На дворе конец 2025 года, и мы продолжаем украшать нашу киберёлку подводить киберитоги и делиться киберпрогнозами. Мы уже вглядывались в кибершторм, оценили ландшафт киберугроз, направленных на Россию в целом. Заглянем в госучреждения и законодательные акты.
Алексей Батюк
Технический директор по развитию отрасли ИБ
Киберсреда и мотивация массовых взломщиков изменились
В далёком 2022 году государственный сектор был объектом почти каждой шестой успешной кибератаки*: было зафиксировано 403 инцидента**, на четверть больше, чем годом ранее. Около половины нападений были направлены на официальные веб-ресурсы органов власти. В последующие годы атаки на этот сектор приобрели яркий хактивистский характер. Хактивисты, имевшие до этого низкий экспертный уровень, развили свои навыки. Если раньше они взламывали госструктуры ради политического манифеста, стремясь подорвать доверие граждан и привлечь внимание общественности к своей акции, то в 2025 году, наряду с традиционными целями, они ��реследуют финансовую выгоду и совершают более серьезные киберпреступления. Все меньше хактивистов делают громкие заявления об успешных взломах. Проникнув в госинфраструктуры, часть групп занимается шантажом и вымогательством, угрожая ведомствам обнародовать похищенные персональные данные, что чревато для них крупными штрафами — до 500 млн рублей с 30 мая 2025 года.
Один из сценариев, свойственный проправительственным хактивистам, — сначала незаметно собрать ценные сведения для передачи (или продажи) иностранным спецслужбам, а затем дестабилизировать работу госучреждения либо оказать деструктивное воздействие на захваченную критически важную инфраструктуру, вплоть до ее необратимого повреждения.
*В Positive Technologies успешной считают кибератаку, в ходе которой злоумышленникам удалось достичь поставленных целей, то есть получить доступ к информационным ресурсам, нарушить нормальную работу или доступность систем, украсть, исказить или удалить информацию. Успешная атака эквивалентна киберинциденту.
** Каждая массовая атака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается Positive Technologies как одна отдельная, а не как несколько.
Первые серьезные требования ИБ к работе с подрядчиками и интеграции ИИ
Ведомства планомерно встраивают ИИ в системы государственного планирования и управления, в системы управления финансами и бюджетной политикой. Лица, ответственные в госструктурах за исполнение таких проектов, обращаются за консультациями к ведущим игрокам отечественного рынка ИБ: например, их интересуют темы защиты и конфиденциального использование общедоступных больших языковых моделей и их интеграция в корпоративные системы кибербезопасности.
В 2025 году приказ ФСТЭК от 11.04.2025 № 117 значительно расширил меры по защите информации:
🔺 Появились регуляторные требования к безопасности работы с поставщиками ПО, а также с технологиями искусственного интеллекта, если в государственные IT-системы внедряются решения на его основе.
🔺 Закреплены комплексные требования к безопасному использованию ИИ в государственных и ведомственных информационных системах. Документ обязывает операторов обеспечивать защиту данных, моделей и процессов обучения ИИ, применять только доверенные технологии, исключать передачу информации ограниченного доступа разработчикам моделей, а также контролировать корректность запросов и ответов ИИ, включая выявление недостоверных результатов.
Эти нормы фактически формируют новую регуляторную рамку, в которой государственные структуры должны использовать ИИ осознанно, прозрачно и под управлением, исключая риски искажения решений, утечки данных и неконтролируемого влияния алгоритмов на критически важные функции.
Positive Technologies активно участвует в формировании национальных требований по безопасному использованию искусственного интеллекта: наша компания входит в Консорциум исследований безопасности технологий ИИ и принимает непосредственное участие в разработке нормативной базы и методик тестиро��ания доверенных технологий.
Уже в ближайшее время все ИИ-сервисы и средства защиты с ИИ, применяемые в государственных системах и на объектах КИИ, де-факто должны будут соответствовать как стандарту безопасной разработки ИИ, так и разрабатываемому ГОСТу по безопасности искусственного интеллекта, используемого в объектах КИИ, а также полностью выполнять требования вышеназванного приказа ФСТЭК — от использования доверенных технологий и запрета обучения на служебных данных до контроля достоверности ответов и документирования угроз ИИ.
