7 задач тысячелетия в ИБ

Понятие «задачи тысячелетия» в математике относится к семи величайшим нерешенным проблемам, за решение каждой из них назначена награда в миллион долларов. По аналогии в кибербезе также есть глобальные направления исследований и разработок, определяющие будущее отрасли. Это своеобразные «великие вызовы» ИБ — сложнейшие проблемы, без решения которых трудно обеспечить безопасность общества, устремившегося в цифру. Страны и международные организации формируют планы научно-технического развития, выделяя такие приоритетные направления. Ниже я анализирую стратегические документы США, Евросоюза и России, чтобы систематизировать подходы, выделить ключевые тематические блоки, определить приоритеты и пробелы и проследить эволюцию повестки ИБ-исследований с 2010 по 2025 г. По возможности привожу прогнозы развития, основанные на этих тенденциях. В общем, выступаю в роли ученого-исследователя с серьезным лицом. 

Так, в США действует Федеральный план по исследованиям и разработкам в кибербезопасности. Обновленная редакция этого плана (2019 г.) обозначила приоритеты федеральных исследований в области искусственного интеллекта, квантовых информационных технологий, надежных распределенных цифровых инфраструктур, конфиденциальности, безопасности аппаратного и программного обеспечения, а также в сфере образования и подготовки кадров. Также в плане сделан упор на внимание к человеческому фактору (поведение и мотивация людей), совершенствование управления киберрисками, разработку методов сдерживания злоумышленников, объединение требований безопасности, надежности и конфиденциальности в единые методологии, а также на улучшение процессов разработки и эксплуатации систем с учетом безопасности.

Европейский союз через свое агентство по кибербезопасности ENISA также определяет приоритетные направления. И они несколько отличны от того, что делается за океаном. В контексте обеспечения «цифрового стратегического суверенитета» Европы в отчете ENISA (2021 г.) выделено 7 ключевых направлений исследований в кибербезопасности. К ним относятся: безопасность данных, доверенные программные платформы, управление киберугрозами и реагирование, доверенные аппаратные платформы, криптография, ориентированные на пользователя практики и инструменты безопасности, а также безопасность цифровых коммуникаций. Каждое направление снабжено анализом текущего состояния и рекомендациями по развитию, нацеленными на укрепление независимости Европы в цифровой сфере.

В России стратегическое планирование исследований в области ИБ осуществляет Совет Безопасности РФ. «Основные направления научных исследований в области обеспечения информационной безопасности РФ» — документ, утвержденный в 2017 г., — рассматривает гуманитарные, научно-технические и кадровые аспекты ИБ. 

К научно-техническим приоритетам отнесены задачи развития отечественных информационных технологий и инфраструктуры, обеспечения технологической независимости (импортозамещения) в ИТ и связи, защиты информационных ресурсов и систем, а также фундаментальные и прикладные проблемы криптографии и защиты технических средств. Одновременно подчеркиваются гуманитарные направления — от методологических основ и терминологии в сфере ИБ до защиты общественного сознания и противодействия деструктивному информационному воздействию. Кроме того, выделены проблемы подготовки кадров и формирования культуры безопасности. Такой комплексный подход отражает понимание ИБ как междисциплинарной области, требующей внимания не только к технологиям, но и к правовым, организационным и социальным аспектам. При этом, в соответствии с российской «традицией», описанные Советом Безопасности направления достаточно абстрактны, чтобы не раскрыть врагу никаких тайн.

Несмотря на различия акцентов, стратегические повестки разных стран и объединений сходятся в главном: современные приоритеты ИБ-исследований охватывают как технологические инновации, так и человекоцентричные меры. Ниже мы подробнее рассмотрим ключевые тематические блоки этих исследований, сопоставляя их значимость и степень проработанности.

1. Криптография и квантовые технологии безопасности

Криптография традиционно является краеугольным камнем ИБ, в последние годы ее значение только возросло. Стремительное развитие квантовых компьютеров создало угрозу для современных криптографических систем, что породило огромный пласт исследований в области постквантовой криптографии. Задача разработки криптоалгоритмов, устойчивых к взлому квантовым компьютером, считается одной из великих проблем ИБ, сравнимых по масштабу с задачами тысячелетия (хотя, может, я и загнул немного). Стратегический план США определяет квантовые информационные науки как приоритетное направление исследований. Параллельно идут стандартизация постквантовых алгоритмов (например, в американском институте стандартизации NIST) и изучение новых криптопримитивов, включая полностью гомоморфное шифрование, многосторонние вычисления и прочие технологии, обеспечивающие приватность (Privacy-Enhancing Technologies, PETs).

