Как российский бизнес защищается от хакеров

Хакеры атакуют российский бизнес в 2025 году почти вдвое интенсивнее. На момент написания статьи в ноябре число зарегистрированных попыток суммарно превышало 105 млн. По данным InfoWatch, статистика атак распределяется следующим образом:
Таким образом, не застрахован буквально никто. Всего 20% российских предприятий подготовили комплексный план действий по восстановлению ИТ-системы в случае атаки — к таким выводам пришли авторы исследования, предпринятого компанией «Инфосистемы Джет».
Летом 2025 года проект «Кибериспытание» предложил крупные денежные призы «белым хакерам». Специалисты искали бреши в системах безопасности. По результатам состязания было отмечено, что в большинстве случаев для взлома даже не требовались изощренные знания и навыки. В совокупности с утечками данных оказалось достаточно социальной инженерии и минимальной настойчивости. Самый сложный кейс занял у «белых хакеров» четыре дня. Большую часть этого времени они готовили операцию по захвату прав админа в корпоративной системе. Реализация атаки прошла как по маслу.
В 2025 году объем российского рынка информационной безопасности составит около 369 млрд рублей, а за ближайшие три года он, вероятно, удвоится. Такие данные приводят эксперты, опрошенные RB.ru.

Как организованы хакеры

«Киберпреступные сети могут анонимно объединять сотни и тысячи людей. Такие сообщества единомышленников работают как бизнес, — говорит Алексей Баранов. — Можно сказать, что работа злоумышленников построена по принципу R&D-лабораторий (Research and Development, англ. «исследования и разработка». — Forbes Club). Команды исследователей занимаются исключительно разработкой вредоносного ПО, поиском уязвимостей и созданием инструментов для атак. Инфраструктурные команды предоставляют сервисы для проведения таких атак — анонимный хостинг, фишинговые платформы и другое. «Финансовая» служба обеспечивает безопасное для киберпреступников получение денежных средств.
Таким образом, технический потенциал злоумышленников складывается из усилий многих независимых, но связанных между собой профессиональных сообществ. Каждая из групп вносит вклад в общую экономику, создавая эффективную и постоянно развивающуюся преступную индустрию с международным присутствием. Хакеры из Мехико могут атаковать банк в Сингапуре, используя серверы в Китае, и требовать выкуп в биткоинах».
Валерий Баулин приводит пример, как организована группа мошенников, работающих по схеме «Мамонт» с оплатой фейковой доставки несуществующих товаров:
Источник: компания F6
Если представить киберпреступность в виде пирамиды по численности участников, то, как считает Валерий Баулин, она будет выглядеть следующим образом.
«Кибератаки, особенно сложные, требуют специфических знаний, — говорит технический директор Центра исследования киберугроз Solar 4RAYS ГК «Солар» Алексей Вишняков. — Поэтому у большинства участников наиболее профессиональных группировок есть бэкграунд, который можно приобрести в технических вузах».
Некоторые кибергруппировки могут похвастаться собственными уникальными разработками по эксплуатации уязвимостей в ПО, уверен Алексей Вишняков. Зачастую это дорогостоящие и ценные исследования, которые наносят кратно больший ущерб по сравнению с распространенными решениями Open Source (англ. «решения с открытым исходным кодом». — Forbes Club). С другой стороны, такие «сокровища» хакеры стараются применять очень редко и точечно, чтобы не допустить утечки своих разработок, которые могут попасть в руки исследователей кибербезопасности.
«Киберпреступники объединяются в группы, где не принято раскрывать личности друг друга. Общение часто происходит через децентрализованные мессенджеры. Благодаря расчетам в криптовалюте хакерам не нужно находиться на одной территории или в пределах одной финансовой юрисдикции. Они предпочитают действовать там, где контроль и ограничения слабее, — в странах Латинской Америки, Юго-Восточной Азии, — говорит генеральный директор оператора ИТ-решений «ОБИТ» Андрей Гук. — Как правило, такими злоумышленниками становятся люди с техническим образованием. Получив незаконную выгоду, они уже не могут остановиться. Одни мошенники занимаются скамом и кражей данных для платежных инструментов. Другие специализируются на заказах из даркнета (анонимной и по большей части преступной части интернета. — Forbes Club). Есть шантажисты, шифровальщики, воры чувствительных данных».
В последнее время все больше киберпреступников и групп используют ИИ. «Нейросети уже широко задействованы в атаках через поддельные электронные письма (фишинг), для дипфейков голосов и видео, подделки биометрии. Кроме того, автономные ИИ-агенты позволяют ускорить и масштабировать классические атаки. Они выполняют тысячи действий одновременно. В свою очередь, системы ИТ-безопасности обнаруживают вторжения не через дни или часы, а за секунды. Мир переходит к «войне машин», когда одни ИИ проверяют на прочность другие, — продолжает Андрей Гук. — Под ударом находятся абсолютно все организации, поскольку глубина проникновения ИТ и критическая зависимость от данных повсеместны. Основные убытки несут те, кто хуже справляется с защитой. Нужно учитывать, что ограниченные меры информационной безопасности все менее эффективны. Необходима комплексная стратегия, которая сочетает развитие культуры безопасности среди сотрудников для снижения человеческого фактора с техническими средствами — в том числе ИИ для автоматизации предиктивного обнаружения и быстрого реагирования на угрозы».

