Posts Tagged: UDV Group

Перечень типовых отраслевых объектов критической информационной инфраструктуры (КИИ), утвержденный в феврале 2026 года распоряжением Правительства РФ № 360-р, сделал подход к защите КИИ более жестким. Теперь игнорирование документа грозит не только высокими штрафами, но и остановкой бизнеса.

Какие направления являются наиболее критичными? Требуется ли дальнейшая корректировка действующей в отношении субъектов КИИ законодательной базы? Об этом газете «Энергетика и промышленность России» рассказали директор департамента реализации инфраструктурных проектов «Софтлайн Решения» (ГК Softline) Виталий ПОПОВ и консультант по информационной безопасности UDV Group Ольга ЛУЦЕНКО.

— Что изменило для субъектов КИИ распоряжение №360-р?

Виталий Попов:

— Распоряжение перевело регулирование в более предметный и обязательный формат. Раньше определение объектов, подлежащих категорированию, опиралось преимущественно на внутреннюю оценку самой организации. Теперь к этому добавляется утвержденный государством перечень типовых отраслевых объектов.

То есть поле для произвольного толкования — «будем категорировать или не будем, можно вынести, а можно и не выносить» — сузилось. Попадание объекта под регулирование теперь определяется этим перечнем.

И важный момент: ранее принятые решения по составу объектов КИИ во многих случаях требуют пересмотра.

Ольга Луценко:

— Выход перечня типовых отраслевых объектов КИИ одновременно упрощает категорирование и усложняет соблюдение требований регулятора. Перечень, по сути, диктует субъектам, какие системы обязательно должны быть прокатегорированы.

Субъект КИИ, по большей части, лишен права решать, какие системы включать в перечень объектов КИИ, а какие — нет, поскольку отныне категорирование осуществляется исключительно по принципу наличия системы в перечне типовых отраслевых объектов КИИ.

Данные документы направлены на стандартизацию процессов категорирования для каждой отрасли, при организации категорирования в четком соответствии с этими требованиями у каждого субъекта КИИ может значительно расшириться перечень объектов КИИ, и, что немаловажно — значимых объектов КИИ. Данные изменения ведут к увеличению объема требований по защите информации, включая организационные и кадровые меры.

— Многие, но не все субъекты КИИ уже перешли на отечественное ПО. В чем причина промедления?

Виталий Попов:

— Одно из главных ограничений — зрелость отечественных решений. В ряде сегментов они уже готовы к промышленной эксплуатации, однако в отдельных областях функциональность все еще требует доработки. Дополнительный барьер — сложность и стоимость миграции. Ведь здесь речь идет не просто о замене лицензий, а о комплексной перестройке ИТ-ландшафта — от интеграций и процессов до обучения персонала и организации поддержки.

Отдельный риск связан с человеческим фактором. Переход на новые системы требует времени на адаптацию пользователей, и без системного обучения сопротивление изменениям может снизить эффект даже при технически корректном внедрении.

Ольга Луценко:

— Мы видим три основных группы факторов, влияющих на промедление в вопросе импортозамещения.

Во-первых, высокие трансформационные издержки и технологическая сложность. Импортозамещение в корпоративном сегменте может пройти довольно безболезненно и предсказуемо, основная проблема в переходе на импортозамещенные решения для специализированного ПО (АСУ ТП, SCADA, PLM-системы, промышленные контроллеры). Во многих отраслях энергетики годами выстраивалась цепочка, где иностранное ПО является неотъемлемой частью технологического процесса. Его замена требует полной перестройки технологических процессов и, зачастую, длительных остановок, что для многих субъектов КИИ недопустимо.

Здесь мы переходим ко второй группе факторов, косвенно связанной с первой, — экономическая модель и инвестиционный цикл. У субъектов КИИ, особенно госкомпаний, бюджеты утверждаются на 3–5 лет вперед. Выход нормативных актов об импортозамещении застал многие организации в середине их инвестиционных циклов. Кроме того, стоимость «зрелого» российского ПО для КИИ зачастую сопоставима с закупкой новых аппаратных комплексов, что требует выделения отдельных капитальных затрат, а не операционных.

