Острая геополитическая ситуация и активная цифровизация приводят к росту числа киберпреступлений, нацеленных на корпоративный сектор. Однако из-за дороговизны кредитов компании не хотят вкладывать средства в киберзащиту
В среду 26 февраля тысячи абонентов «Билайна» в Москве, Санкт-Петербурге, Ростове, Ярославле и других городах в течение нескольких часов не могли выйти в интернет или воспользоваться мобильной связью. Причина — хакерская атака на инфраструктуру одного из крупнейших операторов. Летом прошлого года сотрудники TetraSoft — крупной российской компании нефтегазового сектора, которая разрабатывает системы для строительства и контроля нефтяных и газовых скважин для таких серьезных клиентов, как «Газпром», «НоваТЭК» и других, — включив компьютеры, обнаружили, что их IT-система парализована: во внутреннюю сеть проникли киберпреступники. Согласно публичному заявлению исполнительного директора TetraSoft Дениса Свечникова, клиенты компании не пострадали, однако ущерб от инцидента для самого предприятия оценивается примерно в 100 млн рублей. Из них 65 млн — потери от простоя, а еще 25 млн — расходы на восстановление IT-систем и сервисов TetraSoft.
И таких примеров становится все больше, число кибератак на бизнес в России стремительно растет. Аналитики компании RED Security подсчитали: за 2024 год оно увеличилось в 2,5 раза по сравнению с предыдущим годом, достигнув почти 130 тысяч. В компании «Информзащита» согласны с такими оценками. По их данным, совокупное количество хакерских атак на внутренние системы предприятий за минувший год составило около 140 тыс., это в 2,7 раза больше, чем в 2023-м. Эксперты Positive Technologies считают, что число атак на российский бизнес в 2024 году относительно 2023-го повысилось вдвое.
С ростом числа киберпреступлений меняются и цели злоумышленников. Согласно исследованию компании BI.Zone, в 2023 году чаще всего атаковали предприятия розничной торговли (ретейла) — 15% от всех инцидентов. В 2024-м же лидирует взлом систем государственных организаций (15%), а ретейл с показателем в 4% опустился на шестое место. Вторую строчку в списке самых желанных целей у хакеров, как и ранее, занимает финансовая отрасль: 13% в 2024 году (12% в 2023-м). Третью позицию удерживают транспорт и логистика: в 2024 году на эти сферы пришлось 11% кибератак (в 2023‑м — 10%). Далее идут предприятия электронной коммерции (9%), информационных технологий (6%), упомянутой выше розничной торговли (4%), а также связь (4%), инженерные компании (3%), производство (3%) — см. график 1.
Что касается мотивов, то подавляющее число кибератак в корпоративном секторе РФ связано с финансовым интересом, то есть с желанием заработать: в 2024 году на долю таких преступлений пришлось 67% инцидентов, констатируют в BI.Zone. На втором месте — шпионаж (21%), а на третьем — «хактивизм» (12%): одиночные хакеры и группировки, которые встают на путь правонарушений по политическим и идейным соображениям (см. график 2).
Стремительное развитие киберпреступности, направленной против российского бизнеса, обусловлено несколькими причинами. Прежде всего это неспадающая острота геополитического противостояния: в этом случае хакерская атака призвана причинить вред представителю враждебного государства. «Рост атак на отечественные предприятия в последнее время во многом связан с геополитической ситуацией в мире, а также с увеличением числа “хактивистских” и хакерских групп, — говорит Лада Антипова, руководитель отдела реагирования и цифровой криминалистики системного интегратора решений кибербезопасности Angara Security. — Все чаще отмечаются инциденты, когда главной целью становится не финансовая выгода, а максимальное нанесение ущерба, причем неприемлемых целей на сегодняшний день уже не осталось».
Росту числа атак способствуют и санкционные ограничения, а также общее развитие цифровизации во всех секторах экономики. «Помимо эскалации геополитической обстановки, делающей российские компании приоритетной целью для прогосударственных хакерских группировок, санкционные ограничения затрудняют доступ к зарубежным решениям в области кибербезопасности, ослабляя защиту предприятий, — сетует Вадим Порошин, директор по развитию компании “Пангео Радар” (разработка программного обеспечения по информационной безопасности). — Да и в целом цифровизация и увеличение количества подключенных устройств расширяют поверхность атаки, создавая новые возможности для злоумышленников».