ИИ на службе хакеров

Один из трендов 2025 года — возрастающая роль искусственного интеллекта. «ИИ активно используется в генерации вредоносного кода, автоматизации поиска уязвимостей, анализе логов и трафика, а также для создания дипфейков, подмены голоса, генерации фишинговых писем, неотличимых от оригинальных, — говорит Антон Клименков. — Главная проблема в том, что ИИ снижает порог входа. Теперь сложные схемы доступны даже тем, у кого нет технических навыков»
«Киберпреступники внимательно следят за новыми технологиями и используют ИИ для создания более эффективных автоматизированных, а значит, и более дешевых в реализации атак или мошеннических схем, — констатирует Валерий Баулин. — За границей мошенники начали применять ИИ и машинное обучение (почти сразу после появления этого инструмента) в разных видах мошенничества — например, для создания фишинговых писем, максимально похожих на реальные корпоративные рассылки по содержанию, стилю и оформлению. Кроме того, ИИ переводит более нативно, а значит, сложнее распознать фальшивку из-за рубежа».
Алексей Вишняков замечает, что, судя по комментариям, в некоторых вредоносных программах код, вероятно, написан с помощью ИИ. Таких примеров «вайб-кодинга» становится все больше.
Недавно много шума наделала новость о создании американскими исследователями программы-вымогателя PromptLock с модулем, который с помощью ИИ генерировал вредоносные скрипты на зараженном компьютере. Эксперимент наглядно доказал, что написание вредоносного кода и скриптов, автоматизация атак становятся более изощренными и доступными.
«Наконец, дипфейки, — продолжает Валерий Баулин. — С каждым годом они становятся все более распространенными. Телефонные мошенники используют голосовые дипфейки, созданные с помощью ИИ. Скамеры выпускают поддельные видео от имени известных людей — например, они «делятся» якобы выгодными схемами инвестиций»
Мошенники не могли не обратить внимания на возможности искусственного интеллекта. «ИИ — это инструмент, который повышает эффективность, масштаб и скорость проведения вредоносных действий. Остальное зависит от фантазии киберпреступников, — добавляет Алексей Баранов. — Например, первоначально технологии использовались для генерации «продающих» текстов в целевых фишинговых атаках. В настоящее время злоумышленники активно применяют генеративные ИИ-системы для создания дипфейков, используемых в корпоративном шпионаже и социальной инженерии».
Пока злоумышленники используют ИИ в основном для мошеннических схем, полагающихся на социальную инженерию. «С помощью подобных сервисов относительно легко генерировать фишинговые сообщения, — утверждает Алексей Вишняков. — Кроме того, уже известно о мошеннических схемах, в которых используются голосовые сообщения, имитирующие голоса коллег, родственников и друзей жертвы».
Другой пример — применение общедоступного инструмента Hexstrike-AI, который использует ИИ для генерации сценария атаки и ее развития, продолжает Алексей Вишняков. На данный момент эта наработка не позволяет изобрести уникальный новый вариант развития нападения. С другой стороны, она позволяет ускорить рутину оператора атаки, решая задачу масштабирования.

