«Словно бабушка у шлагбаума»: бизнес учится жить при кибератаках

У кибермошенников, атакующих бизнес, есть свои предпочтения. По данным RED Security SOC, в 2025 году самыми «любимыми» объектами стали телеком- и ИТ-компании, а также сфера развлечений. Число атак на последних резко возросло — рестораны, отели, билетные кассы и онлайн-кинотеатры вошли в число самых пострадавших отраслей, потеснив даже банки.

В 2025 году количество кибератак выросло в 2,7 раза относительно предыдущего года и превысило, по подсчетам экспертов, 186 тысяч. Инциденты стали не только многочисленнее, но и мощнее, и продолжительнее. Участники круглого стола «Фонтанки» рассказали, почему вместо сосредоточения на защите и попытке угадать, откуда ждать беды, сегодня бизнес всё чаще говорит о киберустойчивости — способности продолжать работу в условиях атак.

Константин Янсон, ведущий системный архитектор направления сетевых технологий и ИБ ICL Services, подчеркнул: злоумышленники чаще всего идут простым путем с наименьшими затратами, поэтому основной вид атак — фишинг и социальная инженерия. Это обработка слабостей пользователей, чтобы те сами пустили посторонних в свою инфраструктуру. Далее по распространенности идут всевозможные уязвимости и ошибки в коде, но их меньше, потому что воспользоваться ими сложно. По словам эксперта, в России основным двигателем кибербезопасности последние пять лет выступают регуляторы, продвигающие необходимость использовать российские средства защиты.

Константин Кузнецов, директор по информационной безопасности «Кветта», назвал главными угрозами фишинг, ошибки конфигурации и эксплуатацию уязвимостей. Он отметил: «Достаточно популярны в последние годы атаки через цепочку поставщиков и подрядчиков. Крупные компании уже выстроили эшелонированную защиту собственной инфраструктуры, однако смежные контуры остаются менее защищёнными. Поэтому часто злоумышленники выбирают более простой путь: атакуют подрядчика. Как правило, это компании малого и среднего бизнеса, у которых либо отсутствует полноценная система информационной безопасности, либо она развита слабо».

Иван Елисеев, директор по информационной безопасности Check Risk WAF, отметил, что основным вектором атак стал сбор больших данных, особенно по пользователям. Слитые базы данных контрагентов помогают создавать мутирующие списки с шаблонизацией по пользователю, генерировать целевые атаки в рамках системы контура. Он также указал на большое количество автоматизированных систем нумерации и атаки с целью компрометации пользовательских систем. «Корпоративные эшелоны предусматривают DLP-защиту. Но все забывают, что у многих пользователей есть расширенные права доступа. Матрицу доступов соблюдают очень мало компаний, так что, несмотря на высокую подготовку и эшелонную оборону внешнего периметра, про внутренний мало кто задумывается. Мы предполагаем, что основным вектором атак на сегодня будет внешний периметр, бигдата пользователей, компрометация мобильных устройств, потому что получить доступ к ним проще», — добавил он.

Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис», выделил три основных вектора:

• Фишинг и всё, что связано с социальной инженерией. Самое слабое звено — его и атакуют.
• Компрометация через подрядчика. Компании делегируют задачи партнёрам, не всегда контролируя, что и как они делают, и однажды это заканчивается плохо.
• Эксплуатация внешнего периметра. Классика, таких случаев становится меньше, но тем громче и интереснее кейсы, когда это всё-таки происходит. Почти все можно было предотвратить своевременным аудитом и установкой обновлений.

Илья Волощик, руководитель отдела продаж ИБ СПБ TS Solution, привёл данные Solar о более чем 33 тысячах подтверждённых инцидентов за 2025 год. Лидируют заражения вредоносным ПО, несанкционированный доступ, внутренние угрозы и подозрительные изменения инфраструктуры. Из этого набора вытекают типичные сценарии для 2025–2026 годов:

• Комбинированные атаки с помощью фишинга, почты и кражи учётных данных.
• Атаки через доверенные отношения и подрядчиков.
• DDoS и веб-атаки в периоды максимальной выручки или нагрузки.
• Деструктивные сценарии: шифрование, уничтожение инфраструктуры, саботаж через легитимные механизмы.

