Возможно ли через практику использования киберполигонов усилить систему цифровой устойчивости критических инфраструктур и превратить оценку защищенности из периодической процедуры в постоянный процесс?
Современный ландшафт киберугроз развивается настолько быстро, что традиционная модель периодической оценки защищенности информационных систем постепенно теряет эффективность. Если раньше запрос на аудит безопасности или тестирование на проникновение возникал раз в год или раз в несколько лет, то сегодня этого уже недостаточно для понимания уровня защищенности организации.
Количество уязвимостей программного обеспечения ежегодно растет. В международной базе Common Vulnerabilities and Exposures (CVE) фиксируется более 25–30 тысяч новых уязвимостей в год, причем значительная их часть относится к критическим. Ежегодно это число будет возрастать, потому что злоумышленники активно используют автоматизированные инструменты поиска уязвимостей (уже нередко с использованием технологий искусственного интеллекта) и эксплуатации слабых мест инфраструктуры.
Параллельно увеличивается интенсивность компьютерных атак. Государственные организации и объекты критической инфраструктуры регулярно становятся целями сложных целевых кампаний, направленных на нарушение технологических процессов, уничтожение данных или вывод из строя информационных систем.
В результате возникает очевидный вызов: инфраструктура может становиться уязвимой значительно быстрее, чем проводится очередная проверка защищенности.
В этих условиях обеспечение киберустойчивости требует перехода от периодической оценки защищенности к модели непрерывной проверки устойчивости инфраструктур к актуальным сценариям атак.
Одним из наиболее эффективных инструментов реализации такого подхода становятся киберполигоны и киберучения.
Когда продакшн — не место для экспериментов
Проверять, как инфраструктура выдерживает реальные сценарии атак, прямо в рабочей среде зачастую невозможно. Особенно это касается объектов критической информационной инфраструктуры, где отдельные системы напрямую связаны с непрерывной работой технологических процессов.
В таких условиях проведение активных тестов может нести риски для функционирования организации.
Киберполигоны решают эту проблему за счет создания цифровых копий инфраструктуры: в виртуальной среде воспроизводится архитектура информационных систем, сетевые взаимодействия и логика работы ключевых сервисов.
Это позволяет безопасно моделировать сложные сценарии атак и регулярно проверять цифровую копию инфраструктуры на возможные векторы атак, оценивая эффективность средств защиты без риска для производственной среды.
Практика показывает, что подобное моделирование нередко выявляет проблемы, которые долгое время остаются незамеченными. Например, при построении цифровой копии инфраструктуры одного из клиентов мы воспроизвели сценарий атаки с компрометацией сервисного узла. В ходе моделирования выяснилось, что через доверительные связи злоумышленник мог получить доступ к сегменту, где располагалась система управления критическим технологическим процессом.
Такая архитектурная связка существовала много лет и воспринималась как техническая необходимость. Однако при реальной атаке она могла привести к остановке ключевого процесса организации. После проведения киберучений клиент пересмотрел архитектуру сетевых взаимодействий и внедрил дополнительные механизмы сегментации.
Подобные кейсы демонстрируют важную особенность киберполигонов: они позволяют выявлять не только программные уязвимости, но и архитектурные и организационные риски, которые сложно обнаружить традиционными методами аудита.
От киберучений к кибериспытаниям
Киберучения традиционно используются для подготовки специалистов мониторинга и реагирования. Для этого применяются киберполигоны — цифровые копии реальной инфраструктуры, на базе которых можно регулярно проводить тренировки команд защиты. Такой подход позволяет отрабатывать сценарии атак в максимально реалистичной среде, не затрагивая рабочие системы.
Однако подготовка специалистов — лишь одна часть задачи. Для оценки защищенности самой инфраструктуры используются кибериспытания и программы поиска уязвимостей. Они проводятся уже на реальной среде и позволяют выявлять уязвимости и проверять, возможна ли реализация конкретных недопустимых событий.
Вместе эти подходы формируют систему непрерывной работы с киберустойчивостью: киберполигоны и киберучения помогают готовить команды к отражению атак, а кибериспытания и поиск уязвимостей позволяют регулярно проверять защищенность инфраструктуры.
