ЧАСТЬ 1. БУДУЩЕЕ УЖЕ ПРИЕХАЛО, ПРОСТО ПЛОХО ПРИПАРКОВАЛОСЬ

Глава 1. ЧЕЛОВЕК ИЗ БУДУЩЕГО

Книги про будущее принято начинать с какой-нибудь красивой глупости.
Например, с описания стеклянного небоскрёба, в котором искусственный интеллект управляет лифтами, кофемашинами, поливом фикусов и, возможно, советом директоров.

На самом деле будущее приходит гораздо прозаичнее.

Оно приходит в виде письма от бухгалтерии с темой «Срочно оплатить счёт». В виде странного домена, зарегистрированного за три часа до атаки. В виде ноутбука, на котором школьник запускает первую нейросеть, а сотрудник большой компании — первый корпоративный секрет, случайно скормленный этой нейросети. В виде презентации на тридцать семь слайдов, где слово «AI» встречается чаще, чем здравый смысл.

А иногда будущее приходит в виде старой журналистской шутки.

Лет двадцать назад один журналист написал про человека из антивирусной лаборатории текст под названием «Гостев из будущего». Тогда это было просто смешно. Вирусные аналитики вообще плохо подходили на роль людей из будущего. Они сидели в комнатах с плохой вентиляцией, ели пиццу у компьютеров, ругались на упаковщики, дизассемблеры и пользователей, которые открывают вложение с названием love_letter_for_you. Если это и было будущее, то какое-то очень душное.

Но журналист, как часто бывает с журналистами, случайно попал в точку.

Потому что антивирусная индустрия действительно много лет занималась странным делом: смотрела на мусор настоящего и пыталась понять по нему контуры завтрашнего дня. В нормальных профессиях люди изучают рынок, отчёты, поведение потребителей. В этой — изучают вредоносный код, чужие ошибки и человеческую глупость, которая, как известно, масштабируется лучше любого облака.

Если сегодня школьник пишет червяка ради пятнадцати минут славы, завтра преступник добавит туда кражу денег. Если сегодня вирусописатель прячет код в новом формате файла, завтра этим же трюком воспользуется разведка. Если сегодня кто-то придумал автоматизировать поиск уязвимостей, завтра другой человек обязательно автоматизирует их эксплуатацию.

Правильный вопрос здесь не «случится ли это?».

Правильный вопрос — когда именно.

#

В начале двухтысячных будущее пахло пылью, пластиком и перегретыми блоками питания.

Вирусные лаборатории тогда были похожи не на командные центры кибервойск, а скорее на нелегальные кружки радиолюбителей, которым по ошибке доверили спасение Интернета. На столах стояли пузатые мониторы, под столами — системники, вокруг — диски, дискеты, провода, чашки, бумажки с командами и люди, которые умели смотреть на набор байтов так, будто там написано письмо от старого знакомого.

Снаружи всё это выглядело почти скучно. Ну сидит человек, смотрит в экран. Иногда стучит по клавиатуре. Иногда говорит слово, которое нельзя печатать в деловой литературе. Иногда радостно сообщает:
— Вот же гад!
И все понимают: найдено что-то важное.

Работа аналитика состояла не в том, чтобы красиво рассуждать про цифровую трансформацию. Он брал неизвестную заразу, раскручивал её, смотрел, что она делает, как распространяется, что портит, куда стучится, какие файлы создаёт, какие ключи в реестре оставляет и почему автору этого произведения в детстве, видимо, недодали любви.

Потом нужно было сделать так, чтобы антивирус эту заразу ловил. Желательно — быстро. Ещё лучше — до того, как пользователь успеет открыть вложение. И совсем хорошо — до того, как журналисты начнут звонить с вопросом: «А правда ли, что русские хакеры опять положили Интернет?»

В те годы кибербезопасность ещё не стала глянцевым рынком. Не было красивых слов вроде EDR, XDR, MDR, CNAPP и прочего алфавитного супа, который сейчас продаётся на конференциях под музыку, кофе и обещание «единого окна». Были вирусы. Были люди, которые их писали. Были люди, которые их ловили. И была бесконечная гонка, напоминавшая мультфильм про койота и дорожного бегуна, только с периодическим ущербом на миллиарды долларов.

Потом всё усложнилось.

Сначала вирусы стали красть деньги. Потом — данные. Потом — промышленные секреты. Потом выяснилось, что государствам тоже нравится играть в эту игру, только у них бюджеты побольше и чувство юмора похуже.

А затем на сцену вышел искусственный интеллект.

#

Если бы искусственный интеллект появился в начале двухтысячных, вирусные аналитики, конечно, обрадовались бы.

Ему сразу поручили бы разбирать почту пользователей.

— Вот тебе, дорогой робот, пять тысяч писем. В половине мусор, в другой половине вирьё, в третьей половине пользователи сами не знают, что прислали. Разберёшься — молодец. Не разберёшься — мы тебя переименуем в помощника менеджера.

Но ИИ появился позже, когда индустрия уже успела обрасти бюджетами, регуляторами, презентациями, квадрантами Gartner и людьми, которые всерьёз говорят «мы закрываем боль заказчика» без видимых признаков физического страдания.

И вот тут началось интересное.

Первые восторги вокруг нейросетей очень напоминали ранние годы Интернета. Тогда тоже казалось, что теперь всё изменится: информация станет свободной, люди умными, границы прозрачными, а котики — вечными. Частично так и вышло, особенно с котиками. Но вместе со свободной информацией появились фишинг, ботнеты, даркнет, криптовалютные пирамиды и родственники, которые пересылают в семейный чат ролики с заголовком «ВРАЧИ СКРЫВАЛИ ЭТО 40 ЛЕТ».

С искусственным интеллектом происходит примерно то же самое, только быстрее.

