9 ключевых киберугроз для российского бизнеса: от фишинга до атак на промышленность

Каждые три минуты хакер может проникнуть в систему безопасности вашей компании. За 2023–2024 годы из-за кибератак российские компании потеряли 1 трлн рублей. Почти каждый рабочий день — новый инцидент. Итог: простои, прямые и косвенные убытки, потеря доверия и репутации.

Масштаб угроз на российском рынке: статистика за 2024 год

• Роскомнадзор зафиксировал 259 новых утечек баз данных — сотен миллионов записей.
• Банк России зафиксировал свыше 750 атак на финорганизации.
• На российских заказчиков совершили более 31 000 атак.
• Россия — лидер по объему «слитых» данных: 200,5 млн строк личной информации пользователей.
• Средняя мировая стоимость утечки для компании — $5 млн.

Векторы кибератак в 2024–2025 годах

• 39,2 % атак начинаются с эксплуатации публичных уязвимостей. Доля инцидентов со скомпрометированными учетными записями выросла с 20,3 % в 2023 году до 31,4 % в 2024 году.
• 37 % успешных атак начинаются с компрометации логинов и паролей.
• 38 % инцидентов приходится на предприятия промышленности и ТЭК, 15 % — на госсектор, 13 % — на финансы, 11 % — на транспорт / логистику.
• Мотивация 35 % атакующих группировок — шпионаж.
• Число фишинговых сайтов за год выросло в 2,3 раза.

Рассмотрим, как хакеры эксплуатируют уязвимости и как защититься.

Использование известных, но не устраненных уязвимостей

96 % российских компаний уязвимы к атакам на основе уязвимостей, которые уже опубликованы в открытых базах, потому что вовремя не обновляются. В 34 % успешных атак уязвимости сыграли ключевую роль.

В первом квартале 2025 года доля разведывательных атак — сканирование, поиск уязвимостей — выросла в 5 раз, до 38,65 % всех вредоносных запросов.

Почему это работает так эффективно

• публичность — информация о уязвимостях в открытом доступе, у 70 % приложений раскрываются конфигурации, учетные данные, отладочная информация;
• простота эксплуатации — в 77 % случаев уязвимости легко эксплуатируются без авторизации;
• огромная поверхность атаки — 88,6 % веб-приложений остаются уязвимыми;
• автоматизация атак — множество сканеров, ботнетов и фреймворков автоматически ищут известные баги.

Как защититься

1. Сделайте устранение критических уязвимостей приоритетом бизнеса. Не оставляйте «дыры» на потом: закрывайте самые опасные проблемы в течение недели после появления. Это так же важно, как исправить бухгалтерскую ошибку или устранить дефект на линии производства.
2. Ведите учет всех внешних «витрин» вашей компании. Составьте полный список всех сайтов, приложений, сервисов и облачных точек, которые доступны из интернета. Понимание поверхности риска — это инвентаризация ИТ-активов.
3. Включите безопасность в процесс разработки. Не выпускайте новый сайт, приложение или сервис без проверки на безопасность. Добавьте контроль в стандартные процедуры — как обязательную часть сдачи проекта.
4. Ищите слабые места до злоумышленников. Регулярно заказывайте аудиты безопасности и проверяйте, как ваши системы выглядят глазами хакера. Это инвестиция в снижение рисков, а не «дополнительные расходы».
5. Поощряйте внешних исследователей. Программы вознаграждения за обнаруженные ошибки — bug bounty — позволяют выявлять критические уязвимости раньше, чем они попадут на черный рынок. Это дешевле и безопаснее, чем разбираться с последствиями инцидента.
6. Минимизируйте утечки информации о ваших системах. Не публикуйте лишние сведения о внутреннем устройстве сервисов, версиях ПО и конфигурациях. Чем меньше информации доступно атакующему, тем сложнее ему подготовить атаку.
   ‍

Компрометация учетных записей

При компрометации злоумышленник входит в корпоративные системы — почту, CRM, бухгалтерию или облачные сервисы — под видом сотрудника или партнера. Он выглядит легально — и это самое опасное. Процессы ломаются, данные утекают, работа останавливается.

Как это отражается на бизнесе

• потеря конфиденциальных сведений: коммерческая тайна, клиентские базы;
• финансовые махинации от лица сотрудников: мошенничество, перевод денег;
• нарушение доверия партнеров и регуляторные санкции;
• сложность обнаружения: «легальный» доступ выглядит как работа сотрудника.

