Бизнес
Экономика
Финансы
Инвестиции
Технологии
Медиа
Недвижимость
Политика
Общество
Менеджмент
Стиль жизни
Интервью
Мнения
Фотогалереи
Ведомости
ВЕДЫ
Правила торговли
Идеи управления
Город
Ведомости&
Аналитика
Капитал
Страна
Промышленность
Премия Импульс
Спорт
Здоровье
Конференции
Справочник компаний
Справочник персон
Туризм
Право
Наука
Как потратить
Устойчивое развитие
Форум
Техуспех
Ведомости Северо-Запад
Тренды

Кибериспытания: как имитация атак меняет стандарты безопасности

Теперь реальную устойчивость ИТ-систем бизнеса все чаще проверяют хакеры, а не аудиторы
Павел Дубинин
iStock
iStock

Традиционные аудиты кибербезопасности и проверки по чек-листам перестают быть гарантией реальной защищенности компаний. Формальное соответствие нормам регуляторов, хотя и остается обязательным минимумом, уже не отражает способность бизнеса противостоять современным атакам. Как отмечает старший менеджер практики кибербезопасности «Технологий Доверия» («ТеДо») Антон Мерцалов, большая часть киберинцидентов сегодня случается не из-за отсутствия средств защиты, а по причине ошибок в настройках этих средств, недостатков в системе мониторинга угроз и компрометации учетных данных сотрудников, которые злоумышленники получают через фишинг или атаки на подрядчиков.

Партнер практики «Цифровая трансформация» Strategy Partners Сергей Кудряшов подчеркивает разницу в подходах: аудит отвечает на вопрос «соответствуем ли мы требованиям?», тогда как бизнесу важно знать, выдержит ли инфраструктура реальную атаку. По словам эксперта, российские инциденты последних лет со всей очевидностью показали этот разрыв. Например, вся ИТ-инфраструктура крупного логистического оператора с формально исправной системой резервного копирования оказалась полностью парализована на 11 дней, поскольку резервные копии данных не были физически отделены от основной сети и оказались уничтожены во время атаки вместе с рабочими системами.

Исполнительный директор Sk Capital (группа ВЭБ.РФ) Егор Попов добавляет, что скорость развития технологий и проникновение искусственного интеллекта (ИИ) во многие процессы приводят к быстрому устареванию традиционных методологий. «Кибериспытания, во-первых, отвечают задаче поддержания постоянной боеготовности инфраструктуры, а во-вторых, позволяют сконцентрировать ресурсы на наиболее значимых для бизнеса угрозах», – поясняет он.

Так, в 2025 г. компания «Кибериспытание» (входит в фонд «Сайберус») провела краш-тест 74 российских организаций. 67% компаний были взломаны менее чем за сутки. Более чем в 60% случаев «белые хакеры» смогли реализовать событие, которое в реальной жизни остановило бы бизнес: например, зашифровать базу данных или вывести денежные средства. При этом самый быстрый взлом занял всего 34 минуты с момента публикации задания. По оценке экспертов, потенциальный ущерб от шифрования данных участников исследования мог составить 1,57 млрд руб., а в масштабе пяти отраслей экономики – достигнуть 5,33 трлн руб.

От пентеста до багбаунти

Рынок предлагает несколько форматов проверки реальной устойчивости ИТ-системы, и у каждого из них своя роль. Классический пентест (от английского penetration test – тест на проникновение) остается базовым инструментом для выявления конкретных технических уязвимостей. В ходе такого тестирования специалисты по согласованному с заказчиком сценарию пытаются проникнуть в инфраструктуру компании, имитируя действия внешнего или внутреннего злоумышленника. Как поясняет директор департамента управленческого консультирования ДРТ Юлия Жукова, такая оценка обычно длится две-три недели и фокусируется на наиболее критичных активах.

Однако для компаний с высоким уровнем цифровой зрелости этого недостаточно. Red teaming («красная команда») моделирует поведение мотивированного злоумышленника, проверяя не только технологии, но и людей и процессы реагирования. В таких учениях участвуют две стороны: красная команда (обычно наемные «белые хакеры»), которая пытается прорвать оборону и добраться до критически важных активов, и синяя команда – штатные специалисты по защите, которые должны обнаружить атаку и остановить ее.  Партнер фонда «Сайберус» (группа ВЭБ.РФ) Егор Богомолов отмечает, что такой формат отвечает на вопрос, сможет ли атакующий пройти защиту и достичь критической цели.

Наиболее востребованным форматом эксперт называет багбаунти (от английского bug bounty – награда за ошибку) и постоянные кибериспытания. Багбаунти – это программа, в рамках которой компания приглашает независимых исследователей со всего мира искать уязвимости в своих системах за денежное вознаграждение. Постоянные кибериспытания работают по тому же принципу, но без привязки к конкретным срокам: проверка защищенности ведется непрерывно, в режиме 24/7. По словам Богомолова, инфраструктура компаний стала слишком динамичной для разовых проверок – новые сервисы, интеграции и облачные решения появляются каждую неделю, а вместе с ними возникают и новые потенциальные точки входа для злоумышленников. «Для бизнеса различие [с аудитами или чек-листами] очень практическое. Чек-лист и аудит показывают соответствие требованиям. Кибериспытания показывают вероятность остановки бизнеса», – подчеркивает он.

