Выжить на выжженой земле

Рынок информационной безопасности (ИБ) переживает самый драматичный слом парадигмы за последнее десятилетие. Пять лет подряд кибератаки возглавляют глобальный рейтинг корпоративных рисков Allianz Risk Barometer. Но если раньше под «инцидентом» понималась утечка данных или временный сбой сайта, то сегодня крупный российский бизнес сталкивается с тотальным уничтожением ИТ-инфраструктуры, парализующим операционную деятельность на недели и месяцы. О том, почему традиционные подходы к защите периметра окончательно перестали работать, какую роль в этом играет киберустойчивость бизнеса, как хакеры используют легитимный софт для разрушения систем резервного копирования и почему готовность к катастрофе теперь измеряется не бюджетами, а принятием генеральным директором того факта, что рано или поздно все будут атакованы, в интервью корреспонденту «Ъ» рассказал руководитель дирекции информационной безопасности компании «Инфосистемы Джет» Андрей Янкин.

Выйти из полноэкранного режима

Развернуть на весь экран

— Последние два года деловые СМИ регулярно пишут о масштабных сбоях в ритейле, логистике, страховании. Отрасль ИБ долгое время рапортовала об увеличении бюджетов и закупках лучших систем защиты. Почему же мы видим столько разрушительных кейсов? Что изменилось?

— Изменилась сама природа угрозы. Мы вошли в состояние, которое эксперты называют «идеальным штормом». Понимаете, долгое время корпоративный мир строил информационную безопасность по логике «не пустить чужого внутрь». Бюджеты тоннами закачивались в защиту периметра, антивирусы, межсетевые экраны. Но сегодня эта архитектура способна обеспечить не предотвращение взлома, а в лучшем случае лишь замедление атакующего, позволяющее успеть его обнаружить.

Главный тектонический сдвиг — это смена целей злоумышленников. Раньше хакеры приходили за данными, чтобы их украсть и перепродать. Теперь их цель — нанести максимальный, зачастую необратимый ущерб бизнесу для вымогательства астрономических сумм выкупа. Группировки перешли к тактике «выжженной земли»: 76% серьезных угроз сегодня — это шифровальщики и вайперы. Они воруют данные, целенаправленно уничтожают всю ИТ-инфраструктуру, включая системы резервного копирования и системы в облаках. Взлом превратился в кибердиверсию.

При этом поменялся и технологический уровень атак. В 2025–2026 годах мы увидели массовое применение киберпреступниками ИИ. Теперь один оператор без глубокой подготовки, вооруженный инструментами ИИ, может запускать сложнейшие многошаговые атаки уровня целой профессиональной команды хакеров. И эта машина работает круглосуточно, автоматически адаптируясь под защитные меры жертвы в реальном времени.

— Но ведь у крупных компаний, которые стали жертвами в последнее время, были и деньги, и зрелые команды безопасности. Почему средства защиты не сработали?

— Потому что современные атаки практически не используют вредоносный софт в классическом понимании. По последним аналитическим данным за 2026 год, более 82% атак проводятся исключительно с помощью легитимных инструментов администрирования. Злоумышленники заходят по действующим учетным записям, используют PowerShell, RDP, штатные облачные API.

Для обычного средства защиты в этот момент не происходит ничего аномального: легитимный администратор выполняет легитимную команду. В SOC (центрах мониторинга ИБ) ежедневно мелькают десятки тысяч таких событий. Отличить среди них штатную работу ИТ-отдела от планомерной подготовки к диверсии без продвинутых процессов Threat Hunting (проактивного поиска угроз) физически невозможно.

Хакер не ломится в закрытую дверь. Он заходит, закрепляется и живет в инфраструктуре неделями, а иногда и до полугода. Медианное время присутствия атакующего в сети до момента удара сейчас составляет 14 дней. За это время он успевает изучить финансовые показатели компании, чтобы рассчитать сумму выкупа, находит все резервные копии, компрометирует Active Directory и заражает резервную площадку точно так же, как и основную. И когда все готово, наносится один синхронный удар, после которого восстанавливаться просто не из чего. Приходится с нуля строить ИТ в организации.

— Можете оценить масштаб бедствия в деньгах и реальных сроках простоя? Насколько это критично для акционеров?

— Финансовые последствия стали катастрофическими. Если мерить по ущербу, киберпреступность фактически превратилась в третью экономику мира после США и Китая — это триллионы долларов.

