Руководитель практики инфраструктурного консалтинга
и ИБ компании Axenix
В последнее время мы резко столкнулись с усилением кибератак, направленных на компании из социально-значимых секторов: ритейл, гражданская авиация, фарминдустрия. Они вызывают громкий медиа-эффект и влияют на настроения в обществе, а потому — требуют к себе самого серьезного отношения. К чему готовиться далее, как правильно реагировать и в какую сторону развивать ИБ-периметр компаний — специально для Cyber Media мнением поделился Николай Ульрих, руководитель практики инфраструктурного консалтинга и ИБ компании Axenix.
Если раньше последствия взломов в киберпространстве не так сильно отражались на гражданах, поскольку жертвами хакеров становились ИТ-системы и инфраструктура крупных банков, госкорпораций или промышленных гигантов, то сегодня фокус атак смещается. Взломы становятся «ближе к людям» и буквально влияют на повседневную жизнь.
Так, недавний взлом крупного алкогольного ритейлера остановил работу всей сети магазинов на несколько дней. Масштабный инцидент у авиаперевозчика парализовал системы бронирования и вызвал массовые задержки рейсов. К цепочкам инцидентов добавились атаки на аптечные сети: сбои в электронных кассах и рецептурных сервисах вызвали заметные неудобства для покупателей.
Мы наблюдаем переход к новой парадигме киберугроз, когда удары наносятся по тем секторам, которые обеспечивают базовые потребности граждан: транспорт, здравоохранение, доступ к товарам первой необходимости.
Развитие событий свидетельствует о том, что цель атакующих — не просто заработать на шифровальщике, а создать ощутимый информационный шум, вызвать массовое раздражение, дестабилизировать повседневные процессы. Киберугрозы стали частью и социальной реальности.
В штате компаний, ставших новыми мишенями злоумышленников, как правило, нет серьезных, «прокаченных» ИБ-команд, опирающихся в своей работе на зрелые процессы киберзащиты. Все внимание сосредоточено на том, чтобы цифровизировать бизнес — автоматизировать производство и процессы.
Безопасность же часто оказывается в конце списка приоритетов, особенно на фоне необходимости экстренной адаптации к новым реалиям и замены базового стека зарубежного ПО. В результате складывается парадоксальная ситуация: компании, обеспечивающие нас едой, лекарствами и всем необходимым, оказываются неприкрытыми должным образом в плане базовой киберзащиты.
А риски здесь вполне осязаемы. Например, в агропромышленности используются промышленные системы управления, работающие с потенциально опасными веществами и оборудованием. В случае атаки можно получить не просто временную остановку процессов, а техногенную аварию. И пусть формально такие объекты не являются КИИ, их значимость от этого не становится меньше.
После ухода иностранных поставщиков бизнес в России оказался перед необходимостью срочно переходить на отечественные ИТ-решения. Требовалось сохранить работоспособность, пересобрав инфраструктуру практически заново.
Но в этом переходе ИБ часто оставалась за скобками. Новые ИТ-системы иногда внедрялись в спешке, без полноценного тестирования. А ведь любая недокументированная уязвимость, даже случайная, является потенциальной точкой входа для атаки.
Ошибочно считать, что проблема в самих продуктах, пришедших на смену иностранным. Проблема — в ИБ-культуре. Импортозамещение само по себе не создает каких-то особых новых уязвимостей, а вот массовое нежелание проводить аудит, тестирование, настраивать защиту — все это в сумме делает такие внедрения «дырявыми» по умолчанию. Проблемы могут возникнуть и в зрелых системах — если никто не занимается их защищенностью системно и регулярно.
Еще одна особенность здесь заключалась в так называемом «бумажном» характере корпоративных ИБ-решений: очень многие компании привыкли работать в условиях, когда обеспечивалось формальное соответствие требованиям регуляторов, не заботясь о реальной непробиваемости своего периметра в случае атаки.
