Введение
Эта статья — формализованный анализ изменения структуры, целей и последствий кибератак, наблюдавшихся на территории Российской Федерации в период с 2020 по 2025 год. Границей между периодами выступают события наступления геополитического международного кризиса, повлёкшие за собой изменение внешнеполитической обстановки и структуры киберугроз. Здесь рассматриваются две основные временные когорты: 2020–2023 годы (включая период до начала изменения геополитического ландшафта состояния мировой ИБ и первый год острой фазы международного кризиса) и 2023–2025 годы (консолидация новых трендов). Мы провели анализ, чтобы выявить смену доминирующих типов киберугроз, факторов, которые её обусловили, а также эволюции подходов к обеспечению информационной безопасности (ИБ) в государственном и корпоративном секторах.
В этот период произошёл фундаментальный сдвиг парадигмы: от демонстративных атак с целью немедленного урона и публичного резонанса к скрытым, долгосрочным операциям, нацеленным на создание устойчивых каналов получения разведывательной информации. Мы последовательно рассмотрели три стадии эволюции киберугроз на каждом из выделенных этапов, проанализировав причины снижения числа фиксируемых успешных утечек данных, а также сформулировали выводы о новой роли государства как организатора кибератак.

1. Изменение основного тренда киберугроз: сравнительный анализ периодов «до/после» эскалации
1.1 Период 2020–2022 гг.: доминирование атак с публичной демонстрацией
В 2020–2022 гг. наблюдалась качественно иная структура киберинцидентов по сравнению с последующим периодом. Основной массив атак исходил от так называемых «энтузиастов хакинга» — негосударственных субъектов, действующих в рамках хактивизма или киберпреступных групп с финансовой мотивацией. Характерными чертами этого этапа являлись:
Высокая частота успешных дефейсов (подмена контента веб-ресурсов) как инструмент саморекламы группы или выражения политической/идеологической позиции.
Публичные требования выкупа, сопровождающиеся угрозами опубликовать похищенные данные (модель двойного вымогательства).
Стремление к максимальному операционному урону — нарушению доступности сервисов (DDoS-атаки, удаление резервных копий) с одновременной компрометацией конфиденциальности.
В терминах мотивации доминировал принцип «а я всё сломал» — акцент на факте самого взлома и его неоспоримой доказуемости для широкой аудитории. Утечки данных, как правило, сопровождались публикацией в открытых источниках (телеграм-каналы, теневые форумы, Pastebin). Репутационный ущерб для атакуемой организации был сопоставим с финансовым, а в ряде случаев превышал его.
1.2 Период 2023–2026 гг.: переход к скрытым, законспирированным операциям
Начиная с 2023 года зафиксировано кардинальное изменение доминирующего тренда. Волна публичных громких атак пошла на спад, однако это снижение не было связано с повышением защищённости систем. Напротив, произошла смена целевой модели злоумышленников. Новый тренд характеризуется следующими признаками:
Долговременное присутствие злоумышленников, APT-группировок (APT, Advanced Persistent Threat) на инфраструктуре цели, исчисляющееся месяцами и годами.
Глубокая законспирированность: минимизация шума, использование легитимных инструментов администрирования (living-off-the-land), шифрованный канал связи, отсутствие дефейсов или публичных требований.
Изменение цели — не единовременный ущерб, а создание устойчивого источника оперативной информации: сбор разведданных, мониторинг переговоров, документооборота, технологических процессов.
Ключевое изменение в психологии атакующего: лозунг «А я всё сломал» трансформировался в доктрину «А мы всё знаем, но новый заказчик больше платит». Многие APT-группировки начали искать покупателей на данные и на скомпрометированную инфраструктуру и теперь скрытность становится ключевым тактическим приоритетом. Обнаружение атаки рассматривается злоумышленником как собственное поражение. В отличие от предыдущего этапа, где целью было сделать взлом максимально заметным, новая фаза требует, чтобы факт компрометации не был раскрыт никогда, либо был раскрыт только по достижении всех оперативных целей (извлечение максимального объёма данных за долгий период).
1.3 Причина смены тренда: государственное управление киберконфликтом
Согласно экспертным данным, описанный сдвиг носит не спонтанный, а детерминированный характер. Основная причина — изменение субъекта, стоящего за большинством успешных атак на критическую информационную инфраструктуру и государственные органы России. Начиная с 2023 года, нарастает доля атак, инициируемых не частными группами, а государственными иностранными структурами. Киберконфликт приобретает черты институционализированного противостояния с участием государственных структур, где атаки:
финансируются из государственных бюджетов (отсутствует мотивация вымогательства);
координируются на межведомственном уровне (включая разведку, армию, спецслужбы);
подчиняются стратегии долгосрочного разведывательного присутствия, а не тактике медийного эффекта.
