Цифровизация повышает вероятность кибератак в отраслях

Сетевые решения, внедрение умных устройств, переход на цифровые форматы, интеграция с ИТ-инфраструктурой — модернизация систем безопасности меняет привычное понимание надежности. В 2025 году на передний план выходит киберзащищенность систем и оконечных устройств. При этом риски затрагивают не только технические характеристики оборудования, теперь безопасность требует пересмотреть формат взаимоотношений с подрядчиками и контрагентами. И не доверять никому.

Самые распространенные кибератаки 2024 года

По данным исследования ландшафта киберугроз Threat Zone 2025, в 2024 году самой атакуемой сферой стал госсектор. На его долю пришлось 15% от общего числа кибератак, нацеленных на российские организации. На втором месте финансовая отрасль (13% атак). В 11% случаев злоумышленники атаковали транспортные и логистические организации. При этом в 2024 году стали реже атаковать ритейл. Если в 2023 году на отрасль приходилось 15% всех кибератак, и по этому показателю она опережала все остальные, то в 2024-м представители розничной торговли становились целью всего в 4% случаев, а компании из сферы электронной коммерции — в 9%.

Чаще всего атаковали организации России и других стран СНГ с финансовой мотивацией — как правило, чтобы запросить выкуп за расшифровку важных данных и восстановление доступа к ИТ-инфраструктуре. С такой целью в 2024 году было совершено 67% кибератак. Каждая пятая кибератака (21%) совершалась с целью шпионажа. По сравнению с 2023 годом этот показатель вырос: раньше он составлял 15%. Оставшиеся 12% пришлись на атаки хактивистов — злоумышленников, которые совершают атаки из идеологических соображений.

Самым популярным способом получения первоначального доступа в ИТ-инфраструктуры компаний стали фишинговые электронные письма. В 2024 году 57% целевых атак на российские компании начинались именно с фишинга. В 27% атак злоумышленники использовали легитимные учетные записи, службы удаленного доступа или компрометировали подрядчиков. 13% атак преступники совершали, эксплуатируя уязвимости общедоступных приложений.

Отдельно стоит упомянуть атаки через подрядчиков. Злоумышленники продолжают атаковать подрядчиков и поставщиков услуг, чтобы через их инфраструктуру скомпрометировать другие компании: успешная компрометация даже одного подрядчика может открыть доступ к конфиденциальным данным множества организаций. В 2024 году в среднем по всем отраслям количество атак через поставщиков составило 5%. Однако в некоторых сферах этот показатель значительно выше. Например, в государственном секторе доля таких атак достигла 16% от общего числа.

На что нацелены киберпреступники

В 2024 году больше всего киберинцидентов пришлось на финансовый сектор (29%). На втором месте — промышленное производство (20%), а на третьем — инженерия (19%). Несмотря на то, что финансовые организации лидируют по количеству инцидентов, подавляющее большинство кибератак не приводит к высококритичным киберинцидентам. Другими словами, злоумышленникам не удается скомпрометировать хотя бы один элемент ИТ‑инфраструктуры и повлиять на его работу. Это связано с тем, что отрасль традиционно предъявляет повышенные требования к кибербезопасности. 

Что помогало противостоять киберугрозам в 2024 году

Своевременное расследование инцидентов и мониторинг угроз

Если в компании выстроена функция мониторинга и реагирования (за счет собственного SOC или с помощью MSS-провайдера), то обычно специалистам хватает от нескольких минут до нескольких часов, чтобы обнаружить атакующих в инфраструктуре и пресечь их действия. Если же SOC в организации отсутствует, то среднее время до обнаружения злоумышленников составляет 25 дней, а в некоторых случаях может доходить и до нескольких лет. Компании с высоким уровнем зрелости в области кибербезопасности регулярно проводят оценку на компрометацию (Compromise Assessment). По сути, это похоже на регулярный чекап — специалисты анализируют наличие потенциальных инструментов злоумышленников и выявляют активные атаки или недавние инциденты.

Создание стратегий по кибербезопасности

Одна из стратегий включает так называемый угрозоцентричный подход. Он предполагает построение защиты на основании данных о реальных атаках. Сбор киберразведданных, содержащих методы и инструменты злоумышленников, активных в конкретном регионе, помогает предсказывать возможные атаки, качественнее обнаруживать попытки проникновения в инфраструктуру и предотвращать потенциальный ущерб.

Работа с атаками на объекты

Эффективно выявлять атаки на компоненты АСУ ТП (например, SCADA-системы) возможно за счет регулярного мониторинга на предмет активности злоумышленников (подозрительные действия, изменение конфигураций и т. д.). 

Что поможет противостоять киберугрозам в 2025 году 

Одним из ключевых трендов 2025 года может стать активное внедрение модели нулевого доверия (zero trust). Она основывается на концепции, предполагающей отсутствие заранее предоставленного доверия любому субъекту внутри или снаружи сети организации. Технологическое воплощение концепции zero trust — решения zero trust network access (ZTNA). Они проверяют устройства пользователей на безопасность и аутентифицируют их при подключении к сети, предоставляя доступ только к заранее определенным ресурсам.

На данный момент на рынке нет комплексных отечественных решений ZTNA от одного вендора, но этот сегмент будет развиваться в 2025 году, в том числе за счет создания российских решений класса ZTNA.

Также на подход к сетевой безопасности в 2025 году повлияет рост популярности использования российских облачных сред. Компании будут чаще обращать внимание на решения по мониторингу трафика, интегрированные в облака. Кроме того, возможно появление первых решений класса CASB (cloud access security broker) для контроля доступа к облачным решениям.

Список ключевых технологий и инструментов для обеспечения сетевой безопасности в 2025 году может выглядеть примерно так:

1. NGFW останется в качестве основного инструмента работы с периметральным трафиком.
2. NTA/NDR — инструмент выявления сложных атак в трафике — постепенно придет на замену стандартным IDS-/IPS-решениям.
3. Secure Web Gateway продолжит использоваться в качестве шлюза веб-безопасности.

Риски и угрозы в аспекте киберзащищенности систем безопасности: 

1. Интеграция в сеть и IoT. Интеллектуальные системы (пожарная сигнализация, СКУД, видеонаблюдение) подключаются к интернету и корпоративным сетям, расширяя поверхность атак. 
2. Единые точки отказа.Взлом одной системы (например, СОУЭ) может парализовать всю инфраструктуру безопасности. 
3. Риск физического ущерба.Кибератака на пожарную сигнализацию и сетевые устройства контроля доступа в составе единой комплексной системы способна заблокировать эвакуацию или открыть доступ злоумышленникам. 
4. Уязвимости ПО и прошивок.Устаревшее программное обеспечение устройств — лазейка для внедрения вредоносного кода. 
5. Целевые атаки на жизненно важные объекты. Системы безопасности критической инфраструктуры (аэропорты, ТЭК) — приоритет для хакеров и кибершпионажа.