В преддверии Форума ГосСОПКА технический директор Positive Technologies по развитию государственного сектора Алексей Батюк ответил на вопросы BIS Journal о нюансах построения киберполигона и способах применения полученного опыта.

Он также назвал ключевые показатели для оценки результатов киберучений и на основе реальных кейсов дал несколько советов по тому, как извлечь максимальную пользу для защиты ИТ-систем предприятия.

Форум ГосСОПКА состоится 14–15 апреля 2026 года в кластере «Ломоносов» (Москва). Его проводит Национальный координационный центр по компьютерным инцидентам (НКЦКИ), оператор — Медиа Группы «Авангард». Positive Technologies в рамках мероприятия проведёт дискуссию «Построение киберполигонов и их использование», участники которой разберут основные методологические и организационные подходы к развёртыванию киберполигонов, а также очертят сферу их применения в интересах ГосСОПКА.

Одной из ключевых тем для Positive Technologies сегодня является практическое создание и эксплуатация киберполигонов. В условиях меняющегося ландшафта угроз остро необходимы инструменты, позволяющие в безопасной среде моделировать рабочие сценарии атак, отрабатывать взаимодействие центров мониторинга, тестировать средства обнаружения и реагирования до их внедрения в продуктивную инфраструктуру.

По словам Алексея Батюка, практика показывает, что наиболее сложная часть построения киберполигона — это методология и организационная модель эксплуатации. Поэтому следует уделять не меньше внимания задачам сценарного моделирования, подготовки инфраструктуры и распределения ролей, чем выбору платформы и инструментов.

Важно ответить на три вопроса: каковы цели киберполигона, какие ресурсы потребуются для поддержки сценариев и кто будет отвечать за актуализацию модели инфраструктуры и сценариев атак. В противном случае полигон окажется технически сложным, но при этом плохо адаптированным для решения реальных проблем безопасности компании, и будет редко применяться.

Как поясняет Алексей Батюк, наиболее действенный подход в этих условиях — отталкиваться от недопустимых для конкретной организации или отрасли событий и учитывать возможные последствия для бизнеса или государственного процесса. Хорошая тактика — приоритизация сценариев по нескольким факторам: вероятность реализации инцидента, его критичность, особенности используемой инфраструктуры и требования регуляторов. К примеру, для большинства субъектов КИИ базовыми являются сценарии, связанные с компрометацией доменной инфраструктуры и массовым шифрованием или уничтожением данных.

При оценке защищённости ИТ-инфраструктуры решающий фактор — измеримость результатов. Ключевые индикаторы — время обнаружения злоумышленника (MTTD), время реагирования и локализации (MTTR), корректность работы средств мониторинга и последовательность действий ИБ-команды. Чтобы учения не остались просто демонстрационными мероприятиями, итоги которых сложно применить на практике, сценарии должны максимально отражать настоящую архитектуру ИТ-систем организации.

Показателен кейс из практики самой Positive Technologies. На базе инфраструктуры заказчика был смоделирован сценарий атаки на критический технологический процесс, и выяснилось, что система управления этим процессом находится в сегменте, к которому злоумышленники могут получить доступ через компрометацию одного из сервисных узлов. Заказчик считал доверительные связи в этой цепочке «технической необходимостью», однако, под угрозой фактически оказалась критически важная функция организации. В результате было принято решение перестроить архитектуру сетевых взаимодействий.

Поскольку у большинства компаний корпоративный ИТ-контур устроен схожим образом — доменные инфраструктуры, системы удалённого доступа, типовые сервисы — полученные с помощью киберполигона практические знания по обнаружению атак точно принесут пользу другим участникам отрасли. Для этого подходят обезличенные отчёты вариантам развития атак, описание обнаруженных техник и индикаторов, а также разработанные рекомендации по реагированию. Для субъектов КИИ координировать передачу таких данных через механизмы обмена информацией в рамках взаимодействия с НКЦКИ — это логичный шаг, утверждает Алексей Батюк. В перспективе развитие киберполигонов позволит системе ГосСОПКА перейти от преимущественно реактивной модели реагирования к проактивной, сценарной подготовке к инцидентам — чтобы отвечать современным требованиям к обеспечению устойчивости критической инфраструктуры.

— В условиях постоянного киберпротивостояния и целевых атак на российские организации, включая объекты критической информационной инфраструктуры, особое значение приобретает оперативный и структурированный обмен информацией с НКЦКИ. Речь идёт о своевременном получении данных о текущем ландшафте угроз, индикаторах компрометации, новых тактиках и техниках атакующих.

Передача в систему ГосСОПКА информации об инструментах и сценариях действий злоумышленников, которую мы аккумулируем в ходе своей работы, ведёт к усилению общей аналитической базы и повышает качество реагирования. Эффективность возможна только при полноценном двустороннем взаимодействии между регулятором, субъектами КИИ и технологическими компаниями. Такой формат обеспечивает сокращение времени выявления и реагирования на инциденты и способствует повышению устойчивости критически важных отраслей и государства в целом.

Форум ГосСОПКА мы рассматриваем как площадку стратегической синхронизации участников всей отрасли. Ожидаем, что представители НКЦКИ и другие эксперты обозначат ключевые результаты функционирования системы, актуальные тенденции в развитии угроз, изменения нормативного регулирования и приоритетные направления дальнейшего развития. Это позволит сформировать единое профессиональное понимание того, какой должна быть современная система противодействия компьютерным атакам и какие инструменты обеспечивают её устойчивость.

Больше прикладных кейсов создания киберполигонов, а также экспертный разбор практики информационного обмена между организациями ждёт участников Форума ГосСОПКА (14–15 апреля 2026 года, кластер «Ломоносов», Москва). Регистрация на мероприятие продолжается.

В программе форума — обсуждение важнейших вопросов функционирования ГосСОПКА и взаимодействия её участников, консолидация опыта между госорганами, центрами ГосСОПКА и представителями ключевых сфер экономики РФ.