Годами компании жили с огромными бэклогами незакрытых уязвимостей и как-то мирились с этим. Тысячи, иногда десятки тысяч открытых критических CVE в продакшене — и все понимали, что это плохо, но эксплуатация уязвимостей требовала времени, ручной работы и высокой квалификации атакующих. Можно было тянуть. Сейчас эта модель сломалась.
Сломал её искусственный интеллект. Агентные AI-системы радикально ускорили весь наступательный цикл: от разведки и поиска уязвимостей до разработки эксплойтов и выхода на цель. Компания Anthropic публично сообщила, что пресекла кибершпионскую кампанию, в которой атакующие использовали её модель Claude, чтобы кратно увеличить скорость и масштаб операций. Причём AI позволяет менее опытным группировкам выполнять работу, раньше доступную только элитным хакерам. Бэклог из 13 000 критических уязвимостей в продакшене, который раньше рационализировали как «управляемый риск», теперь фактически становится оружием в руках противника. Путь от обнаружения дыры до её эксплуатации сократился драматически.
Самая опасная фраза, которая может прозвучать в зале заседаний совета директоров, — «Не волнуйтесь, CISO всё держит под контролем». Управление уязвимостями — это системная проблема. Она упирается в устаревшие зависимости, ограничения скорости релизов, хрупкие продакшен-среды, нехватку инженерных ресурсов. Ни один CISO в одиночку не закроет эти вопросы. Совет директоров обязан осуществлять прямой надзор за бэклогом и добиваться «операционной правды», а не просто отчёта о формальном соответствии требованиям.
Американское прецедентное право уже подталкивает к этому. Линия дел Caremark в Делавэре устанавливает: совет обязан создать систему отчётности по существенным рискам и активно работать с поступающей информацией. Делегировать управление рисками и забыть — нельзя. Параллельно растёт волна коллективных исков, в которых компаниям предъявляют претензии за халатность, приведшую к утечкам данных.
В Европе регуляторное давление ещё жёстче. Закон о киберустойчивости (Cyber Resilience Act, CRA) уже вступил в силу, а основные обязательства по нему начнут действовать в декабре 2027 года. Он сфокусирован на гигиене цепочки поставок ПО, практиках secure-by-design и обработке уязвимостей. Для финансового сектора параллельно работает DORA (Digital Operational Resilience Act), который гармонизирует управление рисками в области ИКТ и операционную устойчивость. Регуляторы по обе стороны Атлантики движутся в одном направлении: ответственность за кибербезопасность поднимается на уровень правления.
Что конкретно должен требовать совет директоров от руководителей по безопасности? Пять вопросов, на которые у команды обязаны быть ответы, подкреплённые операционными системами, а не слайдами. Первый: как выглядит полный цикл программы управления уязвимостями, от начала до конца? Второй: сколько критических и высоких уязвимостей существует в продуктах прямо сейчас? Третий: сколько времени заняло полное устранение новых критических уязвимостей за последний квартал и за последний год? Четвёртый: если новый 0-day ударит по самому продаваемому продукту сегодня, через какое время компания сможет гарантировать клиентам безопасность? И пятый: какова полная долларовая стоимость текущего бэклога уязвимостей? Последнее считается просто: человеко-часы на исправление, умноженные на полную стоимость инженерного ресурса.
Типичный ответ, который руководство даёт на давление — «будем патчить быстрее» — при ближайшем рассмотрении оказывается неполным. Экстренное патчирование часто ломает продакшен и бьёт по клиентам. Возникает вынужденный размен: либо компания принимает экспозицию к безопасности, либо принимает операционный простой. Нужна модель, которая снижает и частоту экстренных исправлений, и радиус их поражения.
Один из подходов, который набирает обороты — secure-by-design на уровне компонентов. Компания Chainguard, например, предлагает использовать программные компоненты, безопасные по умолчанию. Логика в том, чтобы сокращать количество уязвимостей на входе, а не героически латать их на выходе. Меньше уязвимостей накапливается, меньше критических находок, меньше авральных патчей, меньше сбоев в работе.
Экономический аргумент тут тоже силён. Инженерное время, которое сейчас уходит на тушение пожаров с нулевой отдачей, можно перенаправить на работу с реальным ROI — разработку продукта и конкурентное преимущество. Когда совет директоров видит, сколько денег сжигается на поддержание бэклога, разговор о secure-by-design из технического превращается в финансовый.
Мир изменился. AI-автоматизация эксплуатации уязвимостей, ужесточение регулирования от Делавэра до Брюсселя, рост исковой активности — всё это делает прежнюю привычку закрывать глаза на горы незакрытых CVE юридически и финансово несостоятельной. Совет директоров, который в 2025 году продолжает принимать на веру слова «CISO разберётся», берёт на себя персональный риск. И довольно конкретный.