Как защититься

1. Сделайте многофакторную аутентификацию стандартом. Добавьте второй фактор входа — смс, приложение, аппаратный ключ — для всех критичных систем.
2. Управляйте жизненным циклом аккаунтов. Сразу закрывайте доступ уволенным и временным сотрудникам, ограничивайте права подрядчиков. Соблюдайте принцип «минимального доступа», как бюджетную дисциплину.
3. Контролируйте аномалии входа. Внедрите мониторинг: если сотрудник входит ночью из другой страны — система должна это фиксировать и реагировать.
4. Обучайте персонал. Разъясняйте, как выглядит фишинг, почему нельзя пересылать пароли и токены. Раз в квартал проводите учения с имитацией атак и оценивайте подготовку.
5. Сегментируйте доступ и автоматизируйте выдачу прав. Используйте системы управления привилегиями, чтобы сотрудники получали доступ по запросу и только на время выполнения задачи. Это минимизирует ущерб даже при компрометации одного аккаунта.
   ‍

Социальная инженерия и фишинг

Социальная инженерия — это любая манипуляция людьми для получения доступа, данных или денег. При фишинге злоумышленник имитирует доверенные каналы, чтобы человек сам раскрыл свои пароли, платежные данные или загрузил вредоносный файл. Часто используются:

• письмо с просьбой срочно оплатить счет или подтвердить доступ;
• поддельный сайт госуслуги или маркетплейса, куда сотрудники вводят свои логины;
• звонок от «руководителя» или «контрагента» с поддельным голосом;
• выманивание документов, QR-кодов, токенов в социальных сетях.

Почему это угроза бизнесу

• Число фишинговых ресурсов и рассылок в 2024 году выросло на 30–70 %. Это не эпизодические случаи, а массовая практика.
• Социальная инженерия — самый дешевый способ атаки: злоумышленнику не нужно ломать системы, он заставляет сотрудника самому «открыть дверь‎».
• Каждая вторая компания сталкивалась с попытками фишинга за последний год.
• В 60 % случаев успешная атака приводит к утечке данных или прямым финансовым потерям.

Как защититься

1. Встройте антифишинг в процессы. Фильтруйте письма, проверяйте домены, ищите поддельные сайты.
2. Учите сотрудников распознавать ловушки. Проводите системную работу: показывайте реальные примеры, проводите симуляции фишинга с отчетами для руководства.
3. Установите многофакторную аутентификацию. Даже если кто-то раскроет пароль, второй фактор прервет атаку.
4. Разграничьте доступы и лимиты. Сотрудники не должны иметь доступ или возможность провести платежи без проверки. Двойное согласование и лимиты — простой способ снизить риск потери денег.
5. Введите сценарии реагирования. Подготовьте инструкции: куда сообщать о подозрительных письмах, как блокировать скомпрометированные учетные записи.

Эксплуатация zero-day уязвимостей и целевых эксплойтов

Zero-day — это уязвимость, о которой разработчик ПО еще не знает или которую не успел исправить. «Ноль дней» означает, что у бизнеса нет времени подготовиться.

Целевой эксплойт — инструмент, который написан под конкретную организацию или систему, чтобы проникнуть именно туда, а не «по площади».

Почему это критично для бизнеса

• Zero-day используются редко, но их результат — проникновение без предупреждения. Именно такие уязвимости стояли за самыми громкими кибершпионажами и атаками на критические объекты.
• В 2024–2025 годах исследователи нашли 31 % высоко- и критично опасных уязвимостей этого типа.
• Последствия эксплуатации целевых эксплойтов — от кражи коммерческой тайны до подмены данных или вывода из строя ИТ-сервисов.

Как защититься

1. Снизьте поверхность атаки. Чем меньше ненужных сервисов и старых систем доступно извне, тем сложнее эксплуатировать новые уязвимости.
2. Внедрите многоуровневую защиту. Zero-day нельзя предупредить патчем, но можно затруднить последствия. Сегментируйте сети, ограничивайте права пользователей, контролируйте аномалии, чтобы превратить «прямой пролом» в локализованный инцидент.
3. Используйте threat-intel и Bug Bounty. Подпишитесь на актуальные отчеты и участвуйте в программах по поиску уязвимостей, чтобы узнать о проблеме раньше. Это инвестиция в раннее предупреждение.
4. Проводите мониторинг поведения программ. Системы, отслеживающие поведение приложений, выявляют подозрительную активность даже при неизвестной уязвимости.
5. Разработайте сценарии реагирования. Готовый план действий при обнаружении новой угрозы — изолировать сегмент, отозвать доступы, уведомить поставщика — сокращает время и ущерб.