Positive Technologies прогнозирует, что в 2026 году ещё сильнее укрепятся атаки через доверительные отношения, opensource-цепочки и ИИ-усиленную социальную инженерию. Эксперт добавил, что ошибки после атаки у компаний во многом повторяются: отсутствие полной инвентаризации активов, слабое журналирование, неготовность изолировать сегменты, «вечные» привилегии, недостаточный контроль подрядчиков, неподготовленные планы восстановления и отсутствие учений. Если у компании нет заранее отлаженного сценария реагирования, времени на спокойные раздумья уже нет.

Сотрудники остаются главным источником уязвимостей: 88% утечек данных связаны с человеческой ошибкой, а 41% сотрудников переходят по опасным ссылкам, говорит Илья Волощик. Технологии бессильны, если человек одним кликом уничтожает всю защиту. «ИИ сделал письма неотличимыми от настоящих, — добавил он. — Сотрудник кликает по ссылке в среднем за 21 секунду, не думая о последствиях. На текущий момент 156 млн паролей российских пользователей уже в открытом доступе — хакеры заходят „через парадную дверь“, используя утечки реальных данных сотрудников. Пока не внедрена MFA для всех, компания работает с открытым сейфом».

Иван Елисеев рассказал, что более 60% пользователей открывают незнакомые письма, а 30% из этого числа вводят учётные данные либо другую необходимую в пентесте информацию. Фишинговые атаки иногда просто не нужны: проводится нумерация пользователей, отправляется пара писем секретариату либо любым другим известным людям, получаются слепки, вариации ведения аккаунтов на периметре. Исходя из полученных данных формируют перечень email-адресов, через соцсети выявляют объекты будущих атак, из баз данных получают слитые пароли. Отсюда создаются целевые листы для получения доступа — через VPN, RDS RDP, в том числе через «Битрикс»-системы.

Константин Янсон подтверждает: человеческий фактор стоит на первом месте любой безопасности с огромным отрывом. Он сослался на исследования международных институтов, которые говорят, что в следующие 5–10 лет это будет основной угрозой, поэтому нельзя экономить на людях и их компетенциях. «В нашей практике самые серьёзные взломы больших компаний осуществлялись через администраторов — людей, наделённых огромными правами. И даже, как ни странно, через офицеров безопасности, у которых тоже есть права практически на всё. Все люди ошибаются или когда-нибудь ошибутся, и компании начинают понимать этот риск. Уже есть платформы для обучения сотрудников на реальных примерах фишинговых писем, курсы для тех, кто „попался“, — в общем, работа идёт», — уточнил эксперт.

Константин Кузнецов отметил: «Фишинг, психология, социальная инженерия — очень мощный инструмент. Он нередко срабатывает даже против специалистов по информационной безопасности, несмотря на их подготовку и опыт. Причина в экономике атак: современные компании выстроили сложные системы защиты, их технический обход требует значительных ресурсов. Воздействие на человека остаётся самым простым, быстрым и дешёвым способом получить доступ к инфраструктуре, поэтому использовать его будут ещё много лет». Эксперт также обратил внимание на эволюцию фишинга: если раньше это были массовые рассылки, то сегодня — целевые кибероперации. Атаки становятся адресными: злоумышленники изучают структуру компании, роли сотрудников, их рабочие процессы и личный контекст. Это позволяет точечно воздействовать с помощью писем, звонков или видеосвязи, имитируя доверенных лиц и используя психологическое давление. Ключевым инструментом защиты остаётся системная работа с персоналом: регулярное обучение и тренировки с симуляциями атак внутри корпоративного периметра.

Сергей Полунин согласился: «Да, сегодня люди, как 10 и 20 лет назад, остаются самым уязвимым узлом любой информационной системы. И не потому, что они глупые или неподготовленные, а потому что особенности человеческой психологии позволяют злоумышленникам эксплуатировать паттерны поведения, заложенные миллионы лет назад. Мы видим это по статистике: атаки с помощью социальной инженерии только растут из года в год». Если же говорить про крупные компании, то здесь уязвимы не люди сами по себе, а скорее их идентичность. Компания должна быть готова: внедрять MFA, контролировать привилегии, заниматься аудитом действий аккаунтов.

