Бизнес учится жить с постоянными кибератаками

В 2025 году количество кибератак на бизнес выросло в 2,7 раза по сравнению с предыдущим годом и превысило 186 тысяч, причём инциденты стали мощнее и продолжительнее. Особенно уязвимыми оказались телеком- и ИТ-компании, а также сфера развлечений — рестораны, отели, билетные кассы и онлайн-кинотеатры, которые потеснили даже банки. Такие данные приводит RED Security SOC.

Участники круглого стола «Фонтанки» отметили смещение фокуса от защиты периметра к киберустойчивости — способности продолжать работу даже во время атак. Основные векторы угроз, по их мнению, остаются прежними: фишинг, социальная инженерия, уязвимости в коде и ошибки конфигурации.

Константин Янсон, ведущий системный архитектор ICL Services, подчеркнул, что злоумышленники выбирают путь наименьшего сопротивления: «Основной вид атак — это фишинг и социальная инженерия, то есть обработка слабостей пользователей, чтобы те сами пустили посторонних в свою инфраструктуру». В России, по его словам, основным драйвером кибербезопасности последние пять лет выступают регуляторы, требующие импортозамещения.

Директор по информационной безопасности «Кветта» Константин Кузнецов назвал главными угрозами фишинг, ошибки конфигурации и эксплуатацию уязвимостей, а также атаки через цепочку поставщиков. «Достаточно популярны в последние годы атаки через цепочку поставщиков и подрядчиков. Крупные компании уже выстроили эшелонированную защиту собственной инфраструктуры, однако смежные контуры остаются менее защищёнными», — пояснил он.

Иван Елисеев, директор по ИБ Check Risk WAF, отметил, что основным вектором атак стал сбор больших данных о пользователях. Слитые базы контрагентов позволяют создавать целевые атаки. Он также указал на проблему расширенных прав доступа: «Матрицу доступов соблюдают очень мало компаний, так что, несмотря на высокую подготовку и эшелонную оборону внешнего периметра, про внутренний мало кто задумывается».

Руководитель группы защиты инфраструктурных ИТ-решений «Газинформсервис» Сергей Полунин выделил три основных вектора: фишинг с социальной инженерией, компрометация через подрядчика и эксплуатация внешнего периметра. «Почти все эти случаи можно было предотвратить своевременным аудитом и установкой обновлений», — добавил он.

Илья Волощик, руководитель отдела продаж ИБ СПБ TS Solution, привёл данные Solar: более 33 тысяч подтверждённых инцидентов в 2025 году с лидирующими заражениями вредоносным ПО, несанкционированным доступом и внутренними угрозами. Он перечислил типичные сценарии на 2025–2026 годы:

Positive Technologies прогнозирует усиление атак через доверенные отношения, opensource-цепочки и ИИ-усиленную социальную инженерию в 2026 году.

Человеческий фактор остаётся главной уязвимостью: 88% утечек данных связаны с ошибками сотрудников, а 41% переходят по опасным ссылкам. «ИИ сделал письма неотличимыми от настоящих. Сотрудник кликает по ссылке в среднем за 21 секунду. 156 млн паролей российских пользователей уже в открытом доступе», — отметил Волощик. Он подчеркнул необходимость многофакторной аутентификации (MFA).

Иван Елисеев добавил, что более 60% пользователей открывают незнакомые письма, а 30% из них вводят учётные данные. Злоумышленники собирают данные из соцсетей и утечек, чтобы формировать целевые списки для атак через VPN, RDP и Битрикс.

Константин Янсон подтвердил, что человеческий фактор — основная угроза на ближайшие 5–10 лет, и экономить на обучении сотрудников нельзя. «В нашей практике самые серьёзные взломы больших компаний осуществлялись через администраторов и даже офицеров безопасности», — рассказал он.

Константин Кузнецов указал на эволюцию фишинга: от массовых рассылок к целевым кибероперациям с изучением структуры компании и ролей сотрудников. «Причина в экономике атак: технический обход сложных систем защиты требует ресурсов, а воздействие на человека остаётся самым простым и дешёвым», — пояснил он.

Сергей Полунин напомнил, что человеческая психология позволяет эксплуатировать древние паттерны поведения. Однако в крупных компаниях уязвима не личность, а идентичность: «Компания должна быть готова: внедрять MFA, контролировать привилегии, аудировать действия аккаунтов».