И третья группа факторов — дефицит компетенций на стыке IT и технологических процессов. Мы столкнулись с ситуацией, когда отечественные разработчики создали качественный продукт, но на стороне заказчика (субъекта КИИ), да и на рынке в целом, сохраняется дефицит архитекторов и инженеров, способных мигрировать сложные гетерогенные среды без потери функциональности и с обеспечением непрерывности процессов. Перестройка процессов под новое ПО требует времени и высокого уровня квалификации.

— Требуется ли дальнейшая корректировка действующей в отношении субъектов КИИ законодательной базы?

Виталий Попов:

— Категорирование — процесс, который нуждается в уточнении. Базовое направление — детализация: более конкретное регулирование с указанием методик применения типовых объектов на практике. Нужны единообразные подходы и понятные правила пересмотра ранее проведенного категорирования, чтобы применение норм было прозрачным и однозначным.

Законодательство в этой сфере постоянно уточняется — и это нормально. Появляются новые объекты, меняется инфраструктура у заказчиков, и регуляторика просто вынуждена подстраиваться под эти изменения.

Ольга Луценко:

— На наш взгляд, стоит детально подойти к стимулированию создания «связанных» решений (стеков). Сейчас субъект КИИ часто вынужден самостоятельно связывать в единую систему российскую ОС, российские СУБД, SCADA и средства защиты. Юридически это разрешено, но технически часто возникают конфликты совместимости. Нужна корректировка законодательства в части госзакупок (44-ФЗ, 223-ФЗ), чтобы разрешать и поощрять закупку технологических стеков (полных экосистем) у одного интегратора или вендора, несущего полную ответственность за работоспособность комплекса, даже если цена такого стека выше суммы отдельных компонентов.

Кроме того, рассмотреть возможность усиления ответственности за нарушение требований для поставщиков ПО. Важно законодательно усилить ответственность разработчиков ПО за наличие недекларированных возможностей (бэкдоров) в продуктах, поставляемых для КИИ. Переход на отечественное ПО теряет смысл, если оно имеет критические уязвимости, заложенные на этапе разработки.

Также важно законодательно закрепить возможность утверждения долгосрочных дорожных карт миграции для сложных технологических объектов.

В целом, движение в сторону технологического суверенитета КИИ идет правильным курсом, но сейчас рынок и регуляторы проходят этап «болезни роста». Ключевая задача на ближайшие два года — перейти от тотальной замены к управляемой, риск-ориентированной миграции, где приоритетом будет не формальное исполнение предписания, а фактическая устойчивость инфраструктуры к киберугрозам.

— Как можно приоритизировать критичные системы, оценивая риски и запросы исключений для технически невозможных к замене компонентов?

Ольга Луценко:

— Это один из самых сложных практических вопросов. Приоритизация должна строиться на риск-ориентированном подходе. Можно использовать следующий алгоритм.

Категорирование и сегментация. В первую очередь замещению подлежат системы, которые имеют прямой выход в сети общего пользования или сопряжены с корпоративными сетями (сегменты, где риск компрометации наиболее высок). Системы, находящиеся в изолированных контурах АСУ ТП, имеют более высокий допустимый срок эксплуатации иностранного ПО при условии усиления средств защиты.

Оценка критичности бизнес-функции. Замена начинается с систем, остановка которых на период миграции наименее критична или для которых создан полный «откатный» сценарий. Самые критические системы должны замещаться в последнюю очередь, но с использованием механизма «песочниц» и тщательного нагрузочного тестирования.

Запросы исключений (ПО, технически невозможное к замене). ФЗ-187 и подзаконные акты предусматривают эту возможность. Здесь важна доказательная база и необходимость компенсационных мер.

Источник: https://www.eprussia.ru/epr/530/4865318.htm?sphrase_id=10621065&q=Луценко

Михаил Пырьев, менеджер продукта UDV NTA, объяснил, почему сетевой анализ надёжнее агентов: майнеры скрываются на хосте, но выдают себя в сети. Рассказал о ключевых сетевых признаках: длительные сессии с пулами Monero, стабильная повторяемость трафика, аномалии TTL/RTT, DGA-домены. Что даёт сетевой анализ: под наблюдением оказываются сразу тысячи устройств.

Создатели вредоносных майнеров в большинстве случаев сосредоточены на сокрытии присутствия на конечном хосте, а не в сети. Именно поэтому сетевой анализ часто оказывается более надёжным и масштабируемым способом их выявления, особенно в крупных инфраструктурах.