Наконец, серьезный фактор роста киберпреступности — более высокая степень безнаказанности. Да, хакеров ловят и сажают в тюрьму, но все же пока это происходит реже, чем, скажем, в случае, когда вор решает ограбить банк с помощью ножа или пистолета. «Нет ничего удивительного в увеличении числа кибератак, — рассуждает Дмитрий Ефимов, генеральный директор компании SDS Fusion (интеграция решений по безопасности). — Киберпреступления — это очень удобно, потому что нет прямого физического контакта с потенциальной жертвой. Злоумышленник может никак себя не демонстрировать и, естественно, не сообщает о себе никакой реальной информации. Часто до него не в состоянии дотянуться ни потенциальные жертвы, ни силовые структуры. А если атаки происходят при поддержке правительства другого государства, то варианты поймать преступников и привлечь их к ответственности равны нулю. Это чем-то похоже на компьютерную игру ролевого жанра: ходишь по миру и задания выполняешь, получилось — заработал».
Основной вид заработка тех, кто атакует бизнес в виртуальном пространстве, — вымогательство. Хакеры проникают в IT-систему жертвы и с помощью специальных программ шифруют критически важные данные, а потом требуют за них выкуп. Все большее распространение получают также кражи ценной информации (в том числе персональных данных клиентов), которые потом перепродаются в теневой части интернета — даркнете. Покупатели подобных баз используют их в мошеннических схемах против физических лиц. Кроме того, преступники взламывают счета финансовых структур и похищают с них серьезные суммы. «Ключевыми для компьютерных атак в ушедшем году стали задачи зашифровать инфраструктуру и потребовать выкуп либо украсть данные (учетные, персональные или конфиденциальные). Бывает и все это вместе: сначала украсть информацию, потом зашифровать инфраструктуру и потребовать денег, — отмечает Лада Антипова. — Размер выкупа зависит от бизнеса жертвы и ее финансовых возможностей, которые определяют сами хакерские группы».
«Суммы выкупа за расшифровку данных для малого бизнеса в 2024 году варьировались от 100 тысяч до пяти миллионов рублей, а для средних и крупных компаний — от пяти миллионов и выше, — продолжает Павел Карасев, бизнес-партнер компании “Компьютерные технологии”. — Ущерб от таких атак может быть значительным и выражается в финансовых потерях, утечке конфиденциальной информации, нарушениях операционной деятельности и подрыве репутации компаний».
Действительно, пострадавшие от кибератак предприятия стараются не афишировать такие случаи, опасаясь нанести ущерб своему реноме. Например, в ночь с 17 на 18 февраля этого года злоумышленники пытались взломать серверы микрофинансовой организации CarMoney, что привело к временной недоступности ее сайта и мобильного приложения. В ответ на запрос «Монокля» представители CarMoney сообщили, что пока не готовы комментировать инцидент: они расследуют его причины и разбираются с последствиями.
Наиболее разрушительными оказываются атаки «хактивистов», которые стремятся не получить финансовую выгоду, а нанести наиболее чувствительный урон своей жертве по политическим мотивам. Например, одним из самых резонансных стал взлом в октябре прошлого года государственной системы «Правосудие», которая используется для управления судебными процессами. Ответственность за это преступление взяла на себя проукраинская хакерская группировка BO Team, которой удалось проникнуть на серверы системы, где хранилась информация о судебных делах, а также данные граждан, участвующих в процессах. Предположительно в результате этой атаки было уничтожено множество важных сведений, что привело к нарушениям в работе судебных органов.
Осенью прошлого года кибернападению подверглось несколько российских телеканалов, в том числе «Россия 1» и «Россия 24», в результате чего произошли сбои в онлайн-вещании. А в начале января электронная торговая площадка «Росэлторг» (крупнейший федеральный оператор электронных торгов для государственных заказчиков) сообщила о массированной хакерской атаке на свою информационную инфраструктуру — в итоге сервисы «Росэлторга» пришлось временно остановить.
