Бизнес учится жить в условиях постоянных кибератак

По данным RED Security SOC, в 2025 году самыми популярными целями кибермошенников стали телеком- и ИТ-компании, а также сфера развлечений. Число атак на рестораны, отели, билетные кассы и онлайн-кинотеатры резко выросло, потеснив даже банки.

В 2025 году количество кибератак увеличилось в 2,7 раза по сравнению с предыдущим годом и превысило 186 тысяч, по оценкам экспертов. Инциденты стали не только более частыми, но и более мощными и продолжительными. Участники круглого стола обсудили, почему бизнес смещает фокус с защиты на киберустойчивость — способность продолжать работу в условиях атак.

Константин Янсон, ведущий системный архитектор ICL Services, отметил, что злоумышленники обычно выбирают простой путь: фишинг и социальная инженерия, то есть воздействие на слабости пользователей, чтобы те сами пустили посторонних в инфраструктуру. Далее по распространённости идут уязвимости и ошибки в коде, но их меньше, так как они сложнее в эксплуатации. В России последние пять лет драйвером кибербезопасности выступают регуляторы, требующие использовать российские средства защиты.

Константин Кузнецов, директор по информационной безопасности «Кветта», назвал главными угрозами фишинг, ошибки конфигурации и эксплуатацию уязвимостей. Он добавил: «Достаточно популярны в последние годы атаки через цепочку поставщиков и подрядчиков. Крупные компании выстроили эшелонированную защиту, но смежные контуры остаются менее защищёнными. Злоумышленники атакуют подрядчика — как правило, малый и средний бизнес, где система информационной безопасности развита слабо».

Иван Елисеев, директор по информационной безопасности Check Risk WAF, отметил, что основным вектором стал сбор больших данных, особенно по пользователям. Слитые базы данных контрагентов помогают создавать мутирующие списки и генерировать целевые атаки. Он указал на проблему внутреннего периметра: «Корпоративные эшелоны предусматривают DLP-защиту, но многие забывают, что у пользователей есть расширенные права доступа. Матрицу доступов соблюдают мало компаний».

Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис», выделил три основных вектора: фишинг и социальная инженерия (самое слабое звено), компрометация через подрядчика и эксплуатация внешнего периметра. По его словам, почти все случаи можно было предотвратить своевременным аудитом и установкой обновлений.

Илья Волощик, руководитель отдела продаж ИБ СПБ TS Solution, привёл данные Solar: более 33 тысяч подтверждённых инцидентов за 2025 год, среди которых лидируют заражения вредоносным ПО, несанкционированный доступ, внутренние угрозы и подозрительные изменения инфраструктуры. Из этого вытекают типичные сценарии на 2025–2026 годы:

Positive Technologies прогнозирует, что в 2026 году усилятся атаки через доверительные отношения, opensource-цепочки и ИИ-усиленную социальную инженерию.

Илья Волощик также отметил типичные ошибки после атак: отсутствие полной инвентаризации активов, слабое журналирование, неготовность изолировать сегменты, «вечные» привилегии, недостаточный контроль подрядчиков, неподготовленные планы восстановления и отсутствие учений. «Это означает, что если у компании нет заранее отлаженного сценария реагирования, времени на спокойные раздумья уже нет».

Сотрудники остаются главным источником уязвимостей: 88% утечек данных связаны с человеческой ошибкой, а 41% сотрудников переходят по опасным ссылкам. Илья Волощик добавил: «ИИ сделал письма неотличимыми от настоящих. Сотрудник кликает по ссылке в среднем за 21 секунду, не думая о последствиях. 156 млн паролей российских пользователей уже в открытом доступе — хакеры заходят через парадную дверь. Пока не внедрена MFA для всех, компания работает с открытым сейфом».

Иван Елисеев рассказал, что более 60% пользователей открывают незнакомые письма, а 30% из них вводят учётные данные. Фишинговые атаки иногда не нужны: проводится нумерация пользователей, отправляются письма секретариату, получаются слепки, а затем формируются целевые списки для доступа через VPN, RDP или Битрикс-системы.