Безопасность объектов КИИ будет контролироваться жестче
Федеральный закон от 07.04.2025 № 58-ФЗ (вступил в силу 1 сентября 2025 года) вводит новую обязанность для субъектов КИИ: теперь они должны информировать НКЦКИ не только о зафиксированных инцидентах*, но и о компьютерных атаках**. Для значимых объектов время уведомления об атаке составляет до трех часов, для прочих объектов — до 24 часов. Таким образом, предоставление отчетности в НКЦКИ носит уже не формальный, а практический характер, отражающий реальное состояние защищенности объектов и их готовность отразить угрозы. Чтобы объекты КИИ соответствовали новым требованиям, на них должны быть установлены корректно работающие средства защиты, налажены процессы ИБ, а контролировать выполнение задач должна команда подготовленных специалистов по киберзащите.
В ближайшее время также будут определены и утверждены перечни типовых отраслевых объектов КИИ с подробным описанием их инфраструктуры и особенностей ее категорирования. Организации, чьи объекты информационной инфраструктуры соответствуют обозначенным характеристикам, автоматически будут внесены в список для прохождения обязательной процедуры категорирования.
*НКЦКИ считает компьютерным инцидентом факт нарушения и (или) прекращения функционирования информационного ресурса (ИР), сети электросвязи, используемой для организации взаимодействия ИР, и (или) нарушения безопасности обрабатываемой ИР информации, в том числе произошедший в результате компьютерной атаки.
**НКЦКИ определяет компьютерную атаку как целенаправленное воздействие программных и (или) программно-аппаратных средств на ИР в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой ИР информации.
Отраслевые центры ГосСОПКА на подходе
Стало известно, что готовится нормативно-правовой акт об аккредитации центров ГосСОПКА.
Что может измениться
До сих пор участники рынка кибербезопасности строили центры мониторинга ИБ и реагирования на инциденты (security operations centers, SOC), которые выполняли роль ГосСОПКА. Обязательное условие при этом — заключение соглашения о сотрудничестве с НКЦКИ. Однако сейчас контролирующие органы и главы ряда отраслевых министерств выдвинули инициативу по созданию в каждом секторе экономики отраслевых центров ГосСОПКА, что коррелирует с положениями Федерального закона № 58-ФЗ, предусматривающего разработку отраслевых стандартов в системах государственной службы. Закон не формализовал институт отраслевого центра ГосСОПКА с отдельным статусом, но создал правовую базу, на основе которой отраслевые регуляторы или ведомства могут получить определенные роли (смогут определять перечни, взаимодействовать с ГосСОПКА, информируя не только об инцидентах, но и о компьютерных атаках, а также задавать отраслевые правила). Практически это может означать появление отраслевых центров (например, в сфере энергетики, связи, финансов) — но пока без закрепленных норм, которые ожидаются в будущем. Новый подход призван повысить общий уровень киберустойчивости ведомств.
Кроме того, некоторые ФОИВ РФ прорабатывают концепции создания отраслевых центров компетенций по кибербезопасности, которые одновременно будут являться и отраслевыми центрами ГосСОПКА.
Две стороны одной медали: почти полное импортозамещение СЗИ и нехватка экспертов
Уровень импортозамещения решений для кибербезопасности в госсекторе достиг 95–98%, такие данные приводит ФСТЭК. Практически повсеместно применяются системы отечественных разработчиков. В частности, российские NGFW успешно прошли пилотные тесты и уже находятся на стадии активного внедрения либо в эксплуатации. Однако основной проблемой на объектах КИИ и в госучреждениях остается нехватка квалифицированных кадров в области ИБ, способных обслуживать, настраивать высокотехнологичное ПО и работать с ним.
Интерес злоумышленников к отечественному софту не угасает
Госорганы (и, частично, бизнес) следуют курсу импортозамещения, вследствие чего российские ОС и ПО постоянно находятся в фокусе внимания атакующих, причем эта тенденция сохраняется с 2022 года.
🔮 По нашим прогнозам, в 2026 году злоумышленники будут еще активнее искать слабые места в них и как можно незаметнее эксплуатировать уязвимости нулевого дня.
Мы также ждем роста количества специализированных хакерских инструментов, нацеленных на опенсорсные Linux-системы и отечественные платформы на их базе.
Эффективным способом укрепления защиты софта, по нашему мнению, является выход российских вендоров, подрядчиков и IT-партнеров на кибериспытания, которые проводятся на багбаунти-платформах. Эта мера в числе прочего позволит государственным организациям, равно как и другими участникам рынка, регулярно оценивать киберустойчивость инфраструктур самих разработчиков, а значит, и надежность работы с ними.
