Почему российские компании так легко взломать: кто виноват и что делать
9 Октября 2025 в 16:04
Проверки, инициированные белыми хакерами, продемонстрировали уязвимость российского бизнеса перед кибератаками. Выясним, почему компании не прошли аудит ИБ, как выявляют слабые места в защитных системах и существует ли государственный контроль цифровой безопасности. Также узнаем, почему найти уязвимость легко, исправить — сложно, а заставить компанию самостоятельно устранить неполадку — почти невозможно.
Проверка не пройдена
Летом 2025 года группа «Кибер Испытание» провела масштабную проверку цифровой безопасности компаний. Поучаствовать в эксперименте захотели свыше тысячи предприятий, что говорит об интересе бизнеса к вопросам ИБ. Организаторы отобрали 105 компаний из 9 отраслей — в их числе IT (57%), торговля (10%), научная деятельность (9%), обрабатывающие производства (8%), финансы и страхование (6%).
По информации «Ведомостей», в рамках проверки полторы тысячи белых хакеров получили три месяца на реализацию события, способного потенциально навредить предприятию, например, привести к хищению средств или остановке производства. Результат неутешителен — в 67% случаев хакеры справились со взломом инфраструктуры участников меньше, чем за сутки. Сильнее всех пострадали торговые компании с 83% успешных атак, на втором месте по уязвимости оказались обрабатывающие производства (80%), на третьем — информационные организации (59%). Наиболее защищенным признан финтех — недопустимые события удалось реализовать только в 25% случаев, однако и этот показатель далек от идеала.
Эксперты предупреждают — всего одна успешная атака способна парализовать работу крупной компании и привести к колоссальным убыткам.
— Если проецировать результаты испытаний на пять отраслей российской экономики, потенциальный объем ущерба от шифрования при текущем уровне защищенности достигнет 5,33 трлн руб. даже без учета выплаты выкупа, — рассказала генеральный директор «Кибер Испытания» Наталья Воеводина.
Один из ярчайших примеров — атака на «Аэрофлот», состоявшаяся 28 июля — в результате действий киберпреступников десятки рейсов были отменены. По данным Lenta, убытки компании оцениваются в $10 млн. Представители группировок, взявших на себя ответственность за проведение атаки, сообщили, что сотрудники «Аэрофлота» пренебрегают правилами безопасности. Также хакерам сыграло на руку использование компанией устаревших версий ОС Windows.
Рост спроса на киберстрахование
Атака на «Аэрофлот» в очередной раз обратила внимание крупного бизнеса на значимость ИБ-решений. В частности, вырос спрос на услуги, связанные со страхованием цифровых активов. «Главпортал» обратился за комментарием к одному из лидеров рынка страхования — компании СОГАЗ.
— В последнее время можно говорить о росте спроса на киберстрахование. Если ранее компании могли воспринимать киберугрозы как что-то абстрактное, касающееся только IT-компаний и банков, то после недавних громких кейсов становится очевидным, какие потери может понести компания при реализации подобных угроз. Наш опыт выплат свидетельствует, что ущерб деятельности предприятия в случае кибератаки может достигать сотен миллионов рублей.
Страхование по своей природе не позволит повысить уровень информационной безопасности, но поможет защитить имущественные интересы организации.
При этом рынок пока только развивается. Большая часть запросов продолжает поступать от крупных предприятий, соблюдающих повышенные требования безопасности. Они внедряют новое ПО и импортозамещают целые ИТ-системы. Для таких компаний киберстрахование становится обязательным элементом риск-менеджмента.
Среди востребованных киберрисков хакерские атаки, сбои программного обеспечения, кража данных, страхование ошибок при внедрении нового ПО, что актуально в свете активного перехода предприятий на российское программное обеспечение. Кроме того, бизнес старается защитить себя от финансовых потерь и юридических рисков, вызванных сбоями в работе ИТ-систем после обновлений, выполненных силами собственных специалистов. Некоторые компании страхуют ответственность перед третьими лицами. Это актуально при угрозе утечки персональных данных клиентов.
Руководитель пресс-службы СОГАЗа Дарья Шлыкова.
Защитные меры
Вопрос кибербезопасности поднимается на самом высоком уровне — по информации «Коммерсанта», на последнем заседании Совбеза РФ Владимир Путин подчеркнул необходимость повышения цифровой безопасности. Также правительство РФ инициировало запуск ежегодного форума «Цифровые решения» — в ноябре 2025 года в рамках дебютного мероприятия будет представлено несколько десятков отечественных IT-решений по наиболее актуальным направлениям, в числе которых и кибербезопасность. Тем не менее ранее, летом 2025 года, Госдума отклонила законопроект, призванный регулировать деятельность белых хакеров в России.
По словам замдиректора по трансферу технологий ЦК НТИ «Технологии хранения и анализа больших данных» на базе МГУ Тимофея Воронина, представители МСБ более уязвимы, чем крупные корпорации, из-за отсутствия ИБ-специалистов в штате и ограничений, связанных с финансированием защитных решений. Директор департамента расследований T.Hunter Игорь Бедеров утверждает, что каждый третий крупный взлом в РФ происходит через подрядчиков. Именно малые компании, являющиеся поставщиками в крупных торговых цепочках, чаще всего становятся мишенями хакеров — их проще взломать, чтобы похитить данные более весомых партнеров.
«Главпортал» обратился к эксперту в сфере мониторинга и защиты цифровых активов, чтобы выяснить, почему 67% компаний не прошли аудит группы «Кибер Испытание» и можно ли вообще защититься от действий киберпреступников.
