В условиях геополитической напряженности интенсивность хакерских атак на российские структуры не снижается. О целях и методах злоумышленников, новых подходах к защите, а также о трансформации функции информационной безопасности (ИБ) в компаниях рассказал РИА Новости директор центра противодействия кибератакам Solar JSOC ГК "Солар" Владимир Дрюков.
– Как изменился российский киберландшафт в текущем году? Шквал атак по-прежнему не ослабевает? Кто сегодня является главной мишенью злоумышленников?
– Интенсивность атак не снижается, и при этом растет их плотность: если в четвертом квартале 2024 года на одну компанию приходилось в среднем 40 заражений вредоносным ПО, то сейчас эта цифра почти в два с половиной раза выше – 99. Во многом это связано с увеличением количества профессиональных группировок. По нашим данным, их число в этом году выросло вдвое, а доля присутствия в инфраструктурах российских компаний к ноябрю 2025 года достигла 35%. Главная цель продвинутых хакеров – шпионаж, на который приходится более 60% инцидентов. При этом немного снизилась доля финансово-мотивированных атак (17%), а также хактивистских (с политическими заявлениями) – до 11%. Злоумышленники вместо "громких" атак теперь стали чаще фокусироваться на сложных и скрытных – хотя и публичные инциденты все еще встречаются.
Чаще всего профессиональные хакеры атаковали организации госсектора, на который пришлась треть всех выявленных инцидентов (33%). Далее по частоте следуют промышленный (20%) и ИТ-сектор, где число расследований сложных атак выросло с 6 до 16%. Это, вероятно, связано с участившимися случаями атак через подрядчиков. Кроме того, фиксируется всплеск хакерской активности в энергетике, здравоохранении и ретейле. Компании ретейла ранее редко подвергались атакам и потому мало инвестировали в свою кибербезопасность. Сейчас мы наблюдаем "веерное" смещение активности злоумышленников в отрасли, которые до этого не были в фокусе их внимания.
– Как меняются сами атаки? Какие сюрпризы преподнесли хакеры в 2025 году? Они уже способны использовать в своих целях искусственный интеллект?
– Мы видим, как растет сложность атак. Это связано с тем, что большое количество хактивистских группировок из Восточной Европы начали получать поддержку от более профессиональных структур. При этом втрое выросла доля сложных инцидентов, которые начинались через доверительные отношения, что тоже говорит о росте популярности атак через подрядчика. Профессиональные хакеры стали дольше сидеть в инфраструктурах своих жертв. Доля сложных атак сроком от шести месяцев до года выросла почти до 20%, а от года до 2 лет – до 14%. С другой стороны, атакующие все чаще применяют для входа социальную инженерию – это касается как коммерческих организаций, так и населения. На данном этапе злоумышленниками собрана очень большая база информации про россиян, которая, безусловно, активно используется. Сегодня, делая фишинговую рассылку, преступники чаще всего знают не просто имена и фамилии сотрудников компании, но и ее процессы. Поэтому легко подделывают рассылки от руководства, HR, АХО и так далее. То есть они максимально погружены в работу организации, что сильно повышает вероятность успешной атаки.
Растет и применение искусственного интеллекта в атаках. В одном из расследований в коде вредоносного ПО были комментарии, по стилю очень похожие на комментарии GPT-помощника. Хакеры явно применяют общедоступные ИИ-платформы для генерации сценария атаки и ее развития: на сегодня эти наработки пока не позволяют изобрести уникальный новый вариант развития атаки, но помогают ее оператору ускорить рутину, решая задачу масштабирования. То есть для реализации атаки им требуется меньший человеческий ресурс. Например, если раньше одна группировка могла атаковать одновременно 10-15 организаций, то сейчас при помощи ИИ становятся возможны сотни одновременных атак на компании. Это большой вызов для защищающихся с точки зрения интенсивности и возможности противодействия. Но, как мы знаем, на любой снаряд находится своя броня, поэтому ответом со стороны компаний кибербеза становится использование собственных инструментов ИИ для автоматизации мониторинга и реагирования на угрозы. Например, в сервисах мы применяем ИИ для повышения качества и ускорения работы линий мониторинга, а в случае с исследованием киберугроз – для отслеживания паттернов деятельности тех или иных группировок.
– Геополитика не дает оснований ожидать снижения интенсивности кибератак на Россию. Как защититься бизнесу в следующем году? Какие ключевые требования нужно соблюдать и какие новые подходы можно применить?
– Из-за сложной геополитической обстановки российские организации уже более трех лет находятся под небывалым шквалом атак, нет оснований считать, что в будущем этот шквал стихнет. Это означает, что в следующем году возрастет и необходимость в обеспечении комплексной кибербезопасности, куда входит не только применение технических средств, но и усиление контроля за подрядчиками (учетная запись подрядчика автоматически должна считаться скомпрометированной), своевременное обновление ПО, защита веб-приложений, соблюдение парольных политик и отслеживание главных трендов в ландшафте киберугроз.