Константин Янсон отметил, что человеческий фактор стоит на первом месте с огромным отрывом. Исследования международных институтов говорят, что в ближайшие 5–10 лет это будет основной угрозой. «В нашей практике самые серьёзные взломы больших компаний осуществлялись через администраторов — людей, наделённых огромными правами, и даже через офицеров безопасности. Все люди ошибаются, и компании начинают понимать этот риск».

Константин Кузнецов подчеркнул, что фишинг и социальная инженерия срабатывают даже против специалистов по ИБ: «Современные компании выстроили сложные системы защиты, их технический обход требует ресурсов. Воздействие на человека остаётся самым простым и дешёвым способом доступа». Атаки стали адресными: злоумышленники изучают структуру компании, роли сотрудников и рабочие процессы, используя психологическое давление. Ключевой инструмент защиты — системная работа с персоналом: обучение и симуляции атак.

Сергей Полунин согласился: «Люди остаются самым уязвимым узлом, не потому что они глупые, а потому что психология позволяет эксплуатировать паттерны поведения. Атаки с помощью социальной инженерии только растут». В крупных компаниях уязвима не столько личность, сколько идентичность: нужно внедрять MFA, контролировать привилегии и проводить аудит.

С собственными сотрудниками компания может выстроить работу по безопасности, но с подрядчиками сложнее — напрямую повлиять на них невозможно. Константин Кузнецов отметил, что крупные компании формализуют требования к ИБ партнёров, но это удорожает услуги. Он предложил гибридную модель: закреплять в договоре базовые обязательства (сложные пароли, обновления, закрытие уязвимостей) и распространять обучение на внешних партнёров.

Иван Елисеев образно сравнил киберзащиту подрядчиков с «оборонным заводом, который защищает шлагбаум, открываемый пожилой бабушкой». Многие подрядчики не могут позволить себе дорогие системы защиты, используют опен-сорс и плоские сети. При компрометации подрядчика открывается доступ к IP-адресации и конфигурациям VPN. Решением может быть выделение защитной зоны до сервера или внедрение простого контроля трафика в сочетании с обучением.

Сергей Полунин добавил: «Любой современный бизнес — это экосистема. Вы работаете с интеграторами, разработчиками, облачными провайдерами. Атаковать будут через самое слабое звено — почти треть крупных взломов начинается с компрометации подрядчика».

Илья Волощик привёл цифры: 30% атак идут через партнёров и вендоров, у 55% подрядчиков открыты управляющие порты, 32% не ставят критические патчи. «Хакеры бьют не в крепость, а в мост к ней. Правило — не доверять по умолчанию (Zero Trust), минимальный доступ, непрерывный мониторинг киберрейтинга партнёра, обязательная MFA для внешних подключений». Он рекомендует составить список всех подрядчиков с доступом к чувствительным данным и юридически закрепить право на аудит.

Константин Янсон, как представитель сервисной компании, отметил, что у крупного бизнеса уже есть работа с подрядчиками, а для КИИ — отдельные требования. В небольших компаниях организовать это дорого. «Мы внедряем системы привилегированного удаленного доступа, которые ограничивают возможности подрядчиков, записывают, проверяют. Многие противятся — привыкли заходить по одной кнопке, а тут приходится проходить несколько „шлагбаумов с бабушками“».

Константин Янсон пояснил, что суть Zero Trust — не доверять априори всем сервисам и пользователям только потому, что они внутри локальной системы. Каждое обращение проверяется, шифруется, аутентифицируется. Раньше технологически было сложно организовать шифрование везде, но сейчас чипы дешевы, есть библиотеки в языках программирования. «Единственное оправдание неиспользования системы нулевого доверия сегодня — невежество, незнание технологии или сложность перехода с устаревших систем».

Илья Волощик считает Zero Trust реалистичным подходом: раньше думали, что внутри периметра безопасно, но сегодня злоумышленник может быть внутри. «Проверяй каждый запрос, каждый доступ, каждый шаг». В российских компаниях модель становится актуальнее, особенно в госсекторе и финансах, но внедрение требует серьёзной перестройки инфраструктуры. Растет интерес к Security by Design — защита встраивается с самого начала.