{{cta}}

Компрометация инфраструктуры через интернет-провайдеров и сетевые каналы

В этом случае злоумышленники атакуют не напрямую ваши серверы, а провайдера связи, через которого идет ваш трафик, или используют слабости сетевых каналов. Когда они получают контроль над маршрутизаторами, узлами связи или каналами передачи данных, то могут незаметно:

• подменять DNS-записи: сотрудники будут попадать на фальшивые сайты, когда вводят правильные адреса;
• внедрять вредоносный код в поток обновлений ПО;
• прослушивать и анализировать незашифрованный или слабо защищенный трафик;
• атаковывать каналы связи между офисами или с дата-центрами.

Последствия для бизнеса — утечки коммерческой тайны, компрометация обновлений, невидимый сбор данных.

Как защититься

1. Выбирайте надежных провайдеров и фиксируйте требования в договорах. Включайте в SLA пункты об информационной безопасности, прозрачности и уведомлениях о инцидентах.
2. Шифруйте трафик по умолчанию. Используйте VPN, TLS, end-to-end шифрование для всех критичных коммуникаций. Тогда даже при перехвате канала данные будут недоступны.
3. Сегментируйте и дублируйте каналы. Критичные процессы не должны зависеть от одного маршрута. Разделяйте производственный и офисный трафик, имейте резервный канал связи.
4. Контролируйте целостность обновлений. Включайте цифровые подписи, хеш-проверку, доверенные источники обновлений.
5. Следите за аномалиями сетевого трафика. Ставьте системы, которые заметят неожиданное изменение маршрутов, DNS-подмену или «лишние» пакеты.
6. Внедрите экспертное корпоративное обучение. Подготовленные сотрудники могут заметить подозрительные сертификаты или нестандартные предупреждения, что поможет выявить атаку раньше.

Промышленные кибершпионаж и атаки на OT-инфраструктуру

В производственных компаниях помимо обычных ИТ-систем есть операционные технологии (OT): линии управления, АСУ ТП, SCADA, датчики, контроллеры. При промышленном кибершпионаже злоумышленники тайно получают доступ к этим системам, чтобы выкрасть технологические секреты, планы, параметры производственных процессов.

Атаки на OT — шаг дальше: не только кража данных, но и вмешательство в работу оборудования, вплоть до остановки или саботажа.

Почему это серьезный риск

• В 2024 году на 7,5–7,8 % промышленных компьютеров в России ежеквартально фиксировалась вредоносная активность. Это один из самых высоких показателей в мире.
• В четвертом квартале 2024 года было публично подтверждено 107 инцидентов кибербезопасности в промышленности.
• Последствия для бизнеса — от утечки «ноу-хау» и коммерческих тайн до прямого простоя оборудования и штрафов регуляторов.

Как защититься

1. Сегментируйте IT и OT. Разделяйте производственные и офисные сети: отдельные домены, односторонние шлюзы.
2. Учитывайте и контролируйте все устройства. Составьте полный паспорт всех контроллеров, датчиков и ПО в производственной сети, включая версию прошивок.
3. Управляйте обновлениями и уязвимостями. Для OT нельзя просто «поставить патч», но можно планировать окна обновлений, использовать виртуальные патчи и изоляцию.
4. Отслеживайте аномалии. Внедрите системы, которые понимают, как должна работать технологическая сеть, и замечают отклонения.
5. Контролируйте подрядчиков и цепочки поставок. Многие атаки начинаются через инженеров-подрядчиков. Проверьте их доступы, обучите их правилам безопасности, включите это в контракты.
6. Разработайте план действий. Пропишите сценарии: что делать при подозрении на вмешательство в технологический процесс.

Поточная обработка доступа

После того, как злоумышленник получил первый доступ — через фишинг или уязвимость, он старается не устанавливать очевидные вирусы, а использовать ваши же штатные инструменты: системные утилиты Windows, PowerShell, встроенные службы администрирования. Так атака выглядит как обычная работа сотрудника или администратора.

Почему это серьезный риск

• По данным расследований Kaspersky Incident Response, Mimikatz для сбора паролей использовался в 21,8 % инцидентов, PsExec для удаленного запуска — в 20 %. Это штатные или открытые утилиты, а не «хакерский софт».
• При поточной обработке доступа злоумышленник тихо перемещается по сети, повышает права и готовит основную атаку незаметно для стандартного антивируса.
• Бизнесу сложно обнаружить такое проникновение, а утечки и подготовка саботажа могут идти неделями.

