Хакеры тоже эволюционировали, развивая свои техники и тактики. Появились продвинутые угрозы (APT), где за кибератакой стояли не одиночки, а организованные команды, часто спонсируемые целыми спецслужбами или государствами. Их целью были не удары по площадям и массовое заражение, а скрытное проникновение, разведка, кража данных, перехват управления. Такие атаки разворачивались неделями и даже месяцами. Использовались уникальные техники, легитимные инструменты, кастомные эксплойты, созданные специально под конкретную жертву, что сильно осложняло их обнаружение. Главная особенность — координация. Разные этапы атаки распределяются по времени, по инфраструктурам, затаиваются, маскируются под нормальную активность.

Представьте, что трое прохожих в разных районах города видят непонятные действия: один замечает, как человек подделывает документы, другой — как кто-то заходит в закрытое здание, третий — странное подключение к охранной системе. По отдельности — это случайности. Но для оперативного штаба, который получает данные со всех камер и датчиков, картина складывается в подготовку к ограблению. Именно так работают APT-кампании. Именно так должна работать защита.

Изолированные средства защиты стали беспомощными. Один заказчик мог зафиксировать только фишинг и не понять, что за ним последовало. Второй заметит странное перемещение внутри сети или простое сканирование, но не увидит, откуда злоумышленник проник. Третий заметит точку закрепления, но не поймет, кто ее оставил и зачем. Каждый видит лишь фрагмент атаки, только свой небольшой кусочек целого пазла. Защищать в одиночку — недостаточно, чтобы сложить общую картину. И каждый уверен, что у него «локальный инцидент». Хакеры стали обмениваться информацией о своих жертвах, а что же жертвы?

. На ее основе выявляются скрытые закономерности, обнаруживаются кампании, строятся профили атакующих. Это не просто модуль в каком-то продукте — это новая модель безопасности. Так работают все ведущие западные вендоры: CrowdStrike, Microsoft, Palo Alto Networks, SentinelOne, Google Mandiant и другие. Их продукты не просто защищают. Они собирают обезличенные сигналы тревоги, строят графы атак, выявляют повторяющиеся цепочки. Один клиент сталкивается с чем-то новым — и весь остальной мир получает защиту почти мгновенно. Это и есть коллективный иммунитет, только цифровой.

Это важнейшие элементы национальной цифровой обороны. Но все-таки они работают по иной идеологии, государственной: информация движется вверх, а обратно возвращается медленно, не вся, часто формализовано, в виде бюллетеней. И к тому же — не всегда всем. Участие не добровольное, а обязательное. Скорость и гибкость — ограничены.

ИБ-компании тоже ограничены. Они не могут свободно делиться своей аналитикой об угрозах (threat intelligence). Конкуренция, юридические ограничения, риск раскрыть ноу-хау или потерять рыночное преимущество. Даже участие в ISAC-платформах (Information Sharing and Analysis Center), CERT’ах, оперштабах не дает оперативности, сравнимой с машинной корреляцией в реальном времени. Каждый охраняет свой «секретный соус».

Не полной копией логов, не критическими данными, а исключительно событиями, метками, тревожными индикаторами. Это уже делают NGFW, EDR, XDR, облачные прокси и почтовые фильтры. Они «видят», что происходит, и передают агрегированную информацию в ядро глобального анализа. Как иммунные клетки, посылающие сигнал в мозг, чтобы выработать ответ.

При этом важно понимать, что передача таких данных не означает раскрытие конфиденциальной информации или компрометацию внутренней инфраструктуры. Современные средства защиты умеют обезличивать события, удаляя из них персональные данные, внутренние IP-адреса, имена пользователей и другие чувствительные элементы. Передаются только те фрагменты, которые имеют ценность с точки зрения выявления угроз: тип техники, используемый инструмент, форма поведения. Сама же передача данных осуществляется по защищенным каналам. На стороне вендора они хранятся в защищенных средах, с применением сегментации, шифрования и ролевого доступа. Механизмы контроля и внутреннего аудита предотвращают несанкционированный доступ даже внутри ИБ-вендора.

Это уже не просто реакция на инцидент. Это проактивная модель. Это цифровая разведка, встроенная в каждый компонент защиты. Когда одна организация становится «глазами», другая — «ушами», третья — «анализатором», и вместе они становятся коллективным мозгом. Как нельзя выиграть войну, сидя в бункере и не зная, что происходит с соседями. Как сказали бы военные, это — сеть раннего оповещения. Но в отличие от ПВО, она защищает не территорию, а цифровую инфраструктуру. И каждый, кто участвует в этой системе — не просто получает своевременную защиту, но и усиливает ее для других.

Сопротивление автономии — естественно. Никто не хочет «сдавать данные». Но тут уместна аналогия с вакцинацией: если не создать коллективный иммунитет — вирус будет распространяться. Если мы не делимся наблюдением за атакой — завтра она дойдет до нас, когда мы не готовы. Объединение — не слабость. Это — новая сила. Это платформа, где нет конкуренции между клиентами, только общая цель: остаться в живых и не стать частью списка на черном рынке доступов.

Выбор за каждым заказчиком: делиться обезличенной телеметрией и быть частью цифрового иммунитета. Или остаться один на один с теми, кто точно не действует в одиночку. Глобальная аналитика — не опция. Это обязательный компонент безопасности в 2026 году. Иначе мы как деревни без почты, которые узнают об угрозе, когда она уже внутри.