Эффективность подобного подхода уже доказана в ряде отраслей. Программы багбаунти и кибериспытаний активно используются в банковском секторе, ретейле и технологических компаниях. Постоянное привлечение независимых исследователей безопасности позволяет выявлять уязвимости значительно раньше злоумышленников.
В контексте критической инфраструктуры речь может идти прежде всего о закрытых кибериспытаниях, проводимых в контролируемой среде по ограниченным спискам участников.
Применение успешной практики в национальной модели киберустойчивости
В системе ГосСОПКА для субъектов критической инфраструктуры подобные испытания могли бы проводиться силами центров ГосСОПКА.
На первом этапе участие в закрытых кибериспытаниях могли бы принимать:
Это позволило бы обеспечить необходимый уровень безопасности и доверия субъектов критической информационной инфраструктуры (КИИ) и регуляторов при проведении испытаний.
При этом оценивалась бы не только защищенность инфраструктуры, но и эффективность работы сил мониторинга и реагирования. Также появится возможность оценить способность сил центров ГосСОПКА проводить подобные мероприятия. Например, центры ГосСОПКА могли бы выставить собственную инфраструктуру, исследователями которой будут сотрудники других центров.
Фактически речь может идти о формировании системы оценки компетенций центров ГосСОПКА и создании рейтинговой модели участников национального взаимодействия — насколько эффективно они способны выявлять уязвимости, моделировать сценарии атак и организовывать мероприятия по оценке защищенности.
Экосистема анализа уязвимостей
Важным элементом подобных программ является триаж отчетов об уязвимостях.
Для обеспечения качества анализа этот процесс мог бы выполняться профессиональным экспертным сообществом специалистов по информационной безопасности, формируемым при участии Национального координационного центра по компьютерным инцидентам (НКЦКИ).
В отдельных случаях, особенно когда речь идет о критически значимых системах, триаж может осуществляться непосредственно специалистами НКЦКИ.
Такая модель позволила бы обеспечить баланс между эффективностью обработки отчетов и необходимым уровнем контроля.
Экономика кибериспытаний
Еще одним преимуществом кибериспытаний является экономическая эффективность.
Традиционная модель оценки защищенности предполагает оплату за проведение работ и подготовку отчетов. При этом результат таких работ не всегда напрямую связан с количеством выявленных уязвимостей или реальным повышением уровня защищенности.
Модель багбаунти и кибериспытаний предполагает иной подход: организация платит за результат — за найденные уязвимости и подтвержденные риски, а не за сам процесс проверки.
Это позволяет значительно повысить эффективность расходов на информационную безопасность.
Для государственных и бюджетных организаций такой подход может оказаться особенно актуальным. В этом случае средства направляются не на подготовку формальных отчетов, а на фактическое выявление и устранение уязвимостей.
Заключение. От периодических проверок — к постоянной киберустойчивости
Интенсификация киберугроз и постоянное появление новых уязвимостей делают традиционную модель периодических проверок все менее эффективной.
В этих условиях обеспечение устойчивости информационных инфраструктур требует перехода к непрерывной оценке киберустойчивости.
Киберполигоны способны стать технологической основой такого подхода. Они позволяют безопасно моделировать атаки на информационные объекты критической инфраструктуры, проводить кибериспытания и совершенствовать процессы мониторинга и реагирования.
В сочетании с механизмами обмена информацией в рамках ГосСОПКА это может создать основу для новой модели обеспечения безопасности критических информационных систем — модели, в которой защищенность проверяется не эпизодически, а постоянно.
Именно такой подход способен обеспечить устойчивость цифровых систем предприятий, отраслей и государства в условиях нарастающего киберпротивостояния.
Cпециализированный Форум по тематике ГосСОПКА состоится 14–15 апреля 2026 года, в кластере «Ломоносов» (Москва). Организатор — НКЦКИ, оператор — Медиа Группа «Авангард». Участников ожидает всецело практико-ориентированная программа. Регистрация уже открыта.
.jpg)
.jpeg)
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
%20(2).png)