Money, Ideology, Compromise, Ego) — это универсальный инструмент, созданный в ЦРУ еще в 80-х годах прошлого века. Модель описывает четыре базовых мотива, которые заставляют человека пойти на сотрудничество с иностранной разведкой.

Money (деньги) — финансовые проблемы или неоправданные траты. Ideology (идеология) — оппозиционные, радикальные или националистические взгляды. Compromise (угрозы или шантаж) — то, что можно использовать против сотрудника. Ego (эго) — потребность в признании, обида, жажда власти. Традиционные методы проверки биографии (спецпроверка, полиграф) дают статичный срез на момент трудоустройства, но неспособны отследить динамику изменений в образе жизни, настроениях и круге общения сотрудника. Именно здесь на первый план выходит система непрерывного мониторинга открытых источников информации. За исключением понятных примеров, выявление данных рисков может осуществляться при помощи выгрузки всего цифрового контента кандидата (его посты в социальных сетях, комментарии и упоминания, подписки на группы и чаты, а также их администрирование, использование определенной символики и чекинов), с последующим разбором в нейросетях. Именно такая модель позволяет обнаруживать разнообразные латентные особенности человека, такие как склонность к педофилии, наличие родственников в недружественных странах, связи с конкурентами, участие в хакерских сообществах или нежелательных организациях — всего того, что может привести к вербовке.

В современном мире, где геополитическое противостояние все чаще переходит в область гибридных войн и скрытых операций, человеческий капитал организации превращается не только в главную ценность, но и в наиболее уязвимый канал утечки информации. Недооценка этого риска ведет не просто к финансовым потерям. Вовлечение сотрудника в противоправную деятельность (от передачи копий документов до саботажа производственных процессов) разрушает корпоративную безопасность изнутри. Именно регулярная и многоуровневая проверка лояльности позволяет не только отсечь потенциальных агентов влияния на входе, но и выявить тех, кто оказался под давлением уже в процессе работы, превращая службу безопасности из пассивного контролера в активного защитника интересов бизнеса и государства.

RUБЕЖ: Как служба безопасности может эффективно интегрировать мониторинг информационного поля (упоминания компании, торговой марки, руководителей) с задачами по защите репутации и активов, не раздувая штат и бюджет?

И. Бедеров: Этот вопрос мне задают часто, и за ним обычно скрывается усталость собственников и руководителей служб безопасности от необоснованно дорогих подписок на системы мониторинга, которые генерируют тонны информационного шума, но не дают реальной пользы для защиты активов. Проблема здесь решается не бюджетом и не раздуванием штата операторов, которые сутками сидят за новостными лентами. Проблема решается методологией, и ключ к успеху лежит на стыке автоматизации сбора данных и грамотной ручной аналитики.

Главная ошибка, которую я вижу повсеместно, — это попытка скрестить классический пиар-мониторинг с задачами безопасности в одном интерфейсе. С точки зрения защиты репутации и активов нас не должно интересовать всё подряд. Чтобы не раздувать бюджет и не нанимать десять человек для чтения соцсетей, нужно сразу разделить потоки: пассивный мониторинг и активную разведку по конкретным угрозам.

Пассивный мониторинг отлично закрывается связкой бесплатных и условно-бесплатных инструментов, таких как Google Alerts, kribrum.io и RSS-генераторы на базе дорков. С помощью правильно составленных операторов поиска мы получаем на вход RSS-ридера не просто хаотичный поток новостей, а выжимку релевантных угроз. Это фундамент. Служба безопасности должна мониторить не упоминания ради упоминаний, а специфические конструкторы: бренд + слив данных, название торговой марки + продажа, персональные данные первых лиц + даркнет. Это исключает необходимость держать в штате десяток сотрудников, оставляя лишь одного квалифицированного аналитика.

Важно понимать юридический и технологический нюанс. Когда мы говорим не просто о репутации, а о защите активов, нам нужна криминалистически значимая фиксация. Увидеть угрозу в RSS-ридере мало. Дальше в дело вступают инструменты, которые позволяют сохранить цифровой след так, чтобы он был пригоден для правоохранительных органов или суда. Например, обнаружив предложение о продаже клиентской базы, специалист должен не просто скриншот сделать, а снять веб-архивную копию с фиксацией метаданных и сформировать цифровой отпечаток источника. Именно этот переход от «чтения интернета» к «документированию атаки» превращает мониторинг из затратного имиджевого инструмента в прямую функцию защиты активов.

RUБЕЖ: Среди драйверов изменений в задачах и статусе служб безопасности Вы называете законодательные изменения, рост рисков и угроз, репутация и доверие, защита данных и активов, устойчивость бизнеса. Какой из этих факторов, на ваш взгляд, сегодня является первичным для пересмотра стратегии безопасности?

И. Бедеров: Если говорить о фундаментальном драйвере, то это, безусловно, рост рисков и угроз. Именно он является тем тектоническим сдвигом, который запускает всю остальную цепочку. Изменение ландшафта угроз — это объективная реальность, она не зависит от того, принят какой-то закон или нет. Если завод подвергается кибератаке, которая останавливает производственную линию, это немедленный ущерб, и неважно, есть ли за это санкции Роскомнадзора.

