Киберзащитная реакция
Как бизнес адаптируется к хакерским атакам, несмотря на их постоянный рост
К началу 2025 года на российском IT-рынке сложилась на первый взгляд парадоксальная ситуация: количество кибератак, в том числе весьма болезненных для компаний, продолжает расти. В то же время сам бизнес постепенно привыкает жить в условиях этой нагрузки и в ряде случаев даже сокращает инвестиции в механизмы противодействия таким угрозам. Впрочем, отчасти это объясняется высокой стоимостью заемных средств и как следствие долгой окупаемостью таких затрат.
Фото: Евгений Павленко, Коммерсантъ
Фото: Евгений Павленко, Коммерсантъ
На российские компании и организации госсектора продолжаются кибератаки, число которых неизменно растет. Так, по оценке вендора ИБ-решений ГК «Солар» (входит в структуры «Ростелекома»), число киберинцидентов за 2024 год увеличилось больше чем на четверть. По оценке экспертов Positive Technologies, количество именно успешных атак на российский бизнес в 2024 году относительно 2023 года выросло практически в два раза. При этом киберпреступники активно адаптируются к изменениям IT-ландшафта российских организаций: например, эксплуатируют уязвимости именно в отечественном программном обеспечении (ПО), говорят в компании.
«Количество кибератак за год увеличилось примерно в два раза»,— оценивают в «Информзащите». Долю критичных инцидентов там оценивают примерно в 10% от общего числа кибератак за прошлый год. «Критичность заключалась в том, что атака привела к остановке работы компании или сервиса или были потеряны чувствительные данные, в том числе информация о клиентах, партнерах и сотрудниках»,— говорит директор центра мониторинга и противодействия кибератакам IZ:SOC компании Александр Матвеев. Большая часть критичных инцидентов пришлась на промышленность (около 40%), IT и телеком (около 30%), а также на госучреждения (около 15%). Похожие данные приводят аналитики RED Security (входит в структуры МТС): на промышленность пришлось более трети от общего числа всех атак, а также 28% от высококритичных (см. инфографику).
Как рассказали “Ъ” в Роскомнадзоре, в 2024 году службе поступило 200 уведомлений об утечках данных, в 2023-м — 380. «Оператор, допустивший утечку персональных данных, обязан в течение 24 часов уведомить об этом Роскомнадзор»,— напоминают там. В 2024 году наибольшее количество утечек зафиксировано у компаний, работающих в сфере торговли и оказания услуг, тогда как в 2023 году — среди компаний, работающих в сфере страхования, медицинских услуг, торговли, образования.
В то же время такой острой реакции на рост киберинцидентов, как отрасль наблюдала в 2022 году — тогда российские организации столкнулись с кратным ростом атак, связанных с политической мотивацией злоумышленников,— по итогам 2024 года не последовало. В том числе доля политически мотивированных атак (совершаемых «хактивистами») по итогам года составила всего около 12%, следует из итогового отчета компании BI.ZONE. Выражается адаптация компаний к внешним факторам и в оптимизации расходов на кибербезопасность.
Защита отдаляется от средств
Одним из подтверждений изменения отношения организаций к киберугрозам становится перераспределение, а в ряде случаев и сокращение бюджета на это направление. В ГК «Солар» считают, что бизнес начал пересматривать стратегию собственной кибербезопасности. «Она обычно составляет от 6% до 10% от всего IT-бюджета, однако ее доля растет — до 2022 года она была в два-три раза меньше»,— считают в компании. Но растет интерес к аутсорсинговой модели ИБ, поскольку не все компании имеют необходимый бюджет для построения всей инфраструктуры.
Специалисты BI.ZONE в своем отчете отмечают: «Рынок кибербезопасности в 2025 году продолжит расти, но темпы роста снизятся по сравнению с 2022–2024 годами». Основная причина замедления, по мнению аналитиков, связана с финансовой сферой: высокая ключевая ставка ЦБ (21% на январь 2025 года) ограничивает бизнес в привлечении финансирования для крупных вложений.
Такой же тренд в своем «Прогнозе развития рынка кибербезопасности в РФ на 2024–2028 годы» приводит Центр стратегических разработок (ЦСР): если в прогнозе 2023 года объем рынка в 2024 году должен был составить 334 млрд руб., то по скорректированным с учетом новых факторов данным он достигает на конец года только 302 млрд руб. (см. инфографику). «Можно видеть снижение темпов импортозамещения продуктов ИБ по сравнению с прошлогодними оценками»,— пишут эксперты ЦСР в отчете.
«Одна из причин, почему компании выделяют недостаточно средств,— стоимость продуктов для кибербезопасности. На рынке она высокая, а вот экономический эффект от данных вложений растянут во времени»,— соглашается главный инженер проектов по направлению ИБ компании «Уралэнерготел» Мария Глухова. На сегодняшний день, говорит она, в ситуации ограничения бюджетов на IT компании делают выбор в сторону проектов с быстрым экономическим эффектом: «Единоразово внедрение ИБ может занимать до 100% бюджетов на IT, это значит, что IT-бюджет должен вырасти в компании вдвое».