С точки зрения сети скрытый майнинг, как правило, проявляется через устойчивый набор признаков: длительные сессии с майнинг-пулами конкретных криптовалют (наиболее часто Monero или Bitcoin), характерную структуру трафика с малыми объёмами данных, стабильной частотой отправки пакетов и высокой повторяемостью, а также нетипичные значения TTL и рост RTT. Дополнительно настораживают обращения к доменам, сгенерированным DGA-алгоритмами, и инфраструктуре, не характерной для бизнес-процессов организации.

Выявление майнинга по аномалиям загрузки CPU/GPU или энергопотребления с помощью агентных средств возможно, но на практике имеет ограничения. Установка агентов доступна не всегда, часть узлов может быть не охвачена мониторингом, а сама по себе повышенная нагрузка не всегда однозначно указывает на вредоносную активность – она может быть следствием изменений в рабочих процессах или конфигурации. Анализ сети в этом смысле даёт преимущество: под наблюдением оказываются сразу тысячи устройств, а признаки вредоносной активности фиксируются до того, как происходит заметное потребление ресурсов.

Скрытый майнинг условно делится на браузерный и хостовой. Браузерные варианты (например, Coinhive-подобные скрипты) используют HTTPS и WebSocket-соединения с backend-пулами и внешне могут напоминать обычную пользовательскую активность. Хостовые майнеры чаще маскируются под легитимные сервисы или облачную инфраструктуру, чтобы обойти межсетевые экраны и не выделяться на уровне сетевых политик. Однако ключевое отличие остаётся: поведение программы детерминировано и повторяемо, в то время как пользовательский трафик значительно менее предсказуем.

NDR/NTA-решения, анализирующие копию сетевого трафика, позволяют выявлять как отдельные признаки, так и устойчивые поведенческие закономерности, в том числе с использованием ретроспективного анализа. В связке с SIEM это даёт наибольшую практическую ценность: корреляция сетевых детектов с событиями хостового мониторинга и телеметрии позволяет формировать обоснованные инциденты ИБ, подтверждённые как внешним поведением узла, так и его внутренним состоянием.

На практике майнинг часто остаётся незамеченным месяцами из-за нехватки данных для принятия решений, опоры только на IoC или сигнатуры, либо недооценки самой угрозы. При этом важно учитывать, что кража вычислительных ресурсов нередко является лишь первым этапом – по тем же каналам в дальнейшем может осуществляться и компрометация данных.

Появились первые решения по закону о запрете рекламы VPN. Между тем растут разговоры о блокировке и возможности использования сервисов. Что это значит? Разбираемся.

История с VPN и запретами вокруг этих сервисов тянется с 2024 года. Напомним коротко:

с 1 марта 2024 года в России запрещено «популяризировать» VPN-сервисы;

1 сентября 2025 года вступил в силу закон о запрете рекламы VPN-сервисов;

в январе 2026 года ФАС вынесла первое решение по закону о запрете рекламы VPN.

Сегодня же разговоры о VPN вернулись — с новой силой:

• среди пользователей обсуждение сервисов выросло почти в два раза на фоне новостей о блокировке Telegram — это выяснила аналитическая платформа CloudBuying (исследование есть в распоряжении ppc.world);
• в соцсетях сообщали, что Роскомнадзор закрывает возможность прямого подключения к иностранным VPN-серверам — правда, после в РКН опровергли эти сообщения;
• депутат от ЛДПР Свинцов заявил, что в России будут блокироваться все нелегальные VPN-сервисы (сервисы от операторов связи, у которых нет лицензии ФСБ) — правда, после депутата исключили из партии за «совершение действий, порочащих репутацию ЛДПР».

Ничего не понятно, но очень интересно.

Разбираемся в ситуации: обсуждаем со специалистами по информационной безопасности, смогут ли в России заблокировать все VPN-сервисы. А с юристами говорим о том, кому и за что грозят штрафы.

Что сегодня запрещено и какие штрафы есть за VPN

Сегодня в России запрещены:

• популяризация средств обхода блокировок (в том числе VPN-сервисов);
• реклама VPN-сервисов.

Александр Бударагин, руководитель группы «Юристы Бударагин А.А. и партнеры»

Запрет на популяризацию (с 1 марта 2024 года) касается СМИ и блогеров — им нельзя рассказывать о способах обхода блокировок.