В Европе криптография также входит в число семи ключевых направлений киберисследований. Акцент делается на криптографических средствах для защиты данных и коммуникаций в условиях требуемого суверенитета — например, на развитии собственных средств шифрования и цифровой подписи, соответствующих европейским ценностям (конфиденциальность, соблюдение прав граждан). Скоро в Европе не останется ничего, что не должно было бы соответствовать каким-то ценностям!

В России фундаментальные и прикладные криптографические задачи традиционно находятся под контролем силовых структур. В перечне научно-технических проблем, сформулированных Совбезом, прямо указаны «фундаментальные и важнейшие прикладные криптографические проблемы». Это означает приоритетное финансирование исследований новых алгоритмов криптографии и криптоанализа, квантовой криптографии (систем квантового распределения ключей) и т. д. Но детали этих исследований обычно скрыты за семью печатями, и доступ к ним имеют только люди, увешанные допусками, как новогодняя елка. Отдельные результаты этих работ прорываются на конференциях «РусКрипто» или CTCrypt, но без глубоких подробностей.

Таким образом, развитие криптографии — от противостояния квантовому взлому до внедрения в массовую сферу более надежных алгоритмов — можно отнести к вечным стратегическим направлениям ИБ. Оно напрямую влияет на решение задачи обеспечения конфиденциальности и целостности информации в долгосрочной перспективе.

2. Искусственный интеллект 

Сейчас мы наблюдаем взрывной рост интереса к искусственному интеллекту (ИИ) и машинному обучению в контексте ИБ. Здесь можно выделить два аспекта: использование ИИ для усиления защиты и, наоборот, необходимость защиты от вредоносного использования ИИ. Первое включает разработки систем на основе машинного обучения для обнаружения аномалий и атак, интеллектуальных средств анализа угроз, автоматизации реагирования на инциденты. Второе касается новых рисков: появления атак с применением ИИ (например, генерация реалистичных фишинговых сообщений или deepfake-контента для социальной инженерии, написание вредоносного кода и планирование хакерских кампаний) и уязвимостей самих моделей машинного обучения (атаки типа adversarial examples, отравление данных и т. п.).

Стратегический план США (2019 г.) прямо относит искусственный интеллект в кибербезопасности к числу приоритетных направлений исследований. Это означает поддержку фундаментальных работ по объяснимому ИИ (чтобы лучше понимать решения систем безопасности на базе ИИ), по устойчивости моделей к атакам, по использованию нейросетей для обнаружения сложных многоходовых кибератак. К 2023 г. в обновленной федеральной стратегии США ИИ упоминается уже в прикладных приоритетах — как необходимость обеспечения «надежного и безопасного ИИ» (trustworthy AI). В частности, ставится задача разработки методов проверки и валидации ИИ-систем на предмет безопасности, а также методов обнаружения и сдерживания ИИ-угроз (к примеру, распознавание сгенерированных ИИ фальшивых данных) на уровне социотехнических решений. При этом государство, претендующее на звание мирового гегемона, начинает ограничивать развитие ИИ за своими пределами, устанавливая уровни союзников и противников, с которыми можно или нельзя делиться технологиями ИИ, чипами для него, а также результатами соответствующих исследований. Это может привести не только к разобщенности научного сообщества, но и к получению хакерами преимуществ. Они не скованы никакими ограничениями, а кража ИИ-технологий (такие случаи уже фиксируются) позволит плохим парням обходить любые препоны и запреты лучше государств, пытающихся делать все честным путем.

В европейском перечне 2021 г. ИИ не выделен отдельной строкой, однако фактически пронизывает несколько направлений. Так, «управление киберугрозами и реагирование» подразумевают применение автоматизации и аналитики, во многом опирающейся на ИИ-технологии. Кроме того, ЕС запустил крупные инициативы (Horizon Europe и др.) по развитию искусственного интеллекта для кибербезопасности, финансируя исследовательские проекты в этой области.

Россия не показывает свое внимание к теме искусственного интеллекта в контексте кибербезопасности. В 2017 г., когда писался документ Совета Безопасности, об этом еще никто не думал, а сейчас всем уже не до того. И хотя в России была утверждена Национальная стратегия развития искусственного интеллекта до 2030 г., в ней нет явного фокуса на вопросах кибербезопасности. Инициативы же по созданию различных консорциумов, альянсов и иных объединений в области доверенного ИИ пока также не показывают значимых результатов. Они больше делят портфели внутри, чем занимаются развитием этого направления в стране.