Если со своими сотрудниками компания ещё может выстроить системную работу по безопасности, то с подрядчиками всё значительно сложнее. По словам Константина Кузнецова, крупные компании могут формализовать требования к информационной безопасности партнёров, однако на практике это нередко приводит к удорожанию услуг. В отдельных отраслях компании берут часть функций на себя и предоставляют подрядчикам собственные средства защиты. «Наиболее эффективным подходом я считаю гибридную модель, — говорит Кузнецов. — Оптимальный вариант — когда требования информационной безопасности закреплены в договоре и предусматривают базовые обязательства для подрядчика: использование стойких паролей, регулярное обновление систем, закрытие уязвимостей. Это меры, не требующие значительных инвестиций и доступные даже для малого и среднего бизнеса. Дополнительно важно распространять практики обучения: тренировки и повышение осведомлённости должны охватывать не только штатных сотрудников, но и внешних партнёров».

Иван Елисеев описал киберзащиту подрядчиков образной шуткой: часто это выглядит, как если бы оборонный завод с пулемётными точками и противотанковыми рвами защищал шлагбаум, который открывает пожилая бабушка. «К сожалению, многие подрядчики не могут позволить себе дорогостоящую систему защиты в несколько миллионов рублей и обходятся опен-сорсом или работой в плоских сетях, что создаёт определённые риски для партнёров», — продолжил эксперт. При компрометации сети подрядчика открывается полный доступ для всех, кто с ними работал, начиная от IP-адресации и заканчивая файлами конфигурации VPN. Решением может быть выделение защитной зоны до сервера либо внедрение антивирусной защиты и простейшего контроля сетевого трафика. В сочетании с системой копирования и обучением персонала это поможет нивелировать риск.

Сергей Полунин подчеркнул: «Любой современный бизнес — это фактически экосистема. Вам кажется, что вы производите продукт сами, но в реальности работаете с интеграторами, разработчиками, облачными и сервисными провайдерами, администраторами, которые хоть и числятся в других компаниях, абсолютно интегрированы в ваши бизнес-процессы. Атаковать такую экосистему будут через самое слабое звено. Почти треть крупных взломов начинается именно с компрометации подрядчика».

Илья Волощик рассказал, что 30% атак идут через партнёров и вендоров: у 55% подрядчиков во внешнем контуре открыты управляющие порты, а 32% не ставят критические патчи. «Если говорить простыми аналогиями, то хакеры бьют не в крепость, а в мост к ней. И правило одно — не доверять по умолчанию, концепция Zero Trust. Минимальный доступ, непрерывный мониторинг киберрейтинга партнёра и обязательная MFA для всех внешних подключений. Любой компании необходимо составить и регулярно обновлять список всех подрядчиков с доступом к чувствительным данным и закреплять юридически право в договорах на аудит и 24-часовое уведомление об инцидентах», — говорит он.

Константин Янсон добавил: «Поскольку мы как сервисная компания всё время заходим в другие инфраструктуры, то видим, что у крупного бизнеса уже есть выстроенная работа с подрядчиками. А для предприятий критической инфраструктуры — и отдельные регуляторные требования. В небольших компаниях это довольно дорого организовать — должен появиться кто-то, управляющий безопасностью, но часто таких людей нет. Поэтому часто сам подрядчик должен иметь больше компетенций, чем его компания-партнёр. Мы внедряем системы привилегированного удалённого доступа, которые сильно ограничивают возможности внешних подрядчиков: записывают, ограничивают, включают дополнительные факторы проверки». По словам эксперта, многие противятся — вплоть до отказа от договорных обязательств: «Привыкшим годами заходить по нажатию одной кнопки предлагают эшелон защиты. Подключение, занимавшее раньше 5 минут, растягивается, потому что этих „шлагбаумов с бабушками“ надо пройти несколько».

