Журнал "Information Security/ Информационная безопасность" #5, 2025

И дело здесь не в технологическом консерватизме. Рынок информационной безопасности как раз любит и умеет внедрять инновации, особенно там, где они дают измеримый эффект. Настоя- щая причина – в фундаментальном несо- ответствии между ожиданиями заказ- чиков и фактической моделью SOC. Это несоответствие определяет, как быстро и куда может двигаться рынок в ближайшие два года. Предлагаем ОСАГО, когда все хотят КАСКО Многие корпоративные заказчики ожи- дают от SOC не мониторинга и не реак- ции, а полноценной защиты. Они мыслят категориями страхования: если уж орга- низация платит за услугу, то хочет быть уверенной, что ее инфраструктура, дан- ные и операции находятся под защитой вне зависимости от сложности атаки. Клиенты формулируют потребность в сокращении реального риска, а не в наборе тикетов и отчетов. Но центры SOC, представленные сего- дня на рынке, исторически строились как операционный сервис, а не как защитная система. SOC предназначался для наблюдения, классификации собы- тий и своевременной реакции, но не для предотвращения ущерба. Услуга выпол- няет правило ОСАГО: если произошла авария, есть определенные процедуры, и не больше. Эта модель хорошо рабо- тает там, где инциденты типовые, систе- мы однообразны, а риски предсказуемы. Но мир с точки зрения информационной безопасности давно перестал быть таким. С каждым годом растет сложность инфраструктур, и от SOC требуется уже не столько регистрация сигналов, сколь- ко способность удерживать ситуацию под контролем. Но модель ОСАГО с этим не справляется – не потому, что плоха сама по себе, а потому что в 2025 г. она перестала соответствовать масштабу угроз. И пока эта модель не будет пересмот- рена, никакая технология не создаст серьезного прорыва. Ответственность как точка перелома SOC сегодня отвечает за выполнение процессов, но не за результат. Это глав- ное ограничение его развития. Пока провайдер обязан лишь корректно выполнить инструкцию, а не предотвра- тить ущерб, у рынка не возникает эко- номической мотивации к изменениям. Технологии внедряются выборочно, экс- пертиза растет медленно, а качество сильно варьируется от одного SOC к другому. Все изменится в тот момент, когда ответственность станет частью услуги. Сейчас это звучит почти революционно, но в других сферах экономики подобная модель давно является нормой. Страхо- вание деятельности SOC (его последние годы обсуждают все чаще) может ока- заться механизмом, который изменит правила игры. Если провайдер готов страховать собственный риск, он вынуж- ден: l инвестировать в экспертизу, l отстраивать и совершенствовать про- цессы, l нанимать сильных специалистов, l внедрять технологические решения не ради маркетинга, а ради результата. Заказчик в такой реальности получает именно то, чего ожидает: защиту, а не процедуру. Исполнитель – возможность конкурировать качеством, а не только стоимостью. Рынок же в целом получает повышение зрелости. Честная конкуренция, основанная на ответственности, станет главным драй- вером изменений. Она может быть силь- нее, чем регуляторика, кадровый дефи- цит или рост количества инцидентов. Заметьте, что регуляторика по своей природе устанавливает минимальную планку, в то время как конкуренция под- нимает ее до условий выживания. ИИ как усилитель, а не заменитель человека Технологии ИИ в ИБ переживают этап завышенных ожиданий. Многим кажется, что искусственный интеллект избавит SOC от дефицита специалистов, заменит L1, оптимизирует ручной труд, снизит стоимость услуг. Но это иллюзия. У каж- дого алгоритма есть зона применимости. Все, что выходит за ее пределы, порож- дает артефакты – например, галлюци- нации, которые ИИ преподносит с неоправданной уверенностью. ИИ отлично справляется с рутиной, но его сила – в скорости, а не в глубине понимания. В условиях реальной инфра- структуры, где события возникают в сложных, динамических контекстах, ИИ без человеческого контроля стано- вится слишком рискованным инстру- ментом. Он ускоряет анализ, но не осво- бождает от необходимости верифици- ровать выводы. Поэтому появление ИИ не снижает стоимость SOC, а даже наоборот – уве- личивает ее. Искусственный интеллект требует новых ролей, новых компетен- ций, новых процессов контроля. На пер- вый план выйдет специалист, который способен проверять, уточнять и кор- ректировать выводы модели. Не опе- ратор, не инженер, а новая роль – ана- литик-верификатор. Роль, которая соче- тает глубокое знание инфраструктуры, умение работать в условиях неопреде- ленности и способность принимать решения. Со временем появятся и другие роли: инженеры по дрейфу моделей, специа- листы по объяснимому ИИ, архитекторы интеграции данных. Такие специалисты по мере внедрения ИИ-инструментов станут сердцем SOC будущего. Их работа определит, насколько безопасно можно полагаться на результаты рабо- ты ИИ. 22 • СПЕЦПРОЕКТ SOC между ОСАГО и КАСКО азговоры о том, что SOC вот-вот изменится, стали почти при- вычной частью сообщества информационной безопасности. Кажется, что рынок живет в состоянии постоянного ожида- ния прорыва: то появится новый инструмент анализа телемет- рии, то крупный вендор представит модуль ИИ, то публи- куется очередной отчет, обещающий революцию в мониторин- ге. И каждый раз кажется, что именно теперь все поменяет- ся. Но проходит очередной год, и SOC продолжает работать примерно так же, как и работал. Р Максим Степченков, основатель и совладелец компании RuSIEM Фото: RuSIEM