Как защититься

1. Сократите лишние права и доступы. Четко ограничьте, кому реально нужны административные инструменты и на каких серверах.
2. Разделите роли и среды. Отделите администраторскую учетную запись от обычных. Для критичных операций выделите отдельный сервер управления.
3. Внедрите контроль действий администраторов. Системы Privileged Access Management (PAM) записывают все действия и блокируют подозрительные команды. Это снижает риск злоупотреблений и атак.
4. Введите поведенческий мониторинг. Системы мониторинга фиксируют не только вирусы, но и аномальное использование штатных утилит.
5. Проводите регулярные учения и проверки. Проверяйте, как ваша команда реагирует на «скрытые» атаки: например, внезапный запуск необычного PowerShell-скрипта.

DDoS-атаки

При DDoS-атаке злоумышленники скоординированно отправляют на ваш сайт или сервис огромный объем запросов. Сервис не справляется и перестает отвечать клиентам или партнерам.

Почему это серьезный риск

• Это не взлом данных, а парализация бизнеса: сайт, интернет-банкинг, CRM или колл-центр становятся недоступны в момент пиковой нагрузки: акции, распродажи, отчетности.
• В 2024 году российские компании подверглись 508 тысячам DDoS-атак — почти вдвое больше, чем в 2023 году. Фиксировались пиковые мощности до 1,2 Тбит/с.
• DDoS-трафик вырос на 53 %, до 1,56 млн запросов в секунду, а длительность атак — до 49 часов.
• Компании получают прямой и косвенный ущерб: теряют выручку и репутацию, платят штрафы за срыв SLA.

Как защититься

1. Включите защиту от DDoS в базовую инфраструктуру. Заключите договор с провайдером анти-DDoS или выберите облачный сервис фильтрации.
2. Планируйте и тестируйте сценарии реагирования. У службы безопасности и ИТ должны быть четкие шаги: как переключиться на резервный канал, кого уведомить, как информировать клиентов.
3. Проводите мониторинг и раннее предупреждение. Системы, которые отслеживают трафик, позволяют заметить аномалию заранее и включить фильтрацию до падения сервиса.
4. Распределяйте нагрузки и дублируйте сервисы. Используйте CDN, резервные площадки и балансировщики, чтобы сервис не зависел от одного канала. Это снижает эффект даже при мощной атаке.
5. Информируйте клиентов и партнеров. Прозрачная коммуникация в момент инцидента помогает сохранить доверие и избежать паники.

«Гибридные» цепочки

В «гибридной» цепочке злоумышленник комбинирует несколько методов в одном сценарии: технические атаки (уязвимости, вредоносное ПО) + приемы социальной инженерии (фишинг, звонки, подмена доверия) + атаки на подрядчиков или облака. Пример:

фишинговое письмо бухгалтеру → кража учетных данных → использование токена для входа во внутреннюю сеть → запуск скриптов PowerShell → проникновение в систему подрядчика через VPN → проникновение в OT-сегмент.

В промышленности и ТЭК 35 % атакующих групп используют несколько векторов одновременно.

Привычные «одномерные» меры — только антивирус или обучение — больше не спасают. Атака может начаться через одного поставщика, продолжиться через сотрудника и закончиться в производственных системах.

Как защититься

1. Смотрите на риски комплексно. Рассматривайте безопасность не как набор отдельных «коробок», а как процесс управления риском цепочки.
2. Управляйте цепочкой поставок. Включайте в договоры с подрядчиками требования к кибербезопасности, проверяйте их доступы, используйте сегментацию для партнерских соединений.
3. Интегрируйте технические и организационные меры. Один инструмент не закроет гибридную атаку. Используйте комплекс антивирус + EDR + обучение + MFA + сегментация.
4. Постоянно собирайте информацию об угрозах. Threat Intelligence показывает реальные схемы атак в вашей отрасли — вы сможете защититься заранее.
5. Обучайте сотрудников. Проводите учения по «гибридным» сценариям: одновременно фишинг, утечка подрядчика и DDoS. Это отрабатывает координацию между подразделениями.

Киберугрозы для бизнеса — полноценный операционный и стратегический риск. Снизить его поможет системная безопасность информационных технологий:

• инвентаризация активов;
• приоритизация уязвимостей;
• многофакторная аутентификация;
• сегментация сетей;
• контроль подрядчиков;
• обучение сотрудников;
• готовые сценарии реагирования.

Кибербезопасность — это инвестиция в устойчивость, доверие клиентов и конкурентное преимущество.

{{cta}}