Анастасия Башкатова
Отечественные промышленные предприятия оказались очень интересны кибершпионам. Фото Reuters
Киберпреступники пытаются проникнуть в цифровую инфраструктуру российских предприятий с целью шпионажа. Выбор отраслей для взлома демонстрирует нацеленность таких хакеров на получение в режиме реального времени детализированной картины происходящих в экономике процессов – информации, которая, как правило, частично недоступна общественности, аналитикам, даже ведомствам из-за неполноты статистики. И как считают эксперты, основной целью в этом случае становится уже не просто кража данных, а, во-первых, долгосрочный мониторинг тенденций и, во-вторых, воздействие на экономику и политику.
Специалисты информационной безопасности перечислили наиболее атакуемые киберпреступниками сферы российской экономики.
Это госсектор (36% от расследованных инцидентов), промышленность (20%), IT-отрасль (12%), медицина (12%), энергетика (12%) и торговля – 8%. Такие результаты по итогам первого полугодия приводятся в новом отчете, обнародованном Центром исследования киберугроз Solar 4RAYS Группы компаний «Солар».
Хакеры фокусируют свое внимание на ключевых управленческих и экономических сферах страны. При этом все большая доля инцидентов приходится на деятельность профессиональных кибергруппировок, которым недостаточно новостных заголовков о дерзком взломе.
Такие кибергруппировки работают в интересах иностранных правительств, хотя иногда шпионская атака может приносить и финансовую выгоду, так как конфиденциальная информация, похищенная из перечисленных сфер, высоко ценится на черном рынке. По данным Solar 4RAYS, если классифицировать атаки киберпреступников с точки зрения целеполагания, то на шпионаж как на главную цель приходится 68% расследованных инцидентов. На втором месте с большим отрывом – финансовая выгода: около 20% случаев.
В исследовании приводится еще одна важная деталь: несмотря на то что большая часть атак (32%) длилась не дольше недели, сейчас наблюдается тренд на увеличение промежутка времени, в течение которого хакеры находились в атакуемой цифровой инфраструктуре.
Например, в первом полугодии доля инцидентов продолжительностью до месяца составила 16% против 9% за тот же период 2024-го, доля атак длительностью до двух лет тоже достигла 16% против 6%, а доля атак, предполагающих нахождение в сервисах жертвы свыше двух лет, выросла за тот же период с 3 до 8%. И это тоже можно расценивать как признак высокой активности хакеров, нацеленных именно на шпионаж.
Руководитель группы расследования инцидентов Solar 4RAYS Иван Сюхин пояснил «НГ», что злоумышленникам интересно буквально все: персональные данные, данные учетных записей, интеллектуальная собственность, данные о партнерах атакованных организаций, финансовая информация и другая внутренняя документация.
И самое главное – судя по перечисленным наиболее атакуемым отраслям, киберпреступники пытаются получить максимально полную и детализированную картину экономических и социальных процессов в стране, причем в режиме реального времени. Роскошь, недоступная многим, включая даже иногда профильные ведомства, – из-за всех тех ограничений, которые свойственны официальной статистике.
Например, очевидно, что госсектор аккумулирует большие объемы данных о населении страны, его половозрастном составе, финансовом положении и основных потребностях или уязвимостях с точки зрения запрашиваемой гражданами господдержки.
Наличие в списке наиболее атакуемых сфер промышленности – прямое свидетельство заинтересованности хакеров в информации о технологиях и объемах производства, о заказах, выполняемых промпредприятиями, включая, как можно полагать, гособоронзаказ. Наблюдение о том, что сейчас кибервзломщиков интересуют не только интернет-провайдеры, телеком-операторы, банки, но и предприятия, связанные с военно-промышленным комплексом, приводилось также в другом исследовании, проведенном и опубликованном ранее компанией «Инфосистемы Джет» (см. об этом «НГ» от 23.07.25).
Тот факт, что в списке наиболее атакуемых сфер оказалась медицина, можно трактовать как потенциальную заинтересованность хакеров в историях болезни россиян, в протоколах лечения и сведениях о лекарственной обеспеченности. Одна из гипотетических причин повышенного интереса киберпреступников к сфере энергетики, возможно, кроется в попытках хакеров заполучить больше сведений о нагрузках на энергокомпании и сети в территориальном разрезе, об экспортной активности. Впрочем, в этом случае не исключена также заинтересованность взломщиков не только в шпионаже, но и в реализации скрытого майнинга криптовалют.
Наконец, нацеленность хакеров на компании из сферы торговли гипотетически может свидетельствовать об их стремлении получить больше данных о масштабе и движении денежных потоков в стране, о спросе населения на продукцию, о товарных запасах. Не говоря уже о том, что сама по себе сфера торговли, которая все больше переходит в онлайн, тоже аккумулирует огромные массивы персональных данных.
