Сколько стоит взломать бизнес и как противостоять хакерам?

Последнее время все больше сибирских компаний сталкиваются с кибератаками. Среди недавних наиболее наглядных примеров — «СДЭК» и «Сибсети». Перед бизнесом стоит дилемма — насколько интенсивно нужно вкладываться в инфобезопасность, в какой степени такие затраты обеспечат защищенность предприятия и окупятся.  Для того чтобы ответить на этот вопрос, уместно взглянуть на ситуацию глазами хакеров и обратиться к методике оценки себестоимости кибератак. Чем она будет выше, тем более затратным и менее выгодным будет взлом компании для злоумышленников. Как перевести термин «защищенность» на язык бизнеса? За последние три года российский бизнес все чаще стал сталкиваться с кибератаками. Несмотря на то что отдельные киберинциденты имеют под собой политические предпосылки и продиктованы желанием навредить любой ценой, большинство атак по-прежнему имеют под собой вполне рациональные экономические основания. Другими словами, предприятие будет подвергаться взлому при значительном превышении дохода от кибератаки над ее себестоимостью. В условиях ограниченности ресурсов хакеры могут выбрать для атаки более «перспективную» компанию с точки зрения выгоды или вообще отказаться от атак, потратив деньги, к примеру, на майнинг-ферму. Таким образом, злоумышленники также мыслят категорией «инвестиции ─ результат». Исходя из такого подхода, термин «защищенность» также нуждается в переводе на язык бизнеса. Что значит «высокий уровень защищенности», дает ли он какие-либо гарантии? Как вообще посчитать окупаемость инвестиций в инфобезопасность? Ведь выделять деньги на это направление можно бесконечно, как, впрочем, и устанавливать новые регламенты безопасности, которые будут не столько защищать инфраструктуру компании, сколько тормозить ее развитие. В этой ситуации возможным вариантом является рассмотрение в качестве параметра, характеризующего уровень информационной безопасности, стоимости входа в инфраструктуру вашей компании для хакеров.  «Идеальным является такой уровень защиты, при котором достижение цели для злоумышленников затруднено ровно настолько, что становится для них экономически нецелесообразным», — рассказывает «Континенту Сибирь» директор по информационной безопасности «Группы Астра» Дмитрий Сатанин. Таким образом, именно деньги можно считать универсальным параметром вместо абстрактного «уровня защищенности». Если взломать вашу компанию стоит, к примеру, $10 тысяч, то это понятный индикатор оценки уровня ее защищенности. Любые меры, которые принимаются по укреплению информационной безопасности, увеличивают этот порог входа. Риски при этом сохраняются, но вероятность кибератак уменьшается, потому что они становятся финансово затратнее для злоумышленников. «В джунглях нужно бежать не быстрее тигра, а быстрее соседа, ─ провел аналогию на форуме PHDAYS-2025 заместитель генерального директора по развитию бизнеса компании Positive Technologies Борис Симис. — Важно сделать так, чтобы взломать вашу организацию было бы дороже, чем другие компании отрасли». Таким образом, задача трансформируется в то, чтобы сформировать сложный и дорогой лабиринт для хакера, желающего достигнуть своей цели. Но для этого необходимо иметь возможность оценить себестоимость кибератаки, чтобы мыслить как атакующие и оценить их «бизнес-модель». В Positive Technologies провели исследование, изучив 40 теневых площадок в даркнете (скрытая, частично анонимная часть интернета, которая не индексируется обычными поисковыми системами и доступна только через специальные приложения), где по сути точно так же покупаются и продаются услуги взлома тех или иных ресурсов, получения доступов, и т. д. Ориентируясь на фигурируемые там цены, в компании сформировали расчетную модель оценки себестоимости кибератак с учетом квалификации хакеров, используемых ими инструментов и уровня инфраструктуры. По данным исследования Positive Technologies, чистая прибыль от успешной кибератаки может в 5 раз превысить затраты на ее организацию. На форуме PHDAYS-2025 в компании привели в качестве примера атаку на одну из транспортных компаний. Хакеры нашли веб-приложение, в котором были уязвимости, извлекли данные из системы управления базами данных, получили учетную запись админа веб-приложения, подобрали пароль, зашли через него в приложение, нашли, как можно загружать файлы в систему. Из веб-приложения была видна вся доменная инфраструктура. Злоумышленники заполучили несколько учетных записей, нашли хост, где извлекли данные админа, получили контроль над доменом и инфраструктурой. Атака прошла за 2 дня, подготовительный этап мог занять 7–10 дней. Исходя из составленной оценочной модели, атака обошлась примерно в $2500. При этом ущерб от нее был кратно