С начала 2025 года ландшафт киберугроз на Юге России качественно изменился: если раньше злоумышленники в основном стремились похитить данные или заблокировать сервисы, то теперь их главной целью становятся системы автоматизированного управления бизнес- и технологическими процессами.
О том, почему это опасно, как бизнесу защищаться и почему дефицит кадров в кибербезопасности остается острой проблемой, в интервью "Интерфаксу" рассказал директор офиса отраслевых решений региональной дирекции "Юг" ПАО "Ростелеком" Александр Токарь.
Кибератаки стали более сложными
– Александр Андреевич, как за последний год трансформировался ландшафт киберугроз в стране? Какие изменения наблюдаются в методах атак и целях злоумышленников?
– Мы видим, что количество инцидентов-сообщений об утечках баз данных за 9 месяцев 2025 года по всей стране снизилось на 17%, до 573. Лишь половина из них приводит к реальной публикации украденной информации, которая нередко представляет собой компиляцию старых утечек. При этом изменилось качество угроз: они стали более сложными и глубокими, за один инцидент утекает больше чувствительных для бизнеса данных. Если за январь-сентябрь 2024 года в сеть попало 821 млн строк, то есть данных, то за тот же период 2025 года – уже 2,6 млрд. Как правило, это массивы технической информации. Она не затрагивает конкретную персону, но может повлиять на бизнес-процессы или функционирование организации в целом. Киберпреступники стали чаще размещать провокационную фейковую информацию: сегодня они публикуют до пяти сообщений об утечках в день.
Злоумышленники активно проводят DDoS-атаки для нарушения работы информсистем. Общее количество DDoS-атак на организации в ЮФО за 9 месяцев 2025 года составило 26,3 тыс. Округ вошел в десятку наиболее атакуемых, заняв седьмое место, а на каждую компанию в округе приходилось не менее 68 атак.
Раньше атаки были направлены на получение данных или блокировку сервиса, сейчас – на нарушение систем автоматизированного управления технологическим процессом.
– С чем связан этот сдвиг в сторону атак на системы управления?
– Проникнув в технологический процесс предприятия, можно нанести значительно более серьезный ущерб не только юрлицу, но и отрасли, и даже стране. Поэтому киберпреступники активнее смотрят в эту сторону.
– Используется ли ИИ в борьбе с киберугрозами?
– Защитники разрабатывают алгоритмы для автоматического противодействия атакам и разбора инцидентов. Но и хакеры используют новые подходы. Это борьба одного искусственного интеллекта с другим, постоянная гонка технологий защиты и нападения: созданный полгода назад алгоритм сегодня уже может быть неактуален.
– Как оперативно обнаруживается факт кибератаки?
– Иногда очень быстро, например, когда была блокирована работа предприятия. Но какие-то программы, напротив, рассчитаны на то, чтобы на постоянной основе собирать полезную злоумышленникам информацию. Они могут незаконно пребывать во взломанной системе в среднем около шести месяцев. Поэтому я рекомендую компаниям регулярно проводить обновления, искать потенциальные вредоносные программы и анализировать риски утечек.
Промышленность, госсектор и ТЭК чаще подвергаются кибератакам
– Насколько остро в ЮФО стоит проблема атак на критическую инфраструктуру (КИИ)? Какие отрасли чаще всего становятся мишенью?
– Из критической инфраструктуры больше всего в зоне риска предприятия топливно-энергетического комплекса, промышленности и госсектор. Аграрная отрасль пока не так сильно оцифрована, поэтому атак на нее меньше. Однако интерес к ней есть у киберпреступников, поскольку это вопрос продовольственной безопасности. Цифровизация агросектора продолжается, и здесь нельзя забывать о кибергигиене. Представьте: поля опрыскивают с помощью дронов. Вмешательство в этот процесс может испортить урожай. Поэтому я считаю, что информационная безопасность – это инфраструктурный вопрос, актуальный для любой отрасли.
