Фокус смещается

Сегодня кибератаки носят скорее геополитический характер, то есть у большинства из них не финансовая мотивация. Об этом на конференции Positive Tech Day в Новосибирске заявил бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий. По его словам, под атаки попадают практически все отрасли без исключения. Наиболее популярны у киберпреступников госучреждения, объекты промышленности и IT-компании. Так, в феврале 2025 года Роскомнадзор отразил 822 DDoS-атаки на российские системы госуправления, а самая длительная атака продолжалась 71 час. В мае в результате массированной DDoS-атаки произошел крупный сбой в работе нескольких ключевых государственных сервисов, включая платформы ФНС, «Госключ», «Честный знак».

Если говорить об атакующих группировках, то в Сибири они такие же, что и по всей стране: Cloud Atlas, Lazy Koala и т.д.

В фокусе киберпреступников также инфраструктура городов и медицинские организации. Этот тренд выявлен и в Новосибирске.

— На наш взгляд, формирование этой тенденции связано с цифровизацией медицины и переносом персональных данных, а также прочей чувствительной информации из бумажных карт в электронные. Как следствие, эта информация становится очень интересной для злоумышленников. Они ее продают либо начинают шантажировать людей с помощью полученных данных. При этом медицинские структуры исторически недооценивали вопросы кибербезопасности и не инвестировали в нее, поэтому сейчас мы видим рост количества инцидентов в этом секторе, — констатировал собеседник редакции в разговоре с корреспондентом Infopro54.

По наблюдению эксперта, когда медицинские данные утекают, организация либо вынуждена уходить с рынка, потому что не выдерживает конкуренции, либо в авральном режиме начинает заниматься перестройкой своих систем безопасности. Как правило, на это уходит несколько кварталов, что сказывается на конкурентоспособности компании на рынке.

Что касается госструктур, то, по словам министра цифрового развития Новосибирской области Сергея Цукаря, цифровизация сейчас внедряется во многие процессы управления регионом.

— Внедряя цифровизацию, становясь все больше от нее зависимыми, мы видим и рост количества угроз информационной безопасности. Внедряя новые решения, в том числе с искусственным интеллектом, генеративными моделями, тоже нужно понимать, какие риски тут могут возникнуть и как с ними бороться. Кроме того, мы видим, что постоянно меняется модель угроз, и на это тоже нужно вовремя реагировать, — заявил чиновник.

Он напомнил, что Новосибирск является пилотным регионом для апробации решений по информационной безопасности, для выработки новых подходов контроля за генеративными моделями, чтобы они вели себя адекватно, в том числе при взаимодействии с гражданами.

Дефицит кадров

Алексей Лукацкий пояснил Infopro54, что ключевые проблемы, связанные с киберугрозами, актуальны для всех регионов России, в том числе для Новосибирской области.

— Эти проблемы сегодня экстерриториальны. Прежде всего, это сложности, связанные с нехваткой людей. Хотя в Новосибирске с кадрами ситуация попроще, учитывая Академгородок, а также большое количество вузов, которые готовят специалистов по кибербезу. Причем эти специалисты чаще всего остаются в регионе и идут работать в местные компании, — отметил эксперт.

Эту информацию подтвердил Сергей Цукарь. По его словам, сейчас в регионе работают около 30 тысяч айтишников. Кроме того, область является крупнейшим центром в России по подготовке специалистов в сфере информационной безопасности.

При этом собеседник редакции признал, что даже подготовленный специалист не всегда может быстро выявить кибератаку. По его словам, пока человеческий мозг устроен так, что «цифра» инстинктивно не воспринимается им как угроза. Для отработки таких навыков на уровне рефлексов должны пройти годы.

— Именно поэтому мошенники каждый раз находят новый крючок, за который можно зацепить человека, заставить его открыть сообщение в мессенджере, в почте — где угодно, а потом через это сообщение начинается атака на систему уже внутри организации, даже если сотрудник открыл сообщение на телефоне или на домашнем компьютере. Дело в том, что смычка между корпоративной и личной персональной кибербезопасностью сейчас исчезла. Все носят личные устройства на работу и с работы, пересылают документы, и злоумышленники также прекрасно перескакивают из одной точки в другую, — констатирует эксперт.

Недооценка угрозы

На втором месте находится дефицит средств. Алексей Лукацкий напомнил, что последние три года во многих компаниях перестраиваются логистические цепочки и производство, то есть ключевой объем финансовых ресурсов уходит на реструктуризацию и развитие основного вида деятельности компании. На второстепенные вещи, к которым до сих пор многие относят кибербезопасность, средства направляются по остаточному принципу. Это эксперт назвал главной причиной роста количества киберугроз.

— Я сейчас участвуют во многих MBA-программах по обучению топ-менеджеров и вижу, что отношение к кибербезопасности во многих компаниях застыло на уровне десятилетней давности. Многие руководители недооценивают важность этой темы. Для большинства генеральных, финансовых директоров кибербез — это все еще вирусы, дурацкое сообщение, пропущенное фильтрами, которое они получают по почте и из-за которого происходит утечка данных. А бороться с этим можно с помощью антивируса. Сейчас на «цифру» завязано огромное количество процессов, в том числе в производстве. Очень многое в бизнесе зависит от скорости получения информации с датчиков и сенсоров в промышленности, со всех узлов в офисной инфраструктуре, а все это завязано на «цифру». В такой ситуации любой сбой приводит к тому, что бизнес встает. В лучшем случае на несколько дней, в худшем случае — на кварталы, — констатировал собеседник редакции.

В качестве примера он привел атаки на крупные транспортные и авиационные компании, на ритейл, предприятия, на сети аптек. Практика показывает, что, столкнувшись с киберинцидентом, многие компании вынуждены останавливать весь свой онлайн-бизнес, а для многих это 30−50% доходов, так что некоторый бизнес вообще уходит с рынка.

— Например, сейчас мы наблюдаем, что произошли несколько атак на крупных поставщиков решений, у которых в результате встали многие бизнес-процессы. Небольшие организации, завязанные на них (через них поставляли или, наоборот, им поставляли комплектующие запчасти и так далее), не смогли перестроить свои процессы на новых потребителей продукции и, не имея свободных финансовых средств, вынуждены были объявлять процедуру банкротства, — рассказывает Алексей Лукацкий.

Игнор импортозамещения

Третья причина — это импортозамещение. Многие российские компании продолжают использовать зарубежные решения, несмотря на требования о переходе с начала 2025 года на отечественные операционные системы и приложения. Самый яркий пример — Windows. Пользователи не могут нормально обновлять зарубежные решения, а значит, уязвимости остаются, накапливаются, появляются новые, и через них злоумышленники проникают внутрь IT- системы компании.

— В такой ситуации получается, что компания даже может быть и инвестирует в защиту своего периметра, но через другие векторы. Злоумышленники входят в систему через электронную почту, через мессенджеры и так далее, чувствуют себя в ней как дома, и это как снежный ком распространяется по всей внутренней инфраструктуре, — резюмирует Алексей Лукацкий.

По его словам, многие топ-менеджеры российских компаний, только оценив последствия таких ситуаций, начинают приравнивать кибератаки к нехватке ликвидности, к повышению ключевой ставки Центрального банка, то есть относиться к ним серьезно.

Ранее редакция сообщала о том, что российский рынок кибербезопасности к 2028 году достигнет 715 млрд рублей. В течение следующих пяти лет ожидается среднегодовой темп роста рынка в 23,6%.