Проблема подрядчиков стоит остро: 30% атак идут через партнёров и вендоров. У 55% подрядчиков открыты управляющие порты, а 32% не ставят критические патчи. «Хакеры бьют не в крепость, а в мост к ней, — отметил Волощик. — Нужна концепция Zero Trust: минимальный доступ, непрерывный мониторинг и обязательная MFA для внешних подключений».

Иван Елисеев охарактеризовал защиту подрядчиков шуткой: «Словно бабушка у шлагбаума охраняет стратегический завод». Он рекомендовал выделять защитные зоны до сервера, внедрять антивирусную защиту и обучать персонал.

Константин Кузнецов считает, что крупные компании могут формализовать требования к ИБ партнёров, но это удорожает услуги. Оптимальная гибридная модель: базовые обязательства в договоре (сложные пароли, обновления) и обучение внешних партнёров.

Сергей Полунин подчеркнул, что бизнес — экосистема, и атаковать будут через слабое звено. «Почти треть крупных взломов начинается с компрометации подрядчика».

Концепция Zero Trust становится всё актуальнее. Янсон пояснил: «Американский институт по стандартизации хорошо описал её смысл: больше не доверять априори всем сервисам и пользователям лишь потому, что они в вашей локальной системе. Любое обращение проверяется, шифруется, аутентифицируется». Сейчас технологии позволяют внедрить шифрование повсеместно, поэтому единственное оправдание неиспользования Zero Trust — невежество или сложность перехода с унаследованных систем.

Илья Волощик назвал Zero Trust реалистичным подходом: «В старом мире думали, что внутри периметра безопасно, а сегодня злоумышленник может оказаться внутри». В российских компаниях модель набирает популярность, особенно в госсекторе и финансах, но требует серьёзной перестройки инфраструктуры.

Константин Кузнецов отметил инфраструктурные ограничения: во многих компаниях отсутствует элементарная сегментация сети, поэтому говорить о полноценном Zero Trust преждевременно. Сергей Полунин добавил, что подход применим как набор принципов, но унаследованные системы создают исключения.

Говоря о SOC (Security Operations Center), Кузнецов напомнил, что первые такие центры в России появились 15 лет назад, но природа угроз изменилась. Дефицит кадров остаётся проблемой. Он прогнозирует распространение гибридного подхода: внутренний SOC дополняется внешней экспертизой.

Волощик привёл данные «Лаборатории Касперского»: 50% крупных компаний планируют разворачивать SOC в 2026–2027 годах ради повышения уровня ИБ, 45% — ради защиты от сложных угроз. В состав SOC включают TI, EDR, SIEM, XDR/NDR/MDR. Автоматизация с AI не заменяет людей, а усиливает их.

Иван Елисеев считает SOC мастхэвом, но на фоне кадрового голода возможна иллюзия безопасности. Он рекомендовал сначала обеспечить внутренний контур безопасности: антивирусную защиту на всех узлах, двухфакторную аутентификацию, объекты-приманки (honeypot). «После построения периметра уже имеет смысл подключать SOC-специалистов».

Константин Янсон подчеркнул, что SOC занимается мониторингом событий, но не генерирует их. Путь к зрелости должен быть постепенным: от базового мониторинга до автоматизированного реагирования с использованием ML и honeypot на высоком уровне зрелости.

Киберустойчивость — тренд 2026 года. Сергей Полунин: «Реалии в том, что бизнес страдает не только от проникновения, но и от остановки процессов. Взлом будет 100%, вопрос лишь в потерях и восстановлении».

Константин Кузнецов напомнил, что понятие киберустойчивости возникло ещё в начале 2000-х. «Сегодня акцент сместился: если раньше говорили о защите, то теперь — о способности бизнеса функционировать, несмотря на инциденты. Киберустойчивость начинается там, где заканчивается вера в абсолютную безопасность».

Иван Елисеев советует определять приемлемый риск: если данные не стоят затрат на защиту, достаточно бэкапов. «Стоимость защиты не должна быть выше стоимости самой ценной информации».

Константин Янсон подытожил: «Термин киберустойчивости появился, когда бизнес понял, что защититься на 100% нельзя. Вливать деньги в безопасность можно бесконечно, но эффективность измерить сложно. За этим словом стоит риск-ориентированный подход: каждый решает для себя, исходя из цены простоя — будь то онлайн-магазин или ядерный реактор».