Кибератаки перестали быть исключительными событиями — они стали постоянным фоном для бизнеса. За 2025 год число инцидентов выросло в 1,5 раза по сравнению с 2024-м и почти в 4 раза — с 2023-м. Почти половина атак (44%) привела к нарушению основной деятельности компаний, а утечки информации достигли 51%. Однако большинство руководителей по-прежнему живут в иллюзии: им кажется, что регламенты, технологии и профильный отдел гарантируют защиту. На деле в момент реального инцидента начинается хаос. Готовность к атаке измеряется не документами, а способностью команды действовать слаженно в стрессовой ситуации, когда всё идёт не по плану. Единственный способ это проверить — регулярные киберучения. Директор информационной безопасности Positive Technologies Виктор Гордеев в колонке для «Эксперта» назвал главные индикаторы реальной защиты: скорость реагирования, разделение задач, понимание ролей, чек-ап по шести зонам риска и язык денег в разговоре с руководством.
Первый квартал 2026 года специалисты Positive Technologies назвали периодом кратного роста кибератак на государственные и коммерческие ресурсы. Цифры впечатляют: суммарное количество инцидентов за 2025 год в 1,5 раза превышает показатель за 2024 год и почти в 4 раза — за 2023 год. Сложность и агрессивность атак растут. И самое тревожное: 44% атак нарушают основную деятельность компаний, а утечки информации происходят в 51% случаев.
Виктор Гордеев, директор информационной безопасности Positive Technologies, утверждает, что большинство руководителей живут в иллюзии защищённости. Они полагаются на регламенты, специалистов и современные технологии. На деле в момент реального инцидента нередко начинается хаос. Процессы, которые выглядели идеально на бумаге, не работают на практике. Ключевые сотрудники могут быть недоступны, а команда не знает, как действовать слаженно. «Это похоже на ситуацию с пожарной безопасностью: без регулярных учений даже самый лучший план эвакуации оказывается бесполезен», — пишет Гордеев.
Готовность команды кибербезопасности измеряется её способностью действовать в стрессовой ситуации. Киберучения — это практическое расследование реальных атак в безопасной среде под руководством ментора с фиксацией того, что пошло не так. Основные индикаторы готовности: скорость реагирования (время от обнаружения проблемы до первых осмысленных действий) и качество разделения задач. «Не десять человек, уставившихся в одно событие в системе SIEM, а чёткое распределение: кто собирает данные, кто анализирует, кто принимает решение».
Сценарии учений воспроизводят те же техники и инструменты, что используют настоящие злоумышленники: закрепление в системе, обфускация кода, горизонтальное перемещение по сети. «Граница между учебным сценарием и реальной атакой минимальна». По итогам учений компания получает понимание, кто не знает своей роли, где процессы работают, а где нет, где команда теряет время.
Руководитель отдела кибербезопасности (CISO) должен уметь проводить первичный анализ угроз самостоятельно. Гордеев рекомендует раз в квартал проходить короткий чек-ап по шести зонам, где исторически концентрируется большинство инцидентов: проверять периметр и теневые активы, учётные записи и привилегии, сегментацию сети, исправность резервных копий, наличие слепых зон, надёжность подрядчиков и интеграций. «Практика показывает, что концентрация рисков предсказуема: внешний периметр, привилегированные учётные записи и подрядчики дают около 70% реальных точек входа».
Но и этого недостаточно. Атакующие постоянно совершенствуют инструменты. Если SOC варится только в собственной инфраструктуре, через год-два он начинает отставать от реальной картины угроз. Необходимо: отправлять команду на профильные конференции (Positive Hack Days, Standoff), проводить встречи с CISO других компаний для обмена реальными инцидентами, организовать регулярное обучение и сертификацию. «Разведка киберугроз (threat intelligence) должна стать ежедневной практикой, а не рутинным отчётом раз в квартал. Команда должна понимать, что нового появилось у атакующих за последние сутки — и сразу проверять, защищены ли они от этого». Хорошо сочетается с багбаунти и взаимодействием с внешними исследователями.
На уровне руководства компании CISO важно уметь говорить на языке денег и операционных рисков. Не «у нас выявлено 12 критичных уязвимостей», а «реализация сценария шифровальщика — это остановка производства на N дней и убыток в M миллионов, поэтому мы инвестируем X рублей, чтобы снизить вероятность риска с 30% до 5%». «В большинстве случаев руководство готово обсуждать вероятности и деньги — это их язык», — заключает Гордеев.