Изображение носит иллюстративный характер
Сломал её искусственный интеллект. Агентные AI-системы радикально ускорили весь наступательный цикл: от разведки и поиска уязвимостей до разработки эксплойтов и выхода на цель. Компания Anthropic публично сообщила, что пресекла кибершпионскую кампанию, в которой атакующие использовали её модель Claude, чтобы кратно увеличить скорость и масштаб операций. Причём AI позволяет менее опытным группировкам выполнять работу, раньше доступную только элитным хакерам. Бэклог из 13 000 критических уязвимостей в продакшене, который раньше рационализировали как «управляемый риск», теперь фактически становится оружием в руках противника. Путь от обнаружения дыры до её эксплуатации сократился драматически.
Самая опасная фраза, которая может прозвучать в зале заседаний совета директоров, — «Не волнуйтесь, CISO всё держит под контролем». Управление уязвимостями — это системная проблема. Она упирается в устаревшие зависимости, ограничения скорости релизов, хрупкие продакшен-среды, нехватку инженерных ресурсов. Ни один CISO в одиночку не закроет эти вопросы. Совет директоров обязан осуществлять прямой надзор за бэклогом и добиваться «операционной правды», а не просто отчёта о формальном соответствии требованиям.
Американское прецедентное право уже подталкивает к этому. Линия дел Caremark в Делавэре устанавливает: совет обязан создать систему отчётности по существенным рискам и активно работать с поступающей информацией. Делегировать управление рисками и забыть — нельзя. Параллельно растёт волна коллективных исков, в которых компаниям предъявляют претензии за халатность, приведшую к утечкам данных.
В Европе регуляторное давление ещё жёстче. Закон о киберустойчивости (Cyber Resilience Act, CRA) уже вступил в силу, а основные обязательства по нему начнут действовать в декабре 2027 года. Он сфокусирован на гигиене цепочки поставок ПО, практиках secure-by-design и обработке уязвимостей. Для финансового сектора параллельно работает DORA (Digital Operational Resilience Act), который гармонизирует управление рисками в области ИКТ и операционную устойчивость. Регуляторы по обе стороны Атлантики движутся в одном направлении: ответственность за кибербезопасность поднимается на уровень правления.
Что конкретно должен требовать совет директоров от руководителей по безопасности? Пять вопросов, на которые у команды обязаны быть ответы, подкреплённые операционными системами, а не слайдами. Первый: как выглядит полный цикл программы управления уязвимостями, от начала до конца? Второй: сколько критических и высоких уязвимостей существует в продуктах прямо сейчас? Третий: сколько времени заняло полное устранение новых критических уязвимостей за последний квартал и за последний год? Четвёртый: если новый 0-day ударит по самому продаваемому продукту сегодня, через какое время компания сможет гарантировать клиентам безопасность? И пятый: какова полная долларовая стоимость текущего бэклога уязвимостей? Последнее считается просто: человеко-часы на исправление, умноженные на полную стоимость инженерного ресурса.
Типичный ответ, который руководство даёт на давление — «будем патчить быстрее» — при ближайшем рассмотрении оказывается неполным. Экстренное патчирование часто ломает продакшен и бьёт по клиентам. Возникает вынужденный размен: либо компания принимает экспозицию к безопасности, либо принимает операционный простой. Нужна модель, которая снижает и частоту экстренных исправлений, и радиус их поражения.
Один из подходов, который набирает обороты — secure-by-design на уровне компонентов. Компания Chainguard, например, предлагает использовать программные компоненты, безопасные по умолчанию. Логика в том, чтобы сокращать количество уязвимостей на входе, а не героически латать их на выходе. Меньше уязвимостей накапливается, меньше критических находок, меньше авральных патчей, меньше сбоев в работе.
Экономический аргумент тут тоже силён. Инженерное время, которое сейчас уходит на тушение пожаров с нулевой отдачей, можно перенаправить на работу с реальным ROI — разработку продукта и конкурентное преимущество. Когда совет директоров видит, сколько денег сжигается на поддержание бэклога, разговор о secure-by-design из технического превращается в финансовый.
Мир изменился. AI-автоматизация эксплуатации уязвимостей, ужесточение регулирования от Делавэра до Брюсселя, рост исковой активности — всё это делает прежнюю привычку закрывать глаза на горы незакрытых CVE юридически и финансово несостоятельной. Совет директоров, который в 2025 году продолжает принимать на веру слова «CISO разберётся», берёт на себя персональный риск. И довольно конкретный.