Однако даже хорошо настроенная инфраструктура может быть взломана... изнутри: фактор инсайдера — один из наиболее опасных и недооцененных. Это может быть недовольный сотрудник, подрядчик с доступом к чувствительным данным или просто халатность. Добавим сюда типичные слабые места: не смененные пароли администраторов, устаревшие версии софта, отсутствующие патчи на давно известные уязвимости.
Часто атакующие проникают в систему через банальную фишинговую рассылку или вредоносную ссылку. Это не требует гениальной хакерской подготовки — достаточно халатности одного сотрудника, и всё предприятие может быть парализовано.
Формируется опасный «треугольник»: спешка с импортозамещением, отсутствие зрелых процессов ИБ и человеческий фактор. В этих условиях даже самый простой сценарий атаки может привести к серьёзным последствиям — от кражи данных до остановки ключевых бизнес-процессов.
Важно иметь в виду, что даже если внутри компании все построено правильно, угрозы могут прийти через подрядчиков, партнеров, поставщиков, даже через банальные IoT-устройства. В России большинство компаний тесно интегрированы с внешней средой. Логистика, бухгалтерия, зарплатные сервисы, внешние дата-центры, обмен с контрагентами — жизненно важная часть операционного ландшафта. И именно здесь может скрываться уязвимость, если взаимодействие не покрыто мониторингом ИБ. Буквально на днях таким образом пострадали некоторые пользователи одной из систем электронного документооборота: злоумышленники рассылали через ЭДО вирус, замаскированный под zip-архив с документами.
Управление рисками третьих сторон — то, чего почти не было в российских ИТ-ландшафтах до последнего времени. Компании обязаны строить не только свои собственные защитные рубежи, но и оценивать силу звеньев, с которыми они связаны. Потому что цепочка уязвимости рвется не в центре, а на самом тонком участке.
Растущая волна атак — прямое указание на необходимость пересмотра подходов к информационной безопасности. Сегодня киберинцидент это реальный бизнес-риск, который может нанести удар по финансовым результатам, репутации и самой возможности продолжать работу. И реагировать на это нужно не по остаточному принципу, а как на стратегическую задачу.
Проблема в том, что даже крупные компании и госкорпорации часто начинают заниматься ИБ всерьез только после громкого взлома. Государство ужесточает требования, накладывает штрафы, но это чаще всего приводит лишь к формальному соблюдению нормативов. Вместо осознанной защиты — отчеты «для галочки». Это путь в никуда.
Нынешняя ситуация — своего рода «wake-up call» для всего бизнеса. И здесь важно не впадать в панику, а выстраивать грамотную, реалистичную тактику: от первичного аудита и тестов на проникновение до внедрения регулярного контроля, тренингов для сотрудников и пересмотра всей модели ИБ. Если ты не проверяешь себя сам, то тебя проверит кто-то другой, и не факт, что ты успеешь среагировать.
Основа грамотного подхода лежит в понимании собственной ответственности. Никто не должен заставлять компанию тратить ресурсы на ИБ. Должно быть осознание своей зрелости и масштабов: если день простоя обходится в миллионы, значит и на защиту нужно смотреть через эту призму.
Например, недополученная суточная выручка упомянутого авиаперевозчика, по оценкам экспертов, может оцениваться в несколько сотен миллионов рублей, и это только прямые потери, без учета косвенных. Безопасность — это не страховка, а элемент устойчивости, заложенный в саму архитектуру бизнеса. Сильные компании способны предвидеть риски и работать на упреждение.
На фоне участившихся атак компании уже сейчас начинают лихорадочно искать подрядчиков, усиливать внутренние ИБ-команды, закупать новые решения. Рынок, по всей видимости, ответит ростом цен, особенно на услуги высококвалифицированных специалистов. Безопасники становятся новой элитой ИТ-сферы: их мало, их хотят все, и им готовы платить.