Текущие возможности технологий продиктовали появление концепции Zero Trust. Константин Янсон пояснил: «Американский институт по стандартизации хорошо описал её смысл: больше не доверять априори всем сервисам и пользователям лишь потому, что они находятся в вашей локальной системе. Мы их проверяем, шифруем, аутентифицируем. Любое обращение к любому сервису всегда проверяется, и в случае чего пользователь блокируется. Но самое главное — это целая экосистема, которую нельзя купить одним комплектом. Раньше технологически было сложно организовать шифрование везде, так как не было доступных чипсетов или фреймворков. Сейчас шифрование отличное даже в SIM-карте, стоимость оборудования снизилась. Во всех языках программирования есть готовые библиотеки. Поэтому единственное оправдание неиспользования системы нулевого доверия сегодня — это просто невежество, незнание технологии или сложность перехода с устаревших систем».

Илья Волощик считает, что Zero Trust — не просто тренд, а реалистичный подход. В старом мире думали, что внутри периметра безопасно, а сегодня понятно: злоумышленник может оказаться внутри. Zero Trust говорит: проверяй каждый запрос, каждый доступ, каждый шаг. В российских компаниях эта модель становится всё более актуальной, особенно в государственных и финансовых организациях. Но её внедрение требует серьёзной перестройки инфраструктуры. Тем не менее, растёт интерес к Security by Design, когда защита встраивается в архитектуру с самого начала.

Константин Кузнецов отметил, что уже появляются отечественные решения, но есть серьёзные инфраструктурные ограничения. Ключевой проблемой остаётся недостаточная зрелость базовой архитектуры безопасности. Во многих компаниях отсутствует элементарная сегментация сети — разделение сервисов по степени критичности. Без этого говорить о полноценной реализации Zero Trust преждевременно.

Сергей Полунин полагает, что Zero Trust в наших реалиях применим, но не как коробочное решение, а как набор принципов. Сегментация, защита привилегированных учётных записей, недоверие по умолчанию — всё это детали Zero Trust. Но внедрение осложняется большим количеством унаследованных систем, модернизация которых невозможна. Такие среды быстро обрастают исключениями и компромиссами, отчего суть подхода сходит на нет.

Говоря о трансформации SOC (Security Operations Center), Константин Кузнецов напомнил: первые такие решения в России начали появляться около 15 лет назад, но существенно изменилась природа угроз и требования к мониторингу. Количество атак растёт, инструменты злоумышленников становятся доступнее — активно используются MaaS (вредоносное ПО как услуга) и решения на базе машинного обучения. Дополнительное ограничение — дефицит кадров. «Крупные интеграторы обладают командами, которые ежедневно работают с большим количеством инцидентов. Это позволяет быстрее выявлять и анализировать сложные атаки. В ближайшие годы мы увидим распространение гибридного подхода: внутренний SOC дополняется экспертизой внешних провайдеров. Это позволит сочетать контроль над инфраструктурой с доступом к лучшим практикам», — отметил он.

Илья Волощик полагает, что рынок идёт к более гибридной модели SOC. По данным «Лаборатории Касперского», 50% крупных компаний разворачивают SOC для повышения уровня ИБ, 45% — для защиты от сложных угроз, а 52% российских респондентов ожидают от SOC круглосуточного выявления аномалий и реагирования. В состав SOC чаще всего хотят включать TI, EDR, SIEM, XDR, NDR, MDR. Современные SOC используют AI и машинное обучение для анализа угроз и частичного автоматического реагирования. «Но автоматизация — это не замена людям, а их усиление. Человек всё ещё нужен для принятия решений в сложных ситуациях», — добавил Волощик.

Сергей Полунин отметил, что с SOC ситуация похожа на Zero Trust. Реальный SOC нужен компаниям, достигшим определённой зрелости. Для большинства достаточно внутреннего мониторинга, а сложные вещи отдаются на аутсорс сервисному провайдеру. Крупные компании начали строить свои службы кибербезопасности давно, и драйверами выступает не только безопасность, но и оптимизация бюджета.