Сначала все радовались, что модель пишет стихи, код и письма начальнику. Потом выяснилось, что она также отлично пишет фишинговые письма, объясняет уязвимости, помогает собирать разведданные и уверенно врёт там, где нормальный человек хотя бы покраснел бы.

Это не значит, что ИИ сам стал хакером.

ИИ вообще ничего не «стал». Он не проснулся, не посмотрел на человечество и не решил: «Пожалуй, начну с бухгалтерии». У него нет воли, обиды на офисный стол и желания купить квартиру в Дубае. Зато у людей всё это есть. А люди очень быстро понимают, как использовать новый инструмент.

Молотком можно построить дом. Можно разбить витрину. Можно торжественно вручить его на корпоративе лучшему сотруднику квартала. Вопрос не в молотке.

Вопрос в руках.

#

На рынке безопасности к этому моменту уже накопилась усталость от старых войн.

Каждая новая технология сначала продавалась как спасение. Потом выяснялось, что она закрывает только часть проблемы. Потом вокруг неё появлялся рынок дополнительных продуктов, которые закрывали проблемы, созданные первым продуктом. Потом приходили консультанты и объясняли, что без стратегии зрелости вы неправильно закрываете неправильно поставленную проблему.

Так родилась современная кибербезопасность.

Но ИИ внёс в эту привычную схему важное изменение: скорость.

Раньше атакующий должен был делать много работы руками. Искать цель, собирать информацию, писать письма, подбирать инфраструктуру, тестировать код, обходить защиту, читать документацию, материться, снова читать документацию. Романтика ремесла, почти как у краснодеревщика, только вместо дерева — чужой периметр.

Теперь значительная часть этой рутины автоматизируется.

Модель может помочь написать убедительный текст под конкретную жертву. Может быстро разобраться в незнакомом API. Может подсказать, где в коде пахнет уязвимостью. Может сгенерировать варианты обхода фильтра. Может перевести фишинг на хороший английский, немецкий или японский — без тех прекрасных грамматических ошибок, по которым раньше пользователь иногда понимал, что наследство нигерийского принца лучше оставить нигерийскому принцу.

И это только первая волна.

Настоящая проблема начнётся, когда ИИ перестанет быть помощником человека и станет частью автоматического конвейера атаки. Не злым электронным мозгом из кино, а скучным промышленным инструментом. Таким же, как CRM, только для взлома.

Он сам выберет цель. Сам соберёт данные. Сам найдёт слабые места. Сам подготовит письма. Сам проверит реакцию. Сам изменит тактику. Сам попробует ещё раз. И ещё раз. И ещё раз.

Человек останется наверху — как оператор, инвестор или заказчик. Но скорость работы системы станет уже нечеловеческой.

А оборона, если хочет выжить, должна будет стать такой же.

#

Здесь, конечно, возникает любимый вопрос начальства:

— А можно просто купить коробку, чтобы всё это закрыть?

Можно.

Коробку вам продадут обязательно.

На ней будет написано AI Security Platform, Autonomous Defense, Cognitive SOC или ещё что-нибудь бодрое, с градиентом на обложке. Внутри будет дашборд, интеграции, агент, документация на английском и менеджер, который объяснит, что продукт использует «уникальные поведенческие модели». На вопрос, какие именно, он посмотрит так, будто вы просите раскрыть рецепт кока-колы.

Проблема в том, что коробка сама по себе ничего не спасает.

Кибербезопасность вообще плохо работает как амулет. Нельзя купить дорогую систему, поставить её в стойку и считать, что злые духи теперь обойдут компанию стороной. Хотя иногда складывается ощущение, что именно так и устроены некоторые бюджеты.

Впрочем, есть один нюанс.

Кибербезопасность отличается от многих других рынков тем, что здесь даже плохой продукт может продаваться долго, если страх достаточно сильный. А страх будет сильный. Потому что руководители уже начинают понимать: ИИ — это не просто новый инструмент сотрудников. Это новый канал утечек, новая поверхность атаки и новый способ ускорить старые преступления.

Раньше компания боялась, что сотрудник отправит файл не туда.

Теперь она боится, что сотрудник отправит файл модели, модель сохранит его в логах, другой сотрудник достанет кусок через странный запрос, а потом всё это всплывёт в расследовании с заголовком «Искусственный интеллект слил стратегию компании».

Заголовок, конечно, будет врать.

Слил не интеллект. Слил человек. Интеллект просто оказался удобной трубой, в которую этот человек вылил ведро корпоративных секретов.

Но обществу нужна простая картинка. Поэтому виноват будет ИИ.

Как раньше были виноваты «русские хакеры», «китайские хакеры», «анонимусы», «вирусы» и «компьютер сам нажал».

Компьютеры вообще много чего нажимают сами, если верить объяснениям пользователей.

Хорошая защита будущего — это не одна чудо-система. Это скорость реакции, качество данных, нормальная архитектура, дисциплина обновлений, сегментация, контроль доступа, обучение людей и способность признавать, что у вас всё не так хорошо, как написано в годовом отчёте.

Последнее особенно важно.

Потому что ИИ только усилит разрыв между теми, кто понимает процессы, и теми, кто покупает названия. Главная уязвимость любой организации — не сервер, не ноутбук и даже не бухгалтер, открывший вложение. Главная уязвимость — управленческая иллюзия, что всё под контролем.

Она не детектируется антивирусом.

#

Будущее редко выглядит футуристично, когда наступает. Человек из будущего чаще всего сидит не в серебристом комбинезоне, а перед ноутбуком, заваленным вкладками, отчётами, графиками и чужими ошибками.

Оно не приходит с фанфарами.
Оно приходит как очередной инцидент.
И кто-то должен его разобрать.