Как пояснила «НГ» ведущий научный сотрудник лаборатории искусственного интеллекта Российского экономического университета им. Г.В. Плеханова Марина Холод, под шпионажем в этом контексте понимается и государственный, и промышленный шпионаж, который «заключается в сборе данных о стратегических проектах, технологиях, планах развития отраслей (особенно в энергетике и оборонной отрасли), закрытых решениях, переговорах, планах регулирования».
«Хакеры также нацелены на хищение коммерческой тайны (ноу-хау, патенты, контракты) в IT или промышленности. Помимо этого шпионаж направлен на получение больших данных (Big Data), которые необходимы для анализа макроэкономических тенденций, например, через изучение данных торговых сетей или логистических компаний, – отметила она. – А получение персональных данных становится целью хакеров для сбора компромата на чиновников, сотрудников силовых структур или бизнес-элиты».
При этом, по оценкам Марины Холод, основной задачей кибервзломщиков становится уже не просто кража данных, а, во-первых, долгосрочный мониторинг и, во-вторых, воздействие на экономику и политику.
Чтобы понять, как противостоять таким атакам, необходимо выявить наиболее слабые места в цифровой защите предприятий. Как показало исследование Solar 4RAYS, в большинстве случаев (46%) для совершения атаки хакеры использовали уязвимости в веб-приложениях, еще в 40% – скомпрометированные учетные записи. Около 7% расследованных атак начинались с фишинга (поддельных ссылок, страниц, сообщений). И тоже примерно 7% случаев приходились на атаки через поставщиков, подрядчиков или клиентов компании, ставшей главной мишенью.
Комментируя ситуацию с уязвимостью веб-приложений, гендиректор компании «Вебмониторэкс» Анастасия Афонина сообщила «НГ», что действительно не все организации уделяют должное внимание их безопасности.
«Корпоративные порталы для сотрудников, платформы для обмена данными с поставщиками и заказчиками, чат-боты для клиентов на сайте – часто такие приложения разрабатываются сторонними подрядчиками. Компания может не иметь времени, процессов или ресурсов для корректного внедрения сторонних решений и проверки их безопасности. В таких приложениях часто присутствуют критические уязвимости и ошибки бизнес-логики, которые открывают дверь злоумышленникам в инфраструктуру компании», – предупредила Афонина.
Также актуальна проблема использования устаревших версий программного обеспечения, в которых содержатся известные уязвимости. «Например, в первом полугодии 2025-го мы зафиксировали более 600 млн попыток атак на онлайн-сервисы наших клиентов, – сообщила Афонина. – И в большинстве случаев хакеры пытались проэксплуатировать уязвимости, которые появились еще 10–15 лет назад».
Помимо этого, как считает часть экспертов, немаловажную роль играет человеческий фактор. «Одним из самых уязвимых мест в информационной системе любой организации остается человек. Поэтому часто кибератаки начинаются с традиционной схемы – фишинга. Злоумышленники используют методы социальной инженерии, придумывают различные уловки, которые со временем становятся все изощреннее», – рассказал «НГ» руководитель центра Kaspersky GReAT в России Дмитрий Галов.
По его словам, для защиты от подобных приемов организациям важно выстраивать корректные внутренние политики безопасности и регулярно повышать уровень цифровой грамотности сотрудников.
В случае с фишингом и утечкой учетных записей очень многое зависит от действий персонала – как умышленных, так и неосознанных, подтвердила Марина Холод.
«Например, это передача паролей коллегам, установка непроверенного программного обеспечения, переход по вложенным ссылкам», – перечислила она.
«Пользователи часто применяют слабые и повторяющиеся пароли на разных ресурсах. Причем учетные данные от личных и рабочих аккаунтов нередко совпадают. А многочисленные утечки последних лет делают атаку типа «перебор пароля» достаточно эффективной, особенно благодаря активному использованию злоумышленниками ботов», – обратила внимание Афонина. По ее оценкам, проблема актуальна прежде всего для госсектора, где «каждая вторая атака на веб-приложение является брутфорсом (это попытка злоумышленников путем проб и ошибок угадать логины и пароли. – «НГ»)» .
К человеческому фактору можно отнести в принципе нехватку квалифицированных специалистов. А эта проблема уже напрямую связана с еще одним препятствием, с которым могут сталкиваться предприятия. Как считает Холод, причины, по которым оперативно не устраняются слабые места, уязвимости, продиктованы в основном недостатком финансирования – «особенно в госсекторе и промышленности, где бюджеты на информационную безопасность недостаточно растут, а часто и урезаются».
