Вредоносное ПО и несанкционированный доступ к системам были основными угрозами для российских компаний в 2025 г., а промышленность и региональные органы власти — самыми атакуемыми секторами экономики. Такие выводы сделали эксперты ГК «Солар», архитектора комплексной кибербезопасности. В основу аналитики легли данные центра противодействия кибератакам Solar JSOC, крупнейшего коммерческого SOC в России. Об этом CNews сообщили представители «Солар».
Отчет Solar JSOC охватил около 300 организаций из ключевых отраслей экономики, включая госсектор, финансы, нефтегазовую отрасль, энергетику, телекоммуникации, крупный ритейл, добывающую и пищевую промышленность, транспорт и логистику и др. Все компании представляют сегмент Large Enterprise и Enterprise c количеством сотрудников 500–1 тыс. человек и более, и оказывают услуги в разных регионах страны.
Всего за 2025 г. мониторинг Solar JSOC выявил 1,16 млн событий ИБ — подозрений на инцидент после обработки первой линией мониторинга и фильтрации ложных срабатываний. Это на 36% меньше, чем в 2024 г. — 1,81 млн событий, однако до показателей 2022 г. и ранее все еще далеко, отмечают эксперты. К тому же за прошлый год вырос процент подтвержденных заказчиками инцидентов: более 33 тыс. — в 2025 г. против 31,5 тыс. — в 2024 г. Причем на горизонте четырех лет по этому показателю видна схожая «сезонность»: в начале года относительное затишье, затем рост числа инцидентов, причем в последние два года наибольший всплеск приходится на конец года.
Вредоносное ПО остается одной из самых распространенных угроз, на его долю пришлось 36% всех инцидентов (+6 п.п. к показателю 2024 г.). При этом в большинстве случаев атакующие использовали уже готовые инструменты, известное и типовое ВПО. С развитием автоматизированных платформ (например, Malware-as-a-Service) злоумышленники получили возможность массово распространять вредоносное ПО, что снизило барьер входа для атакующих и увеличило общее количество таких инцидентов.
Второе место в топе занимают попытки несанкционированного доступа (23%). Хакеры активно используют брутфорс (метод автоматизированного перебора паролей), эксплуатацию уязвимостей, атаки на веб-приложения и системы аутентификации и т.д. Количество и качество таких атак растет под конкретные значимые для государства события. Например, в III квартале 2025 г. значительный всплеск веб-атак пришелся на Единый день голосования в России (14 сентября) — очевидно, хакеры рассчитывали оказать деструктивное воздействие на избирательный процесс.
Помимо этого, в отчете Solar JSOC впервые была выделена в отдельный блок категория «изменения инфраструктуры», доля которой от всех подтвержденных заказчиками инцидентов составила 11%. Этот тренд явно свидетельствует о росте усилий хакеров в направлении целевых продвинутых атак.
Отраслевая направленность инцидентов также претерпела изменения в 2025 г. Если в 2024 в топ-3 по среднему числу атак на организацию были госсектор (ФОИВ, РОИВ и другие госорганизации — совокупно 55%), финсектор (18%) и транспортная отрасль (16%), то в 2025 году особенно выделяются промышленность (добывающая и пищевая — совокупно 23%), а также госсектор (совокупно — 14%, из которых РОИВ — 11%). Также в числе наиболее атакуемых секторов остаются торговля, финансовая и транспортно-логистическая отрасли, занимающие равные доли в 10%.
Добывающая промышленность, обеспечивающая 40% экономики и ориентированная на экспорт, становится ключевой мишенью для кибератак. Остановка добычи ресурсов может использоваться как инструмент давления в международных отношениях, что привлекает государственных и политически мотивированных хакеров, а также вымогателей, рассчитывающих на финансовую выгоду из-за высоких издержек простоя. Активная цифровизация отрасли, включая интеграцию ИT и OT-сетей, расширяет поверхность атаки, а устаревшее оборудование и неподдерживаемые системы усложняют защиту. Кроме того, взаимодействие с большим числом подрядчиков делает цепочку поставок уязвимой для компрометации.
Пищевая промышленность также попала в число наиболее атакуемых секторов из-за стратегической значимости и зависимости от сложных цепочек поставок. Использование внешнего и устаревшего ПО, характерное для отрасли, увеличивает риски кибератак, направленных на дестабилизацию производства.
Рост кибератак на региональные органы власти (РОИВ) России год к году составил 7 п.п. Это обусловлено их стратегической значимостью и общим уровнем ИБ. В случае с РОИВ злоумышленники могут преследовать разные цели — например, это может быть кибершпионаж и дестабилизация обстановки (нарушение работы органов власти и госслужб, похищение и публикация конфиденциальных данных). Однако инфраструктура РОИВ может стать для хакеров и точкой входа в более крупные госструктуры федерального значения, атаковать которые напрямую гораздо сложнее. По мнению экспертов, нынешний повышенный интерес группировок к РОИВ выглядит как «прощупывание» киберландшафта перед более крупными атаками.
Из-за ограниченных бюджетов уровень киберзащиты РОИВ часто ниже, чем в федеральных структурах, а устаревшие CMS, операционные системы и офисные пакеты содержат известные уязвимости. Человеческий фактор также играет роль: регулярные тренировки по кибербезопасности и повышение цифровой грамотности сотрудников не всегда являются приоритетом, что повышает киберриски. Наряду с этим каждый регион представляет собой отдельную «поверхность атаки»: собственные сайты, сервисы и подрядчики с доступом к системам увеличивают количество потенциальных точек проникновения для злоумышленников.
«2025 год подтвердил, что геополитика остается основным драйвером кибератак. Мы наблюдаем рост сложных целевых атак на стратегически важные отрасли, такие как промышленность и госсектор (особенно региональную власть). При этом вредоносное ПО и попытки несанкционированного доступа остаются ключевыми угрозами для компаний. Чтобы минимизировать риски, организациям необходимо повышать свой уровень защиты, регулярно обновлять ПО и обучать сотрудников, проводить аудит доступов у подрядчиков. Мониторинг инцидентов в режиме реального времени и своевременное реагирование на угрозы становятся критически важными для обеспечения кибербезопасности организаций самого разного масштаба», — сказал Дмитрий Иванов, директор по развитию сервисного портфеля ГК «Солар».
Поделиться