В преддверии Форума ГосСОПКА руководитель управления цифровой криминалистики и киберразведки Angara MTDR Никита Леокумович рассказал BIS Journal, как выстраивание культуры информационной безопасности влияет на способность организаций вовремя обнаруживать атаки и снижать ущерб от инцидентов.

Он объяснил, почему обмен информацией в рамках ГосСОПКА — ключевой элемент подготовки к новым волнам угроз, и привёл примеры из практики, когда своевременное выявление «слабых сигналов» позволило избежать серьёзных последствий для бизнеса.

Форум ГосСОПКА состоится 14–15 апреля 2026 года в кластере «Ломоносов» (Москва). Организатор мероприятия — Национальный координационный центр по компьютерным инцидентам (НКЦКИ), оператор — Медиа Группа «Авангард». В программе форума серия сессий и дискуссий, на которых представители НКЦКИ, центров ГосСОПКА, субъектов КИИ и эксперты по ИБ обсудят организационные и технические аспекты своевременного выявления атак и предупреждения компьютерных инцидентов, их расследования и обмена информацией с участниками ГосСОПКА.

За последнее время значение взаимодействия через ГосСОПКА сильно возросло, считает Никита Леокумович. Его основная ценность — возможность заранее узнавать о компьютерных атаках и подготовиться к ним, опираясь на лучшие практики. Эта работа повышает доверие между участниками рынка, так как показывает, что государство и организации занимаются защитой инфраструктуры на практике, а не «на бумаге».

По наблюдениям эксперта, одна из самых частых причин позднего выявления атак — отсутствие культуры информационной безопасности в организации. Так, ИТ-системы нередко оставляют в конфигурации «по умолчанию», что недопустимо с точки зрения ИБ. Ещё один типичный фактор — слабое покрытие инфраструктуры средствами мониторинга. Компании сосредотачивают усилия на контроле критичных бизнес-систем, оставляя без внимания конечные точки сотрудников. Проникая через такие точки, злоумышленники могут незамеченными добраться до ключевых сервисов — и реагировать на атаку на этом этапе будет в разы сложнее.

С другой стороны, в среднем готовность к реагированию в российских организациях устойчиво растёт. Специалисты быстро реагируют на информацию от ГосСОПКА, перепроверяя её и предпринимая нужные шаги, и в том числе привлекают для этого внешних экспертов.

Реальную готовность компании к обнаружению атак, по мнению Никиты Леокумовича, можно быстро определить, задав несколько вопросов руководству (CISO):

• Есть ли в организации сотрудники, которые занимаются исключительно направлениями Security Operations/Security and Risk Management, а не совмещают эти функции «по остаточному принципу»?
• Действует ли круглосуточная дежурная смена по ИБ внутри организации либо на стороне внешнего подрядчика, чтобы реагировать на инциденты в любое время суток?
• Установлен ли в организации обязательный стандарт логирования для всех внедряемых ИТ-систем и решений?

Ответы на эти вопросы позволяют понять, управляет ли компания своей защитой системно, занимается ли она обнаружением и реагированием в действительности, а не «для галочки». Также становится ясно, есть ли в организации персонал, готовый действовать по выстроенной стратегии восстановления после атаки, а не импровизировать в условиях кризиса.

В практике Angara Security был интересный случай, когда изучение цифрового следа позволило загодя предотвратить потенциально серьёзный инцидент. Во время отраслевой конференции по просьбе представителей одной из организаций специалисты киберразведки провели экспресс-проверку открытых источников. Неожиданно на популярном публичном репозитории они обнаружили проект сотрудника компании. В проекте хранились данные о контрагентах, элементы коммерческой тайны по внутреннему ценообразованию, а также данные привилегированных учётных записей. Информацию поспешили убрать из общего доступа, а соответствующие аккаунты заблокировали. Угрозу удалось снять до её реализации, а о последствиях для неосмотрительного сотрудника история умалчивает.

Другой типичный сюжет Никита Леокумович описал на примере выездного расследования. Всё началось с недоступности сервисов и отказа системы мониторинга SIEM, притом явных признаков атаки не было. В ходе анализа выяснилось, что был модифицирован файл предварительной загрузки библиотек ld.so.preload, который подгружал вредоносную библиотеку и блокировал запуск необходимых для работы SIEM компонентов. После этой находки расследование двинулось по стандартному сценарию анализа инцидента ИБ. Но ключевым моментом стало своевременное внимание к «обычной» технической аварии как к потенциальному индикатору атаки.

Описанные кейсы демонстрируют: способность заметить «слабые сигналы» — от утечки данных в открытых репозиториях до нестандартных отказов критичных систем — напрямую зависит от зрелости процессов и культуры ИБ. Если мониторинг выстроен, логирование стандартизовано, а команда достаточно обучена, даже сложные сценарии атак можно выявить на ранних этапах, когда ущерб ещё можно минимизировать. В этом контексте участие в информационном обмене ГосСОПКА— это не формальное требование, а реальный механизм повышения устойчивости инфраструктуры на уровне отрасли. Форум ГосСОПКА, по мнению Никиты Леокумовича, позволит закрепить лучшие практики, обсудить сложные кейсы со всеми нюансами и перевести единичный опыт в отраслевые стандарты.

— Отреагировать на вовремя обнаруженный инцидент принципиально проще, чем восстанавливать инфраструктуру из руин или строить её заново. Когда компания умеет работать с телеметрией, грамотно настраивает системы и следит за цифровым следом, даже сложные сценарии атак превращаются в управляемый риск.

От Форума ГосСОПКА я ожидаю, прежде всего, популяризации информационного обмена и осознанного отношения к построению процессов безопасности. Для нас как для экспертов по цифровой криминалистике и киберразведке особенно важно, что обмен данными будет проходить на материале конкретных кейсов и практик.

Форум будет полезен как руководителям, которым нужно понять, зачем компании информационная безопасность и как оценивать её зрелость, так и инженерам ИБ, которые смогут сопоставить свой опыт с опытом коллег. Один из ключевых треков, который интересен для нас — «Обнаружение компьютерных атак как первый шаг реагирования на инциденты». Эта тема кажется нам приоритетной, поскольку своевременно выявлять атаки — это эффективнее и дешевле, чем создавать и эксплуатировать сложную систему восстановления.

Больше практических кейсов по обнаружению компьютерных атак, выстраиванию процессов расследования и эффективному обмену информацией об инцидентах ждёт вас на Форуме ГосСОПКА 14–15 апреля 2026 года в кластере «Ломоносов» (Москва). Регистрация на мероприятие продолжается, актуальная программа доступна на сайте. Успейте присоединиться!