Главный риск тотального импортозамещения — это изоляция от глобальной технологической эволюции. Если российским ИТ- и ИБ-специалистам отрезают доступ к современным технологиям — будь то облачные платформы, коммерческие СУБД, промышленное оборудование, языки программирования, фреймворки, DevOps-инструменты, — они неизбежно теряют связь с мировыми стандартами. Они не смогут учиться на этих технологиях, не смогут разрабатывать для них свое ПО, не смогут искать уязвимости и создавать средства защиты. Они будут вариться в собственной технологической среде, все дальше уходящей от реалий остального мира

Например, если в России запрещено использование продуктов Microsoft, Oracle, Cisco, SAP или Palo Alto Networks — логично, что у специалистов не будет легального доступа к этим системам ни на рабочих местах, ни в образовательных учреждениях. Но эти же системы продолжают широко использоваться в инфраструктурах дружественных стран — от Казахстана до Индии, от Южной Африки до Мексики. Вот несколько цифр из аналитики IDC для примера:

Специалист, незнакомый с архитектурой и уязвимостями Active Directory или Juniper, не сможет ни обеспечить качественную защиту таких инфраструктур, ни провести в них наступательные кибероперации, ни разработать сигнатуры атак для российских средств обнаружения угроз, отправленных на экспорт защищать наших внешнеполитических друзей. Опрос ИБ-специалистов, проведенный Positive Technologies весной 2024 года, показал, что 62% из них считают, что невозможность работы с зарубежными продуктами ухудшает их компетенции в обнаружении угроз.

Российские разработчики надеются экспортировать свои решения в дружественные юрисдикции. 99,8% российского ИТ-экспорта направлено именно в дружественные страны, при этом доля экспорта российских ИТ-продуктов в дружественные страны составляет менее 3% от общего объема.

Гибкость и гибридность — основа современной кибербезопасности. Это касается и защиты, и атаки. Государства, обладающие наступательными кибервозможностями, инвестируют в изучение самых популярных зарубежных решений. Это логично: чтобы проникнуть в инфраструктуру, нужно знать, как она устроена. Чтобы атаковать — нужно понимать поверхность атаки. Чтобы шпионить — нужно уметь перехватывать и анализировать трафик, взаимодействие компонентов и логики в системах, созданных на чужих технологиях.

Тотальное импортозамещение ограничивает этот потенциал. Без практики работы с VMware ESXi, Windows Server, AWS или Cisco Firepower невозможно ни эффективно защищаться от APT-группировок, использующих эти векторы, ни создавать эффективные средства разведки и наступления. В результате страна может лишиться элитного класса специалистов — offensive-аналитиков, реверс-инженеров, разработчиков эксплойтов, специалистов по перехвату и анализу трафика, знакомых с международными реалиями:

Да, если вам не нравится разговор о наступательных операциях, замените этот термин на пентесты, которые делаются абсолютно в легальном поле и в рамках действующего законодательства многих стран.

Даже среди дружественных стран отсутствует единая ИТ-экосистема. В Казахстане, Армении, Турции, Индии и даже в Китае используются зарубежные решения. Ввод запретов и изоляция России от этих решений затрудняет сотрудничество: не только в ИБ, но и в ИТ-интеграции, совместных проектах, трансграничных услугах и анализе инцидентов. Возникает разрыв: российские специалисты не понимают, что защищают их партнеры, а партнеры не готовы менять архитектуру ради интеграции с российскими средствами

Кроме того, экспорт ИБ-решений предполагает уровень доверия. Но если решения создаются в закрытом контуре, не прошедшем проверку на соответствие международным практикам, то доверие не формируется. В результате даже дружественные страны продолжают выбирать западные продукты — пусть и не напрямую, а через перекупщиков, серый импорт и альтернативные каналы.

История знает примеры стран, стремившихся к полной технологической изоляции. Один из них — Иран, где после введения санкций развивалась собственная, обособленная от всех ИТ-отрасль, включая национальные мессенджеры (например, Zarebin), ОС, антивирусы. Но большинство из них не смогли выйти на внешний рынок, а Иран все равно зависел от серого импорта западных технологий. В результате — ограниченность компетенций, слабый экспортный потенциал, зависимость от уязвимых «самоделок» и полумеры в сфере ИБ. Разработка атакующих инструментов в Иране ведется часто на базе устаревших версий ОС, что снижает эффективность и точность операций.

Эта страна фактически отрезана от глобального ИТ-пространства. Да, она имеет сильные кибервойска, но обучает их на нелегальных копиях Windows и через подпольные лаборатории. Это путь немасштабируемый и не воспроизводимый в открытом государстве. К тому же КНДР не может экспортировать свои решения (ту же ОС Red Star): они не признаны, не понятны и не совместимы с мировыми ИТ-практиками.

Куба, также оказавшаяся в технологической изоляции, страдает от нехватки оборудования, слабой подготовки специалистов и невозможности выхода на глобальные ИТ-рынки. Даже после ослабления санкций кубинские продукты (например, Nova OS) не могут конкурировать, поскольку создавались в вакууме и не соответствуют требованиям современного рынка. Ограниченность технологий и слабое взаимодействие с рынком привели к утрате конкурентоспособности даже на соседних рынках Латинской Америки.

Импортозамещение — важный и неизбежный шаг в условиях геополитической турбулентности. Но превращение его в догму, в полное отрицание любых иностранных технологий, приводит к самоизоляции. Технологический суверенитет возможен только при сохранении компетенций, открытости к мировым знаниям и гибкости. Если Россия хочет экспортировать свои решения, она должна учитывать реалии внешнего мира, а не противопоставлять им закрытую экосистему.

Иначе мы получим не суверенитет, а технологический анклав — с отставанием, недоверием и снижением влияния. В конце концов, технологический суверенитет не значит полный отказ от глобальных продуктов. Это способность обеспечить независимость, не отрезая страну от мировой технологической мысли.