На этом фоне ожидания страховых компаний спроса на их продукты для страхования от киберрисков (защищает бизнес от рисков, связанных с хранением данных, а также работой с IT-инфраструктурой) выглядят несколько завышенно. По прогнозу страхового брокера Mainsgroup, объем рынка киберстрахования может показать рост более чем в два раза и превысить 3 млрд руб. по итогам 2024 года. «Страховщики заинтересованы в киберстраховании, поскольку это несформированный рынок с минимальной конкуренцией»,— говорил совладелец Mainsgroup Сергей Худяков (см. “Ъ” от 14 октября 2024 года). Однако чуть позже глава «Национальной страховой информационной системы» Николай Галушин заявлял, что пока сами участники рынка не могут предложить потенциальным клиентам единые условия такого страхования.
Трудности перехода
Согласно указу президента от 1 мая 2022 года №250, компании и организации госсектора, а также относящиеся к критической информационной инфраструктуре (КИИ: промышленность, банки и т. д.) должны были с 1 января 2025 года перестать работать на иностранных системах защиты. При этом, как заявила начальник управления ФСТЭК России Елена Торбенко в рамках «Инфофорума-2025» 5 февраля, только 13% субъектов КИИ сейчас имеют «минимальный уровень ИБ-защиты». «Это очень низкий показатель, и уровень реализации законодательных инициатив остается недостаточным»,— обращает внимание она. В Минцифры свою оценку импортозамещения в области ИБ “Ъ” не предоставили.
По оценке компании «Код Безопасности», на данный момент миграцию на отечественные продукты прошли 60–70% организаций госсектора и лишь 35–40% частного бизнеса. «Замена оборудования и ПО, которое долгие годы работало в IT-инфраструктуре организации, это сложнейшая операция, связанная как с финансами и ресурсами, так и с перестройкой всех рабочих процессов»,— напоминает коммерческий директор компании Федор Дбар. «Компании не успевают импортозаместить все решения, которые подпадают под требования законодательства»,— объясняет “Ъ” заместитель гендиректора ЦСР Екатерина Кваша. В кибербезопасности и IT в целом слишком велика единовременная финансовая нагрузка, новые решения требуют времени на внедрение, обучение персонала, обновление внутренних регламентов.
«Общий уровень импортозамещения ИБ в России можно оценить в 60%. В бизнесе процент в районе 50%, он не сталкивается с такими жесткими регуляторными требованиями, как госорганы и госкомпании»,— говорит Александр Матвеев из «Информзащиты». По его словам, «у многих планы импортозамещения до 2027 года».
«В России налицо смещение фокуса с решения реальных задач кибербезопасности на выполнение требований регуляторов»,— считает руководитель группы защиты инфраструктурных IT-решений «Газинформсервиса» Сергей Полунин. Импортозамещение призвано решить задачу снижения зависимости от зарубежного ПО и оборудования, но оно «никак не помогает бороться с угрозами». Согласно его прогнозу, бизнес в 2025 году будет фокусироваться на реальной безопасности критически важных элементов инфраструктуры.
Прогресс усложняющий
Рост кибератак в целом эксперты «Информзащиты» связывают с активной автоматизацией киберпреступности: использованием искусственного интеллекта (ИИ) и технологий машинного обучения. Преступники использовали их на 30% чаще, чем годом ранее, отмечают там. Успешнее всего — для первоначального доступа в IT-инфраструктуру, подготовки инструментария и фишинговых атак (около 70% от всех атак с использованием ИИ), оценивает руководитель группы аналитиков центра мониторинга и противодействия кибератакам IZ:SOC компании Сергей Сидорин. Так, при фишинговых атаках ИИ помогает злоумышленникам составлять текст рассылки, создавать фишинговые страницы, а также автоматизировать рассылку. «Это позволяет значительно расширить круг потенциальных жертв»,— добавляет эксперт.
При этом еще в середине 2024 года эксперты по кибербезопасности отмечали, что на теневых ресурсах становится все больше доступных инструментов для кибератак (см. “Ъ” от 15 мая 2024 года). Например, стоимость аренды вредоносной программы для поражения IT-инфраструктуры жертвы сейчас составляет $50 в месяц, что может кратно окупиться в случае успешного киберинцидента (см. колонку). С этим, в частности, может быть связано и снижение доходов даркнет-магазинов после пика (более $3 млрд) в 2021 году (см. инфографику).
В свою очередь, специалисты по кибербезопасности в России уже используют те же технологии ИИ в средствах защиты. Часто как инструмент для автоматизации рутинных процессов, например, в работе центров реагирования (SOC), антифрод-решениях и для проведения автоматических пентестов (тестирований), рассказали в «Информзащите». В более сложных вариантах ИИ применяется для поиска аномалий при работе центров мониторинга и противодействия кибератакам.