23 апреля 2026 года в Москве состоялась пятая ежегодная конференция CIRF, организованная «МКО Системы» при поддержке информационных партнеров «Хакер», Global Digital Space, ICT Online, ICT2Go, «CIS Современные инфосистемы», «Кибер Медиа», BIS Journal и All Events. За несколько лет CIRF стала заметной площадкой для специалистов по информационной безопасности, где обсуждают реальные случаи, практические подходы и изменения, касающиеся отрасли. В этом году программа объединила темы от расследования инцидентов и APT-атак до юридических аспектов ИБ и влияния ИИ на работу специалистов.
Первым выступил Александр Дмитриев («Нейроинформ»), который говорил о KPI и о том, как они воздействуют на культуру информационной безопасности. В контексте ИБ это выглядит как постоянный выбор между красивыми показателями и реальной защитой. Пока эти вещи совпадают, противоречия почти незаметны. Но когда метрики начинают расходиться с практикой, сотрудники все чаще ориентируются именно на KPI. Стремление к нулю инцидентов, требование «чистых» отчетов и оценка по количеству закрытых задач подталкивают не к решению проблем, а к их сокрытию. Уязвимости остаются, но перестают быть видны, а риски постепенно накапливаются. Александр рассказал о том, как можно выстраивать процессы иначе: вместо красивой отчетности сместить фокус на скорость обнаружения проблем и создание среды, в которой говорить об уязвимостях безопасно для самих сотрудников
Продолжением разговора стала тема инструментов, которые помогают быстрее разбираться в сложных данных. Максим Суханов (СICADA8) поделился своим опытом использования ИИ при поиске уязвимостей. Он сделал акцент на качестве запросов к ИИ и на том, как последовательное уточнение контекста влияет на результат анализа. По словам Максима, эффективность таких инструментов напрямую зависит от уровня экспертизы специалиста и умения правильно формулировать запросы. Обращение к ИИ-инструментам способно ускорить реверс-инжиниринг, упростить подготовку тестов и помочь с проверкой различных сценариев, но при этом требует точной постановки задачи и понимания результата. Таким образом, умение задавать вопросы и работать с контекстом становится таким же важным навыком, как и сама техническая экспертиза.
Еще одной важной темой конференции стал человеческий фактор. Алексей Филатов («СёрчИнформ») сосредоточился на том, как заранее замечать рисковое поведение сотрудников и можно ли предсказать потенциальные проблемы еще до возникновения инцидента. В центре обсуждения оказался профайлинг как способ лучше понимать мотивацию и поведение человека. Речь шла о лояльности, склонности к манипуляциям, отношении к правилам и других характеристиках, которые могут влиять на вероятность нарушений. Упоминалась и «темная триада» как набор личностных черт, потенциально связанных с повышенными рисками. Что касается инструментов оценки, Алексей поделился своими наблюдениями о том, почему классические анкеты и тесты часто дают слишком формальный результат и как комбинация поведенческих метрик и действий пользователя помогает получить более реалистичную картину, так как без понимания психологии сотрудников система безопасности может оставаться неполной.
Практический взгляд на расследование инцидентов представил Никита Вьюгин («МКО Системы») с рассказом о методе triage (сортировки) и о том, как реагирование выглядит в реальности, когда времени мало, данных слишком много, а бизнес требует быстрых решений. Попытка «собрать все» в такой ситуации легко превращается в потерю контроля над инцидентом. Triage в этом контексте выглядит как способ быстро ответить на несколько главных вопросов: что произошло, что критично прямо сейчас и какие действия нужно предпринимать в первую очередь. Такой подход не дает полной картины, но позволяет не утонуть в данных и получить достаточно информации для первых шагов, а дальше уже можно выстраивать более глубокое расследование.
Техническую сторону телекоммуникационной инфраструктуры подробно осветил Виктор Алюшин («Лаборатория Касперского»), посвятивший свое выступление устройству SIM-боксов, GSM-шлюзов и SIM-банков, а также их практическому использованию. Он рассказал, как работают такие системы, каким образом они подключаются и администрируются, а также какие возможности дают оператору. Это помогло лучше понять специфику инфраструктуры, которая нередко используется в сомнительных и мошеннических схемах.