Отдельная головная боль — так называемые DDoS-атаки, когда на IT-ресурсы жертвы отправляется большой поток информации, который парализует ее работу. Именно такой была упомянутая выше крупная атака на «Билайн». В июне схожий инцидент произошел с МТС — в этой самой масштабной DDoS-атаке прошлого года было задействовано 20 тыс. устройств с территории Польши, Турции, Испании и даже Эквадора, в результате абоненты оператора несколько часов оставались без связи.
Отмечается все больше инцидентов с похищением персональной информации: например, в начале 2025 года было объявлено об утечке личных данных почти 500 тыс. владельцев автомобилей Kia в России — источником «слива» могла стать IT-инфраструктура представительства этой автомобильной марки в России. Ранее в даркнет попало свыше 400 тыс. записей персональных данных сети алкогольных магазинов «ВинЛаб». Из других предприятий ретейла взлому подверглись «Твой дом», «Ашан», «Аскона», «Буквоед», «Твое», «Читай-город» и др.
Более интенсивными становятся атаки со шпионскими целями. Компания «Солар», крупный игрок на отечественном рынке кибербезопасности, недавно опубликовала информацию об обнаруженной шпионской атаке на сети российской госорганизации (ее имя не называется). За работой госоргана хакеры наблюдали в течение полутора лет, проникнув во внутреннюю IT-сеть через систему контроля и управления доступом (СКУД, в которую входят турникеты, кодовые замки и пр.). В «Солар» заявляют, что эта шпионская кибергруппировка, скорее всего, имела восточноазиатское происхождение.
Тревогу специалистов вызывают и нападения на виртуальную инфраструктуру жилищно-коммунального хозяйства. «Недавно неизвестные злоумышленники взломали промышленные контроллеры, управляющие лифтовыми системами в России, и использовали их в ботнет-атаке на сторонние цели. Хотя физического ущерба лифтам нанесено не было, инцидент показал опасность атак на системы автоматизации зданий, — рассказывает Екатерина Рудина, руководитель группы аналитиков по информационной безопасности “Лаборатории Касперского”. — Атака стала возможной из-за критических уязвимостей контроллеров: они работали на устаревших прошивках, которые не получали своевременных обновлений, что оставляло систему без защиты от новых угроз. К тому же не было жесткого контроля выполнения кода, что позволило злоумышленникам внедрить вредоносный скрипт (программу), способный управлять системой без санкционированного доступа».
Впрочем, число кибератак растет не только в нашей стране, но и во всем мире. Объем средств, похищенных у крупных международных организаций, порой превышает миллиард долларов. «Среди самых громких случаев за последние месяцы можно вспомнить взлом международной криптобиржи ByBit, которая, кстати, не ушла из России. Оттуда вывели 1,4 миллиарда долларов, — рассказывает Вадим Порошин. — В РФ же недавно произошла большая утечка данных у IT-компании ЛАНИТ — здесь ущерб исчисляется сотнями миллионов рублей».
Главным оружием виртуальных грабителей является так называемое вредоносное программное обеспечение (ВПО), которое проникает во внутреннюю систему жертвы разными способами. Согласно отчету BI.Zone, в России самым распространенным средством доступа остается «ловля на живца», или фишинг (от англ. «рыбная ловля»), когда сотруднику той или иной компании приходит фальшивое электронное письмо, при открытии которого в систему проникает ВПО. В 2024 году преступники так действовали в 57% инцидентов. «В прошлом году хакеры стали чаще рассылать письма от имени государственных организаций и регуляторов. Такая тенденция во многом связана с увеличением доли атак на госсектор. Как правило, злоумышленники стараются, чтобы фишинговые рассылки выглядели максимально правдоподобно и не вызывали подозрений у потенциальных жертв, поэтому для госорганизаций письма маскируют под сообщения от регуляторов или других ведомств», — говорится в отчете BI.Zone.
Вторым по популярности методом проникновения в инфраструктуру (27% случаев) стало использование легитимных учетных записей, то есть получение паролей доступа к системе различными способами: с помощью утечек, методом перебора и посредством похищающих пароли программ-стилеров. Еще один распространенный тип взлома (13%) — обнаружение уязвимостей или слабых мест в программном обеспечении, которое использует жертва.