Можно ожидать, что ИИ останется в фокусе ИБ-исследований на ближайшее десятилетие. Как строить модели, которые эффективно выявляют атаки, не выдавая при этом большого числа ложных срабатываний и объясняя результаты своей работы? Как обеспечить этичность и правовое соответствие ИИ-инструментов безопасности? Как противодействовать враждебному ИИ (например, автоматическим инструментам взлома)? От решения этих задач будет зависеть способность защитных систем успевать за все более автоматизированными и интеллектуальными атаками.

3. Надежные программные и аппаратные системы (trustworthy hardware/software)

Современная ИТ-инфраструктура страдает от множества уязвимостей, вызванных как ошибками в программном коде, так и компрометацией оборудования. Поэтому стратегическим блоком исследований является создание доверенных (надежных) платформ — как программных, так и аппаратных. Цель — добиться, чтобы системы изначально проектировались и разрабатывались с учетом требований безопасности (secure by design), а их аппаратные компоненты гарантированно не содержали скрытых уязвимостей, закладок или имплантов.

В планах США и ЕС этот блок приоритетов выражен явно. Так, среди задач США — безопасность программ и аппаратных средств. Это подразумевает исследования в области новых методов разработки ПО, исключающих целые классы уязвимостей (например, использование языков программирования с защитой памяти, формальных методов верификации, средств статического анализа и т. д.), а также безопасной архитектуры аппаратуры. Отдельно подчеркивается потребность в методах установления доверия ко всем уровням техносферы — от чипов и прошивок до облачных сервисов. В обновленном плане 2023 г. констатируется нехватка способов определять и подтверждать доверие к компонентам и участникам цифровых взаимодействий, что мешает безопасности в целом. В ответ ставятся задачи разработки механизмов доверенной идентификации устройств, встраивания средств контроля целостности и идентичности на уровне железа, операционных систем, приложений и сетевых протоколов.

Аналогично в перечне ENISA 2021 два из семи направлений напрямую связаны с данной тематикой: это «доверенные программные платформы» и «доверенные аппаратные платформы». Евросоюз, стремящийся к технологической автономии, делает упор на снижение зависимости от импортного оборудования и ПО. Поддерживаются исследования в сфере разработки открытого и проверяемого оборудования (например, проекты open-hardware, доверенные чипы), своих операционных систем и прикладных платформ безопасности. В докладе ENISA подчеркивается, что наличие у ЕС собственных доверенных технологий — ключевой фактор устойчивости цифровой экономики.

В российской стратегии тоже присутствует схожий акцент. Задача технологической независимости и цифрового суверенитета в сфере ИТ, вычислительной техники, телекоммуникаций отнесена к числу научно-технических проблем ИБ. Практически это означает развитие собственного отечественного ПО и оборудования безопасности, импортонезависимых доверенных элементов и микроэлектроники, на основе которых будут строиться и так называемые доверенные ПАКи, прямо прописанные в российском законодательстве, и иные элементы национальной безопасности. Помимо этого, Россия фокусируется на защите самих технических средств обработки информации от несанкционированного доступа и технической разведки. Сюда входят исследования по обнаружению аппаратных закладок, противодействию побочным каналам (например, электромагнитным излучениям) и пр. Это исторически сильное в стране направление в условиях сложившихся геополитических рисков и роста случаев появления закладок в ПО (как минимум open source, так называемое protestware) вновь выходит на первый план. Хотя надо признать, что имеющиеся ресурсы и подходы пока не справляются с возросшим потоком ПО и железа, которые требуют проверки. Масштабировать методы проведения специальных проверок и исследований, а также поиска недокументированных возможностей, в том числе и на базе искусственного интеллекта, — наша большая и важная задача!

Глобальный нерешенный вопрос здесь — как создать масштабируемые системы, изначально стойкие к взлому. Еще в 2009 г. в американской дорожной карте исследований одной из «трудных проблем» была провозглашена разработка масштабируемых систем, вызывающих доверие (Scalable Trustworthy Systems). Спустя годы задача остается актуальной: несмотря на прогресс, до сих пор большинство ПО содержит ошибки, а цепочки поставок аппаратуры и микроэлектроники уязвимы для компрометации. В ответ мы видим развитие концепций вроде Zero Trust Architecture (нулевое доверие), когда любая часть системы априори не доверяет другим и требует постоянной проверки. Исследования в этой сфере направлены на новые архитектурные решения, гарантирующие безопасность даже при наличии скомпрометированных узлов.

