Разборы >>> кибербезопасность

Россия в прицеле кибератак: как ИБ превращается в фактор макроэкономики

Юлия Игнатова • 12.12.25
В период с 1 июля 2024-го по 26 сентября 2025-го Россия стала целью 14–16% всех успешных кибератак в мире. Во что кибератаки обходятся экономике и бизнесу?
Юлия Игнатова

Юлия Игнатова

Выпускающий редактор Аргумент Медиа

ИИ-конспект

14% всех успешных кибератак в мире в 2024–2025 гг. пришлись на Россию. В зоне риска — госсектор, ИТ, промышленность и энергетика. Атаки становятся фактором экономического давления и дестабилизации.

Вымогательские атаки (ransomware) приводят к тройным потерям: простой, восстановление, потеря рынка. Даже крупные компании перестраивают системы с нуля, убытки достигают миллиардов.

Главная проблема — не отсутствие технологий, а слабая организация: нет планов восстановления, ИБ — формальность. В 2025-м хакеры все чаще атакуют подрядчиков и используют шум для сокрытия реального взлома.

«Это фронт гибридной войны»

В 2025 году суммарный ущерб от киберпреступности во всем мире оценивается в $10,5 трлн в год — в три с лишним раза больше, чем в 2015-м. И одним из ключевых пострадавших является Россия. По оценкам Positive Technologies, в период с 1 июля 2024 года по 26 сентября 2025-го 14% успешных кибератак в мире были направлены на Россию. Для страны с долей около 3% в мировой экономике такой масштаб — это следствие геополитического противостояния, которое влияет на экономическую сферу через призму IT.

И это уже не «абстрактная информационная безопасность», а фактор, напрямую влияющий на экономическую активность, затраты бизнеса, устойчивость инфраструктуры, занятость и социальную стабильность. Так же считает и депутат Госдумы Марина Ким:

«Сегодня это полноценный фронт гибридной войны, цель которого — не просто украсть данные, а посеять хаос и дестабилизировать общество».

Что такое кибератака в 2025 году

В бытовом представлении кибератака — это «хакеры взломали сайт». На практике спектр намного шире:

  • APT-атаки (Advanced Persistent Threat) — длительное скрытое присутствие в инфраструктуре ради шпионажа или саботажа. По данным RED Security SOC, в России за 2025 год их количество увеличилось на 20–22%. Последствия подобных вторжений уже ощутимы: летом хакерское вмешательство стало причиной масштабного сбоя в работе «Аэрофлота», что показало, как одна скрытая атака способна парализовать ключевые отрасли.
  • Вымогательские атаки (ransomware) — шифрование данных и инфраструктуры с последующим требованием выкупа. Лаборатория цифровой криминалистики F6 зафиксировала более 450 атак на российские компании в 2025 году, в которых суммы выкупов варьировались от 4 до 40 млн руб. В июле этого года сеть «Винлаб» подверглась такой атаке, из-за которой были закрыты тысячи магазинов по всей России, а прямые убытки от простоя магазинов оценивались в 1,5 млрд руб.
  • Хактивизм — атаки с политическими лозунгами и целью нанести репутационный ущерб. Летом 2025 года прошла серия кибератак, когда на отраслевых сайтах транспорта, торговли и промышленности появлялись лозунги против СВО. 
  • Финансово мотивированные атаки — кража денег и монетизация доступа к инфраструктуре. 

Современная кибератака — это все реже «разовый взлом» и все чаще многоходовая операция: проникновение, закрепление, разведка, шифрование, вымогательство и параллельная продажа доступа и украденных данных на теневых рынках.

Россия как одна из главных мишеней

По данным центра исследования киберугроз компании «Солар», только за десять месяцев 2025 года  в киберпространстве выявлено 18 устойчивых хакерских объединений, из них семь — новые, что минимум вдвое больше, чем годом ранее.

