Кибербезопасность и противодействие мошенничеству

Если говорить со стороны ИБ-вендора, то нам, конечно, хотелось бы, чтобы бюджеты на ИБ у заказчиков росли. Однако стоит признать, что качество безопасности обеспечивается не бюджетом, а умным подходом: насколько грамотно компания смогла построить модель угроз и др. Безопасность больше про организационные меры и культуру, нежели про бюджет. В пример можно привести смену паролей учетной записи в организациях. Если за этим следят, то и проникновений будет меньше. Конечно, бесплатно безопасность не достанется, однако кратно увеличивать бюджет, я считаю, не нужно.

Если организация инвестирует средства по основным своим уязвимым векторам — например, в защиту от web-атак, вредоносного ПО, в общий файрволл от сетевых атак, то уже можно сказать, что базово организация себя обезопасила. Дальше компания может строить дорогие SOC или инвестировать большие суммы в SIEM, но это не сделает ее безопаснее.

Вопрос: Как вы оцениваете динамику развития киберзащиты российских компаний за последние годы? Успешные атаки показывают, что пока ее уровень достаточно низкий, так ли это?

Это не совсем так, хотя смотря с чем сравнивать защиту российских компаний. Если атаковать условные малазийские организации, то у них «ляжет» вся инфраструктура страны. Информационная защита в этой стране крайне примитивна, так как все малазийские структуры, включая государственные, работают в облачных сервисах Google. В этом смысле наши компании сильно защищеннее.

Даже если смотреть в сторону облаков — до СВО многие компании размышляли о построении своей инфраструктуры в облачных сервисах. Уже после 2022 года, когда на практике были показаны отключения от иностранных облаков, все поняли, что таким способом выстраивать свои процессы небезопасно. Сейчас российские компании переходят на отечественные решения, либо на частные облачные сервисы.

Говорить о том, что атаки были совершенны из-за того, что компании не защищены — неправильно. Да, в ситуации с «Аэрофлотом», 12 Storeez, «Винлабом» или аптеками «Столички» были совершены определенные ошибки в области ИБ, однако нужно отдать должное руководителям этих компаний, все быстро восстановили свои сервисы.

Вопрос: Прогнозирование трендов, конечно, дело неблагодарное, но, если посмотреть на грядущий 2026 г., есть ли у вас уже представление, как будут меняться векторы атак, на что будут смотреть злоумышленники?

Вы знаете, где-то в конце девяностых появились макровирусы. И Евгений Касперский тогда предсказал, что в будущем основу для атак будут составлять именно они. После чего этот тип вирусов развиваться перестал. Стали ли причиной этому слова Касперского или же это просто так совпало?

То, что злоумышленники читают все подобные прогнозы экспертов, это безусловный факт. Я не люблю предсказывать тренды, потому что мое предсказание может послужить руководством к действию. Единственное, что я могу сказать: атаки, скорее всего, будут нарастать, и нужно к этому готовиться.

Вопрос: С начала года на российские компании было совершено большое количество кибератак, в частности, наиболее резонансные истории случились в июле: атаки на «Аэрофлот», «Винлаб», аптечную сеть «Столички». Как вы считаете, как вообще изменился ландшафт кибератак по сравнению с прошлым годом? Стали ли атаки мощнее и за счет чего? 

Кибератаки — это часть гибридной войны против нашей страны. Летом должна была состояться встреча Дональда Трампа и Владимира Путина, на линии фронта не было перемен, поэтому начались атаки на массовую IT-инфраструктуру. Ответственность за атаки взяли как украинские группировки, так и международные. Если еще три года назад значительная часть атак осуществлялась с целью монетизации, то теперь целями являются остановка работы, выведение из строя, разрушение инфраструктуры компании или предприятия. Причем атаки ведутся на предприятия, обслуживающие массовый сектор: не случайно была выбрана самая крупная авиакомпания, крупная аптечная сеть, сеть клиник и магазинов.

Я думаю, что предприятиям надо перестать думать, что они не будут атакованы. Атаковать сейчас могут любого. И важно иметь план на случай, когда это произойдет. «Аэрофлот» — хороший пример: хотя атака была серьезная и ошибок компанией до атаки было допущено много, компания не дала атаке распространиться дальше, очень грамотно отработала и смогла поднять работу своих критических систем за сутки.

Я бы судила не по тому, как компанию смогли атаковать, а по тому, как она смогла восстановиться после атаки. Возможность восстановления инфраструктуры становится критичной, и это основное различие с ситуацией, которая была раньше. Доля деструктивных атак неизменно растет последние годы и сейчас достигает 40% от всех атак.

Закон о противодействии кибермошенникам, введённый в действие в апреле 2025, затормозил скорость роста хищений (вторая производная пошла вниз). Но пока что объем похищенных денег не уменьшается, а по-прежнему растёт.

Всё могло бы быть значительно хуже, если бы с мошенничеством не боролись Банк России, МВД и операторы. Тут, конечно, у слушателя возникает вопрос — а можно ли было бороться эффективнее? Но вопрос, скорее всего, риторический, так как не с чем сравнить.

При перекрытии одних каналов воздействия и вывода средств, мошенники очень быстро переключаются на другие каналы. Например, замедлили Телеграм и Вотсап, теперь у злоумышленников стал пользоваться популярностью разрекламированный Max. Запугали дроперов, а мошенники уже перебежали в крипту.

Число атак не снижается, а растёт. Многие из них сейчас ведутся при помощи ИИ и дипфейков. И этот тренд набирает обороты.

Ещё один тренд — подсадка на смартфоны вредоносных программ. Причём способы, как заставить жертву установить себе вирус, очень разнообразны.