4. Управление киберугрозами, обнаружение и реагирование, киберустойчивость

Критически важным направлением является все, что связано с противодействием атакам: от мониторинга и раннего обнаружения до эффективного реагирования и восстановления. Сюда входят системы обнаружения вторжений, средства анализа угроз (threat intelligence), технологии реагирования на инциденты, а также методы повышения устойчивости систем к атакам.

В европейском списке один из семи приоритетов назван «управление киберугрозами и реагирование». Он подразумевает развитие новых подходов к мониторингу киберпространства, обмену информацией об инцидентах (включая международное сотрудничество CERT’ов), созданию центров оперативного реагирования и ситуационных центров. Важный аспект — автоматизация реагирования, позволяющая сокращать время от выявления атаки до ее нейтрализации.

Со стороны США схожие идеи отражены через призму четырех функций кибербезопасности: сдерживание (deter), защита (protect), обнаружение (detect) и реагирование (respond). В стратегических материалах подчеркивается необходимость научного прогресса во всех этих сферах. Например, для обнаружения угроз — исследования в области аномалий в сетевом трафике, применения поведенческого анализа; для реагирования — технологии изоляции пораженных узлов, автоматического восстановления систем из доверенных резервных копий и др. Отдельно американские эксперты выделяют концепцию киберустойчивости (cyber resilience) — способности систем продолжать функционирование под натиском постоянных атак. Новый план (2023 г.) добавил к приоритетам именно киберустойчивость как ключевое направление НИОКР на ближайшие годы. Это сдвиг в парадигме: раньше упор делался на предотвращение и защиту, теперь же признается, что нельзя гарантированно предотвратить все атаки, поэтому системы должны проектироваться с расчетом на работу даже в скомпрометированном или атакуемом состоянии. Отсюда задачи исследований — например, как архитектурно разделять и изолировать компоненты, чтобы взлом одной части не приводил к краху всей системы; как создавать резервные механизмы, обеспечивающие продолжение работы критических функций; как автоматически и осознанно деградировать сервисы (скорость, пропускную способность и т. п.), сохраняя базовую доступность и функциональность.

Концепция устойчивости тесно связана с непрерывным управлением рисками. В стратегических документах отмечается потребность в эффективных методах оценки рисков и демонстрации эффективности принимаемых мер безопасности. Научная проблема здесь — разработать метрики и модели, позволяющие сравнивать уровень защищенности, прогнозировать последствия угроз и оптимально распределять ресурсы защиты. В так называемой кривой Гартнера «Hype Cycle for Security Operations, 2025» впервые появился такой класс защитных средств, как Predictive Modeling for Cybersecurity. Он описывает технологии, способные прогнозировать угрозы, уязвимости и инциденты. И хотя до полного решения этой задачи еще далеко, само появление такого класса решений вселяет надежду на успех.

Еще в 2009 г. одним из обозначенных трудных научных вопросов были метрики корпоративной безопасности (Enterprise-Level Metrics) — как количественно измерить, насколько система или компания защищена. Несмотря на прогресс (появление, например, фреймворков вроде NIST Cybersecurity Framework с уровнями зрелости), задача точной и универсальной измеримости риска остается открытой.

5. Конфиденциальность и защита данных

Защита персональных данных и приватности пользователей стала за последние 10–15 лет самостоятельным приоритетом исследований (оборотные штрафы в России и Европе — это вам не шутки). Огромные массивы данных, собираемые для целей цифровой экономики, и усиление регуляторных требований (таких как GDPR в Европе или № 152-ФЗ в России) стимулируют поиск технологий, позволяющих увязать полезное использование данных с сохранением приватности. Конфиденциальность упоминается и как ценность, требующая защиты, и как объект научных изысканий (создание новых privacy by design решений).

Федеральный план США включает конфиденциальность (privacy) в число ключевых направлений R&D. Это означает поддержку научных работ по анонимизации, дифференциальной приватности, гомоморфному шифрованию, безопасному обмену и хранению чувствительных данных. Также в 2019 г. подчеркивалось, что нужно создавать интегрированные модели, учитывающие одновременно безопасность, конфиденциальность и защиту безопасности жизнедеятельности (safety). То есть нельзя рассматривать эти требования в отрыве друг от друга, необходимы компромиссы и синергии.