Около 61% атак профессиональных группировок в 2025 году — шпионские (рост на 7 п.п. год к году); финансово мотивированные атаки — 17% (–3 п.п.); хактивистские с громкими политическими заявлениями — 11% (–11 п.п.). То есть злоумышленники от шумных акций переходят к тихому, но системному шпионажу и подготовке инфраструктурных ударов.

В отраслевом разрезе чаще всего под прицел попадают:

  • госсектор — 33%;
  • промышленность — 20%;
  • ИТ-компании — 16% (резкий рост на фоне атак «через подрядчика»);
  • энергетика — 9%, где раньше подобных кейсов почти не регистрировали.

«Я бы выделила триаду: энергетика, транспорт и финансовый сектор. Удар по ним имеет мгновенный социальный эффект — от веерных отключений света до паралича транспортных узлов. Это именно тот мультипликативный эффект паники, которого добиваются наши геополитические оппоненты», — подчеркивает Марина Ким.

Например, летняя кибератака на «Аэрофлот» стала примером, когда кибератака буквально «приземлилась» на табло вылетов. В пиковый день, по оценкам отраслевых экспертов, было отменено до 42% рейсов: сбой в ИТ-системах моментально трансформировался в реальный простой воздушного флота, срыв логистики, материальные потери людей и партнеров компании. 

Для крупной авиакомпании это уже не про «киберриски», а про падение выручки, штрафы регуляторов, рост издержек и последующий рост цен на билеты. В более широком масштабе — удар по деловой активности и туризму.

Как меняется «инструментарий» атакующих

Solar 4RAYS фиксирует резкий рост применения RAT-вредоносов (Remote Access Trojan) — средств удаленного скрытого контроля за инфраструктурой жертвы. Во втором квартале 2025 года на них пришлось уже 24% всех заражений в российских организациях против 18% первого квартала 2025 года.

Причина проста: стилеры (ПО для кражи данных) крадут отдельные логины и файлы, а RAT дают атакующему пульт управления IT-системой:

  • возможность незаметно перемещаться по сети,
  • поднимать права доступа,
  • подключать сторонние инструменты,
  • продавать «готовый доступ» на теневых рынках.

Хакеры больше не тратят силы на создание уникальных вирусов для каждой цели. Сегодня рынок атак устроен как конвейер: «для рядовых» компаний используют массовые, слегка подточенные под задачу инструменты, а вот уникальные и дорогие вредоносы резервируют только для действительно крупных и защищенных жертв. Как объясняют в Solar, самописное ПО теперь применяется точечно — там, где нужна «ювелирная работа» и ручное управление.

Экономика киберриска: от тройных потерь до «перезапуска компании»

В 2025 году кибератаки становятся не просто технологической угрозой, а фактором прямого экономического давления на бизнес. По данным Allianz Risk Barometer 2025, киберинциденты четвертый год подряд занимают 1-е место среди глобальных бизнес-рисков, опережая сбои в цепочках поставок и макроэкономическую нестабильность. В российском контексте структура убытков все чаще формируется вокруг атак вымогателей. Именно они становятся самым затратным и разрушительным сценарием для компаний.

Шифровальщики — главный драйвер убытков

По данным Verizon, в 2025 году 37% всех нарушений кибербезопасности в мире были связаны с программами-вымогателями. Это объясняет, почему именно этот тип атак лидирует по финансовому урону. Независимый эксперт по информационной безопасности Денис Макрушин подчеркивает системный характер проблемы:

«Преступники одновременно шифруют данные, крадут их и угрожают публикацией. Бизнес простаивает, тратит ресурсы на восстановление, теряет доверие клиентов и партнеров. Даже если компания заплатит выкуп, нет гарантии полного восстановления данных и того, что инцидент не повторится».

Отдельный экономический риск — длительность простоя. Согласно Ponemon Institute, час простоя критических систем в 2025 году в мире обходится компаниям в среднем в $347 тыс. Российские кейсы подтверждают эти оценки: здесь прямые убытки ниже западных, но относительное влияние на выручку — выше из-за меньших резервов. Независимый эксперт Владимир Любицкий объясняет:

«Шифровальщики уничтожают данные и ИТ-инфраструктуру. Часто компания вынуждена перестраивать все с нуля. Для фирмы с сотней сотрудников такое восстановление может стоить десятки миллионов за две недели работ».