Прогосударственные акторы действуют по логике, противоположной хактивистам: их успех прямо пропорционален незаметности и продолжительности операции. Таким образом, сдвиг тренда является объективным следствием изменения субъектного состава атакующих сторон.
2. Трёхстадийная модель восприятия угроз: эволюция от 2020–2023 к 2023–2025 гг.
Для формализации изменения уязвимости организаций и их способности детектировать атаки предлагается две трёхстадийные модели, соответствующие двум периодам. Они описывают то, как рынок и службы безопасности субъективно оценивают свою защищённость, а также объективные возможности злоумышленников.
2.1 Модель 2020–2023 годов
Стадия 1. «Вас взломали, и об этом узнали все. Пиар и вымогательство»
На этой стадии организация подвергалась успешной атаке с гарантированной публичной компрометацией. Причины: недостаточная сетевая сегментация, слабый мониторинг, отсутствие планов реагирования на инциденты. Финансовые и репутационные потери были максимальными. Эта стадия являлась наиболее распространённой для среднего и крупного бизнеса.
Стадия 2. «Вас не взломали, потому что бюджет на взлом был недостаточен»
Организация оставалась не атакованной (либо атаки были отражены на периметре) не в силу собственной защиты, а в силу того, что затраты на проведение успешной атаки превышали потенциальную выгоду для злоумышленника. Для хактивистских и вымогательских групп атака на сложную, но не публичную цель не имела смысла. Этот статус создавал ложное ощущение безопасности.
Стадия 3. «Вас не взломали, потому что вы не интересны»
Организация не представляла ни материальной, ни репутационной ценности для массовых атак. Отсутствие интереса со стороны злоумышленников было единственной причиной отсутствия инцидентов. Любая прицельная атака, даже среднего уровня, привела бы к успеху.
2.2 Модель 2023–2025 годов
С началом государственно-управляемого киберконфликта структура стадий изменилась. Наиболее значимая мутация — первая стадия.
Стадия 1. «Вас взломали, но вы этого не знаете»
Это новая доминирующая реальность для критических объектов, органов власти, предприятий ОПК и ТЭК. Внедрение APT-групп под государственным контролем происходит незаметно. Системы безопасности организации могут не фиксировать вторжение, поскольку злоумышленник использует уязвимости нулевого дня, методы «без файлов» и легитимные учётные записи. Организация живёт в состоянии «зелёного света», не осознавая, что полностью скомпрометирована. Продолжительность этой стадии может достигать 12–24 месяцев до момента обнаружения (часто — случайного или в результате внешнего уведомления).
Стадия 2. «Вас не взломали, потому что бюджет на взлом был недостаточен»
Эта стадия сохраняет своё значение, но её наполнение меняется. Недостаточным бюджетом обладает уже не рядовой хактивист, а государственный актор в случае, если целевая организация имеет исключительную защиту (например, системы, физически отключённые от внешних сетей, с многоуровневой верификацией). Однако для большинства коммерческих структур государственные акторы не имеют бюджетных ограничений — следовательно, эта стадия относится только к организациям высшего уровня защищённости.
Стадия 3. «Вас не взломали, потому что вы не интересны»
Организации малого бизнеса, социально-культурной сферы, не связанные с государственной тайной или оборонным заказом, могут по-прежнему не привлекать внимания государственных кибервойск. Их риск связан в основном с остаточными киберпреступными группами. Данная стадия теперь достигается не из-за отсутствия способности взломать, а из-за отсутствия оперативной ценности взлома для государственного противника.

2.3 Сравнительный анализ моделей
Ключевое различие между двумя моделями — сдвиг акцента с публичности на скрытность. В первой модели самая опасная ситуация («вас взломали») была очевидной. Во второй модели самая опасная ситуация стала неочевидной по определению. Это накладывает дополнительные требования на системы обнаружения: они должны переходить от сигнатурного анализа к поведенческому, от реагирования на факт утечки — к поиску аномалий, указывающих на долговременное присутствие.
3. Факторы снижения числа регистрируемых утечек данных в 2023–2025 гг.
Несмотря на качественное усложнение угроз, официальная статистика и отчёты компаний по кибербезопасности фиксируют уменьшение количества успешных утечек данных (публично признанных инцидентов). Этот феномен требует отдельного анализа, поскольку он не свидетельствует о реальном улучшении защищённости. Выделяются два основных вектора, объясняющих это снижение.