Кто под прицелом

«Сегодня потенциальной мишенью может стать любая компания, — уверен Алексей Баранов. — Если организацию еще не атаковали, это не всегда означает отсутствие интереса. Зачастую она просто еще не попала в фокус либо является не конечной целью, а промежуточным звеном в более масштабной атаке на партнеров или клиентов. Традиционно внимание злоумышленников привлекают банки, телеком, ретейл, ИТ. Атаки на такие организации могут иметь широкий охват, затрагивая множество клиентов и вызывая значительные финансовые и репутационные потери».
Кроме этого, под ударом могут оказаться и объекты критической инфраструктуры, где мотивацией атакующих чаще всего является не обогащение, а нанесение операционного ущерба, предупреждает Алексей Баранов. В группе риска также организации, которые хранят критически важные данные, — например, медицинские учреждения. Компрометация этой конфиденциальной информации парализует бизнес и чаще всего происходит с целью шпионажа или требования выкупа.
«Если мы говорим, например, про действия вымогателей, то в 2025 году наиболее резонансные атаки произошли на компании из сектора гражданской авиации, нефтепереработки, ретейла и фармацевтики, — сообщает Валерий Баулин. — После 2022 года кибербезопасность касается абсолютно всех — независимо от размеров бизнеса и сферы экономики. Вопрос уже не в том, кого взломают, а в том — когда!»
Целью злоумышленников может стать любая компания, у которой есть инструменты для доступа к финансовой или другой конфиденциальной информации. Разница только в вероятности наступления таких событий, полагает Алексей Вишняков. Например, профессиональная кибергруппировка вряд ли станет атаковать небольшое маркетинговое агентство, потому что потенциальная «выручка» невелика. Но все поменяется, если станет известно, что это агентство работает на подряде у крупной нефтяной компаниии имеет с ней сетевую связь. В этом случае маркетинговое агентство может стать целью и инструментом более сложной атаки.

Виды киберугроз

Каковы виды атак? Что показывают наблюдения? «Основные угрозы остаются прежними. Обычно это вредоносное ПО (вирусы, черви, трояны), фишинг, DDoS-атаки (перегрузка сервисов чрезмерным числом запросов. — Forbes Club), утечки данных из-за невнимательности сотрудников или действий хакерских групп, — говорит Антон Клименков. — К этому нужно добавить кибершпионаж и кибервойны, то есть атаки ради конкурентных или государственных интересов. Вероятно, к 2026 году мы не увидим принципиально новых категорий. Скорее будем наблюдать усиление и ускорение уже существующих видов кибератак и их смешанных форм с помощью ИИ».
«Противостояние угрозам развивается по спирали, — делится наблюдением Алексей Баранов. — Сегодня мы научились хорошо противостоять одному виду атак, завтра появится что-то новое — и все начнется заново. При этом на каждом новом витке этой спирали мы наблюдаем качественную эволюцию тактик и масштабов атак».
Мы видим, как злоумышленники атакуют не отдельные компании, а целые отрасли. Их цель — парализовать бизнес-процессы, цепочки поставок, критическую инфраструктуру, подорвать доверие к коммерческим или государственным институтам.
«Это происходит, например, следующим образом, — продолжает Алексей Баранов. — Атака на одного поставщика может вызвать каскадный эффект и негативно повлиять на десятки других организаций. Кроме того, киберпреступность окончательно закрепилась в форме глобального бизнеса по модели «хакинг как услуга», где инструменты и экспертиза стали товаром, доступным даже непрофессионалам. В ближайшем будущем фундаментально среди целей злоумышленников ничего не изменится: из года в год их мотивы, будь то обогащение, шпионаж или дестабилизация, остаются неизменными. Но радикально поменяется арсенал».
Завтрашний день — это эра атак, усиленных искусственным интеллектом, предполагает Алексей Баранов. Скорее всего, мы столкнемся с вредоносными программами, способными самостоятельно адаптироваться к системам защиты и выбирать тактику. Фишинг превратится в кампании, где ИИ будет идеально имитировать голос и поведение доверенных лиц. Появятся целенаправленные атаки на сами алгоритмы ИИ, чтобы манипулировать решениями в финансах, логистике и управлении.
«В 2025 году, — говорит Валерий Баулин, — наша команда выделила несколько наиболее актуальных киберугроз в России.
Цели угроз из года в год не меняются. Злоумышленники охотятся за деньгами, конфиденциальной информацией и контролем над системами, которые могут повлиять на сохранность одного или другого сервиса, считает Алексей Вишняков. Однако развиваются способы, с помощью которых хакеры пытаются достичь своих целей. Например, если раньше они часто использовали для атак полностью самописное вредоносное ПО, то теперь чаще встречаются модификации и доработки общедоступных инструментов. Злоумышленники стремятся находить бреши в безопасности организаций, в которых цифровизация опережает развитие информационной безопасности. Проникновению хакеров в инфраструктуры компаний и продвижению по ним способствуют:
Наряду с основными угрозами эксперты видят возможности: в распоряжении специалистов по информационной безопасности много способов существенно затруднить атакующим жизнь, сделав безопасность организации управляемой и прогнозируемой, считает Алексей Вишняков.