выше. Экономика злоумышленников Ключевыми составляющими наиболее распространенных кибератак, по данным проведенного исследования, являются первоначальный доступ (в среднем $26 тыс.), получение контроля над инфраструктурой (в среднем $22 тыс.), достижение недопустимых событий (событие, возникшее в результате кибератаки, которое делает невозможным достижение операционных целей организации или приводит к значительному нарушению ее основной деятельности). Самой дорогой, по подсчетам Positive Techologies, оказалась именно третья часть ($43 тыс.). Если рассматривать рейтинг отраслей с точки зрения количества атак, то, по данным основанной в Новосибирске компании Usergate, самыми популярными объектами являются финансовые организации, телекоммуникационные компании и государственные организации. Причем чем крупнее и известнее компания, тем больше шансов, что она станет целью  атаки, — престижа для злоумышленников будет больше. Частота атак никак не коррелирует с защищенностью. В свою очередь директор департамент эксплуатации средств информационной безопасности «Ростелекома» Артем Гребенюк констатирует "Континенту Сибирь", что в зоне риска — компании, чей бизнес напрямую зависит от онлайн-доступности ресурсов. Например, ритейл: атаки на такие компании обходятся злоумышленникам недорого, а последствия ощущаются практически мгновенно — сервисы перестают работать или становятся недоступными для пользователей. Однако если посмотреть на ситуацию с точки зрения себестоимости кибератак, то дороже всего, по данным исследования, обходятся злоумышленникам компании сферы ИТ (около $100 тыс.), следом идут промышленные предприятия ($43,8 тыс.) и госорганы ($28,4 тыс.).  Заместитель директора департамента киберананалитики Positive Technologies Дмитрий Каталков объясняет это тем, что сфера ИТ традиционно близка к сфере информационной безопасности, поэтому компании этого сектора уделяют ей более пристальное внимание, чтобы не быть «сапожниками без сапог». Наибольшее количество объявлений о продаже доступа в даркнете связано со сферой услуг (20%). В исследовании можно найти и другие интересные выводы. Почти половина размещенных в даркнете объявлений, связанных с кибератаками, касается взлома ресурсов. В 62% случаев доступ к взломанным ресурсам пользователей обходится в сумму до $1000. Одним из самых дорогих типов вредоносного программного обеспечения являются программы-вымогатели. Их средняя цена была оценена в $7500, в то же время  она может достигать $320 000. Такая цифра обусловлена тем, что многие объявления о продаже программ-вымогателей предлагают сам исходный код. На этом фоне существуют варианты подписок, однако и в их случае часто речь идет о высоких входных условиях, требующих существенной платы (от $5000 до $96 000). С тем, что заражение устройства жертвы программой-вымогателем — один из наиболее распространенных и дорогостоящих векторов атак на организации, согласен руководитель отдела по работе с клиентами среднего и малого бизнеса «Лаборатории Касперского» Алексей Киселев. По его оценкам, такие атаки обходятся злоумышленникам в десятки тысяч долларов, но впоследствии, как правило, все расходы компенсируются выкупом, который платит жертва. В мае 2024 года с масштабной кибератакой столкнулась основанная в Новосибирске  Леонидом Гольдортом компания СДЭК. О своей причастности заявляла международная хакерская группировка Head Mare. Утверждается, что в систему курьерской службы был запущен вирус-шифровальщик, который ограничивал доступ к информации, хранящейся на серверах, и возможность ее восстановления. В качестве доказательств атаки хакерами были приведены скриншоты, где отображены базы данных компании. Ущерб от сбоя, по оценкам РБК, составлял от 300 млн до 1 млрд руб. без учета возможных исков клиентов СДЭК. В ноябре 2024 года с масштабной DDoS-атакой столкнулись «Сибсети». Ситуация затронула новосибирский филиал, а также инфраструктуру оператора в Новокузнецком, Кемеровском и Красноярском филиалах.  За месяц до этого об отражении самой мощной подобной атаки за всю историю компании также сообщал «Электронный город». В апреле 2024 года атака на «Сибсети» продолжилась. «30 апреля 2025 года в 10:11 началась первая волна DDoS-атаки, направленной на инфраструктуру новосибирского филиала. К 11:45 атакующее воздействие охватило все наши региональные подразделения. В 18:00 вектор атаки изменился — злоумышленники начали применять стратегию «ковровой бомбардировки», нацелившись на вывод из строя коммуникационных каналов филиалов в Новосибирске и Норильске посредством массивного объема паразитирующего трафика. В сжатые сроки нашими специалистами были введены меры ограничения SYN-флудов, позволившие сократить объем нелегитимного трафика примерно на 50 Гбит/с. Эти