Специалисты указывают, что киберпреступники применяют все более изощренные технологии, последний тренд здесь — использование инструментов искусственного интеллекта. «Хакеры часто задействуют генеративные модели ИИ для фишинговых атак — подделки текстов сообщений, аудио и видео, а также для изменения кода вредоносного ПО в целях его сокрытия от антивирусных программ, — отмечает Павел Кузнецов, директор по стратегическим альянсам и взаимодействию с органами государственной власти группы компаний “Гарда”. — Впрочем, защита на основе технологий ИИ довольно успешно противостоит подобным киберзлодействам».
По мере роста числа киберпреступлений против бизнеса развивается и российский рынок средств защиты от них. Его объем, по оценкам Центра стратегических разработок (ЦСР), в 2024 году достиг 334 млрд рублей, на 80% больше, чем в 2021-м. А через три года этот рынок, согласно прогнозу, вырастет более чем вдвое — до 715 млрд (см. график 3).
Как и в других секторах российского IT, тут после введения санкций начался процесс импортозамещения: если в 2021 году, по оценкам ЦСР, доля иностранных компаний на внутреннем рынке кибербезопасности составляла 39%, то в 2024-м она упала до 5% и продолжает снижаться. Впрочем, немаловажную роль в этом сыграла позиция регулятора: согласно специальному указу, предприятия и организации госсектора, а также относящиеся к критической информационной инфраструктуре (КИИ) должны были с 1 января текущего года перейти на отечественный софт. Однако участники рынка утверждают, что к настоящему времени это требование выполнили не более трети относящихся к данной категории предприятий и организаций и сейчас обсуждается вопрос продления сроков.
Эксперты говорят, что в целом уровень российских IT-решений по эффективности не уступает зарубежным аналогам, просто их внедрение требует дополнительных затрат. Бизнесмены жалуются, что устанавливать новые системы кибербезопасности очень дорого, особенно в условиях высоких кредитных ставок. По разным подсчетам, расходы на кибербезопасность могут достигать 6–10% всего IT-бюджета предприятия, при этом экономический эффект от таких вложений растянут во времени и не всегда очевиден для тех, кто надеется на русский авось. «Для успешного противостояния киберугрозам необходимы современные технологии и методы, такие как SIEM для мониторинга (система управления информацией), EDR для защиты конечных точек (защита подключенных устройств), регулярные аудиты и резервное копирование. Средняя стоимость подобных систем для среднего бизнеса составляет от 3 до 10 миллионов рублей, а их обслуживание требует еще 20–50 процентов от этой суммы ежегодно», — комментирует Максим Большаков, руководитель направления кибербезопасности IT-компании «EdgeЦентр».
Но с ростом угроз и риска ущерба, а также при усилении давления регулятора бизнесу в ближайшем будущем придется активнее внедрять системы кибербезопасности. «К сожалению, по сложившейся в России традиции о безопасности очень многие думают либо тогда, когда приведения в соответствие требуют силовые органы, либо когда уже что-то произошло. Подобный подход обусловлен менталитетом и убеждением, что “со мной такого точно не случится”, — рассуждает Дмитрий Ефимов. — Наше законодательство в части информационной безопасности постоянно усиливают. Например, ответственность за утечку персональных данных ужесточается вплоть до уголовного наказания. Такое давление дает импульс развитию различных решений по защите от киберугроз, а значит, этот рынок будет развиваться и совершенствоваться».
О том, как российские предприятия могут противостоять растущим киберугрозам, «Моноклю» рассказывает Евгений Бударин, технический директор компании «Лаборатория Касперского» в России:
— Почему и как в стране растет число взломов?