Однако именно в такие моменты возникает риск нерациональных трат. Когда вместо выверенной стратегии начинается охота за «модными» продуктами, решения приобретаются на эмоциях, а ресурсы уходят на хайп, а не на устранение реальных уязвимостей. В этой ситуации критически важно сохранять хладнокровие и инвестировать туда, где защита действительно нужна.
На первом месте должна быть ревизия текущей инфраструктуры: что уже есть, что давно не обновлялось, какие системы отстали от требований. Не менее важно тестирование бизнес-процессов на отказоустойчивость. Способна ли компания восстановиться после сбоя? Есть ли план действий на случай полной остановки?
Информационная безопасность должна перестать быть «черной дырой» в бюджете. Она должна стать управляемой инвестицией с понятными зонами риска, мерами воздействия и ожидаемым эффектом.
Информационная безопасность — это не только защита от вторжений, но и готовность к тому, что взлом произойдет. Поэтому у каждой компании должен быть не только план защиты, но и план восстановления. И чем быстрее он реализуем — тем меньше ущерб.
Показателен случай с авиаперевозчиком, о котором говорили выше: после крупного сбоя компания восстановила 90% рейсов уже на следующий день. Это и есть грамотная стратегия восстановления: пострадали не ключевые процессы, а вторичные.
На уровне ИБ-практик это называется disaster recovery и business continuity. Это сценарии и процедуры, позволяющие минимизировать время простоя (MTPD — maximum tolerable period of disruption) и запустить критически важные процессы даже в условиях частичного разрушения инфраструктуры. Такие планы должны быть не в теории, а в действии, регулярно отрабатываться и обновляться. Потому что, как показывает практика, система может «упасть» не только от кибератаки — но и, например, от отключения кондиционеров в ЦОДе.
Не существует универсального решения, одного продукта или подхода, который сразу защитит компанию. Есть только зрелость: способность оценить свои риски, внедрить процедуры, протестировать устойчивость и вовремя реагировать.
Да, потребуется комплексная работа — от базового pentest и анализа периметра до Red Team-операций, фишинг-тестов, работы с персоналом, безопасной разработки и постоянного обновления систем, а также конфигурации ИТ-ландшафта в соответствии с лучшими практиками ИБ и покрытием мониторингом систем и инфраструктуры. Но главное — понимание, что ИБ в новых условиях становится принципиально важным процессом, бизнес-функцией, влияющей на устойчивость всей компании.
Российский рынок сетевой безопасности в 2026 году перешел из фазы «экстренного импортозамещения» в стадию прагматичного выстраивания долгосрочных ИТ-стратегий.
Онлайн-игры переросли забаву — для детей это полноценная социальная среда, где формируются доверие, авторитет и цифровая идентичность.
Центры мониторинга ИБ все активнее внедряют AI/ML-модели, UEBA и LLM-ассистентов: автоматический триаж алертов, корреляция событий, приоритизация инцидентов и первичный анализ уже частично выполняются без участия человека.
Атаки на цепочку поставок стали одной из самых устойчивых и трудноуправляемых киберугроз для бизнеса.
Когда падает система уровня Sonata, становится очевидно: проблема не в ошибках пользователей и не в слабых паролях, а в самой архитектуре корпоративных мессенджеров.
С 1 марта 2026 года вступает в силу приказ ФСТЭК России № 117, который существенно меняет требования к защите информации в государственных информационных системах и смежных сегментах.
Еще несколько лет назад звонок от руководителя считался надежным подтверждением любого решения.
Ильдар Галиев, руководитель направления развития услуг «Кросс технолоджис», в статье для Cyber Media предлагает план, который поможет защитить бизнес, репутацию и укрепить отношения с крупными клиентами.
Современные атаки все реже начинаются с очевидного взлома периметра и все чаще развиваются внутри инфраструктуры.
Telegram, несмотря на все его проблемы в России, считается достаточно безопасным общедоступным мессенджером, но именно это доверие все чаще используют мошенники.