3.1 Переход от «бумажной» безопасности к реальной
В период до 2022 года во многих российских организациях информационная безопасность носила имитационный характер. Документы (политики, регламенты, инструкции) существовали, но не подкреплялись достаточным финансированием, штатными единицами и техническими средствами. Основным стимулом для инвестиций в ИБ были требования регуляторов (ФСТЭК, Банка России) с санкциями в виде штрафов.
Начиная с конца 2022 года и особенно в 2023–2025 гг. произошла кардинальная переоценка рисков. Восприятие киберугроз сместилось от регуляторных рисков (штрафы) в сторону операционных рисков, включая остановку процессов и утрату данных:
Для бизнеса — риск полной остановки производственных процессов, уничтожения базы клиентов, потери интеллектуальной собственности.
Для государственных структур — риск утечки секретной информации, влияющей на ход СВО и национальную безопасность.
В ответ на это произошло выделение реальных бюджетов на ИБ, сопоставимых по объёму с бюджетами на IT-инфраструктуру. Начались закупки отечественных средств защиты (NGFW, SIEM, XDR), начали задумываться о регулярных киберучениях, стали создавать корпоративные SOC-центры (Security Operation Center). Именно этот переход от «бумажного» комплаенса к инженерно-технической защите позволил предотвратить множество атак, которые в предыдущий период обязательно привели бы к утечкам.
3.2 Полный цикл внедрения мер, описанных в Политиках информационной безопасности
Второй важнейший фактор — завершение полного жизненного цикла реализации мероприятий по ИБ. Распространённая ошибка предшествующего периода заключалась в том, что формальные Политики по ИБ (документы верхнего уровня) разрабатывались, утверждались и даже бюджетировались, но не доходили до стадии фактической реализации и, главное, эксплуатации.
В интервале 2023–2025 гг. этот цикл был пройден. Этапы:
Бюджетирование (2021–2022 гг.) — средства были заложены.
Планирование (2022 г.) — детальные дорожные карты.
Реализация (2023–2024 гг.) — развёртывание средств защиты, миграция на защищённые платформы, внедрение процессов управления уязвимостями.
Эксплуатация и постоянный мониторинг (2024–2025 гг.) — круглосуточная работа SOC, управление инцидентами, корректировка политик по результатам реальных атак.
Таким образом, организации вошли в фазу операционной зрелости. Если ранее после написания Политики «просто прошло время» без реальных изменений, то теперь временной лаг исчерпан, и меры начали работать. Это объективно привело к повышению защищенности и к снижению количества успешных утечек (особенно тех, которые ведут к публичному раскрытию). Однако важно подчеркнуть: скрытые APT-атаки, описанные в части 1, могут по-прежнему существовать, но их обнаружение стало менее вероятным, а утечки стали непубличными.

Заключение
Проведённый формализованный анализ позволяет сделать следующие выводы:
Смена парадигмы угроз. В период с 2020 по 2025 год доминирующий тип кибератак на российскую инфраструктуру эволюционировал от публичных, вымогательских и имиджевых атак со стороны независимых энтузиастов и независимых APT-группировок к скрытым, долгосрочным операциям под контролем государственных структур недружественных стран.
Новая реальность — скрытое присутствие. Для текущей фазы наиболее вероятное состояние многих критически важных организаций описывается первой стадией трёхстадийной модели: «Вас взломали, но вы этого не знаете». Обнаружение такого взлома требует принципиально иных методов мониторинга, нежели те, что были эффективны против предыдущего поколения угроз.
Обманчивая статистка. Количество публично зафиксированных успешных утечек данных снизилось, но это не следствие отсутствия атак. Это результат двух процессов: (а) реального повышения защищённости за счёт перехода от бумажной к практической безопасности и (б) перехода злоумышленников к скрытой тактике, при которой утечки не афишируются.
Зрелость ИБ-процессов. Завершился полный цикл внедрения Политик информационной безопасности: от бюджетирования через планирование и реализацию к эксплуатации. Это позволило сократить число инцидентов, связанных с типовыми уязвимостями, но не устранило угрозу целевых APT-группировок.
Рекомендации. На основе формализации предлагается скорректировать модели угроз организаций: исключить предположение о том, что отсутствие публичных утечек равно отсутствию компрометации. Приоритетными становятся системы поведенческого анализа, поиск аномалий в сетевом трафике и на конечных точках, а также внедрение принципа «zero trust» с непрерывной верификацией каждого запроса.
Материал написан по исследованию компании «Газинформсервис». Полную версию можно посмотреть по ссылке.
Авторы статьи
Алексей Максимов, руководитель лаборатории исследования кибербезопасности компании «Газинформсервис»
Александр Тасюк, ведущий инженер-аналитик лаборатории исследования кибербезопасности компании «Газинформсервис»