Мы все больше движемся даже не к философии zero trust, когда мы не доверяем никому, а к такой парадигме, когда любая организация по умолчанию должна считать себя взломанной. Эта философия позволяет выстроить максимально защищенную инфраструктуру, ведь в любой кибератаке самым опасным является не сам факт проникновения злоумышленников, а то, насколько далеко они смогут зайти, что они смогут сделать, попав в инфраструктуру. Если применить к данным и бизнес-операциям адекватные меры защиты и регулярно делать оценку компрометации, вы не снизите вероятность кибератаки до нуля, но сделаете ее последствия предсказуемыми, а значит – управляемыми. Это будет актуально и в 2026, и в 2030 году.
В техническом плане концепция предполагает использование технологий выявления уже скомпрометированных учетных записей, анализа пользовательского поведения с целью выявления аномальных действий. То же самое касается трафика, работы сети, когда по умолчанию любую аномальную активность нужно рассматривать через призму потенциальной кибератаки. Это также автоматизация реагирования или аналитики по сложным атакам и более продвинутые технологии, которые позволяют эти атаки детектировать.
При этом часть компаний в условиях сокращения бюджетов могут пойти по минималистичному пути, условно называемому "милитаристским", когда они будут минимизировать возможности доступов, минимизировать поверхности атаки, отключать ненужные внешние сервисы, устанавливать запреты для пользователей и так далее. То есть реакцией на киберугрозу становится ухудшение пользовательского опыта и ужесточение политик.
– Помогите российским компаниям выбрать идеальный комплект брони для отражения кибератак завтрашнего дня. Какие защитные инструменты станут must have в 2026 году?
– Важно применять передовые системы, которые станут обязательными элементами корпоративной кибербезопасности в ближайшее десятилетие. Они должны включать: песочницы (Sandbox) для безопасной проверки потенциально опасных файлов, почтовые шлюзы (SEG) для фильтрации вредоносных сообщений, межсетевые экраны нового поколения (NGFW) для мониторинга и блокировки нежелательного сетевого трафика, а также средства защиты веб-приложений (WAF) для предотвращения атак на веб-ресурсы. В комплект must have также входят решения для анализа и реагирования на угрозы на уровне конечных точек (EDR), платформы агрегирования событий информационной безопасности (SIEM) с возможностью автоматической реакции на инциденты (SOAR) и интеграция знаний о существующих угрозах (TI Feeds) для оперативного противодействия атакам. Использование этих решений повысит защищенность компании и минимизирует последствия потенциальных инцидентов.
– Готовы ли российские компании вкладывать серьезные средства в киберзащиту? Как эффективнее распределить ограниченный бюджет на ИБ и как оценить эффективность таких расходов?
– Готовность российских компаний инвестировать в кибербезопасность различается по отраслям и размерам бизнеса. О прямом сокращении бюджетов на ИБ я пока бы не стал говорить: скорее мы видим усиление запроса. Если раньше за условные 100 рублей мы подключали их к коммерческому SOC и проводили фишинговые тренинги, то теперь за те же деньги хотят получить еще и сервис киберразведки и защиту своих веб-ресурсов. При том же бюджете расширяется спрос на технологии, сервисы и услуги. Также сегодня у клиентов гораздо жестче оформлен запрос на качество и основательность работ. Такое усиление запроса формирует для поставщиков более сложную конкурентную среду и более сложную экономику, когда себестоимость двух-трех решений нужно уложить в ту же сумму, которая раньше выделялась под одно. Таким образом, динамика вложений в ИБ неоднородна: одни компании сохраняют бюджеты на прежнем уровне, другие увеличивают финансирование, третьи рассматривают ИБ как чисто расходную статью и сокращают затраты.
В нынешних реалиях компании выгодно выбирать единого надежного поставщика продуктов и услуг кибербезопасности. Высокая сложность интеграции решений от множества поставщиков ведет к значительным издержкам. Преимущество получает подход единого исполнителя, предлагающего полную экосистему ИБ-решений "под ключ" в одном технологическом стеке. Ранее клиенты пользовались услугами разных поставщиков, собирая решения самостоятельно. Сейчас тенденции меняются: предпочтение отдают интегрированным пакетам от одного проверенного подрядчика, что облегчает управление технологиями и снижает расходы на объединение разнородных решений.
Если же речь о серьезной трансформации больших распределенных инфраструктур, когда просто невозможно закрыть все нужды кибербезопасности силами одного поставщика, требуется принципиально иной подход, включающий централизованное управление всеми подрядчиками. Подобную модель мы реализуем сегодня в проекте построения киберустойчивости для "Почты России", где "Солар" выступает в роли генерального архитектора: мы определяем архитектурный облик и требования к проекту, оркестрируем всех участников (их более 20), осуществляем архитектурный надзор (проводим промежуточную приемку каждого из этапов, контролируем сроки, качество исполнения и финальный результат).
– В последние годы работу CISO (Chief Information Security Officer – директор по информационной безопасности) называют самой стрессовой работой десятилетия, учитывая возросшую нагрузку, уровень ответственности и сложность принятия решений. Какими качествами должен обладать идеальный ИБ-директор в современных условиях?
