Бизнес учится жить в условиях постоянных кибератак

В 2025 году количество кибератак на бизнес достигло 186 тысяч — это в 2,7 раза больше, чем годом ранее. Самыми популярными целями стали телекоммуникационные и IT-компании, а также сфера развлечений: рестораны, отели, билетные сервисы и онлайн-кинотеатры. Они потеснили даже банки в рейтинге наиболее пострадавших отраслей, по данным RED Security SOC.

Чаще всего злоумышленники выбирают простые пути. Константин Янсон, ведущий системный архитектор ICL Services, подчеркнул, что фишинг и социальная инженерия остаются основными методами: атакующие эксплуатируют слабости пользователей, чтобы те сами открыли доступ в инфраструктуру. Далее по распространённости идут уязвимости и ошибки в коде, но их использовать сложнее.

Константин Кузнецов, директор по информационной безопасности «Кветта», назвал главными угрозами фишинг, неверные конфигурации и эксплуатацию уязвимостей. Он отметил растущую популярность атак через цепочки поставщиков: «Крупные компании выстроили эшелонированную защиту, а смежные контуры — например, подрядчики из малого и среднего бизнеса — защищены слабо. Злоумышленники атакуют их». Основной вектор — сбор больших данных о пользователях, добавил Иван Елисеев, директор по ИБ Check Risk WAF. Слитые базы контрагентов позволяют генерировать целевые атаки, а автоматизированные системы нумерации упрощают компрометацию.

Иван Елисеев также обратил внимание на внутренние угрозы: «Корпоративные эшелоны предусматривают DLP-защиту, но многие пользователи имеют расширенные права доступа. Матрицу доступов соблюдают редко. Основные векторы — внешний периметр, бигдата и мобильные устройства». Сергей Полунин, руководитель группы защиты инфраструктурных решений «Газинформсервис», выделил три основных вектора:

Илья Волощик, руководитель отдела продаж ИБ СПБ TS Solution, привёл данные Solar: за 2025 год подтверждено более 33 тысяч инцидентов. Лидируют заражения вредоносным ПО, несанкционированный доступ, внутренние угрозы и подозрительные изменения. Он выделил четыре типичных сценария на 2025–2026 годы:

Positive Technologies прогнозирует, что в 2026 году усилятся атаки через доверенные цепочки, opensource и ИИ-усиленную социальную инженерию. После атак компании часто повторяют одни и те же ошибки: отсутствие полной инвентаризации, слабое журналирование, неготовность изолировать сегменты, «вечные» привилегии и неподготовленные планы восстановления.

Человеческий фактор остаётся главной уязвимостью. Илья Волощик отметил: 88% утечек связаны с человеческой ошибкой, 41% сотрудников переходят по опасным ссылкам. ИИ делает фишинговые письма неотличимыми от настоящих. «Сотрудник кликает по ссылке в среднем за 21 секунду, не думая о последствиях. 156 миллионов паролей российских пользователей уже в открытом доступе — хакеры заходят через парадную дверь», — добавил он. Иван Елисеев подтвердил: более 60% пользователей открывают незнакомые письма, а 30% из них вводят учётные данные. Фишинг иногда не нужен — достаточно нумерации и сбора данных из соцсетей и утечек.

Константин Янсон сослался на исследования: «В следующие 5–10 лет человеческий фактор останется основной угрозой. Нельзя экономить на обучении сотрудников. Самые серьёзные взломы больших компаний происходили через администраторов и офицеров безопасности — людей с огромными правами. Все ошибаются, и это надо учитывать». Константин Кузнецов добавил, что фишинг стал адресным: злоумышленники изучают структуру компании, роли сотрудников и контекст. Ключевой инструмент защиты — системное обучение и симуляции атак.

Сергей Полунин подчеркнул: «Люди остаются самым уязвимым звеном не из-за глупости, а из-за психологии, которую злоумышленники эксплуатируют. Атаки с социальной инженерией растут год от года». В крупных компаниях уязвима не столько личность, сколько идентичность — нужно внедрять MFA, контролировать привилегии и проводить аудит.

Проблема подрядчиков стоит особенно остро. Константин Кузнецов отметил, что требования к ИБ партнёров ведут к удорожанию услуг, но оптимальный вариант — гибридная модель: базовые обязательства (сложные пароли, обновления) закрепляются в договоре. Иван Елисеев описал ситуацию образно: «Это как оборонный завод с пулемётами и рвами, но охраняет его бабушка у шлагбаума». Многие подрядчики не могут позволить себе дорогую защиту и используют опенсорс, что создаёт риски для партнёров.

