Результаты краш-теста цифровой устойчивости российских компаний оказались тревожными: реальный уровень защищенности в среднем втрое ниже ожидаемого. В большинстве случаев ИТ и ИБ-подразделения не смогли эффективно отреагировать на атаки, а самыми уязвимыми стали торговые компании и производственный сектор.
Компания «Кибериспытание», входящая в структуру фонда «Сайберус», представила результаты масштабного исследования под названием «Недопустимое событие 2025. Цифровой краш-тест российского бизнеса». Исследование включает данные по 74 экспресс-кибериспытаниям, целью которых было моделирование критических цифровых инцидентов. В 60% случаев эксперты смогли успешно воспроизвести так называемое недопустимое событие — ситуацию, способную нанести бизнесу значительный ущерб.
Запуск проекта сопровождался учреждением грантовой программы объемом в 100 миллионов рублей. Она была анонсирована 17 ноября 2024 года и позволила компаниям бесплатно оценить свою реальную киберустойчивость, а «Кибериспытанию» — протестировать разнообразные гипотезы на широкой выборке предприятий.
Кибериспытание каждой компании длилось 3 месяца. За это время независимые исследовательские команды пытались реализовать один из сценариев критической угрозы, заранее выбранный самими участниками. В исследовании было задействовано около 1,5 тысяч специалистов, включая этичных хакеров и технических аналитиков.
В тестировании участвовали 105 компаний, представляющих девять различных отраслей экономики, от малых предприятий до крупных игроков. Наибольшую долю составили компании из ИТ и телекоммуникационного сектора (57%), за ними следуют торговля (10%), научно-технические организации и консалтинговые агентства (9%), производственные компании (8%), а также представители финансовой, страховой, медицинской, строительной и транспортной сфер (10%).
Внутренняя информационная безопасность — обзор решений и практик для бизнеса
Одним из значимых выводов исследования стало то, что метод кибериспытаний оказался понятным и ценным инструментом для высшего руководства компаний. В 51% случаев инициаторами участия становились генеральные директора или собственники компаний. В 49% случаев участие в проекте отстаивали главы ИТ-направления, информационной безопасности или цифровизации.
Выбор сценариев для испытаний различался в зависимости от отрасли. Например, представители информационного сектора и обрабатывающей промышленности чаще всего считали наиболее критичным сценарием шифрование баз данных. Финансовые компании в свою очередь отдавали приоритет моделированию кражи данных. Интересно, что попытки получить доступ к аккаунтам топ-менеджмента вызывали наименьшее беспокойство среди участников всех сфер.
Наиболее уязвимыми оказались представители торговли (83%) и обрабатывающего сектора (80%). За ними следуют ИТ и телеком (59%), а также консалтинговые и научно-исследовательские организации (57%). Самыми устойчивыми к атакам показали себя компании из финансовой и страховой отрасли, где критическое событие удалось реализовать лишь в 25% случаев.
При этом независимо от типа бизнеса в целом уровень взломов превышал 50%. Наибольшая доля успешных атак — 75% — была зафиксирована у малых предприятий, активно использующих цифровые технологии. Уровень риска для микропредприятий оказался ниже, что исследователи связывают с ограниченной цифровизацией и опорой на сторонние B2B-сервисы, такие как «1С», «Яндекс» и др.
Если экстраполировать результаты на пять ключевых отраслей экономики, потенциальный финансовый ущерб от атак с применением шифрования может составить до 5,33 триллиона рублей, даже без учета возможных выплат выкупа.
Специалисты «Кибериспытания»также рассчитали, что одна успешная атака с шифрованием данных может привести к потерям в размере 1,57 млрд рублей из-за простоев и потери выручки. Если учесть возможную готовность части компаний заплатить выкуп, общая сумма потенциального ущерба увеличивается до 1,76 млрд рублей.
Авторы исследования подчеркивают: реальная степень защищенности компаний в среднем оказалась в три раза ниже их собственных ожиданий. Даже те, кто регулярно проводил тесты на проникновение и считал свою инфраструктуру надежной, были взломаны — зачастую с минимальными затратами со стороны атакующих. Основные угрозы исходили из неожиданных векторов: слабых мест за пределами зоны ответственности ИБ-подразделений, социальной инженирии, мелких технических уязвимостей.
Отдельно отмечено, что в большинстве случаев реакция ИТ и ИБ-подразделений на попытки атак была либо крайне слабой, либо отсутствовала. При этом способность противодействовать не зависела от размера компании, а определялась уровнем компетенций и вовлечённости конкретной команды. Особенно уязвимыми оказались сотрудники в части противодействия социальной инженерии.