Таким образом, российские компании платят тройную цену: простой, восстановление, потеря доли рынка.

RaaS, утечки и регуляторный «хвост»

Международный тренд последних двух лет — развитие модели Ransomware-as-a-Service (RaaS), где киберпреступники объединяются в группы и продают инструменты шифрования как сервис. В первом полугодии 2025 года было зафиксировано 96 уникальных групп, что на 41,18% больше, чем за аналогичный период 2024 года, что усилило давление на малый и средний бизнес. Это важно, потому что для МСП выкуп в 40 и более млн руб., который требуют многие RaaS-группы, может означать фактическую остановку бизнеса.

Однако даже при наличии денежных средств, попытка компании заплатить выкуп часто не приводит к расшифровке данных и нередко заканчивается повторными атаками через один-два квартала. Сохранение части инфраструктуры после инцидента без полной проверки — прямой путь к повторению сценария.

Когда уязвимость — не люди, а система: почему российский бизнес проигрывает атакам ещё до их начала

Кибератаки 2024–2025 гг. показали: проблема большинства компаний не в том, что «хакеры стали сильнее», а в том, что внутренняя организация безопасности не поспевает за угрозами. То есть дело не в сотрудниках, а в отсутствии правильной архитектуры управления рисками. Тенденция отражается и на скорости восстановления. Исследование IBM X-Force говорит, что в мире средний срок восстановления после серьезного инцидента составляет 22 дня, а в России — нередко дольше из-за нехватки отточенных планов восстановления. Именно этот структурный изъян выделяют эксперты.

Процессы важнее технологий

Антон Бочкарев, основатель 3side/4sec, подчеркивает, что корень большинства инцидентов — не некомпетентность конкретных специалистов, а отсутствие стройной системы действий. По его словам, хаос и непонимание в управлении рисками приводят к тому, что многие компании даже не способны определить момент атаки, а «восстановиться в течение 48 часов могут единицы — только те, у кого заранее выстроены процессы и проведены регулярные учения».

Эта оценка подтверждается и международными данными: по данным аналитиков, компании, имеющие отработанный план реагирования, сокращают потери на 37–42%.

Готовность к инцидентам: реальность хуже ожиданий

Егор Богомолов, CEO агентства белых хакеров Singleton Security и образовательного центра CyberED, оценивает ситуацию еще жестче. По его словам, большинство российских организаций не имеют ни полноценных сценариев восстановления, ни четких регламентов реагирования. Он отмечает, что реальный срок восстановления после серьезной атаки в российских компаниях — от недели до месяца, и главные уязвимости лежат на периферии: почта, CRM, приложения, системы удаленного доступа. Эти зоны часто ослаблены именно потому, что вокруг них нет инфраструктуры поддержки безопасности.

Технологии есть — культуры нет

Как замечает Денис Макрушин, за последние годы в России появились современные средства обнаружения угроз, корпоративные SOC и системы мониторинга. Однако без процессов управления доступами, работы с подрядчиками, обучения персонала, регламентации инцидентов, даже лучшая технология не работает. Он уточняет, что «восстановиться за 48 часов способны только те, кто заранее инвестировал в резервное копирование и репетиции сценариев восстановления», и таких компаний пока меньшинство.

Атаки через подрядчиков и «шум» как ширма для настоящего взлома

В 2025 году одним из наиболее опасных трендов стал рост атак через подрядчиков. Компания Solar фиксирует системное увеличение случаев, когда преступники заходят не в защищенную корпорацию, а в ее менее защищенного партнера. Это объясняет и рост доли ИТ-компаний среди жертв — уже до 16%, что значительно выше уровня двухлетней давности.