Однако я бы сделал важную оговорку. Рост угроз — это глубинная причина, тектоническая плита. Но для конкретного директора по безопасности или собственника бизнеса непосредственным катализатором пересмотра стратегии сегодня выступают все же законодательные изменения и правоприменительная практика. И в этом нет противоречия. Угрозы зрели и нарастали годами, и многие предпочитали их игнорировать, относя киберриски к чему-то эфемерному. А вот когда выходит разъяснение Верховного Суда, которое напрямую возлагает на компанию многомиллионную материальную ответственность за бездействие в цифровой среде, — это момент истины. Именно закон переводит риск из разряда «вероятного» в разряд «неизбежного» с конкретной ценой.

Аналогично с персональными данными. Все знали, что утечки — это плохо. Но как только оборотные штрафы стали реальностью, а регистрация в качестве оператора данных стала всеобщей, защита данных моментально переместилась из технической плоскости в плоскость финансовой устойчивости. Бизнес говорит на языке денег, и именно законодательство формулирует ценник за игнорирование угроз.

А вот репутация, доверие и, как итог, устойчивость бизнеса — это не столько драйверы, сколько конечные бенефициары правильно выстроенной стратегии. Устойчивость — это цель. Репутация — ее зеркало. Вы не пересматриваете стратегию безопасности ради самой безопасности; вы делаете это, чтобы компания продолжала работать, зарабатывать и не теряла в стоимости из-за действий злоумышленников или штрафов регуляторов.

Таким образом, первичным драйвером изменений является объективное нарастание киберугроз и диверсионной активности. Но спусковым крючком, который заставил бизнес по-настоящему открыть глаза и пересобрать работу служб безопасности в 2026 году, стали именно законодательные новации и судебная практика. Они превратили техническую проблему в прямую финансовую ответственность, а это язык, который понимают все акционеры без исключения.

RUБЕЖ: Какие первые шаги вы бы посоветовали компаниям, которые только начинают адаптировать свои службы безопасности под новые задачи 2026 года, чтобы не упустить критически важные зоны риска?

И. Бедеров: Главная ошибка на старте — пытаться закрыть все новые задачи разом, накупив десяток дорогих коробочных решений и наняв армию специалистов, без понимания реального ландшафта угроз конкретной компании. Это путь к распылению бюджета и провалу. Первые шаги должны быть направлены на быструю инвентаризацию и приоритизацию рисков.

Прежде чем защищаться, нужно понять, что именно у вас уже украдено, клонировано или «торчит наружу». Это действие не требует мегабюджетов — достаточно одного грамотного OSINT-аналитика или внешнего аудитора на аутсорсе. Плодом этого шага станет карта вашей реальной уязвимости, а не гипотетической. Вы увидите, что, например, фишинговых клонов у вас три десятка, а пароли сотрудников уже слиты в трех дампах. Это сразу даст понимание, куда бить в первую очередь.

Как только карта составлена, вы выделяете самые болевые точки и ставите на них непрерывный автоматический контроль. Не нужно сразу строить огромный SOC. Начните с подписки на один-два облачных сервиса класса Digital Risk Protection или Threat Intelligence, которые заточены на мониторинг бренда, утечек и даркнета. Настройте оповещения по ключевым словам и паттернам. Это даст вам ежедневную сводку угроз без ручного поиска. Параллельно, если есть разработка, внедрите простейший сканер секретов в репозиториях кода — это часто бесплатное open-source решение. Этим вы закроете самые неотложные риски, вытекающие из разъяснений ВС РФ и законодательства о персональных данных.

Параллельно с запуском мониторинга нужно издать внутренний регламент. В нем следует прописать периодичность проверок, ответственного за фиксацию нарушений, форму акта выявления сквоттинга и утечки, процедуру передачи материалов на блокировку и сроки реагирования. Заведите журнал инцидентов. Бюрократия - это ваш главный щит в суде. Если вы уже через неделю после старта сможете показать, что у вас есть утвержденная процедура и она исполняется, вы значительно снижаете риск быть признанным бездействовавшим.

Четвертый шаг — кадровый. При приеме на работу включите в проверку службы безопасности анализ открытых цифровых следов кандидата (соцсети, профильные форумы). Ищите радикальные высказывания, предложения инсайдерских услуг, связи с конкурентами. И сразу же запустите горячую линию информирования — анонимный ящик или чат-бот, куда сотрудники могут сообщить о подозрительных действиях коллег, фишинговых рассылках или странных происшествиях на территории. Практика показывает, что самый дешевый и эффективный датчик угрозы — это собственный персонал, если ему дать безопасный и поощряемый канал.

Как только вы получили первичную карту угроз, поставили автоматический мониторинг на бренд и утечки, формализовали процедуру и дали людям канал для сигналов — вы уже перешли из состояния «спящей уязвимости» в состояние «управляемого риска». А это и есть главная цель перестройки службы безопасности в новой реальности. Дальше можно наращивать глубину и инструментарий, но фундамент будет заложен правильно, и критические зоны не останутся слепыми пятнами.

Читайте также: Сергей Дмитриев: «Наша задача — создавать баланс между эффективной защитой и возможностью успешно вести бизнес»