— Есть ли в России возможность проводить проверки крупных компаний на государственном уровне? Какие регуляторы этим занимаются?
— Это ФСТЭК, ФСБ, особенно по части криптографии и шифрования, и отчасти ЦБ РФ. ФСТЭК и ФСБ практически всегда задействованы в крупных проектах. Проверки проводятся регулярно, особенно если компания связана с правительством или важными для страны отраслями. Тут важен не оборот компании, не то, насколько она крупная — учитывается лишь то, с какими данными она работает, является ли значимой. От этого зависят критерии безопасности и предъявляемые требования.
— Можно ли обязать частную компанию пройти аудит?
— Именно аудит, насколько я знаю, нельзя, хотя определенные требования есть. Надо четко разделять аудит и контроль защищенности. Определение последнего прописано во всех нормативных документах. Если коротко, то контроль защищенности — это комплекс мероприятий, направленных на поддержание инфраструктуры ИБ в актуальном состоянии. Здесь и регулярное сканирование инфраструктуры, и выявление уязвимостей, и воздействие, имитирующее взлом.
— То есть компания нанимает специалиста, который будет ее атаковать?
— Или нанимает, или держит в штате соответствующих сотрудников. Процедура проводится по регламенту, допустим, раз в квартал. Предварительно специалисты запрашивают доступ к инфраструктуре, потом запускают сканеры, собирают данные и анализируют их. Иными словами, компания собирает информацию о собственной инфраструктуре. Далее запускается процесс управления изменениями, то есть исправление ошибок, с чем у многих компаний большие проблемы. Управленцы часто не реагируют должным образом на рекомендации, которые им дают ИБ-специалисты, обнаружившие какие-либо недочеты в защите.
— Почему?
— Иногда проблема в безответственности, но чаще мешает объем и разветвленность внутренней системы компании. Администратор распределяет по отделам обязанности, связанные с исправлением ошибок — и не всегда все успевают сработать быстро. Плюс ко всему уязвимости устраняются по мере их критичности. Бывает так, что наступает время следующей проверки, а старые ошибки никуда не делись.
— Контроль защищенности — это обязательная процедура?
— По 152-ФЗ под нее попадают почти все. Сейчас сложно найти компанию, не работающую с персональными данными.
— Как регулятор отслеживает проведение процедур?
— Теоретически этот процесс может контролировать ФСТЭК во время своих проверок. Понимаете, это не отчет, который вы обязаны сдать до определенного числа. Это внутрирегламентная процедура, сопровождающаяся значительными трудозатратами.
— Сколько стоит проведение проверки?
— Недешево. Опять же, что для маленькой компании — огромные деньги, то для корпорации — небольшие расходы. Могу сказать так: чем больше активов нужно проверить, тем выше будет цена. Вообще корпорации редко обращаются к сторонним аудиторам с целью контроля защищенности — мало кто хочет доверять свою инфраструктуру третьим лицам.
— А если как-то ограничить полномочия исполнителей?
— Тогда они не смогут работать. Сканеру нужен доступ практически по всей инфраструктуре. Если ему не разрешить свободно ходить, то он просто ничего не обнаружит. Поэтому к сторонним организациям чаще всего обращаются для проведения тестирований на проникновение, а не с целью сканирования инфраструктуры на предмет уязвимостей. Пентесты — тоже часть контроля защищенности.
— Это имитация взлома, правильно?
— Да, это моделирование атаки снаружи. Эта процедура актуальна для компаний с большим количеством публичных ресурсов. Организации, у которых нет, например, сайтов, куда заходят десятки или сотни тысяч пользователей, как правило, пентестами пренебрегают. Они им просто не нужны. Тем более, это довольно дорого.
— Получается, компании, которые становятся жертвами взломщиков, пренебрегают контролем защищенности? Или же даже неукоснительное выполнение всех процедур все равно не дает никаких гарантий?
— Стопроцентной гарантии не дает ничего. Вообще ИБ не ставит перед собой цель на 100% предотвратить взлом — это в целом невозможно. Смысл ИБ — это сделать взлом компании настолько дорогим, чтобы это не имело смысла для потенциальных хакеров. Проще говоря, чтобы взломать компанию было сложнее, дороже и дольше — тогда действия атакующих просто станут нецелесообразными.
С мнением нашего эксперта в вопросе о том, что многие компании просто игнорируют уязвимости, найденные в ходе проверок, согласны руководитель практики IT/IP LCH.LEGAL Кирилл Ляхманов и ведущий аналитик отдела мониторинга ИБ «Спикател» Алексей Козлов. Кирилл Ляхманов подчеркивает, что в России просто не существует способа обязать компанию устранить уязвимость в конкретные сроки, однако эксперт не одобряет перспективу внедрения ответственности за игнорирование «белых пятен» в защите. По мнению специалиста, в таком случае компании вообще перестанут проводить проверки.
Алексей Козлов, по данным Forbes, считает, что многим предприятиям не хватает специалистов и средств, чтобы устранить неполадки. По словам эксперта, отдельные компании даже не меняют пароли после проверок — в результате на следующий год пентестеры заходят в инфраструктуру с прошлогодними «ключами». По информации компании T.Hunter, устраняется меньше 50% от обнаруженных уязвимостей.
О проблеме игнорирования «пробоин в защите» заявлял и замминистра цифрового развития Александр Шойтов в ходе сессии по информационной безопасности Российского интернет-форума. Сам механизм проверок на взлом в России налажен, но инструмента, способного заставить компании исправить ошибки, по-прежнему нет, — приводят «Ведомости» слова чиновника.