Европейский перечень 2021 г. открывает направление «безопасность данных», что, по сути, охватывает и аспекты защиты информации, и аспекты приватности. Речь идет о разработке технологий контроля над данными (например, шифрование данных в облаке и при обработке, управляемый доступ на основе атрибутов, технологии удобного получения согласия пользователя и пр.), а также о нормативных и технических мерах обеспечения прав субъектов данных.

Россия в явном виде нигде не указывала своих притязаний на первенство в области защиты данных и не формировала перечень направлений для исследований в этой сфере. Однако то внимание, которое законодательная власть уделяет теме персональных данных, говорит о важности этого направления. К сожалению, оно пока сконцентрировано вокруг появления новой регуляторики, а не технологий. У нас нет явно озвученных планов создания собственных алгоритмов гомоморфного шифрования, хранения согласий субъектов ПДн в блокчейне, маркировки данных при изменении мест их хранения, разработки различных технологий обезличивания и анонимизации данных и т. п.

Можно сказать, что задача обеспечения приватности в цифровом обществе — одна из тех, что сродни задачам тысячелетия. Она не имеет простого решения, поскольку затрагивает баланс между полезностью данных для бизнеса и государства и правом на приватность. Современные исследования предлагают интересные направления: криптография, сохраняющая конфиденциальность (homomorphic encryption, secure multi-party computation), федеративное обучение (когда данные не покидают устройств, а модели обучаются коллективно), механизмы управления персональными данными (Personal Data Stores, инфраструктуры доверия). Однако многие из этих идей пока далеки от массового внедрения или имеют ограничения по эффективности. Пробелом остается и оценка эффективности мер по защите данных. Например, как измерить степень анонимизации или риск деанонимизации — все еще предмет дискуссий. Тем не менее без прорывов в этой области трудно ожидать устойчивого доверия общества к цифровым технологиям. Поэтому данное направление будет усиливаться под влиянием и общественного запроса, и законодательного давления.

6. Человеческий фактор, пользовательские аспекты и кадры

Классическая поговорка гласит: «самое слабое звено в безопасности — это человек». Поэтому человекоцентричные подходы к ИБ сейчас выходят на первый план. Речь идет сразу о нескольких подзадачах: повышение осведомленности и грамотности пользователей, разработка эргономичных решений безопасности, учет поведения, психологических и социальных факторов в проектах защиты, а также подготовка новых кадров и развитие культуры безопасности.

Американские стратеги подчеркивают, что нужно ставить в центр внимания людей, их мотивацию и способности при разработке технологий кибербезопасности. В новом плане (2023 г.) есть особый акцент на human-centered cybersecurity, подразумевающий участие пользователей в проектировании решений и снятие с них излишней нагрузки по обеспечению безопасности. Приведен пример: усиливающиеся фишинговые атаки требуют такой защиты, которая не полагается лишь на бдительность людей, а технологически предотвращает обман. По сути, это признание: многие технически совершенные средства бесполезны, если ими трудно пользоваться или они конфликтуют с человеческими факторами (удобством, восприятием, организационной культурой). Поэтому исследования в области usable security (удобство и понятность средств ИБ), поведенческих и экономических аспектов безопасности, социальной инженерии, наконец, просто в обучении пользователей безопасным практикам — все это критически важно. Задача создания таких систем безопасности, которые были бы прозрачными и комфортными для пользователя, остается нерешенной и требует междисциплинарного подхода (на стыке ИБ, психологии, дизайна интерфейсов).

Отдельно упомяну проблему дефицита кадров и повышения квалификации. Во всех рассматриваемых стратегиях признается необходимость инвестировать в образование ИБ-специалистов. В США это отражено в поддержке инициатив NICE (National Initiative for Cybersecurity Education) и включении образования и подготовки кадров в приоритеты R&D. 

Целый раздел документа Совбеза посвящен проблемам кадрового обеспечения ИБ — от госуправления подготовкой специалистов до научно-методического сопровождения обучения. Пробелы здесь — недостаток преподавателей-практиков, быстрое устаревание учебных программ в сравнении с изменяющимися угрозами и отсутствие охвата всех нуждающихся отраслей (врачам, производственному персоналу тоже нужна киберграмотность). Решение проблемы — долгосрочное, через реформирование учебных курсов, привлечение бизнеса к подготовке кадров, создание сетевых академий и платформ обучения кибергигиене для широких слоев населения. Ну и омоложение точек принятия решения, занятых большими начальниками, далекими от современных тенденций не только в кибербезопасности, но и в образовании, и являющихся веригами, не дающими развивать сферу работы с людьми и внедрять в нее новые подходы.

