«ГИГАНТ — Компьютерные системы» о том, как оценивать прогресс в борьбе с кибермошенничеством

Эксперт «ГИГАНТ — Компьютерные системы» рассказал, почему 7 часов 48 минут до блокировки не стоит называть прорывом и как антифрод-инфраструктура влияет на защиту граждан
 

Минцифры опубликовало отчет о ходе реализации государственной программы «Информационное общество» нацпроекта «Экономика данных» за 2025 год. Один из ключевых показателей - среднее время блокировки фишинговых и мошеннических ресурсов. Фактический результат составил 7 часов 48 минут при плановом ориентире 8 часов.

Также в отчете говорится о росте доли предотвращенного кибермошенничества на 53,7% и расширении числа организаций, участвующих в системе противодействия киберпреступлениям. В этот контур входят органы исполнительной власти, операторы связи и финансовые организации. Именно они формируют базовую инфраструктуру реагирования на цифровое мошенничество.

О том, как корректно оценивать эти показатели, почему рост предотвращенного мошенничества нельзя рассматривать в отрыве от общей динамики атак и зачем государству фокусироваться на ключевых участниках антифрод-системы, мы поговорили с Алексеем Колодкой, директором по работе с государственными заказчиками компании «ГИГАНТ — Компьютерные системы».

— Алексей, начнем с самого заметного показателя: фишинговые и мошеннические ресурсы в 2025 году блокировались в среднем за 7 часов 48 минут. Как в «ГИГАНТ — Компьютерные системы» оценивают этот результат: это действительно прорыв?

Я бы не называл это прорывом. 7 часов 48 минут - это показатель, который был заложен в рамках реализации государственной программы «Информационное общество». Там был ориентир на достижение уровня в 8 часов, и фактический результат оказался немного лучше планового значения.

Это улучшение, его нельзя обесценивать. Но если говорить именно о прорыве, я бы был осторожен. Здесь корректнее говорить о выполнении и небольшом опережении установленного норматива, а не о качественном скачке всей системы противодействия фишингу и мошенническим ресурсам.

— То есть показатель хороший, но сам по себе он еще не доказывает, что система стала радикально быстрее?

Да. Важно понимать, с чем мы сравниваем. В мировой практике нет единого «золотого стандарта» и универсальных исследований, которые бы фиксировали, за какое время в разных странах происходит блокировка вредоносных сайтов от момента обнаружения до блокировки.

Поэтому имеющиеся данные корректнее использовать как статистические. Они показывают, что плановый показатель достигнут и даже немного улучшен. Но делать из этого вывод о прорыве всей отрасли я бы не стал.

— Это важное уточнение. Потому что цифра выглядит убедительно, но без контекста ее легко переоценить. Как тогда правильно объяснять ее бизнесу и рынку?

Как показатель движения в нужном направлении. Система быстрее реагирует, норматив выполнен, это позитивный результат. Но борьба с фишингом и кибермошенничеством не сводится только к времени блокировки ресурса.

Мошенники постоянно меняют инфраструктуру, используют новые домены, социальную инженерию, мессенджеры, поддельные аккаунты и другие каналы. Поэтому важно смотреть не только на среднее время блокировки, но и на то, как развивается вся система выявления, обмена информацией и предотвращения ущерба.

— Второй показатель еще более заметный: рост предотвращенного мошенничества на 53,7%. По оценке «ГИГАНТ — Компьютерные системы», насколько он отражает реальное положение дел?

Этот показатель нужно рассматривать через несколько факторов. Первый - эволюция антифрод-систем. Они действительно становятся лучше: повышается скорость обработки событий, применяются современные технологии, в том числе на основе искусственного интеллекта. Это помогает быстрее выявлять подозрительные действия и предотвращать часть атак.

Второй фактор - законодательство. С 2025 года регулирование в этой области существенно усиливается, и это заставляет большинство организаций активнее развивать собственные системы безопасности. За счет этого растут и возможности реагирования, и объем предотвращенных атак.

— То есть рост может быть связан не только с тем, что угроз стало меньше, а наоборот - с тем, что система стала больше видеть и активнее реагировать?

Именно. Это очень важный момент. Количество кибератак с использованием ИИ увеличилось в разы. Поэтому рост предотвращенного мошенничества не стоит трактовать как признак того, что сама угроза снижается.

Скорее, мы видим более активное выявление и реагирование. Антифрод-инструменты развиваются, законодательные требования усиливаются, участники рынка внимательнее относятся к таким инцидентам. Поэтому показатель я бы рассматривал как общестатистический, а не как однозначное доказательство снижения уровня мошенничества.

— Вы отдельно упоминали сезонность. В таких оценках она действительно может заметно менять картину?

Да, сезонность тоже нужно учитывать. Летом и зимой обычно наблюдается наибольший всплеск кибератак, а весной и осенью часто фиксируется определенный спад. Это связано и с поведением пользователей, и с активностью мошенников, и с периодами, когда люди чаще совершают платежи, покупки, поездки или получают массовые рассылки.