Управляющий директор Positive Technologies Алексей Новиков обращает внимание на экономическую модель таких программ: «Самое главное, что вы платите за конкретный результат. Вознаграждение выплачивается лишь тогда, когда вам показали реальную цепочку реализации вашего недопустимого события». По итогам 2025 г. более 60% отчетов, полученных в рамках кибериспытаний на платформе Standoff Bug Bounty, относились к критическому и высокому уровням опасности, сообщил он. Как правило, для специалистов по информационной безопасности критический уровень означает, что найденная уязвимость позволяет злоумышленнику получить полный контроль над системой или остановить ключевые бизнес-процессы компании. Высокий уровень присваивается уязвимостям, которые открывают доступ к конфиденциальным данным или важным элементам инфраструктуры, но требуют от атакующего дополнительных действий для полной компрометации.

Безопасность как непрерывный процесс

Внедрение регулярных испытаний меняет саму философию защиты данных, указывают эксперты. Главный сдвиг – безопасность перестает восприниматься как ежегодная процедура и становится непрерывным операционным процессом. «Зрелые заказчики выстраивают постоянный контур: багбаунти работает непрерывно, симуляции взлома прогоняются по расписанию, red team приходит несколько раз в год», – комментирует Кудряшов.

Фокус внимания бизнеса смещается с процента выполнения нормативных требований на метрики реальной устойчивости. Как поясняет Мерцалов, теперь компании оценивают время обнаружения атаки и реагирования на нее, время скрытого присутствия злоумышленника в системе, а также способность локализовать инцидент до наступления критического ущерба.

Тренд подтверждает мировая статистика. Согласно отчету Google Cloud, среднее время начала эксплуатации уязвимости ушло в отрицательную зону и в 2025 г. составляло минус семь дней. Это означает, что злоумышленники начинают использовать уязвимости в системах в среднем за неделю до того, как разработчики выпускают официальное исправление. Для сравнения: в 2018 г. у компаний было около двух месяцев на установку такого обновления. Эксперты связывают такое ускорение с активным использованием искусственного интеллекта, который сокращает время на анализ уязвимостей и создание инструментов для атаки. В таких условиях, как отмечается в исследовании, решающим фактором становится не предотвращение взлома, а скорость его обнаружения и реагирования.

При этом переход противостояния на уровень алгоритмов ставит перед отраслью новые вызовы. Тренд на сверхскоростные автоматизированные атаки и защиту станет одной из тем технофестиваля Startup Village 2026, который пройдет 28–29 мая. В центре дискуссии «Поединок равных. Как меняется тактика кибератак», которая пройдет при поддержке ВЭБ.РФ, – новая гонка ИИ-вооружений, где нейросети сражаются друг с другом, а человек из главного звена кибербезопасности превращается в наблюдателя.

Богомолов добавляет, что бизнес все чаще задает прикладные вопросы: можно ли остановить ключевые процессы компании и сколько это будет стоить атакующей стороне. При этом эксперты предостерегают от формального подхода. Жукова указывает, что безопасность становится действительно непрерывной, только если компания выстраивает соответствующие процессы, а не пытается найти «волшебную таблетку», выполнив пентест раз в год.

Новая норма

В ближайшие два-три года кибериспытания станут стандартом для крупного бизнеса, в первую очередь – объектов критической информационной инфраструктуры и финансового сектора, полагают эксперты. Попов считает, что инструмент может занять лидирующее место среди методов повышения киберустойчивости, став частью экспортного предложения России.

Новиков при этом уточняет, что «новой нормой» испытания станут прежде всего для тех, кто регулярно инвестирует в кибербезопасность. Если регуляторы включат их в обязательные требования, это вызовет кратный рост рынка.

Главным риском при форсированном внедрении эксперты называют превращение кибериспытаний в очередную формальность «для галочки». Кудряшов отмечает, что у руководства компании может возникнуть желание не раскрывать результаты проверок техническим специалистам и бизнес-подразделениям, чтобы избежать репутационных рисков или дополнительных расходов на исправление. «Соблазн закрыть результаты испытаний от ИТ и бизнеса есть, тогда как именно у них находятся рычаги исправления – архитектура систем и тренировки альтернативных бизнес-процессов», – указал эксперт. По его мнению, если информация о найденных уязвимостях не доходит до тех, кто отвечает за настройку оборудования и организацию рабочих процессов, сами испытания теряют смысл: проблемы остаются нерешенными, а компания лишь имитирует работу над кибербезопасностью.