Дефицит кадров в кибербезопасности
– Как бизнес сегодня воспринимает кибербезопасность – как инвестицию в устойчивость или как вынужденные расходы? Насколько активно компании на Юге внедряют системы защиты и осознают риски от утечек данных?
– Для регулируемых компаний – госсектора и КИИ – это требование закона. Для остальных главное препятствие – бюджет и нехватка кадров. Они дорогие, с уникальными компетенциями, а спрос на них очень серьезный. Высококвалифицированных специалистов переманивают, в том числе в столичные компании с более высокой зарплатой на удаленку. К тому же талантливых ребят забирают уже с третьего курса. В связи с этим многие компании частично или целиком отдают обеспечение информбезопасности на аутсорс. Такой вид услуги становится все более востребованным. В нерегулируемом сегменте об этом чаще всего задумываются постфактум, после инцидента. Заблаговременно этим занимаются единичные организации.
– Какую работу "Ростелеком" проводит в ЮФО для наращивания кадрового потенциала?
– Мы открыли первый в Ростовской области киберполигон на базе ДГТУ, взаимодействуем с ведущими техническими вузами Юга и Северного Кавказа, выявляем талантливых ребят и со студенческой скамьи растим армию киберзащитников. Мы приглашаем их на стажировку под живые проекты, она длится в среднем от полугода. В Ростове-на-Дону также есть филиал центра противодействия кибератакам Solar JSOC.
Однако при подготовке будущих специалистов в системе образования ключевая проблема – разрыв между информбезопасностью на бумаге и практическими навыками. Мне бы хотелось, чтобы в учебные программы добавляли больше практики, увеличивали квоту в вузах. Важно создавать стимулы для закрепления ценных кадров в регионах, например, льготные ипотечные программы.
Бизнес должен думать о кибербезопасности заранее
– Насколько важно закладывать принципы кибербезопасности при создании бизнеса?
– Это критически важно. Создание и поддержание системы защиты несопоставимы со стоимостью крупного инвестпроекта. Ужесточение законодательства о персональных данных лишь подтверждает это: цена последствий кибератаки и ответственности перед государством может многократно превысить инвестиции в безопасность.
– Каковы наиболее серьезные последствия кибератаки для бизнеса?
– Риски – от репутационных до финансовых. Последствия могут быть разного масштаба: от требования выкупа за похищенную базу 1С до остановки технологического процесса на крупном производстве или нанесения ущерба энергосетевому хозяйству города. Все зависит от цели атаки. Прятаться или отрицать случившееся – не лучшее решение. В идеале нужно оповестить всех, кто может пострадать, а постфактум – предупредить партнеров и рынок о новых угрозах. К сожалению, немногие компании знают, что делать при кибератаке, и заранее прорабатывают сценарии реагирования, а тех, кто понимает, как устранять последствия, – еще меньше.
Число кибератак не уменьшится в ближайшей перспективе
– Каков Ваш прогноз по кибератакам на Юге России на следующий год?
– Я реалист. Надо готовиться к тому, что атаки станут еще более изощренными, пока нет предпосылок к уменьшению их числа в среднесрочной перспективе. Ростовская область входит в топ-12 субъектов по уровню киберактивности. Атаки, которые сначала обрушиваются на головные офисы крупных компаний в Москве и Санкт-Петербурге, очень быстро доходят и до южных филиалов. Мы явно видим такую закономерность.
В условиях повышения сложности киберугроз главной задачей остается проактивная защита и подготовка. Мы делаем акцент на использовании инновационных отечественных технологий и постоянно развиваем экспертизу в сфере кибербезопасности. Это помогает своевременно реагировать на угрозы и минимизировать последствия инцидентов. При этом устойчивость бизнеса зависит еще и от культуры информбезопасности, формирования кадрового ресурса и внутренней готовности к возможным атакам. Совместные усилия и системное развитие этого направления – залог успешной защиты в будущем.