7. Комплексные и междисциплинарные задачи безопасности

Вызовы кибербезопасности часто лежат на стыке разных доменов — технического, социального, физического. Поэтому стратегические исследования все чаще фокусируются на интегрированных решениях. Например, уже упомянутая необходимость объединять требования safety, security, privacy, resilience в единые методологические рамки означает развитие системной инженерии безопасности. Так, при создании того же беспилотного автомобиля должны одновременно учитываться и киберугрозы, и безопасность жизни людей, и защита персональных данных. 

Еще один пример междисциплинарного направления — сдерживание и правоохранительные меры в киберпространстве. Стратеги США упоминают разработку эффективных методов сдерживания злонамеренных действий в киберсреде. Сюда относятся исследования в области атрибуции атак (определения их источника), международных правовых механизмов наказания киберпреступников, экономических мер (санкции) и даже киберпсихологии злоумышленников (в России тоже начали говорить о внедрении такой дисциплины в образовательный процесс). Эти вопросы выходят за чисто технические рамки, затрагивая международные отношения и право. Многие атаки все еще остаются безнаказанными из-за трудностей атрибуции и юрисдикционных ограничений.

Для России, например, характерно внимание к информационному противоборству и контентной безопасности (противодействие распространению экстремистской информации, пропаганде и т. д.). В западных научных приоритетах это менее заметно как часть кибербезопасности, но в последние годы и там появилась смежная тема — противодействие дезинформации, фейковым новостям, влиянию на общественное мнение через интернет. Это тоже междисциплинарная область на пересечении технологий (алгоритмы обнаружения координированных информационных операций) и социальных наук (понимание психологического воздействия). Можно ожидать ее роста в стратегической повестке, особенно с развитием ИИ-инструментов как для генерации контента, так и для обнаружения фейков.

Наконец, нельзя не упомянуть безопасность критической инфраструктуры и новых технологий. Специфические направления исследований выделяются под отрасли: безопасность систем промышленной автоматизации (SCADA, промышленный IoT), защита умных энергосетей (Smart Grid), транспортных систем, медицинских устройств и др. Например, в свежем американском плане приоритетна безопасность чистой энергетики будущего, подразумевающая защиту интеллектуальных энергосистем и инфраструктуры зарядки электромобилей. Появляются и совсем новые горизонты — безопасность технологий виртуальной и дополненной реальности, нейротехнологий, биометрических систем. Эти тематические блоки пока менее оформлены в стратегиях, но неизбежно станут задачами тысячелетия для ИБ.

Приоритеты, пробелы и эволюция повестки (2010–2025 гг.)

Как же изменилась повестка ИБ-исследований за последние 15 лет? В начале 2010-х внимание концентрировалось на основных технических проблемах: защита сетей и узлов от вредоносного ПО, борьба с ботнетами, противодействие внутреннему нарушителю, укрепление критической инфраструктуры. Например, «Дорожная карта киберисследований DHS» (2009 г.) включала такие не решенные на тот момент проблемы, как противодействие инсайдерам и вредоносным программам, управление идентификацией в масштабах интернета, обеспечение живучести критических систем и даже задачи атрибуции атак. Эти проблемы и сегодня актуальны, но к середине 2010-х появились новые приоритеты:

• Обеспечение конфиденциальности — во многом под влиянием скандалов с массовой слежкой и принятием GDPR (2016–2018 гг.) в повестке многих стран приватность стала критически важной темой исследований.
• Интернет вещей (IoT) — взрывной рост IoT-устройств выявил огромные пробелы в их безопасности. Неслучайно появился анекдот, что «в аббревиатуре IoT буква S означает Security». К 2015–2020 гг. возникло целое направление по разработке стандартов и технологий защиты IoT и киберфизических систем. Сейчас оно трансформировалось в более общее — безопасность умных устройств и встраиваемых систем, включая промышленные IoT.
• Квантовая угроза — если в 2010 г. о постквантовой криптографии говорили немногие, то к 2020 г. это уже мейнстрим: национальные стандарты в разработке, интенсивные исследования. Появился сопутствующий приоритет квантовых технологий безопасности (квантовое шифрование и квантовое распределение ключей).
• Искусственный интеллект — за последнее десятилетие вышел на авансцену. Если ранние стратегии не упоминали ИИ, то в 2019–2023 гг. он вписан во все дорожные карты. Сначала как инструмент защиты (аналитика угроз), теперь и как объект защиты (безопасный и доверенный ИИ, противодействие злонамеренному ИИ).
• Человеческий фактор — эволюция взглядов тут особенно заметна. Ранее считалось, что обучение пользователей — задача сугубо прикладная, не уровня НИОКР. Однако рост проблем (например, фишинг) показал, что без научного подхода к user-centric security проблему не решить. В 2020-х мы видим, что «пользователь в центре» — уже официально признанный принцип кибербезопасности, разрабатываются соответствующие методы защиты (от интерфейсов, предотвращающих ошибки, до психологических моделей поведения пользователей). Киберкультура стала не менее важна, чем кибертехнологии.
• Комплексная устойчивость и интеграция безопасности в архитектуру систем — раньше системы защищали накладными средствами (антивирус, межсетевой экран, предотвращение вторжений). Теперь явный сдвиг к тому, чтобы безопасность была частью архитектуры и жизненного цикла: безопасная разработка (SecDevOps), встроенные механизмы самозащиты и готовность к работе в условиях компрометации. Это ответ на усложнение угроз (целевые APT-атаки, кибервойна) — фактически признание того, что полностью предотвратить взлом невозможно, нужно уметь жить под постоянной угрозой.

