Рано или поздно взломают всех: бизнес учится киберустойчивости

В 2025 году количество кибератак на бизнес в России выросло в 2,7 раза по сравнению с предыдущим годом и превысило 186 тысяч. Самыми популярными мишенями стали телекоммуникационные и ИТ-компании, а также сфера развлечений — рестораны, отели, билетные кассы и онлайн-кинотеатры, которые потеснили даже банки.

По данным экспертов круглого стола «Фонтанки», злоумышленники предпочитают простые пути: фишинг и социальную инженерию. «Достаточно популярны в последние годы атаки через цепочку поставщиков и подрядчиков, — говорит Константин Кузнецов, директор по информационной безопасности «Кветта». — Крупные компании выстроили эшелонированную защиту, поэтому хакеры чаще атакуют менее защищённые компании малого и среднего бизнеса». Константин Янсон (ICL Services) отметил, что фишинг — основной вид атак, далее идут эксплуатация уязвимостей в коде. Иван Елисеев (Check Risk WAF) указал на сбор больших данных о пользователях как на вектор: слитые базы позволяют создавать целевые атаки и генерировать мутирующие списки.

Сергей Полунин («Газинформсервис») выделил три основных вектора: фишинг и социальная инженерия; компрометация через подрядчика; эксплуатация внешнего периметра. «Почти все эти случаи можно было предотвратить своевременным аудитом и установкой обновлений», — добавил он. Илья Волощик (TS Solution) привёл данные Solar: за 2025 год подтверждено более 33 тысяч инцидентов, лидируют заражения вредоносным ПО, несанкционированный доступ и внутренние угрозы. Он назвал четыре типичных сценария на 2025–2026: комбинированные атаки через фишинг и кражу учётных данных; атаки через доверенных подрядчиков; DDoS и веб-атаки в периоды максимальной нагрузки; деструктивные сценарии — шифрование, уничтожение инфраструктуры. Positive Technologies прогнозирует усиление атак через доверительные отношения, opensource-цепочки и ИИ-усиленную социальную инженерию.

Типичные ошибки после атак, по словам Волощика, — отсутствие полной инвентаризации активов, слабое журналирование, неготовность изолировать сегменты, «вечные» привилегии, недостаточный контроль подрядчиков, неподготовленные планы восстановления и отсутствие учений. Если нет заранее отлаженного сценария реагирования, времени на раздумья не остаётся.

Человеческий фактор остаётся главной причиной утечек: 88% инцидентов связаны с человеческой ошибкой, 41% сотрудников переходят по опасным ссылкам. Волощик отметил, что современный ИИ делает фишинговые письма неотличимыми от настоящих, сотрудник кликает по ссылке в среднем за 21 секунду, а в открытом доступе уже 156 млн паролей российских пользователей. «Пока не внедрена MFA для всех, компания работает с открытым сейфом». Иван Елисеев добавил, что более 60% пользователей открывают незнакомые письма, а 30% вводят учётные данные. Константин Янсон привёл пример: «В нашей практике самые серьёзные взломы больших компаний осуществлялись через администраторов — людей, наделённых огромными правами, и даже через офицеров безопасности». Он сослался на исследования: человеческий фактор останется основной угрозой в ближайшие 5–10 лет. Кузнецов подтвердил: социальная инженерия — самый простой, быстрый и дешёвый способ доступа, поэтому её будут использовать ещё много лет. Полунин заметил, что люди остаются уязвимы не из-за глупости, а из-за психологических паттернов, которые эксплуатируют злоумышленники. Ключевая защита — обучение и внедрение MFA.