меры позволили локализовать проблему и восстановить нормальную работу сети уже к 20.30, — рассказала «Континенту Сибирь» директор по развитию на массовом рынке ГК «СибСети» Юлия Сазонова. — Несмотря на предпринятые усилия, последствия оказались значительными: общий объем отфильтрованного трафика достигал рекордных показателей — около 700 Гбит/с, основная нагрузка пришлась на период второй волны атаки («ковровое покрытие»), оказавшей серьезное влияние на сетевую инфраструктуру компании. Таким образом, мы столкнулись с наиболее мощной кибератакой за всю историю существования компании, продемонстрировавшей высокую степень адаптации преступников к защитным механизмам ТСПУ на границе РФ, размещая огромное количество ботнет-клиентов на территории нашей страны». Если рассматривать экономику продажи доступа к корпоративным сетям, то большинство сообщений представляют собой предложения о продаже (72%), в то время как запросы на покупку составляют всего 14%. Большинство объявлений (62%) указывают цены ниже $1000. По данным исследования, стоимость часто привязана к доходу компании, в результате чего некоторые предложения достигают десятков тысяч долларов. Целевыми организациями обычно являются финансовые учреждения, производственные компании и компании сферы услуг. Если рассматривать кибератаки в целом, то первоначальные инвестиции в инструменты и услуги, необходимые для ее запуска, могут составить около $20 000 (при условии, что у злоумышленника нет существующих инструментов). С 2015 года среди хакеров точно так же, как в законном бизнесе, используется модель подписки. Появились такие услуги, как аренда фишинговых услуг, аренда DDoS-атак и других типов киберугроз.  Вследствие такого подхода злоумышленникам больше не нужно разрабатывать собственные инструменты. Сегодняшний теневой рынок отражает законный бизнес, предлагая поддержку клиентов и регулярные обновления. Более того, растущее использование демонстрационных бесплатных версий еще больше снижает порог входа для потенциальных злоумышленников, позволяя не отвлекать значительные ресурсы на атаку. В ближайшем будущем, по мнению авторов исследования Positive Technologies, вероятно, появятся новые типы сервисов, которые позволят хакерам запускать кибератаки всего одним щелчком мыши. Благодаря возможностям искусственного интеллекта злоумышленнику, вероятно, нужно будет только выбрать цель и нажать «Запустить атаку». Это откроет двери для тех, кто раньше не мог проводить атаки из-за отсутствия знаний или навыков. Злоумышленники уже сегодня используют искусственный интеллект для генерации вредоносного кода и упрощения организации атак. Однако не все так безысходно. В компании «Астра» указывают на ограниченность применения автоматизации атак среди хакеров. Так, целевые атаки (класса АРТ) ─ это «штучный» товар, масштабирование которого, по мнению директора по информационной безопасности «Группы Астра» Дмитрия Сатанина, практически невозможно. В свою очередь руководитель группы исследований и разработки технологий машинного обучения «Лаборатории Касперского» Владислав Тушканов обращает внимание на то, что применение ИИ для вредоносных целей составляет только определенную, нередко малую, часть процесса. "Если брать пример попыток создания вредоносного кода с помощью нейросетей, то злоумышленник тратит усилия еще и на то, чтобы затем его упаковать, распространить, и другие действия", — напоминает собеседник "Континента Сибирь". Другой негативной новостью для хакеров является то, что полностью автоматизировать и отдать на откуп специализированному искусственному интеллекту взлом не получится, так как с другой стороны специалисты по инфобезопасности тоже активно используют ИИ, но уже для защиты. «Поэтому соревнование меча и щита будет продолжаться», ─ прогнозирует «Континенту Сибирь» архитектор информационной безопасности UserGate Дмитрий Овчинников. Взлом во благо Описанный выше подход (смотреть на ситуацию с позиции хакера) нашел свое отражение и в методологии построения продуктов информационной безопасности. Вместо того чтобы покупать готовые продукты и решения, отдельные участники рынка предлагают сымитировать взлом компании, чтобы найти ее слабые места, и исходя из этого уже сформировать перечень необходимых услуг. Таким образом, одним из эффективных способов защиты может быть добровольное «натаскивание» хакеров на ИТ-инфраструктуру компании. Ведь кто, как не они, лучше всего могут найти узкие места в компании. Благодаря этому можно выявить возможные пути злоумышленника в инфраструктуре и подсказать, что нужно сделать, чтобы устранить или усложнить эти пути. Таких хакеров в ИТ-сфере называют «белыми». Хотя понятно, что граница между «черными» и «белыми» хакерами может быть достаточно условной. Это