Конечно, есть области, где прогресс все еще недостаточен, то есть налицо пробелы между угрозами и средствами защиты. Например, безопасность программного кода до сих пор оставляет желать лучшего: большинство инцидентов эксплуатируют известные классы ошибок (переполнения, XSS, SQL-инъекции), существующие десятилетиями. Несмотря на исследования, массовый софт все еще пишется с уязвимостями. Лишь недавно наметился сдвиг: промышленность начала переход на языки без небезопасных конструкций (Rust и др.), — но до полной победы далеко. Здесь требуются прорывы либо в инструментах разработки, либо в автоматизированном поиске и исправлении ошибок.

Другой пример — метрики и экономическая эффективность безопасности. Руководители по-прежнему задаются вопросами: сколько инвестиций в кибербезопасность достаточно? Как соотнести расходы и снижение рисков? Единых ответов нет. Научные модели риска дают лишь приближенные оценки. Этот пробел мешает оптимально распределять ресурсы и может приводить к недофинансированию важных направлений (или, наоборот, к неэффективным тратам на малоэффективные меры).

Тем не менее позитивная динамика видна. Многие темы, бывшие в 2010 г. лишь на бумаге, сейчас воплощаются. Например, концепции из «National Cyber Leap Year» (2009 г.) — там предлагались «революционные» идеи: динамическая изменчивость (moving target defense), атрибутно-ориентированная архитектура доверия, простые верифицируемые ядра систем и др. Сегодня подход  moving target defense стал реальной стратегией для облачных сред; микросервисная архитектура и контейнеризация облегчают изоляцию; аппаратные корни доверия (TPM, Secure Enclave) стали стандартом. То есть научные наработки прошлых лет постепенно внедряются в практику.

Эволюция угроз также диктует необходимость новых исследований. Распространение вымогательского ПО в 2010-х подтолкнуло развитие средств резервирования и восстановления, а также международного сотрудничества правоохранителей. Успешные атаки на подрядчиков (типа SolarWinds в 2020 г.) резко подняли приоритет темы цепочки поставок, что отразилось в стратегиях 2023 г., требующих обеспечить безопасность ПО и оборудования на всем жизненном цикле. Пандемия COVID-19 заставила ускорить перенос сервисов в облако и переход на удаленную работу — и это стало испытанием для многих систем безопасности, но одновременно и стимулом к развитию SASE (Secure Access Service Edge), средств удаленной аутентификации и использованию концепции нулевого доверия (Zero Trust).

Можно отметить и влияние геополитики: кибербезопасность все чаще упоминается в одном ряду с нацбезопасностью. Европейская идея «цифрового суверенитета» и российская ставка на импортозамещение технологий — это реакция на рост глобальной киберконфронтации. В исследовательской повестке появились темы обеспечения надежности собственных продуктов, проверки доверия к зарубежным. Международные стандарты безопасности также становятся ареной конкуренции, что видно по дискуссиям вокруг стандартов шифрования, 5G-сетей и т. д. В перспективе это может либо замедлять обмен знаниями (раздробление инфраструктуры безопасности), либо, наоборот, стимулировать гонку инноваций в разных странах. Скорее всего, мы увидим движение в обоих направлениях.