Стратегии защиты

«Сегодня злоумышленники не атакуют компании в лоб, а пользуются более легкими путями проникновения в инфраструктуру через использование легитимных учетных данных, — констатирует Алексей Баранов. — Это приводит к росту спроса на комплексные решения по защите айдентити компаний (решения, которые позволяют однозначно определить пользователя, устройство или сервис в ИТ-инфраструктуре. — Forbes Club). При этом для эффективной защиты учетных данных рынку требуются решения, обеспечивающие не только многофакторную аутентификацию и управление привилегированным доступом, но и обнаружение угроз для айдентити».
На этом фоне растет роль систем класса ITDR (Identity Detection and Response, англ.: сервисы, которые отслеживают аномальное поведение пользователей и машинных аккаунтов в реальном времени. — Forbes Club). Таким образом, в стратегиях организациям необходимо учитывать различные аспекты безопасности, начиная с защиты от внешних угроз и заканчивая контролем доступа внутри компании,считает Алексей Баранов.
Ключевые цели кибербезопасности в современных условиях — не допустить остановки бизнеса, утечки данных и потери доверия клиентов. Для этого мало просто поставить антивирус.
«Эффективная защита начинается с понимания того, кто, как и зачем может атаковать ваш бизнес, — говорит Валерий Баулин. — Это осознание превращает кибербезопасность из набора бессмысленных схем «бумажного безопасника» в систему реального управления рисками.
Если рассматривать стратегию как дорожную карту, то можно порекомендовать несколько шагов.
«Часто упускают из виду протокол действий в случае успешного вторжения и особенно после него, — полагает Антон Клименков. — Между тем как раз от этих шагов зависит масштаб потерь — не только финансовых, но и репутационных. Одно дело — «падение» системы на пару дней, и совершенно другое — когда компания парализована неделями или месяцами.
Помимо регулярного ведения бэкапов, нужно заранее готовиться к быстрому выходу из кризиса, если он случится.

Чек-лист действий в случае атаки

1. Сразу после обнаружения атаки
2. Анализ инцидента
3. Восстановление
Нужно также сообщить о произошедшем клиентам и партнерам, а если затронуты персональные данные, то и надзорным органам. Как правило, требуется PR-реакция на произошедшее. И конечно, нужно позаботиться о том, чтобы такое больше не повторилось.
Источник: Adeptum Digital Production
«Для повышения надежности киберзащиты, — говорит Алексей Вишняков, — важно использовать весь арсенал без исключений:
При построении безопасности лучше исходить из гипотезы, что злоумышленники уже проникли в организацию. Ведь в любой кибератаке самым опасным является не сам факт проникновения, а ущерб от вредоносных действий. Если применить к данным и бизнес-операциям адекватные меры защиты, можно сделать последствия кибератаки предсказуемыми, а значит, и управляемыми».
В подготовке текста принимали участие резиденты Forbes Club: