Асимметрия времени в кибербезопасности: сценарный анализ для рынка РФ (2026–2030)

Аналитический обзор SLEM Partners Group. Методология Stanford STORM: проблема разобрана через вопросы от лица регулятора, аудитора, среднего бизнеса и атакующего и заземлена на нормативные акты и отраслевую статистику. Важно: числовые сценарии в этом материале — иллюстративная модель на явно заявленных допущениях, а не прогноз и не установленный факт. Все правовые ссылки выверены.

Методология и ограничения

• Метод: Stanford STORM — перспективы регулятора, аудитора, среднего бизнеса, атакующего; правовые ссылки верифицированы по первичным актам.
• Период: 2022–2030 (сценарный горизонт); факты — по состоянию на 2025–2026.
• Ограничения: сценарии A/B — иллюстративная модель, не прогноз; темпы ransomware приводятся как диапазон ввиду различий в методиках источников; тезис «89% фишинга от ИИ» не используется — нет надёжного первоисточника.

Рис. 1. Иллюстративная модель двух траекторий. Числа — следствие заданных допущений, не измерение. Подробнее — раздел 5.

1. Что такое асимметрия времени

Асимметрия времени — структурное неравенство сторон: атакующему достаточно найти один работающий путь, защищающемуся нужно закрыть все. В эпоху автоматизации и ИИ это неравенство усиливается, потому что рутинные шаги атаки дешевеют быстрее, чем масштабируется защита.

Цель материала — честно показать масштаб проблемы на проверяемых данных и обсудить направления её решения, не выдавая модельные числа за прогноз и не привязываясь к какой-либо конкретной законодательной инициативе.

2. Перспективы

• Регулятор — где узкие места модели контроля.
• Средний бизнес — почему компании избегают аудитов.
• Аудитор / ИБ-компания — что мешает масштабировать проверки.
• Атакующий — почему экономика атаки привлекательна.

3. Диагностика: твёрдые факты

3.1 Правовое поле (выверено)

• Указ Президента РФ от 01.05.2022 № 250 (в ред. № 500 от 13.06.2024): запрет иностранных СЗИ и сервисов по ИБ для широкого круга организаций с 1 января 2025 года [1]. Это Указ Президента, а не «федеральный закон № 250-ФЗ», и срок — 2025 год.
• Изменения в КоАП (Федеральный закон от 30.11.2024 № 420-ФЗ): с 30 мая 2025 года введены крупные, в том числе оборотные, штрафы за утечки персональных данных (для повторных/крупных нарушений — вплоть до сотен миллионов рублей) [2].
• Статья 272.1 УК РФ (действует с декабря 2024 года): уголовная ответственность за незаконные действия с персональными данными [3].

Совокупный эффект: ответственность за инциденты резко выросла, при этом обязанность защищаться сталкивается с дефицитом доступных сертифицированных решений после ограничения иностранных СЗИ.

3.2 Узкое место регулятора (выверено)

ФСТЭК — единственный лицензирующий орган для технической защиты конфиденциальной информации и для разработки/производства СЗИ. По обзору правоприменительной практики, число действующих лицензий исчисляется тысячами (порядка 3,4 тыс. на ТЗКИ и около 1,6 тыс. на разработку/производство СЗКИ), а ужесточение требований 2024–2025 годов (приказ ФСТЭК № 240 в действующей редакции; ГОСТ Р 56939-2024) увеличивает входной порог для разработчиков [4]. Подробности — в обзоре 1.2.

3.3 Динамика атакующих (выверено как порядок величины)

Атакующая сторона растёт быстрее защиты: распространение модели Ransomware-as-a-Service, автоматизация и снижение порога входа. Конкретные темпы различаются между источниками (разные базы и методики), поэтому корректно приводить их как диапазон, а не единое число: различные отчёты 2025 года фиксируют рост числа ransomware-атак в пределах от десятков процентов до кратного — в зависимости от выборки и периода [5]. Объём вредоносного потока также рекордный: «Лаборатория Касперского» сообщает о сотнях тысяч новых вредоносных файлов ежедневно [6].

Оговорка по тезису «89% фишинга создаётся ИИ»: эта цифра широко тиражируется, но не имеет надёжного первоисточника, поэтому в данном материале не используется как доказательство.

4. Поведенческая проблема: «страх аудита»

Ключевой барьер — поведенческий. При высокой ответственности за инциденты у руководителя возникает извращённый стимул: обнаруженная в ходе аудита уязвимость не даёт иммунитета от санкций, поэтому «лучше не знать». Это подавляет спрос на проактивный аудит и увеличивает «тёмную цифру» нераскрытых инцидентов. Тезис согласуется с глобальными данными о низкой доле компаний МСБ с формальной политикой ИБ и регулярным сканированием уязвимостей [7].

Для среднего бизнеса это означает: формальное соответствие (наличие политики, сертификатов) не равно фактической устойчивости. Независимый аудит — единственный способ узнать реальное состояние до того, как об этом узнает атакующий или регулятор.

5. Иллюстративная модель сценариев (НЕ прогноз)

Ниже — условная модель для наглядности. Она показывает логику расхождения двух траекторий, но её числа являются следствием заданных допущений, а не измерением и не предсказанием. Любая публикация должна сопровождать таблицу этой оговоркой.