Запрет на рекламу (с 1 сентября 2025 года) — это отдельный закон, который ввел штрафы для всех за распространение рекламы VPN.

Россиянам, которые просто используют VPN, ничего не грозит. Ограничения направлены на тех, кто распространяет информацию или рекламирует такие сервисы.

Если вы обычный пользователь, можете сразу переходить к вопросу использования VPN и возможности блокировки всех VPN. Если же вы блогер или автор СМИ, вам нужно остановиться здесь подробнее.

Анна Рязанова, юрист WOWBLOGGER

Запрещено распространять информацию о способах обхода блокировок. Под запрет попадают:

• инструкции;
• гайды;
• подборки сервисов;
• советы «как настроить» и пр.

То есть любые материалы, которые фактически учат обходить ограничения доступа. Это закреплено в п. 1 ч. 5 ст. 15.1 Федерального закона № 149-ФЗ «Об информации». За неудаление таких публикаций предусмотрена ответственность по ст. 13.41 КоАП РФ, штрафы могут доходить до 4 млн рублей. То есть даже без рекламы публикация уже может считаться нарушением.

Что считается рекламой VPN + штрафы

Тут, кажется, всё проще — запрещено продвигать сервисы доступа к заблокированным ресурсам.

Анна Рязанова, юрист WOWBLOGGER

Нельзя распространять рекламу программно-аппаратных средств доступа к ресурсам, доступ к которым ограничен в России (согласно ч. 10.8 ст. 5 закона о рекламе). Это запрет:

• на интеграции у блогеров;
• на реферальные ссылки;
• на промокоды и пр.

То есть запрещены любые публикации, фактически привлекающие пользователей к конкретному VPN-сервису. Ответственность установлена ч. 18 ст. 14.3 КоАП РФ — до 80 000 рублей для граждан и до 500 000 рублей для компаний.

Но здесь важно понимать:

Понятие рекламы в контексте VPN надзорные органы трактуют широко.

Анна Рязанова, юрист wowblogger.ru/WOWBLOGGER

Первые дела ФАС в Вологодской области и Хабаровском крае показывают, что запрет на рекламу VPN применяется максимально буквально и широко. Причем речь идет не о классических интеграциях с промокодами — нарушения усмотрели из-за обычных ссылок на VPN в Telegram-канале и даже из-за каталога в бизнес-аккаунте WhatsApp с указанием стоимости доступа.

Антимонопольный орган квалифицирует это как рекламу — то есть как информацию, адресованную неопределенному кругу лиц и направленную на привлечение внимания к сервису. Соответственно, уже сам факт размещения ссылки рассматривается как продвижение.

Правда, о санкциях по обоим делам пока информации не было.

Евгений Кривцун, адвокат, член Экспертного совета при ФАС России

Ожидается, что это непременно повлечет за собой возбуждение дела об административном правонарушении и привлечения к ответственности виновного лица. Но с учетом возможных смягчающих обстоятельств стоит ожидать назначение наказания в границах минимального значения для физических лиц.

Какой вывод делать блогерам и медиа из закона о VPN в России

Вывод первый: не нужно распространять информацию о способах обхода блокировок — в том числе о VPN.

Евгений Кривцун, адвокат, член Экспертного совета при ФАС России

Распространение информации о VPN-сервисах (публичное или посредством площадок, где такая информация доступна неопределенному кругу лиц, например, во ВКонтакте), может быть расценено как нарушение закона. Последствия — привлечение к административной ответственности.

Вывод второй: не нужно рекламировать VPN.

И помните, что рекламой надзорные органы могут считать разный контент.

Анна Рязанова, юрист wowblogger.ru/http://wowblogger.ru/

Мониторинг стал системным, к VPN-сервисам приковано пристальное внимание. Поэтому мы рекомендуем не брать в рекламу различные «ускорители YouTube» и другие схожие по функционалу сервисы, поскольку они в том числе обеспечивают доступ к заблокированным ресурсам.

Евгений Кривцун, адвокат, член Экспертного совета при ФАС России

Дефиниция понятия рекламы позволяет относить к рекламе любую информацию.