Поэтому показатели по предотвращенному мошенничеству важно анализировать не изолированно, а с учетом периода, типа атак, интенсивности кампаний и изменений в законодательстве.

— Получается, один процентный показатель не отвечает на главный вопрос: стало ли гражданам безопаснее?

Да, одного показателя недостаточно. Он показывает, что система предотвращения стала активнее и масштабнее. Но уровень безопасности граждан зависит от нескольких вещей одновременно: скорости реакции, качества антифрод-систем, обмена информацией между участниками, зрелости законодательства и способности организаций быстро реагировать на новые схемы.

В «ГИГАНТ — Компьютерные системы» мы смотрим на такие цифры как на индикатор развития инфраструктуры, но не как на финальную оценку всей ситуации с кибермошенничеством.

— Теперь про бюджет и охват. Бюджет федпроекта в 2025 году составил 12,2 млрд рублей, а вовлечено всего 8% организаций. На первый взгляд процент кажется небольшим. Этого достаточно, чтобы реально влиять на ситуацию?

Здесь важно смотреть не только на процент, но и на состав участников. Если посмотреть, какие именно организации входят в этот перечень, становится понятно, что речь идет о ключевых игроках, напрямую влияющих на уровень защищенности граждан.

Это органы исполнительной власти, операторы связи и финансовые организации. Именно они формируют базовую инфраструктуру противодействия кибермошенничеству. Поэтому 8% нельзя оценивать как абстрактную долю от всех организаций. Важно, что в систему вовлечены участники, через которых проходит значимая часть взаимодействия граждан с цифровыми сервисами.

— То есть здесь качество участников важнее, чем просто широта охвата?

Да. Если в систему входят те, кто реально может повлиять на выявление, блокировку, предупреждение и реагирование, эффект будет заметнее, чем при формальном расширении списка участников.

Операторы связи видят сетевой уровень, финансовые организации работают с платежными и мошенническими сценариями, органы исполнительной власти участвуют в координации и регулировании. Их взаимодействие создает основу для более эффективного противодействия кибермошенничеству.

— Тогда можно сказать, что фокус на этих организациях - это ставка на инфраструктурный эффект?

Да, именно. Инвестиции в развитие этих участников позволяют улучшить взаимодействие с гражданами и повысить эффективность реагирования на угрозы. Если сильнее становятся ключевые элементы системы, это влияет на общий уровень защиты.

Поэтому в «ГИГАНТ — Компьютерные системы» мы считаем, что важно оценивать не только количество подключенных организаций, но и то, какую роль они играют в антифрод-инфраструктуре.

— Но при этом мошенничество развивается быстро. Одного участия операторов, банков и госорганов достаточно?

Нет, конечно. Это необходимая основа, но не единственный элемент. Мошенничество меняется, атаки становятся более технологичными, в них используется ИИ, социальная инженерия, новые каналы коммуникации.

Поэтому развитие инфраструктуры противодействия должно идти постоянно. Нужны более быстрые механизмы обмена информацией, улучшение антифрод-систем, повышение качества реагирования и постоянное обновление подходов. Но начинать логично именно с ключевых участников, потому что они дают максимальный системный эффект.

— То есть цифра 8% не должна восприниматься как слабость сама по себе?

Да. Она может выглядеть небольшой, если смотреть только на процент. Но если внутри этих 8% находятся организации, которые напрямую влияют на защищенность граждан, то такой охват может быть значимым.

Важно не расширять систему ради статистики, а вовлекать тех, кто действительно способен быстрее обнаруживать угрозы, передавать информацию и помогать предотвращать ущерб.

— Если обобщить, какие выводы «ГИГАНТ — Компьютерные системы» делает из отчета Минцифры?

Первый вывод - плановый показатель по времени блокировки выполнен и немного улучшен, но называть это прорывом преждевременно. Второй - рост предотвращенного мошенничества отражает развитие антифрод-систем, усиление законодательства и расширение реагирования, но его нужно оценивать на фоне роста атак, в том числе с использованием ИИ.

Третий вывод - вовлечение 8% организаций может быть значимым, если речь идет о ключевых участниках: органах исполнительной власти, операторах связи и финансовых организациях. Именно они формируют базовую инфраструктуру защиты граждан от кибермошенничества.

— И главный практический смысл для рынка?

Главный смысл в том, что борьба с кибермошенничеством становится не точечной задачей отдельных организаций, а инфраструктурной задачей. Важны скорость блокировки, развитие антифрод-систем, законодательное давление, обмен информацией и участие ключевых игроков.

Если эти элементы работают вместе, общий уровень защиты граждан растет. Но оценивать прогресс нужно аккуратно: не только по одной красивой цифре, а по тому, насколько система быстрее видит угрозы, предотвращает ущерб и адаптируется к новым схемам мошенников.