Допущения сценария A («инерция»): атаки растут по экспоненте; число новых решений защиты растёт линейно (ограничено ёмкостью сертификации); время реакции медленно увеличивается из-за роста сложности инфраструктур.

Допущения сценария Б («ускорение защиты»): при появлении механизмов быстрого вывода и обкатки решений, обмена данными об атаках и снятии барьеров для аудита рост атак замедляется, число решений растёт быстрее, время реакции сокращается.

Мы сознательно убрали из таблицы псевдоточные значения (вроде «24 500 атак», «реакция 4 дня», «преимущество 18,3x»), которые в исходной версии создавали ложное впечатление измеренного прогноза. Корректная подача — направление и знак изменения, а не выдуманная точность.

6. Направления решения (как обзор практик, а не готовый законопроект)

Мировой опыт предлагает несколько подходов к сокращению асимметрии без снижения требований к безопасности. Здесь они изложены нейтрально, как поле возможных решений для дискуссии:

1. Регуляторные «песочницы» и режимы ускоренной обкатки. Контролируемая эксплуатация новых решений до полной сертификации применяется в финрегулировании (например, песочница FCA в Великобритании, режим MAS в Сингапуре) и в медтехе (ускоренные программы вывода устройств). Принцип переносим и на ИБ.
2. Механизмы «безопасной гавани» (safe harbor) для добросовестного раскрытия. В ряде юрисдикций добросовестное выявление и исправление проблем снижает санкционные риски, что стимулирует компании проводить аудит, а не скрывать инциденты.
3. Привлечение независимых экспертных институтов (включая университеты) к оценке качества и методологии — распространённая практика академической валидации промышленных решений.
4. Упреждающее финансирование R&D под новые векторы, чтобы разработка стартовала до массового инцидента, а не после.
5. Коллективный обмен данными об атаках для перехода от изолированной защиты к «коллективному иммунитету» рынка.

Эти направления приведены как обзор международной и отраслевой практики. Конкретная конфигурация регулирования для РФ — предмет отдельной проработки и в данном материале намеренно не формулируется.

7. Выводы

1. Асимметрия времени реальна и усиливается — это подтверждается ростом ответственности (420-ФЗ, ст. 272.1 УК), ограничением предложения (Указ № 250) и динамикой атакующих [1][2][3][5].
2. Узкое место — ёмкость контроля и поведение рынка, а не злая воля участников: барьеры входа высоки, а страх санкций подавляет проактивный аудит.
3. Числовые прогнозы следует подавать как иллюстративные сценарии, с явными допущениями; ложная точность подрывает доверие к экспертизе.
4. Существует поле проверенных в мире механизмов (песочницы, safe harbor, академическая валидация, упреждающий R&D, обмен данными), которые сокращают асимметрию без снижения требований к безопасности.

8. Рекомендации

Для руководителя бизнеса (CEO / владелец):

1. Заказать независимый аудит до инцидента — «не знать» не защищает от 420-ФЗ и ст. 272.1 УК.
2. Оценить реальную цепочку поставки СЗИ после Указа № 250: что заменено, что осталось без поддержки.
3. Заложить бюджет на компенсирующие меры там, где патчи недоступны.

Для CISO:

1. Перейти от KPI «закрыть все CVE» к KPI «сократить время обнаружения и изоляции».
2. Участвовать в отраслевых форматах обмена индикаторами (ISAC, отраслевые ассоциации).
3. Документировать компенсирующие меры для регуляторной защиты.

Для регулятора (направления дискуссии):

1. Рассмотреть safe harbor для добросовестного проактивного аудита.
2. Пилотировать режимы ускоренной обкатки для новых СЗИ.
3. Привлекать академические институты к валидации методологий.

9. Открытые вопросы

• Какие метрики корректно использовать для оценки эффекта реформ, чтобы не скатиться в ложную точность?
• Как обеспечить независимость и качество любой делегированной экспертизы?
• Как организовать обмен данными об атаках с соблюдением требований к персональным данным?

Источники

[1] Указ Президента РФ от 01.05.2022 № 250 (в ред. № 500 от 13.06.2024). http://kremlin.ru/acts/bank/47796

[2] Федеральный закон от 30.11.2024 № 420-ФЗ — изменения в КоАП РФ (штрафы за утечки персональных данных, в т.ч. оборотные). https://www.garant.ru/

[3] Статья 272.1 УК РФ — ответственность за незаконные действия с персональными данными (введена в 2024 году). https://www.consultant.ru/document/cons_doc_LAW_10699/

[4] ФСТЭК России — обзор правоприменительной практики лицензионного контроля (число действующих лицензий ТЗКИ/СЗКИ); приказ ФСТЭК № 240 в ред. № 230 от 30.06.2025; ГОСТ Р 56939-2024. См. также обзор SLEM 1.2.

[5] Отраслевые отчёты по ransomware/RaaS за 2025 год (Flashpoint, Fortinet, Dragos и др.) — темпы роста приводятся как диапазон ввиду различий в методиках.

[6] Kaspersky — Security Bulletin (объём нового вредоносного ПО — сотни тысяч файлов в сутки). https://securelist.ru/

[7] Microsoft / отраслевая статистика по кибербезопасности МСБ (низкая доля компаний с формальной политикой ИБ и регулярным сканированием).