Напомню п. 1 ст. 3 закона о рекламе. По нему реклама — это информация, распространенная любым способом, в любой форме и с использованием любых средств, адресованная неопределенному кругу лиц и направленная на привлечение внимания к объекту рекламирования, формирование или поддержание интереса к нему и его продвижение на рынке.

Нужно понимать, что вы не сможете избежать ответственности на том лишь основании, что реклама надлежащим образом не оформлена — не промаркирована. Более того, отсутствие маркировки будет являться уже самостоятельным основанием для ответственности.

Могут ли заблокировать все VPN-сервисы в России

Сами VPN-сервисы в стране не запрещены, но их блокировки ведутся уже в течение шести лет.

Короткий ликбез. В феврале 2020 года в России приняли постановление, по которому сервисы, предоставляющие доступ к запрещенным ресурсам, могут блокироваться. Среди них — VPN-сервисы. С тех пор Роскомнадзор постоянно изучает их и ограничивает работу тех, которые нарушают российское законодательство.

Так, на конец февраля 2026 года Роскомнадзор ограничил доступ к 469 VPN-сервисам.

Но можно ли заблокировать вообще все VPN-сервисы

Технически — можно.

Антон Паламарчук, основатель и эксперт по информационной безопасности консалтингового агентства Expice Security

Технически полная блокировка VPN возможна только по китайскому сценарию, где есть список разрешенных внутри страны сервисов. В России к этому уже сделаны первые шаги:

• «белый список» российских платформ на случай отключения интернета по соображениям безопасности;
• использование аутентификации ЕСИА для ряда сервисов.

ЕСИА — единая система идентификации и авторизации, то есть вход через подтвержденный аккаунт на Госуслугах.

Но Россия не Китай: у нас другая архитектура сетей, больше независимых провайдеров и выше стоимость внедрения тотального DPI.

DPI (Deep Packet Inspection) — технология, при которой специальное оборудование на стороне провайдера «заглядывает» в каждый пакет данных, который передает пользователь, и может заблокировать нежелательное соединение прямо на лету.

Короче говоря, в России интернет устроен иначе: провайдеров много и они независимы друг от друга, а установка специального оборудования, которое проверяло бы каждый байт трафика каждого пользователя, обошлась бы государству очень дорого.

Если же в России будут блокировать все популярные VPN-сервисы и протоколы, то продлится полная блокировка недолго, уверены специалисты.

Виталий Рабец, директор ИТ департамента UDV Group

Технически заблокировать все VPN-сервисы в России могут. Временно. Ровно до того момента, пока не появятся новые VPN-протоколы или даже принципиально новые способы «обмана» DPI, которые мы пока даже не можем себе представить. То есть это фактически бесконечная борьба ТСПУ и сообщества.

ТСПУ (технические средства противодействия угрозам) — это специальное оборудование, которое государство обязало установить всех российских интернет-провайдеров. Именно оно блокирует запрещенные сайты и сервисы.

То есть борьба ТСПУ и сообщества выглядит так:

ТСПУ блокирует VPN-сервисы → сообщество создает обходы блокировок → ТСПУ учится блокировать обходы →… И так по кругу.

Для обычного пользователя блокировка VPN-сервисов в России будет выглядеть как постоянный поиск новых способов и\или платных сервисов для обхода ограничений.

Но пойдут ли власти на блокировку всех VPN-сервисов в России

Вряд ли. VPN-сервисы нужны крупному бизнесу: например, для организации работы компаний, сотрудники которых трудятся в разных местах.

Евгений Цецорин, ведущий системный администратор ИБ-компании Simplity

Для бизнеса и организаций VPN — это критически важный способ защиты информации. Многие крупные компании, особенно госорганизации, имеют филиалы, а значит их IT-инфраструктура является распределенной. Взаимодействие между филиалами и передача конфиденциальной информации означает передачу зашифрованного трафика — это происходит по защищенному VPN-каналу. Если ограничить VPN, инфраструктура просто рассыпется.

Вывод прост: полная блокировка VPN предполагает технологическое замещение в госсекторе и крупнейших компаниях, потому маловероятна.

Антон Паламарчук, основатель и эксперт по информационной безопасности консалтингового агентства Expice Security

Насколько я понимаю, у государства нет цели заблокировать VPN как таковой. Задача — уменьшить доступность запрещенных сервисов для массового пользователя, не затрагивая корпоративный сегмент, где VPN защищает коммерческие тайны.