Прогноз 

Итак, стратегические направления исследований в ИБ охватывают широкий круг проблем. По значимости и фундаментальности многие из них действительно сопоставимы с задачами тысячелетия. Решение таких задач, как устойчивые к квантовым взломам шифры, полностью безопасное ПО, эффективная киберзащита с учетом человеческого фактора, потребует совместных усилий научного сообщества, индустрии и государства на годы вперед.

В ближайшие годы можно ожидать углубления работ по уже обозначенным направлениям. Искусственный интеллект станет еще более интегрированным в средства киберзащиты, что одновременно вызовет необходимость новых методов контроля за ИИ (вплоть до нормативного регулирования в области «опасного ИИ», которое уже началось в США, Великобритании, Евросоюзе).

Постквантовый переход в криптографии, вероятно, произойдет в ближайшие годы: стандарты будут приняты, и начнется их реализация в массовых протоколах. Это огромная практическая задача, требующая исследований в области миграции, совместимости и производительности новых алгоритмов. Киберустойчивость превратится в прикладной стандарт: архитектуры систем будут проектироваться с расчетом на постоянное противоборство, что может дать импульс, например, развитию технологий самовосстанавливающихся систем (self-healing systems).

Человеческий фактор в безопасности, скорее всего, перерастет в концепцию «цифрового иммунитета» общества — когда, благодаря просвещению и удобным технологиям, пользователи автоматически делают безопасный выбор. Здесь успехи зависят не только от технических изобретений, но и от просветительской работы, изменения культуры обращения с информацией и работы с гаджетами.

Конечно, появятся и новые вызовы, пока лишь вырисовывающиеся на горизонте. Одним из таких может стать безопасность нейротехнологий и интерфейсов «мозг — компьютер» (когда данные о мозговой активности станут таким же объектом защиты, как сейчас персональные данные). Другой — безопасность квантовых сетей и компьютеров (в отдаленном будущем, когда сами квантовые системы потребуют защиты от квантовых взломов). Синтез биологического и цифрового (биометрические идентификаторы, ДНК-хранилища информации) тоже поставит уникальные проблемы безопасности. Эти темы пока находятся за рамками текущих стратегических планов, но могут войти в повестку ближайшего десятилетия.

Стратегические направления ИБ-исследований 2010–2025 гг. эволюционировали от усиления классических мер защиты к более проактивным и фундаментальным подходам. Если раньше основной целью было закрыть известные бреши, то теперь акцент — на опережающем развитии: предвосхитить возможности противника и встроить безопасность во все уровни цифрового мира. Однако ряд вечных проблем — от надежного программирования до человеческого фактора — остаются нерешенными, что формирует научную повестку на годы вперед. 

Источники:

• NIST IR 8481 (2023). Cybersecurity for Research: Findings and Possible Paths Forward — отчет NIST по обеспечению кибербезопасности научных исследований (обозначены приоритетные области исследований: ИИ, квантовые технологии, доверенная инфраструктура и др.).
• Federal Cybersecurity R&D Strategic Plan (2019) — федеральный стратегический план США по исследованиям в кибербезопасности (ключевые концепции: «deter, protect, detect, respond», человеческий фактор, интеграция требований безопасности/конфиденциальности и др.).
• Federal Cybersecurity R&D Plan (2023) — обновленный план США (новые приоритеты: человекоцентричная безопасность, доверие ко всем слоям технологий, киберустойчивость; сценарии: безопасность цепочек поставок, доверенный ИИ, защита энергосетей будущего).
• ENISA (2021). Cybersecurity Research Directions for EU’s Digital Strategic Autonomy — отчет ENISA о приоритетных направлениях исследований в ЕС (7 ключевых направлений: безопасность данных, доверенные платформы, управление угрозами, криптография, ориентированность на пользователя и др.).
• Совет Безопасности РФ (2017). Основные направления научных исследований в области обеспечения ИБ РФ (комплексный перечень проблем: от методологических и правовых до научно-технических, включая криптографию, защиту инфраструктуры, технологическую независимость, подготовку кадров).
• Лукацкий А. (2012). Презентация «Защита информации 2030: к чему готовиться уже сейчас?» (обзор долгосрочных вызовов ИБ: упомянуты «hard problems» DHS — масштабируемые доверенные системы, метрики, противодействие инсайдерам и malware, атрибуция атак, usable security и др., многие из которых актуальны до сих пор).
• Прочие материалы и обзоры (Cybersecurity Roadmap DHS 2009, публикации на SecurityLab, Habr и др.), отражающие эволюцию взглядов на проблемы ИБ и пути их решения с 2010-х до настоящего времени.