Давайте посмотрим на практику. Раньше топ-менеджмент оценивал риски по лекалам техногенных аварий. Пожар в дата-центре, наводнение, отключение электричества — к этому бизнес готовился. Но после пожара компания восстанавливает операционную деятельность в среднем за 12–24 часа. Пожар уничтожает железо, но не уничтожает бизнес-логику. А среднее время восстановления после атаки шифровальщика для бизнеса составляет от 14 до 24 дней. Если мы говорим про крупные предприятия, этот срок возрастает до 38 дней. Сейчас лучше три раза сгореть, чем один раз быть зашифрованным.

Российский рынок в 2024–2025 годах дал десятки жестких публичных примеров. Полная остановка приема и выдачи посылок у СДЭК, где восстановление заняло около месяца. Кейс торговой сети «Винлаб» в 2025 году — паралич магазинов, сайта, приложения и прямые потери более 1 млрд руб. Или кейс страховой компании ВСК, когда хакеры зашифровали оба ЦОДа и бэкапы, полностью остановив продажи полисов и партнерские API. На международном рынке пример Jaguar Land Rover — пять недель простоя производства с ущербом 108 млн в неделю. И поверьте, публичные кейсы — это вершина айсберга. По нашим оценкам, до прессы доходит не более 10% от реального числа разрушительных взломов в России.

— Если проблема не в закупке софта, то в чем? Почему корпоративная машина дает сбой на организационном уровне?

— Вы правы, корень проблемы редко кроется в технологиях. Дело в глубоком организационном разрыве между ИТ и ИБ, который формировался десятилетиями. У этих служб исторически разные, конфликтующие KPI. ИТ отвечает за доступность инфраструктуры, их оценивают по uptime (время бесперебойной (непрерывной) работы — «Ъ»). ИБ отвечает за минимизацию рисков. Любое жесткое требование безопасности — например, немедленно остановить критический сервис для установки патча — бьет по показателям ИТ.

А современные злоумышленники бьют ровно в этот зазор. Они используют инструменты ИТ-администрирования для злонамеренных целей. Служба ИТ видит свой инструмент и не подозревает о взломе, а ИБ не имеет достаточного контекста, чтобы оценить критичность операции. За защиту отвечает ИБ, а за восстановление — ИТ, и все это рассинхронизировано.

Вторая фундаментальная причина — опасная удаленность ИБ-директоров (CISO) от реального центра принятия решений. По данным исследований, до 91% генеральных директоров до сих пор воспринимают кибербезопасность как сугубо техническую, «айтишную» задачу. В итоге меньше половины CISO подчиняются напрямую первому лицу компании. Около трети находятся в подчинении у ИТ-директора. Это создает прямой конфликт интересов: CISO фактически не может доложить генеральному директору о критических дырах в инфраструктуре, потому что это будет прямой критикой его непосредственного начальника — CIO. В момент же острого кризиса у безопасников просто нет полномочий на аварийное отключение систем, цепочка эскалации растягивается на сутки, хотя решение нужно принимать за час.

— Вы упомянули, что у большинства компаний есть планы непрерывности бизнеса (BCP). Разве они не должны срабатывать автоматически в таких ситуациях?

— Бумажные планы есть практически у всех организаций, но эти папки написаны под сценарии прошлого века — под те самые пожары и отключения питания. Они исходят из ложной предпосылки, что две удаленные друг от друга площадки пострадать одновременно не могут. Около половины компаний никогда в своей истории не проводили полную симуляцию восстановления из резервных копий. А среди тех, у кого регламент прописан, регулярное тестирование резервных копий не проводится, опять же, в половине случаев. В итоге мы имеем колоссальный разрыв между иллюзией защищенности и реальностью. Статистика Veeam показывает, что при первой реальной попытке экстренного восстановления 42% серверов просто не возвращаются в работу в ожидаемые сроки.

До атаки 69% компаний совершенно искренне считают себя «хорошо подготовленными». Документ на полке — это не готовность. Настоящая готовность — это протестированный, работающий как часы механизм. Устойчивые организации сегодня смещают фокус с вопроса «как сделать так, чтобы нас не взломали» на вопрос «что конкретно мы будем делать, когда нас взломают».

— В материалах вашей практики часто звучит термин «антихрупкость». Как эта философская концепция Нассима Талеба применима к сугубо прагматичному ИТ-бизнесу?