Сергей Полунин заметил, что почти треть крупных взломов начинается с компрометации подрядчика: «Любой бизнес — экосистема. Атакуют самое слабое звено». Илья Волощик привёл данные: 30% атак идут через партнёров, у 55% подрядчиков открыты управляющие порты, 32% не ставят патчи. Он рекомендовал концепцию Zero Trust: минимальный доступ, мониторинг киберрейтинга и MFA для внешних подключений.

Константин Янсон добавил, что у крупного бизнеса работа с подрядчиками уже выстроена, а для малого это дорого. «Мы внедряем системы привилегированного удалённого доступа, которые записывают и ограничивают. Против них ничего не сделать, но многие сопротивляются — вплоть до отказа от обязательств», — сказал он.

Концепция Zero Trust набирает популярность. Константин Янсон пояснил: «Раньше доверяли всему внутри локальной сети, теперь каждый запрос проверяется, шифруется, аутентифицируется. Технологически это стало доступно — дешёвые чипсеты, библиотеки шифрования. Единственное оправдание не использовать Zero Trust — невежество или сложность перехода с устаревших систем».

Илья Волощик считает Zero Trust реалистичным подходом: «Проверяй каждый запрос и доступ. В российских компаниях, особенно государственных и финансовых, эта модель становится актуальной, но требует серьёзной перестройки».

Константин Кузнецов указал на инфраструктурные ограничения: «Во многих компаниях нет элементарной сегментации сети. Без неё внедрение Zero Trust преждевременно». Сергей Полунин добавил, что Zero Trust в России применим как набор принципов, но legacy-системы создают исключения, сводящие суть на нет.

Что касается SOC (Security Operations Center), Константин Кузнецов отметил, что за 15 лет изменилась природа угроз, а количество атак растёт из-за доступности инструментов (MaaS, машинное обучение). Дефицит кадров остаётся проблемой. «Крупные интеграторы быстрее обрабатывают инциденты. В ближайшие годы будет гибридный подход — свой SOC плюс внешние провайдеры», — сказал он.

Илья Волощик сослался на данные «Лаборатории Касперского»: 50% крупных компаний планируют разворачивать SOC в 2026–2027 годах для повышения уровня ИБ, 45% — для защиты от сложных угроз, 52% ожидают круглосуточного выявления аномалий. В состав SOC чаще включают TI, EDR, SIEM, XDR. Автоматизация с AI усиливает людей, но не заменяет.

Сергей Полунин считает, что реальный SOC нужен зрелым компаниям, а большинству достаточно внутреннего мониторинга с аутсорсом. Иван Елисеев подчеркнул, что SOC — мастхэв, но из-за кадрового голода может создать иллюзию безопасности. Он рекомендовал сначала выстроить внутренний контур: «Обеспечьте 100% покрытие антивирусом, внедрите MFA на всех сервисах, создайте honeypot-приманки. А SOC подключайте после построения периметра».

Константин Янсон напомнил, что SOC мониторит события, но не генерирует их. Уровни зрелости нужно проходить постепенно: от начального сбора до автоматического реагирования с honeypot на высшем уровне.

Киберустойчивость стала ключевым трендом. Сергей Полунин: «Бизнес страдает не только от проникновения, но и от остановки процессов. Фокус смещается на способность работать даже после атаки. Все понимают: взлом будет 100%, вопрос — как реагировать».

Константин Кузнецов заметил, что термин существует с начала 2000-х, но сейчас акцент сместился: «Киберустойчивость начинается там, где заканчивается вера в абсолютную безопасность». Завод должен работать, ритейл — торговать, банк — проводить операции. Иван Елисеев добавил: «Бизнесу нужно определить приемлемый риск. Если данные не стоят десятков миллионов, достаточно бэкапов. Стоимость защиты не должна превышать ценность информации».

Константин Янсон подытожил: «Термин киберустойчивости появился, когда бизнес понял, что защититься на 100% невозможно. Вливать деньги в безопасность можно бесконечно, а эффективность измерить сложно. За этим стоит риск-ориентированный подход: оценить вероятность и цену риска, принять решение. У предприятий критической инфраструктуры вариантов нет — нужно защищать всё. Задача офицера безопасности — показать риски бизнесу».