– От того, насколько быстро компания и, в первую очередь, ИБ-директор осваивают новые навыки, напрямую зависит и реальная защищенность организации, и ее репутация. Современный ИБ-директор должен уметь не только закрывать требования регуляторов и даже не только выстраивать грамотное противодействие хакерам (хотя и тут ему теперь просто необходимо погружаться в вопросы киберразведки, технологий защиты, поиска уязвимостей и так далее). Но, помимо этого, по мере развития технологий и внешних угроз, когда для управления функцией ИБ в компании требуется уже 10, 20, 40 и более специалистов, важен переход к построению больших команд, к дистанционному управлению.
Плюс к этому необходимо определить: а что мы защищаем, от каких угроз? То есть выстроить модель рисков характерных именно для вашей компании. Отдельным значимым навыком становится организация продуктивного взаимодействия между ИБ- и ИТ-службами: довольно долго они пытались жить автономно, но реалии после 2022 года показали ошибочность и недопустимость такого подхода. Теперь этим подразделениям важно объединиться в борьбе с внешними угрозами (есть положительные примеры в этом направлении среди наших заказчиков). Здесь мы упираемся в том числе и в вопросы построения безопасной разработки.
CISO теперь должен осознавать важность реагирования на кризисы в публичном поле. Несколько лет назад можно было заметить любопытный тренд: некоторые компании предпочитали даже безобидные ИТ-сбои выдавать за страшную кибератаку или за DDoS. Сейчас за ИБ-атаку есть большое количество последствий (оборотные штрафы) как для компании, так и лично для ИБ-директора. Кроме того, не забываем, что значительно участилось количество фейков в киберпространстве – когда хакеры существенно преувеличивают свои достижения. Например, занимаются компиляцией старых утечек, выдавая их за новые, или взлом небольшого слабо защищенного подрядчика выдают за взлом всех его клиентов. Подобных случаев очень много и компаниям важно грамотно и главное оперативно на них реагировать в публичном поле, привлекая ИТ, ИБ и в том числе подрядчиков.
В общем, роль офицера информационной безопасности сейчас становится очень сложной и многогранной. Он должен разбираться практически во всех слоях бизнеса и всех технологических особенностях компании. Таким образом, мы видим некое смещение к задаче операционного управления бизнесом, то есть ИБ становится больше операционной функцией, а компетенции CISO больше похожи на компетенции операционного директора.
– Часто компании практикуют перенос части функций ИБ на аутсорсинг. Какие видите здесь риски и как их нейтрализовать? Как эффективно управлять подрядчиками и разделять с ними ответственность?
– Взаимодействие с подрядчиками – неотъемлемая часть обеспечения информационной безопасности в крупных организациях. Сегодня и ИТ, и ИБ практически невозможно организовать полностью внутренними силами – повсеместно применяется гибридная модель с частичным аутсорсингом. Подрядчики, в частности ИТ-компании, представляют собой серьезный вектор риска: через них злоумышленники нередко проникают внутрь корпоративных сетей. И здесь все начинается с договоров, где очень важно юридически регламентировать взаимоотношения с подрядчиком: детально прописать его ответственность и обязательства по обеспечению безопасности, предусмотреть возможность вмешательства в его инфраструктуру при подозрениях на атаки и так далее. Это большая и очень непростая инженерно-юридическая задача, как минимизировать риски взлома, заставив подрядчиков соблюдать стандарты безопасности. Между тем, мы знаем, что многие исполнители не очень хотят заниматься собственной безопасностью, которая для них означает прямые издержки. И здесь вопрос управления подрядчиками, в том числе выбора поставщика, становится сверхважным, поскольку в одиночку отбиваться от атак уже невозможно.
– Представители "Солар" всегда говорят о необходимости комплексного подхода к защите. Доступны ли такие комплексные решения для небольших компаний? Как "Солар" развивает свои сервисы мониторинга и защиты с учетом новейших трендов и угроз?
– Мы ориентируемся прежде всего на потребности клиентов и не ставим задачу подогнать все свои продукты и сервисы под малый сегмент рынка, ведь не каждая угроза актуальна для небольших компаний. Важно учитывать, что в малых фирмах зачастую отсутствует специалист по информационной безопасности. Поэтому мы активно работаем над упрощением клиентского пути, чтобы неподготовленным пользователям было легче и удобнее воспользоваться нашими технологиями и сервисами. Поэтому главное требование, чтобы все было понятно, прозрачно и описано простым языком бизнес-метрик, а не техническими деталями. Пользователь должен сразу же видеть результаты работы сервиса, иначе он потеряет интерес и перестанет за него платить. На сегодня мы предлагаем клиентам несколько вариантов тарифов по мониторингу и реагированию на инциденты и по защите веб-ресурсов – с учетом потребностей компаний разного масштаба. Также в нашем портфеле есть решение, позволяющее блокировать соединения с фишинговыми доменами и хакерскими серверами – этот сервис предполагает гибкую тарификацию и подойдет в том числе и небольшим организациям.
Сегодня, исходя из обстановки в киберпространстве, мы идем дальше, прорабатывая максимально комплексный подход к защите для компаний любого масштаба и ИБ-бюджета – поскольку атакуют сейчас всех и комплексная защита нужна всем. В новом году запустим новые предложения для клиентов.