Тему расследований продолжил Владислав Азерский (F6), но уже на уровне анализа внутри Windows-систем. Он говорил о том, какие артефакты помогают восстанавливать действия злоумышленника и как интерпретировать системные журналы, сетевую активность, процессы и механизмы автозапуска в связке друг с другом. За счет сопоставления разных источников становится понятно, что происходило внутри системы на самом деле, и шаг за шагом восстанавливается цепочка событий в сложных инцидентах. Владислав описал техники сокрытия активности и объяснил, как выстраивать расследование так, чтобы быстрее находить действительно значимые события, когда злоумышленник пытается удалить следы своего присутствия.
Развивая тему сложных атак, Алексей Шульмин («Лаборатория Касперского») представил свежее исследование деятельности APT-группы Geo Likho, атаковавшей российские организации, включая предприятия авиационной отрасли. В центре внимания оказалась вся цепочка компрометации: проникновение через фишинг, закрепление внутри инфраструктуры и взаимодействие с управляющими серверами. Алексей поделился результатами изучения вредоносного инструментария, механизмов сбора данных, поиска документов, архивов и переписки, а также способов передачи информации на серверы злоумышленников. Это позволило получить целостное представление о работе APT-группы на всех этапах атаки: от первоначального проникновения до эксфильтрации данных.
Следующей темой стала юридическая сторона работы с цифровыми данными. Олег Безик («Лаборатория цифровых исследований») говорил о цифровых доказательствах, о том, как данные превращаются в аргументы для суда и почему цифровые данные нельзя просто предоставить суду «как есть». Они должны быть корректно изъяты, зафиксированы, сохранены и исследованы. Ошибка на любом этапе может сделать доказательство бесполезным. Чтобы показать, как это работает на практике, Олег привел несколько случаев: уголовное дело с уничтожением RAID-массива, где экспертиза выявила следы использования учетной записи обвиняемого, и спор с банком, где пользователь обвинял систему в ошибке, однако анализ логов позволил восстановить его действия и подтвердить обратное.
Завершил программу Дмитрий Борощук (BeholderIsHere Consulting), посвятивший свое выступление практическим подходам к выявлению прослушки и анализу признаков возможного перехвата коммуникаций. Речь шла о том, какие следы остаются при вмешательстве в мобильную связь, сеть или пользовательские устройства и какие признаки могут на них указывать: аномалии в сетевой активности, изменения в поведении устройств и нетипичные соединения. Дмитрий подчеркнул, что большинство признаков остаются косвенными и нет универсального сигнала с однозначным ответом, но есть совокупность наблюдений, которые важно уметь анализировать и сопоставлять между собой.
Финальной частью CIRF 2026 стала открытая дискуссия с участием юриста Елены Юловой («Юлова и партнеры») и уже выступивших спикеров Александра Дмитриева и Дмитрия Борощука. Одной из самых обсуждаемых тем стали последние поправки к федеральному закону «О персональных данных» и то, как они могут повлиять на работу специалистов по безопасности, пентесту и OSINT. Разговор быстро превратился в оживленный диалог о границах допустимого, рисках для исследователей и том, как меняется взаимодействие между ИБ, бизнесом и законодательством. Жаркая полемика стала одним из самых запоминающихся моментов CIRF 2026.
Подводя итоги, можно сказать, что за несколько лет CIRF сохранила главное: возможность открыто говорить об информационной безопасности без лишней формальности и маркетинга. В такой атмосфере представители ИБ и бизнеса могут лучше понимать ожидания и ограничения друг друга и вместе находить ответы на новые вызовы индустрии.
Подводя итоги, можно сказать, что за несколько лет CIRF сохранила главное: возможность открыто говорить об информационной безопасности без лишней формальности и маркетинга. В такой атмосфере представители ИБ и бизнеса могут лучше понимать ожидания и ограничения друг друга и вместе находить ответы на новые вызовы индустрии.