Иван Елисеев считает, что SOC — мастхэв, помогающий выявить атаки от разведки до «заметания следов». Но на фоне кадрового голода может возникнуть мнимая безопасность. Бизнес не всегда понимает необходимость кибербезопасности, аргументируя: «Да кому мы нужны, нас это точно не коснётся». Эксперт рекомендует сначала обеспечить внутренний контур безопасности: антивирусную защиту с 100% покрытием всех узлов и серверов на периметре. Затем обязательно внедрить двухфакторную аутентификацию на всех сервисах, от стандартного протокола TOTP до VPN-сервисов и приложений. На следующем уровне создавать объекты-приманки типа honeypot. Когда будет видно массовое воздействие по bruteforce на администратора, это значит, что есть компрометация по сети. После построения периметра уже имеет смысл подключать SOC-специалистов и создавать SOC-подразделения.

Константин Янсон подчеркнул, что SOC занимается мониторингом событий информационной безопасности, но сам по себе не может сгенерировать исходные события. При внедрении SOC нужно говорить о нескольких уровнях зрелости: нельзя просто взять и создать автоматизированное реагирование. Каждая компания должна пройти этот путь постепенно. «Затем идёт усложнение: добавляются индикаторы компрометации с внешних источников, элементы ML. В самых сложных сценариях, когда дошли до высокого уровня зрелости, можно полностью автоматически реагировать на события, раскладывать honeypot. Но на первом уровне зрелости их делать нельзя, ведь мы открываем доступ в свою инфраструктуру без должной реакции», — пояснил он.

Классические определения информационной безопасности обычно ассоциируются с защитой периметра и данных. Но, как напомнил Сергей Полунин, реалии 2026 года таковы, что бизнес страдает не только от проникновения в систему, но и от остановки процессов, потери управляемости, затяжного восстановления. Поэтому фокус смещается на устойчивость системы даже в случае успешной атаки. «На практике все понимают, что взлом будет 100%, весь вопрос лишь в том, как мы будем реагировать и с какими потерями восстанавливаться», — добавил он.

Константин Кузнецов считает киберустойчивость заметным трендом, хотя понятие возникло ещё в начале 2000-х. Специалисты по информационной безопасности всегда работали в этой логике. «И 10, и 15, и 20 лет назад было понятно, что стопроцентной защиты не существует. Поэтому речь всегда шла не только о конфиденциальности и целостности, но и о доступности — в том числе в условиях атаки. Сегодня акцент сместился: если раньше говорили о защите, то теперь — о способности бизнеса функционировать, несмотря на инциденты. Киберустойчивость начинается там, где заканчивается вера в абсолютную безопасность». Речь идёт о том, чтобы ключевые процессы не останавливались: завод продолжал работать, торговля — продавать, банк — проводить операции даже под давлением атак.

Иван Елисеев полагает, что бизнесу с IT-подразделениями нужно определить, какой риск они принимают, а какой нет. Если принимают риск компрометации данных, тогда это история про резервное копирование, создание отдельных бэкапов «судного дня». «Каждый периметр уникален, и всё определяет цена информации. Если она не стоит затраченных средств, какой смысл вкладывать десятки миллионов, чтобы защитить базу данных 1С, если можно просто бэкапировать? Даже если мы работаем с чем-то более серьёзным, стоимость защиты не должна быть выше стоимости самой ценной информации», — говорит он.

Константин Янсон подытожил: «Термин киберустойчивости появился, когда бизнес понял, что защититься на 100% нельзя — взломать можно любую компанию. Вливать деньги в безопасность можно бесконечно, но эффективность измерить сложно. Так что за словом „киберустойчивость“ стоит риск-ориентированный подход». Оценив вероятность конкретного риска и цену его последствий, бизнес понимает, какую угрозу он может нести, а где останется слабое место. «Каждый решает для себя. Сравните цену одного дня простоя онлайн-магазина или ядерного реактора. У ядерного реактора или промышленного производства, имеющего дело с газовыми и химическими установками, цена риска крайне высока даже при низкой вероятности. Так что у предприятий критической инфраструктуры вариантов нет: нужно защищать всё и всегда. Задача главного офицера безопасности — увидеть эти риски и показать их. А что дальше делать — решается с бизнесом», — заключил Янсон.