Многие крупные компании ошибочно концентрируются на непродуктивных метриках — например, «борьбе с брутфорсом» (набор мер, которые помогают остановить или хотя бы замедлить попытки взлома, когда хакеры пытаются подобрать пароль, перебирая тысячи вариантов подряд) и красивых дашбордах с сотнями инцидентов. Это создает иллюзию контроля. Между тем злоумышленники все чаще специально создают шумовые атаки, чтобы скрыть реальные действия. Наш независимый эксперт подчеркивает: куда эффективнее контролировать несколько ключевых точек захвата Active Directory, чем «гоняться за каждым подозрительным логином».

Опаснее всего — ложные убеждения руководства

На рынке МСП ситуация усугубляется двумя крайностями мышления. Первая, убеждение, что «если захотят — взломают». Вторая, что «мы слишком маленькие, чтобы быть интересными». Обе опасны. Большинство атак сегодня автоматизированы, и, по данным Positive Technologies, в первом полугодии 2025 года 36% всех атак произошли по принципу «случайной цели» — злоумышленники просто сканировали интернет на уязвимые сервисы.

Эксперт Макрушин выделяет три наиболее опасных заблуждения:

1. «Мы никому не интересны»
Большинство атак сегодня автоматизированы. Боты просто сканируют интернет в поисках уязвимых ресурсов, и, если у компании есть хоть какая-то ИТ-инфраструктура, она уже в зоне риска.

2. «Мы поставим одну “волшебную коробку” и все решим»
Любое средство защиты — лишь инструмент. Без зрелых процессов оно может принести больше проблем, чем пользы.

3. «Если что, заплатим выкуп»
Даже после выплаты данные могут остаться частично недоступны, а злоумышленники вернуться с новым шантажом. Плюс выкуп не отменяет ни юридических, ни репутационных последствий.

Модель защиты должна сместиться от иллюзии «предотвратить все» к киберустойчивости.

«Полностью предотвратить все атаки невозможно. Концепция киберустойчивости более бизнес-ориентирована: защитить от недопустимых событий и быть готовыми к восстановлению — это и есть современная результативная кибербезопасность», — говорит Антон Бочкарев.

Что делать государству и бизнесу

Депутат Госдумы Марина Ким предлагает рассматривать кибербезопасность не как ИТ-строку бюджета, а как элемент суверенитета:

«Раньше бизнес считал ROI от внедрения антивируса. Сегодня вопрос стоит иначе: либо вы инвестируете в ИБ, либо вас просто не существует завтра. ИБ — это не “налог на страх”, это лицензия на сохранение бизнеса в российской юрисдикции».

По ее мнению, без системных стимулов и ответственности ситуацию не переломить:

  • Личный уровень. Нужен культ «цифровой гигиены» на уровне топ-менеджмента. Директора должны нести персональную ответственность за утечки данных, сопоставимую с ответственностью за финансовые махинации. Когда руководитель понимает, что киберинцидент — это риск не только для базы данных, но и для его личной свободы и репутации, отношение к информационной безопасности (ИБ) как к «издержкам» исчезает мгновенно.
  • Налоговые стимулы. Компании, которые в ускоренном режиме замещают вражеский софт на российские решения в сфере безопасности, должны получать ощутимые налоговые каникулы. Нужно рублем поощрять тех, кто укрепляет цифровой суверенитет страны.
  • Киберстрахование. Требуется национальная модель страхования киберрисков, но с жестким фильтром: страховка не должна работать, если у тебя «проходной двор» вместо защиты. Это должен быть инструмент для тех, кто уже соответствует национальным стандартам безопасности.
  • Госзаказ как драйвер рынка. Государство должно стать главным заказчиком самых передовых решений в ИБ, обкатывать их на себе и потом транслировать бизнесу как «золотой стандарт.

Инвестиции в кибербезопасность сегодня — это инвестиции в право быть суверенным государством. И здесь не может быть полумер. Пока люди спокойно живут, не подозревая, сколько атак происходит каждый день, Россия уже много месяцев находится в верхней части мировых рейтингов по кибератакам. Вопрос только в том, кто быстрее адаптируется — мы или те, кто по нам стреляет.