Острые проблемы регионов и пути их решения
По данным отраслевых исследований,❗на рынке не хватает около 50 тысяч специалистов в области кибербезопасности, тогда как образовательная система ежегодно готовит лишь 8–10 тысяч профильных выпускников, и до 46% вакансий в госсекторе остаются незакрытыми месяцами. Официальные лица — как регуляторы, так и представители органов государственной власти — подтверждают масштаб проблемы: в стране ощущается системная нехватка квалифицированных кадров в области ИТ и ИБ, особенно значимая для госорганизаций и объектов КИИ. На этом фоне становится очевидной необходимость комплексных мер — от отраслевых центров компетенций до новых федеральных программ подготовки специалистов.
От недостатка квалифицированных ИБ-специалистов особенно страдают регионы: привлекаемые высокими зарплатами выпускники профильных вузов, к��к правило, переезжают в Москву и Санкт-Петербург. Чтобы улучшить ситуацию, региональные ведомства совместно с крупными вендорами, и Positive Technologies в их числе, запускают образовательные программы, просветительские проекты и другие инициативы, а также открывают филиалы информационно-аналитических центров, чтобы популяризировать на своих территориях направление ИБ, заинтересовать престижной работой и удержать как можно больше местных специалистов.
Еще одним возможным вариантом преодоления кадрового дефицита в сфере ИБ может стать использование MSSP-сервисов; в некоторых регионах госорганизации уже отдали им предпочтение. Однако, несмотря на привлекательность подобной модели, она имеет ряд существенных недостатков именно для владельцев государственных сервисов и субъектов КИИ. Например, крайне сложно, используя такой сервис, соблюдать комплаенс, то есть поддерживать необходимые стандарты безопасности.
В некоторой степени разрешить дилемму может автоматизация. Разумеется, полностью заменить экспертов автоматизированными СЗИ невозможно, однако сочетание мер, включающих подготовку собственн��х специалистов, применение аутсорсинга там, где это целесообразно, и автоматизацию ежедневных типовых операций служб ИБ — уже сейчас дает хороший результат. Разработчики широко применяют методы и модели машинного обучения, и современные решения для ИБ теперь взяли на себя максимум рутинных задач сотрудников первой и второй линии SOC, передавая экспертам третьей линии детальные отчеты для более глубокого анализа и принятия решений.
Старт непрерывного обучения
Программы обучения сотрудников госучреждений станут регулярными, это важный тренд, укрепление которого мы прогнозируем в ближайшие годы. Предусматривается, что повышать уровень киберграмотности будут не только рядовые госслужащие, но и ИТ-специалисты. В обучении первой группы больший акцент будет сделан на инструктаж о том, как распознать фишинговые письма мошенников и иные попытки атак, проводимых с помощью методов социальной инженерии.
Оценка устойчивости госсектора на практике, с наглядным результатом
Цифровизация ведомств и государственных организаций подразумевает радикальное укрепление их киберзащиты и готовности противостоять нападениям любой сложности. Выбор методов оценки проведенной работы зависит от многих факторов, в том числе от внутренних регламентов со стороны государства. Positive Technologies, со своей стороны, предлагает практический механизм проверки работоспособности внедренных СЗИ в случае хакерских атак — закрытые кибериспытания с четко прописанными заданиями по реализации недопустимых событий для конкретного органа власти (например, сбой в предоставлении услуг населению, небезопасная обработка персональных данных или их утечка). В соответствии со строгими правилами кибериспытаний приглашенные исследователи безопасности остановятся в шаге до завершения неприемлемого сценария, чего достаточно для подтверждения возможности его выполнения. Предлагаемый нами подход позволяет выяснить, гарантирует ли выстроенная система кибербезопасности раннее обнаружение атак и эффективное противодействие злоумышленникам, защищает ли она самые важные и ценные для организации активы.
Выход организации на закрытые кибериспытания дает ответ на вопросы:
🔹 были ли организацией закуплены нужные СЗИ
🔹 сфокусированы ли СЗИ на защите целевых и ключевых систем, взлом которых может поставить под угрозу работу учреждения и привести к необратимым последствиям.
Кроме того, этот механизм через призму конечного результата защищенности дает реальную оценку рациональности вложенных в проект бюджетных средств.
О том, как проходят открытые кибериспытания на платформе Standoff 365 мы много пишем в блоге. В частности, можно почитать свежую статью от команды защиты здесь. А вот статьи про взлом СБП и системы контроля посетителей PassOffice.
А мы в скором времени продолжим знакомить вас с киберитогами и киберпрогнозами. Stay Safe & Tune!