Полный блэкаут ударил бы по экономике, поэтому полной блокировки VPN-сервисов в 2026 году не предвидится.

И последний аргумент: о блокировке всех VPN-сервисов говорили еще в 2023 году — и сенатор Артем Шейкин в беседе с РИА Новости, и глава Лиги безопасного интернета Екатерина Мизулина в беседе со школьниками. Но за три года полной блокировки не случилось.

Как это всё касается пользователей? Можно ли пользоваться VPN и есть ли штраф за использование VPN в России в 2026 году

Здесь всё просто: использовать VPN в России можно, если:

• не «популяризировать» VPN;
• не рекламировать VPN;
• не использовать VPN для доступа к экстремистскому контенту.

Анна Рязанова, юрист WOWBLOGGER

Обычному человеку пользоваться VPN не запрещено. В российском законодательстве нет ответственности за простое подключение, даже если через него открываются заблокированные сайты. Риски возникают в тот момент, когда человек начинает публично объяснять, как обходить блокировки, или продвигать конкретный сервис.

Александр Бударагин, руководитель группы «Юристы Бударагин А.А. и партнеры»

Само по себе использование VPN не является правонарушением, если оно не используется для умышленного доступа к экстремистским материалам (за это с 1 сентября также введен отдельный штраф).

Соответственно, за использование VPN штрафов нет.

Александр Бударагин, руководитель группы «Юристы Бударагин А.А. и партнеры»

Штрафы грозят за рекламу VPN и других средств доступа к запрещенным сайтам.

Больше того: пользователи могут даже создавать свои VPN-сервисы. Об этом еще два года назад рассказывал нам Никита Тенизбаев, Head of Project management office Flocktory. Это до сих пор не запрещено, но нужно следовать правилам Роскомнадзора, подчеркивает сегодня юрист Анна Рязанова.

Никита Тенизбаев, Head of Project management office Flocktory

Каждый пользователь или компания могут «поднять» собственный Self-hosted VPN — они просто покупают место на хостинге и настраивают серверы. Большинство VPN-сервисов, доступных в России, делятся соответствующими инструкциями — разобраться может даже новичок с низким уровнем технической грамотности. Самодельным VPN могут пользоваться как частные лица, так и компании с большим штатом.

Анна Рязанова, юрист WOWBLOGGER

Закон регулирует работу VPN-сервисов: они должны подключаться к системе Роскомнадзора и ограничивать доступ к ресурсам, заблокированным на территории страны. Если этого не происходит, VPN-сервис блокируют.

И давайте подытожим:

1. В России запрещены не сами VPN, а их популяризация и реклама — именно за это предусмотрены штрафы. Рекламой могут признавать разный контент — например, простую ссылку на сервис без промокодов. Это важно понимать блогерам и медиа.
2. Пользоваться VPN можно — ответственности за это нет. Но важно не рекомендовать способы обхода блокировок публично.
3. Полная блокировка VPN в стране маловероятна — сервисы критически важны для бизнеса и инфраструктуры.

*Компания Meta, а также ее продукты Facebook и Instagram признаны экстремистскими в России. WhatsApp* принадлежит Meta

Источник: https://ppc.world/articles/tak-chto-s-vpn-servisy-zablokiruyut-zapretyat-ih-obsuzhdat-ili-chto-to-drugoe-obsuzhdaem-s-ekspertami/

Российский бизнес все чаще сталкивается не только с атаками как таковыми, но и с их «второй фазой» — шантажом и попытками монетизации инцидентов. При этом однозначно оценить масштаб проблемы сложно: компании крайне редко выносят такие случаи в публичное поле. По оценке Аналитического центра компании UDV Group, рост интереса злоумышленников к вымогательству нельзя напрямую связывать только с ужесточением регулирования и штрафами за утечки.

«Компании публично крайне редко признают факты вымогательства, поэтому достоверно оценить динамику сложно. При этом нельзя однозначно утверждать, что именно штрафы за утечки стали ключевым драйвером для злоумышленников. Скорее это один из дополнительных рычагов давления наряду с угрозами раскрытия факта взлома, остановки инфраструктуры, публикации внутренней переписки и других последствий», — отмечают эксперты UDV Group.