Проблема подрядчиков — одна из самых острых. Кузнецов отметил, что крупные компании могут формализовать требования к ИБ партнёров, но это удорожает контракты. Оптимально — закрепить базовые обязательства в договоре (сложные пароли, обновления) и обучать не только штатных сотрудников, но и внешних партнёров. Елисеев описал защиту подрядчиков образно: «как если бы оборонный завод с пулемётными точками и противотанковыми рвами защищал шлагбаум, который открывает пожилая бабушка». Подрядчики часто не могут позволить себе дорогую защиту и используют open-source или плоские сети. Решение — выделение защитных зон, антивирус, простой контроль трафика и обучение. Полунин добавил, что почти треть крупных взломов начинается с компрометации подрядчика, поэтому атакуют самое слабое звено. Волощик привёл статистику: 30% атак идут через партнёров, у 55% подрядчиков открыты управляющие порты, 32% не ставят критические патчи. «Хакеры бьют не в крепость, а в мост к ней», — говорит он. Необходим принцип Zero Trust: минимальный доступ, непрерывный мониторинг и обязательная MFA для внешних подключений. Янсон рассказал о системах привилегированного удалённого доступа, которые записывают, ограничивают и добавляют факторы проверки. Однако многие подрядчики сопротивляются, привыкнув заходить по одной кнопке.

Концепция Zero Trust предполагает, что ни один пользователь или сервис не заслуживают доверия по умолчанию. Янсон пояснил, что современные технологии позволяют внедрять шифрование и аутентификацию везде — от SIM-карт до языков программирования, так что единственное оправдание отсутствия Zero Trust — невежество или сложность перехода с устаревших систем. Волощик считает подход реалистичным, особенно в госсекторе и финансах, но его внедрение требует серьёзной перестройки инфраструктуры. Кузнецов указал, что во многих компаниях до сих пор нет даже сегментации сети, поэтому говорить о полноценном Zero Trust преждевременно. Полунин добавил, что подход применим как набор принципов, но большое количество унаследованных систем создаёт исключения, нивелирующие суть.

Эволюция SOC (Security Operations Center) привела к гибридным моделям. Кузнецов напомнил, что первые SOC появились в России около 15 лет назад, сегодня растёт число атак, доступность MaaS и инструментов машинного обучения. Дефицит квалифицированных кадров остаётся проблемой. Он прогнозирует распространение гибридного подхода, когда внутренний SOC дополняется внешними провайдерами. Волощик сослался на исследование «Лаборатории Касперского»: 50% крупных компаний планируют разворачивать SOC в 2026–2027 годах для повышения уровня ИБ (50%) и защиты от сложных угроз (45%), причём 52% ожидают круглосуточного выявления аномалий. В состав SOC включают TI, EDR, SIEM, XDR. Автоматизация с AI усиливает людей, но не заменяет их. Полунин считает, что реальный SOC нужен компаниям высокой зрелости, остальным достаточно мониторинга и аутсорса. Елисеев подчеркнул, что SOC — мастхэв, но на фоне кадрового голода может создавать мнимую безопасность. Он рекомендовал сначала обеспечить базовую защиту: стопроцентный антивирус на всех узлах, двухфакторную аутентификацию, honeypot-приманки, а затем подключать SOC. Янсон добавил, что внедрение SOC требует поэтапного повышения зрелости: сначала мониторинг, затем индикаторы компрометации, ML, и лишь на высоком уровне — автоматическое реагирование и honeypot.

Киберустойчивость стала ключевым трендом. Полунин отметил, что бизнес страдает не только от проникновения, но и от остановки процессов, поэтому фокус смещается на способность системы продолжать работу даже после успешной атаки. Все понимают: взлом неизбежен, вопрос в реакции и восстановлении. Кузнецов напомнил, что термин возник ещё в начале 2000-х, но сегодня акцент сместился с защиты на функционирование бизнеса под давлением атак. «Киберустойчивость начинается там, где заканчивается вера в абсолютную безопасность», — цитирует он. Елисеев советует бизнесу определить принимаемые риски: стоимость защиты не должна превышать ценность информации. Если данные не слишком ценные, достаточно бэкапов. Янсон подытожил, что киберустойчивость — это риск-ориентированный подход: оценив вероятность и цену последствий, бизнес решает, какие угрозы закрывать, а где оставить слабое место. Для предприятий критической инфраструктуры вариантов нет — нужно защищать всё и всегда.