— Активность злоумышленников увеличивается год от года, а атаки становятся все более сложными. По нашим данным, за первые шесть месяцев 2024 года в России и СНГ количество критичных киберинцидентов выросло на 39 процентов по сравнению с аналогичным периодом 2023-го. Например, с большим числом хакерских атак столкнулись организации в сферах телекоммуникаций, строительства и IT. Цели злоумышленников остаются неизменными: финансовая выгода, кража персональных данных, нанесение ущерба компании. Как в прошлом году, так и в текущем одной из ключевых тенденций стали атаки на предприятие через подрядчиков: злоумышленники не проникают непосредственно в саму организацию, но при этом атакуют компанию, которая, к примеру, отвечает за администрирование IT-инфраструктуры своего партнера. Подобные «непрямые» атаки часто происходят с использованием вредоносного кода, внедренного в ПО подрядчика или вендора (поставщика товаров или услуг). Все это разновидности так называемых атак на цепочку поставок.
Еще одна тенденция — растущее число эксплуатируемых уязвимостей. Раньше основной интерес у преступников вызывали уязвимости в операционной системе и ПО Windows. Сейчас спектр значительно расширился: мы сталкиваемся с возросшим числом применения эксплойтов под Linux. Высока вероятность, что в 2025 году мы увидим реальные атаки на системы, связанные с искусственным интеллектом. Сегодня ИИ внедряется во многих сферах, в том числе критически значимых. Кроме того, он создает достаточно специфичные риски, о которых разработчики систем не всегда осведомлены.
— Как можно сейчас наиболее эффективно противостоять корпоративным киберугрозам в России?
— Любая атака опасна тем, что она наносит урон стабильности и репутации организации, приводит к финансовому ущербу. Для защиты необходимы не только антивирусные решения, программы для фильтрации почты и интернет-трафика, но и автоматизированные продукты по углубленному изучению состояния инфраструктуры с применением решений класса XDR (Extended Detection and Response — системы информационной безопасности, предназначенные для автоматического выявления угроз на разных уровнях инфраструктуры), а также обучение сотрудников. Некоторые компании рассматривают аутсорс-варианты, поэтому у нас, например, выросли запросы в части удаленного мониторинга с помощью решений MDR (Managed Detection and Response — управляемое обнаружение и реагирование), в том числе для предприятий с небольшим количеством устройств.
У крупного бизнеса на данный момент есть спрос на различные сервисы, которые помогают оценить защищенность инфраструктуры или повысить уровень безопасности. К нам чаще стали обращаться по таким направлениям, как SOC Consulting (центр мониторинга информационной безопасности) — тестирование на проникновение, сервисы по анализу защищенности инфраструктуры, различные проверки, когда мы помогаем более правильно настроить ПО и даем необходимые рекомендации, чтобы системы работали эффективнее.
— Сколько стоит приобретение, внедрение, поддержка упомянутых вами IT-систем?
— Стоимость зависит от различных факторов и формируется индивидуально. Для оценки необходимо знать, какие продукты закупает компания, будет ли внедрять и адаптировать решения под внутреннюю инфраструктуру своими силами или с помощью сторонних подрядчиков, планирует ли нанимать или обучать сотрудников, как собирается поддерживать продукт. На стоимость также влияют величина закупки, уровень рисков информационной безопасности, связанный, например, с публичностью компании, векторами атак на нее, требованиями законодательства, которые могут отличаться для разных организаций.
— Как будет развиваться ситуация с кибербезопасностью в корпоративном сегменте в течение ближайшего года, насколько успешно получится противостоять новым угрозам?
— Киберрискам подвержен любой бизнес, независимо от размера или сферы деятельности. Средства обнаружения и защиты от киберугроз, в том числе продвинутых, постоянно совершенствуются. Однако при этом мы наблюдаем как усложнение атак, так и рост числа APT-инцидентов (Advanced Persistent Threat — целенаправленные кибератаки) во всем мире. Злоумышленники продолжают эксплуатировать уязвимости в самых разных отраслях. Поэтому организациям необходимо выбирать комплексный подход к безопасности, применять эшелонированную защиту, которая позволяет предотвратить несанкционированный доступ. Крайне важен мониторинг событий и инцидентов с использованием центра реагирования на инциденты информационной безопасности. Не стоит забывать и о человеческом факторе. Мошенники применяют не только множество различных тактик, но и современные технологии, в частности ИИ, чтобы ввести в заблуждение потенциальную жертву, поэтому всех сотрудников необходимо обучать цифровой грамотности.