— Антихрупкость — это свойство системы становиться сильнее под давлением, а не просто выдерживать удар. Применительно к бизнесу это означает признание факта: абсолютной защиты не существует, взломать можно любого. Но антихрупкая организация строит свою ИТ-архитектуру так, чтобы пережить полный жизненный цикл атаки, ограничить радиус поражения, мгновенно развернуть «План Б» и выйти из инцидента с обновленной, более сильной структурой.

Мы выделяем семь ключевых стратегий антихрупкости. Они закрывают все этапы — от прогнозирования угроз и жесткого контроля цепочки поставок до создания ловушек (Honeypot) внутри сети и перехода на управление инфраструктурой как кодом (IaC). Последнее критически важно: если ваша ИТ-среда описана в виде кода в репозиториях, вы можете воспроизвести и поднять ее с нуля за считанные часы, а не собирать вручную неделями, вспоминая уникальные настройки каждого сервера.

— Если говорить о практических шагах для генерального директора или собственника, с чего необходимо начать перестройку прямо сейчас? Какой «прожиточный минимум» безопасности?

— По результатам 44 комплексных расследований кибератак и 17 кейсов полного восстановления инфраструктур, которые наша команда Jet CSIRT провела в 2025 году, мы сформировали четкий чек-лист. Без этих мер остальные дорогостоящие инвестиции в ИБ просто теряют смысл.

Первые четыре шага — это «гигиенический минимум», который нужно внедрить в директивном порядке за 1–3 месяца. Наш опыт показывает, что даже корпорации с масштабом более 10 тыс. узлов проходят этот путь за месяц, если есть железная политическая воля генерального директора.

Во-первых, нужно ликвидировать разрозненность ИТ и ИБ. Создается единая команда, подотчетная напрямую CEO, с едиными антикризисными KPI и четко расписанными ролями.

Во-вторых, жесткая инвентаризация активов. Вы не можете защитить то, о существовании чего не знаете. У 78% компаний львиная доля критических уязвимостей находится на «теневых» ресурсах, забытых ИТ-отделами. Любые учетные записи уволенных сотрудников должны блокироваться автоматически в течение 24 часов.

В-третьих, тотальное, бескомпромиссное внедрение многофакторной аутентификации (MFA) на всем периметре. MFA отсекает львиную долю базовых автоматизированных атак. Посмотрите на крупнейшие мировые катастрофы: Colonial Pipeline упал из-за одного ненастроенного VPN без второго фактора, Change Healthcare — из-за забытого портала без MFA. Для админов и подрядчиков SMS-коды и одноразовые пароли уже не лучшее решение из-за угроз фишинга и перехвата сообщений, необходимы физические токены или phishing-resistant-факторы аутентификации.

В-четвертых, харденинг (безопасная настройка ИТ-инфраструктуры) и сокращение поверхности атаки. Эксплуатация уязвимостей — это вектор номер один в мире. Патчинг периметровых устройств должен занимать не более 3–4 дней с момента выхода информации о критичной уязвимости, а протокол RDP должен быть навсегда закрыт от прямого доступа из интернета. Причем львиная доля решений здесь — это ИТ, а не ИБ.

— А что делать с резервным копированием, если хакеры научились уничтожать бэкапы? Как гарантировать выживание данных?

— Это как раз фундамент «Плана Б» — создание изолированной среды восстановления, так называемого «бункера» (IRE — Isolated Recovery Environment).

Классическая резервная копия, которая доступна из основной продуктивной сети, сегодня является не спасением, а первоочередной мишенью. Злоумышленники ищут ее в первую очередь. Современный стандарт устойчивости — это жесткое соблюдение правила «3-2-1-1-0». Должно быть три копии данных на двух разных типах носителей, одна копия — обязательно удаленная вне основной площадки, одна — неизменяемая (WORM/Object Lock) или с физическим «воздушным зазором» (air gap), и ноль ошибок при обязательном тестовом восстановлении.

Этот «бункер» должен быть полностью изолированным анклавом. У него должна быть своя, независимая от основного домена плоскость управления: собственные контроллеры домена (AD), свои службы DNS и PAM-системы. Поток данных между рабочей сетью и IRE жестко контролируется.

Только в этом случае, когда основная инфраструктура лежит в руинах, у вас остается гарантированно чистое, защищенное место, откуда можно начать управляемое восстановление бизнеса. Повторюсь, кибератаку в 2026 году невозможно предотвратить со стопроцентной гарантией. Но ее можно и нужно пережить. И те компании, которые проходят этот путь трансформации, выходят из кризиса качественно другими — с прозрачной приоритизацией бизнес-процессов, зрелой командой и архитектурой, которую уже практически невозможно разрушить.