На практике сценарии давления становятся все более комплексными: злоумышленники комбинируют угрозы раскрытия данных, остановки процессов и репутационного ущерба. Это создает для бизнеса ситуацию, в которой решение о реакции на инцидент приходится принимать в условиях высокой неопределенности.

При этом поведение компаний, столкнувшихся с шантажом, остается в значительной степени скрытым от рынка. Те, кто идет на выплату, почти никогда не подтверждают это публично. Однако накопленный практический опыт позволяет сделать важный вывод: выплата выкупа редко закрывает проблему.

«Здесь важно понимать, что те, кто соглашается на такие условия, почти никогда не говорят об этом публично, поэтому полную картину рынка увидеть сложно. При этом из непубличных кейсов, о которых известно от коллег, можно сделать неприятный вывод: выплата выкупа обычно не решает проблему, а, наоборот, показывает злоумышленникам, что на компанию можно давить и дальше. В результате они нередко возвращаются уже с новыми требованиями и большими суммами», — подчеркивают эксперты UDV Group.

Вместо этого компании все чаще рассматривают альтернативные стратегии реагирования, в центре которых — управляемость ситуации и снижение долгосрочных рисков. Один из ключевых подходов — переход к контролируемой публичности.

Выход в публичное поле, несмотря на неизбежный репутационный ущерб, лишает злоумышленников главного инструмента давления — угрозы раскрытия информации. В такой логике компания перестает быть объектом шантажа и получает возможность самостоятельно управлять коммуникацией и повесткой.

Однако публичность — лишь часть комплексного ответа. Не менее важно быстро локализовать инцидент и объективно оценить его масштаб. Практика показывает, что злоумышленники часто намеренно преувеличивают уровень своего доступа, создавая у бизнеса ощущение полной компрометации инфраструктуры.

В этих условиях критическую роль играет качественное расследование инцидента. Даже при наличии собственной команды ИБ целесообразно привлекать внешних специалистов с опытом реагирования: независимая экспертиза позволяет точнее определить границы атаки и выявить скрытые риски.

Отдельный блок задач связан с правовыми и коммуникационными обязательствами. При риске утечки персональных данных компания должна действовать строго в рамках регуляторных требований, включая уведомление Роскомнадзора. Параллельно важно своевременно информировать контрагентов, сотрудников и другие затронутые стороны, чтобы минимизировать возможные последствия и координировать дальнейшие действия.

UDV Group: после инцидента в приоритете управляемость и готовность к кризису

Далее ключевой задачей становится оперативное усиление защиты. Это может включать смену учетных данных, пересборку прав доступа, замену сертификатов, а также временное ограничение работы отдельных систем. В ряде случаев контролируемый простой становится более безопасной стратегией, чем попытка сохранить полную операционную активность в условиях компрометации.

В итоге ключевой вывод выходит за рамки конкретных сценариев реагирования: даже зрелые компании не застрахованы от подобных инцидентов. Человеческий фактор, уязвимости нулевого дня и развитие инструментов атак, включая использование ИИ, сохраняют высокий уровень неопределенности.

В этих условиях устойчивость бизнеса определяется не только уровнем превентивной защиты, но и готовностью к кризисным сценариям — отработанными процессами реагирования, коммуникации и восстановления.

Российский бизнес продолжает оставаться уязвимым для кибератак — и причина здесь не столько в отсутствии технологий, сколько в системных ошибках их настройки и эксплуатации. По данным компании «Бастион», до 80% атак завершаются успехом злоумышленников именно из-за таких факторов. При этом около половины организаций не проводят регулярные проверки внутренней среды и игнорируют базовые меры защиты — от сегментации сети до контроля привилегий.

Этот разрыв между доступными инструментами и реальной практикой напрямую связан с уровнем зрелости компаний в области кибербезопасности.

