АО «Государственная техническая служба» ежегодно публикует Кибердайджест – документ, который давно вышел за рамки отраслевого отчёта и стал ориентиром для государства, бизнеса и ИТ-сообщества. В преддверии нового цикла цифровизации мы поговорили с первым заместителем председателя правления АО «ГТС», начальником Национального координационного центра киберинцидентов Улыкбеком Шамбуловым о ключевых выводах Кибердайджеста и о том, почему кибербезопасность сегодня – это уже не про «галочки» в регламентах, а про инженерное мышление и зрелость систем.
– Кибердайджест АО «ГТС» традиционно фиксирует срез угроз. Чем принципиально отличается повестка накануне 2026 года?
– Мы вступаем в этап, когда киберугрозы становятся не просто массовыми, а интеллектуальными и целенаправленными. Если в 2025 году мы фиксировали рост атак на государственные сервисы, телеком, энергетику и системы спутниковой связи, то 2026-й станет годом более точечных операций. Это уже не «шумовые» атаки, а работа на результат с глубоким пониманием архитектуры систем и процессов внутри организаций. Ключевое отличие влияние искусственного интеллекта. Он перестал быть вспомогательным инструментом и превратился в отдельный слой инфраструктуры, который сам стал целью атак, – отметил Шамбулов.
ИИ как новая поверхность атаки
В Кибердайджесте отдельный блок посвящён угрозам, связанным с большими языковыми моделями и AI-инфраструктурой. По словам Улыкбека Шамбулова, в 2026 году мы впервые в полном смысле столкнёмся с ситуацией, когда «ИИ будет атаковать ИИ».
Речь идёт не о теоретических сценариях. Уже сегодня НКЦИБ фиксирует prompt-инъекции, которые распространяются через документы, корпоративные базы знаний и интеграционные цепочки. Подмена данных в RAG-модулях, манипуляции embedding-векторами и внедрение adversarial-маркеров позволяют искажать работу аналитических моделей, используемых в SOC, антифроде и финансовом мониторинге.
Особое беспокойство вызывают GPU-кластеры и суперкомпьютерные платформы. Многие организации активно внедряют AI/ML-решения, не учитывая, что сегменты с графическими ускорителями формируют новую, слабо защищённую поверхность атаки. Уязвимости в Kubernetes, конфигурациях контейнеров и драйверах CUDA или ROCm уже используются для побега из контейнеров и несанкционированного доступа к данным в видеопамяти.
– Опасность в том, что подмена весов модели может остаться незаметной. Изменив несколько параметров, злоумышленник способен ослабить систему обнаружения аномалий или встроить логическую закладку в государственный сервис, – подчёркивает первый заместитель председателя правления.
APT и критическая инфраструктура
На фоне технологических изменений усиливается активность APT-группировок. В национальных сегментах связи, обработки данных и критической инфраструктуры они используют всё более скрытные методы закрепления: сервисные учётные записи CI/CD, манипуляции почтовыми правилами, перехват облачных токенов и атаки через цепочки поставки ПО.
Эволюционируют и инструменты. Известные семейства вредоносного ПО, такие как PlugX и ShadowPad, адаптируются под современные протоколы, включая QUIC и HTTP/3, что усложняет их обнаружение. Отдельное направление атаки на спутниковые системы связи, где компрометация SDR-модулей и перехват телеметрии могут иметь прямые последствия для национальной безопасности.
Казахстан делает ставку на масштабные инфраструктурные проекты, включая развитие энергетики и высокопроизводительных вычислений. Это автоматически повышает интерес злоумышленников к промышленным сетям и АСУ ТП.
В 2026 году, отмечают в НКЦИБ, атаки на промышленные объекты всё чаще будут направлены не на остановку систем, а на незаметную манипуляцию технологическими параметрами. Инженерные рабочие станции становятся ключевой точкой входа, а подмена логики PLC, атаки на OPC-UA, DNP3 и Modbus TCP, а также фальсификация данных в historian-системах создают риски, напрямую влияющие на безопасность производств.
Биометрия, DevOps и «человеческий фактор»
Отдельное внимание в Кибердайджесте уделено биометрическим системам. Рост решений на базе 3D-моделирования лица, голоса и венозных шаблонов сопровождается развитием технологий подделки биометрии. Компрометация такого шаблона необратима, поэтому ставка только на биометрию как на единый фактор аутентификации становится опасной. Не менее уязвимым остаётся слой разработки. Атаки на цепочки поставки ПО, компрометация CI/CD-инфраструктуры, подмена артефактов и ключей подписи превращают DevOps в одну из главных национальных точек риска. Практика показывает, что даже крупные организации продолжают допускать элементарные ошибки — от хранения токенов в исходном коде до отсутствия контроля инфраструктурного кода.
Киберучения и кадры как стратегический ресурс
На фоне усложнения угроз НКЦИБ делает ставку на реалистичные киберучения и подготовку кадров. Стандартные лабораторные сценарии больше не работают командам необходимо учиться действовать в условиях, максимально приближённых к реальным APT-атакам.
Проведённые в этом году соревнования среди студентов по направлению Blue Teaming показали, что в стране формируется сильное поколение специалистов, способных работать с современными угрозами.
– Что станет ключевым выводом Кибердайджеста для государства и бизнеса?
– Кибербезопасность перестала быть исключительно регуляторной задачей. Это инженерная, системная и стратегическая дисциплина. В 2026 году мы будем усиливать координацию реагирования, развивать национальную платформу обмена Threat Intelligence и механизмы раннего предупреждения для критической инфраструктуры. Но без сотрудничества государства, частного сектора и науки устойчивости не будет. Цифровизация и ИИ-зация дают огромные возможности. Вопрос в том, сумеем ли мы выстроить защиту, соответствующую масштабу этих возможностей, –резюмирует Улыкбек Шамбулов.
Кибердайджест АО «ГТС» наглядно показывает: новые технологии не снижают риски, а делают их более сложными и изощрёнными. И именно сейчас от качества инженерных решений и зрелости команд зависит цифровая устойчивость страны.
Олег Тихонов