больше вопрос этики и, конечно, денег. Именно поэтому, чтобы заинтересовать участников рублем, а не только признанием их заслуг, за взлом ИТ-инфраструктуры без нарушения Уголовного кодекса РФ хакерам на недавнем форуме PHDAYS в Москве обещали суммы до 60 млн рублей. Подход поиска слабых сторон ИТ-инфраструктуры через попытку взлома используют и органы государственной власти. Так, в минцифры Красноярского края рассказали «Континенту Сибирь», что привлекают "белых" хакеров для тестирования своего программного обеспечения на уязвимости за вознаграждение в рамках программы Bug Bounty. «Заказчик программы (КГКУ «ЦИТ») оплачивает сертификат предоставления доступа к площадке и возможность формирования программ для поиска уязвимостей. Бюджет для вознаграждения работы "белых" хакеров предоставляет партнер — компания Positive Technologies, ─ рассказывает «Континенту Сибирь» министр цифрового развития Красноярского края Николай Распопин. ─ Для участников программы установлен критерий — запрещены действия, приводящие к неработоспособности информационной системы. Фактически программа имитирует действия реальных хакеров. Она была запущена в информационных системах Красноярского края 24 марта 2025 года и действует до 17 августа 2025 года». "Белый" хакер регистрируется на специальной площадке Standoff 365 Bug Bounty, после чего имеет право принимать официальное участие в программах поиска уязвимостей. Поиск уязвимостей ведется с включением в запросы специальных префиксов для исключения ложноположительного блокирования. Для атаки должно быть использовано не более трех IP-адресов и не более 5 запросов в секунду. При нахождении уязвимости хакер направляет отчет, в котором показывает уязвимость и способ ее воспроизведения. На первом этапе оценка отчета проводится консультантами площадки Standoff 365 Bug Bounty, после чего он направляется в личный кабинет КГКУ «ЦИТ». По итогам рассмотрения принимается решение о подтверждении либо изменении уровня (влияет на величину выплаты) выявленной уязвимости и прием отчета. "Белым" хакерам в Красноярском крае предложили проверить 16 различных государственных электронных ресурсов. Среди них сайт Центра информационных технологий Красноярского края — подведомственного учреждения министерства цифрового развития края, региональный портал Госуслуг, портал «Активный гражданин», система электронного документооборота, различные ведомственные государственные информационные системы. Общее количество выявленных уязвимостей по программе, по данным минцифры Красноярского края, составило 38, хакеры направили 64 отчета. Награда за уязвимости (по уровню опасности): — критический 20 000–30 000 рублей (всего выявлено 4 уязвимости для 5 отчетов); — высокий 15 000–20 000  рублей (всего выявлено 9 уязвимостей для 15 отчетов); — средний 5000–15 000  рублей (всего выявлено 13 уязвимостей для 31 отчета); — низкий 0–5000  рублей (всего выявлено 12 уязвимостей для 13 отчетов). Аналогичную методологию используют и в Новосибирской области. «Впервые в 2024 году для ряда государственных информационных систем проведено открытое тестирование на наличие уязвимостей (Bug Bounty). Был объявлен конкурс «Взломай меня за вознаграждение». В результате все найденные уязвимости были нам подсвечены. Информацию уже передали разработчикам, большая часть отработана», ─ рассказывал «Континенту Сибирь» министр цифрового развития Новосибирской области Сергей Цукарь, добавив, что устранение уязвимостей, выявленных внешними исследователями, позволило существенно снизить риски взлома систем со стороны злоумышленников. В Алтайском крае также находят уязвимости в инфобезопасности, но с помощью других инструментов. «Мы используем специальный сервис от наших партнеров, который видит все наши государственные платформы, доступные в сети интернет, и работает в режиме 24/7, не имея никаких сенсоров внутри. Если детектировано использование устаревшего протокола, открытая админпанель сайта или еще какая-то уязвимость, мы это увидим. Обо всем это нас уведомляют, и мы в оперативном режиме передаем это разработчикам. То есть это не  публичный общедоступный сервис (как Bug Bounty), а платный, который мы используем успешно уже больше двух лет», — рассказывает «Континенту Сибирь» начальник отдела информационной безопасности минцифры Алтайского края Михаил Бобин.  Выбор именно такого инструмента он связывает с тем, что на сегодня законодательно, именно в нормативно-правовом поле, подобный подход к обеспечению инфобезопасности никак особым образом не регламентирован, в том числе на это по-разному смотрят регуляторы, которые отвечают за обеспечение политики по реализации защиты информации в государственных системах. Именно поэтому в Алтайском крае решили воспользоваться таким инструментом.