«Текущий уровень можно охарактеризовать, как поляризованный. В целом, крупные российские компании (Субъекты КИИ, банки, многие отрасли промышленности) за последнее время повысили свой уровень кибербезопасности, во многом это последствия неблагоприятных внешних условий (участившиеся атаки хакеров на российскую ИТ-инфраструктуру), а также последовательной работы регуляторов по ужесточению ответственности и усилению мониторинга исполнения требований существующих. Тем не менее, многие компании продолжают жить в парадигме «авось, пронесет» и игнорируют вопросы кибербезопасности, особенно сильна эта позиция среди представителей малого и среднего бизнеса. Основная причина уязвимостей их инфраструктуры именно в том, что кибербезопасность до сих пор воспринимается как ИТ-задача, а не как бизнес-процесс. Также подобная статистика вызвана недостаточным вниманием компаний к информированию и обучению сотрудников вопросам кибербезопасности. Большинство атак, так или иначе, основаны на социальной инженерии и на ошибках, которые люди допускают от недостаточной погруженности в вопрос», — комментирует Ольга Луценко, ведущий ИБ-эксперт UDV Group.

Фактически речь идет о структурной проблеме: безопасность не встроена в бизнес-процессы и не воспринимается как фактор устойчивости. Отсюда — высокая доля инцидентов, связанных с человеческим фактором, и отсутствие регулярной практики внутреннего контроля.

При этом экономическая логика давно очевидна: предотвращение инцидентов обходится бизнесу кратно дешевле, чем ликвидация последствий.

«Здесь работает принцип «1-10-100». Рубль, вложенный в предотвращение атаки на этапе проектирования, экономит 10 рублей на устранении уязвимости и 100 рублей на ликвидации последствий простоя. Для понимания масштаба: оборотный штраф по линии Роскомнадзора, при утечке персональных данных, может достигать полумиллиарда рублей, но это лишь малая часть айсберга. Гораздо тяжелее операционные потери: простой производственной линии в промышленности может стоить от 5 млн рублей в час, остановка отгрузок в ритейле или логистике — это потеря клиентской лояльности на месяцы вперед. Внедрение же базового набора мер (сегментация сети, резервное копирование и MFA) для средней компании сопоставимо с двухнедельным простоем одного отдела. Вывод: процессная безопасность всегда дешевле, чем восстановление репутации и данных с нуля», — отмечает Ольга Луценко, ведущий ИБ-эксперт UDV Group.

На практике это означает, что даже базовые меры защиты способны существенно снизить риски — но только при условии их системного внедрения и регулярного контроля. Без этого компании продолжают накапливать технический и организационный долг, который рано или поздно реализуется в инцидент.

При этом в ближайшие годы характер атак будет меняться, и давление на бизнес только усилится. По оценке экспертов, можно выделить несколько ключевых направлений эволюции угроз.

«Выделю три возможных ключевых тренда на ближайшие 3-5 лет: Первое — эксплуатация доверия к подрядчикам. Взламывать напрямую хорошо защищенную крупную компанию становится дорого и долго. Атакующие будут массово компрометировать небольших ИТ-интеграторов, бухгалтерские фирмы на аутсорсинге или разработчиков ПО. Через обновления легитимного софта злоумышленники получат доступ к сотням крупных клиентов за одну операцию. Стоит отметить, что ФСТЭК осведомлен об этом векторе и планирует запретить возможность прямого удаленного подключения к инфраструктуре для подрядчиков в отношении субъектов КИИ.

Второе — манипуляция данными вместо их кражи. Если раньше данные шифровали ради выкупа, то теперь их начнут незаметно менять. Например, искажать показатели датчиков на производстве (температуру, давление) или подменять банковские реквизиты в платежных поручениях прямо в системе бухгалтерии. Это наносит катастрофический ущерб, который могут не заметить в течение месяцев.

Третье — рост атак на среду виртуализации. В условиях импортозамещения и перехода на российские ОС и гипервизоры, инфраструктура виртуальных рабочих столов (VDI) станет приоритетной мишенью. Компрометация сервера виртуализации позволяет отключить сотни рабочих мест разом, нанося непоправимый ущерб инфраструктуре», — подчеркивает Ольга Луценко, ведущий ИБ-эксперт UDV Group.

Таким образом, фокус смещается от единичных атак к масштабируемым сценариям компрометации — через цепочки поставок, доверенные каналы и критические элементы инфраструктуры.

В этих условиях ключевая задача для российского бизнеса — не догонять угрозы постфактум, а выстраивать управляемую систему кибербезопасности как часть операционной модели. Это требует не только внедрения технологий, но и пересмотра подхода: от точечных мер к процессной, регулярно проверяемой защите.

Именно такой подход позволяет сократить уязвимость и избежать ситуации, когда инцидент становится не исключением, а закономерным результатом накопленных рисков.