Константин Кузнецов указал на инфраструктурные ограничения: во многих компаниях отсутствует элементарная сегментация сети. Без этого говорить о Zero Trust преждевременно. Внедрение упирается в глубокую перестройку ИТ-ландшафта.

Сергей Полунин добавил, что Zero Trust в российских реалиях применим как набор принципов (сегментация, защита привилегированных учеток), но внедрение осложняется унаследованными системами. «Среды быстро обрастают исключениями и компромиссами, отчего суть подхода сходит на нет».

Константин Кузнецов напомнил, что первые SOC в России появились около 15 лет назад, но изменилась природа угроз и требования к мониторингу. Количество атак растёт из-за доступных инструментов (MaaS, машинное обучение). Остаётся дефицит кадров. Он прогнозирует распространение гибридного подхода: внутренний SOC дополняется экспертизой внешних провайдеров.

Илья Волощик отметил, что рынок идёт к гибридной модели. По данным «Лаборатории Касперского», 50% крупных компаний планируют развернуть SOC в 2026–2027 годах ради повышения уровня ИБ, 45% — ради защиты от сложных угроз, 52% ожидают круглосуточного выявления аномалий. В состав SOC чаще включают TI, EDR, SIEM, XDR/NDR/MDR. «Автоматизация с AI и машинным обучением уже здесь, но это усиление людей, а не замена. Человек нужен для принятия решений в сложных ситуациях».

Сергей Полунин считает, что реальный SOC нужен компаниям с определённой зрелостью. Большинству достаточно внутреннего мониторинга и аутсорса сложных задач. Крупные компании строят свои службы кибербезопасности, но драйвером выступает и оптимизация бюджета.

Иван Елисеев назвал SOC must-have, который помогает выявить атаки от разведки до «заметания следов». Но на фоне кадрового голода и нехватки компетенций у молодых специалистов может возникнуть мнимая безопасность. Бизнес часто не понимает необходимости ИБ: «Да кому мы нужны?» Он рекомендует сначала обеспечить внутренний контур: антивирусную защиту 100% узлов и серверов, двухфакторную аутентификацию на всех сервисах, honeypot-объекты. После построения периметра подключать SOC.

Константин Янсон подчеркнул, что SOC мониторит события, но не генерирует их. Нужно говорить об уровнях зрелости: путь начинается с простого сбора логов, затем добавляются индикаторы компрометации, ML, и только на высоком уровне возможно автоматическое реагирование и honeypot. На первом уровне делать приманки опасно.

Сергей Полунин отметил, что классическая информационная безопасность ассоциируется с защитой периметра и данных, но реалии 2026 года таковы, что бизнес страдает от остановки процессов и потери управляемости. Фокус смещается на устойчивость даже при успешной атаке. «На практике все понимают, что взлом будет 100%, вопрос — как мы будем реагировать и с какими потерями восстанавливаться».

Константин Кузнецов считает киберустойчивость заметным трендом: термин появился ещё в начале 2000-х, но специалисты всегда работали в этой логике. «И 10, и 15, и 20 лет назад было понятно, что стопроцентной защиты не существует. Речь шла о доступности в условиях атаки. Киберустойчивость начинается там, где заканчивается вера в абсолютную безопасность». Ключевые процессы не должны останавливаться: завод продолжает работать, банк проводить операции.

Иван Елисеев рекомендует бизнесу определить, какой риск принимается: если риск компрометации данных приемлем, то история про резервное копирование и бэкапы «судного дня». «Каждый периметр уникален, и цена информации всё определяет. Если данные не стоят затраченных средств, зачем вкладывать миллионы? Стоимость защиты не должна быть выше стоимости самой ценной информации».

Константин Янсон подытожил: «Термин киберустойчивости появился, когда бизнес понял, что защититься на 100% нельзя — взломать можно любую компанию. Вливать деньги в безопасность можно бесконечно, но эффективность сложно измерить. За киберустойчивостью стоит риск-ориентированный подход». Оценив вероятность риска и цену последствий, бизнес решает, какую угрозу закрывать. «Сравните цену одного дня простоя онлайн-магазина или ядерного реактора. У критической инфраструктуры цена риска крайне высока, вариантов нет — нужно защищать всё. Задача офицера безопасности — увидеть риски и показать их бизнесу».