Топ-менеджер Kaspersky: с начала года появилось семь новых кибергрупп, атакующих РФ

2025-08-08T07:00:01Z — Непростая ситуация с кибератаками против России усложнилась после сбоев у российских компаний в конце июля 2025 года, и неизвестно, чего ждать от хакеров в будущем. О том, сколько групп сейчас действуют против РФ, что произошло с атаками в 2025 году и чего ожидать от 2026-го, рассказала в интервью ТАСС вице-президент "Лаборатории Касперского" по развитию бизнеса в России и СНГ Анна Кулашова

— Для вас как для компании-защитника 2025 год оказался сложнее, чем 2024-й?

— Судя по тому, что мы видим, кибератак с каждым годом становится все больше, а методы злоумышленников усложняются. Это неудивительно: в России продолжают активно идти процессы цифровизации и импортозамещения. Все это серьезно влияет на общий и архитектурный ландшафт предприятий, а также на масштаб и характер киберугроз. По нашим данным, за первые шесть месяцев 2025 года на 7,5% выросло количество пользователей, сталкивавшихся с риском заражения в интернете, — если сравнивать с тем же периодом прошлого года.

Увеличивается и количество кибергрупп, которые в том числе связаны с хактивизмом в отношении России. Только с начала этого года появилось семь новых кибергрупп.

— Сколько хакерских группировок сейчас действует против России?

— По нашим данным — более 70.

— А по каким векторам атакуют?

— Фишинг — как на сотрудников, так и на частных пользователей — был и остается одним из наиболее излюбленных инструментов злоумышленников. Он входит в число самых часто используемых векторов.

Растет число атак на цепочки поставок, инцидентов с простыми или плохо защищенными паролями. Иногда атака начинается с элементарных вещей: например, злоумышленник получает доступ к системам поставщика, а оттуда уже к инфраструктуре хорошо защищенного заказчика, который является конечной целью. Нюансов очень много, и терять бдительность нельзя. Поэтому крупные компании все чаще требуют, чтобы поставщики соблюдали особые условия безопасности и обеспечивали достойный уровень защиты.

— Что ожидаете от 2026 года в части векторов атак против РФ и усиления их самих?

— К сожалению, пока нет никаких признаков того, что число кибератак начнет снижаться, — наоборот, их становится все больше. И это касается не только России, а всего мира. Для некоторых кибергрупп Россия представляет особый интерес, поэтому мы ожидаем, что угрозы и направления их атак сохранятся. В целом распространение искусственного интеллекта снижает порог входа для тех, кто пытается "встать на темную сторону". Массового применения принципиально новых инструментов пока не наблюдается, но злоумышленники уже начали использовать мультимодальные системы в своих целях.

Мы все это видим, понимаем и активно развиваем свои защитные решения. При этом не ограничиваемся только собственными силами — взаимодействуем с другими игроками на рынке, объединяем усилия, чтобы вместе создавать эффективные системы защиты от современных киберугроз.

— В последнее время очень часто слышу и вижу новости про связку кибербезопасности и ИИ. А чего сейчас больше: ИИ на службе киберпреступников или ИИ на службе киберзащитников?

— Мы в "Лаборатории Касперского" уже около 20 лет используем алгоритмы машинного обучения, встроенные в наш антивирусный движок. Без подобных ИИ-инструментов мы бы просто не справились с обработкой такого объема информации: каждый день мы выявляем около полумиллиона новых вредоносных файлов. По мере усложнения киберугроз появляется больше SOC-центров, где специалистов все время не хватает. Здесь ИИ выступает в качестве помощника по разбору инцидентов на первой линии. Очевидно, что злоумышленники также активно применяют ИИ, но оценить реальные масштабы сложно.

— Как бы вы охарактеризовали сбои у российских компаний в последних числах июля 2025 года?

— Я в это время была в отпуске и успокаивала отдыхающих за соседними столиками в пансионате — объясняла, что все скоро заработает, и оказалась права.

Есть такое прекрасное слово — антихрупкость. Когда система не просто выдерживает внешние удары, а становится сильнее после них. Конечно, не существует стопроцентной защиты — любую систему теоретически можно взломать. Но важно, насколько она устойчива в целом и как быстро может восстановиться после атаки. Вот, например, "Аэрофлот" восстановил свою работу с невероятной скоростью: уже на следующий день все снова летали по расписанию, работали личные кабинеты, электронная регистрация и прочие сервисы.

Сейчас все чаще смотрят не просто на факт атаки, а на то, как быстро компания обнаруживает проблему и реагирует на нее. Речь о показателях MTTD (Mean Time to Detect, среднее время на обнаружение атаки) и MTTR (Mean Time To Response, среднее время реагирования на атаку). Именно они сегодня становятся важными метриками для оценки эффективности систем безопасности. Потому что в итоге главное — насколько компания готова к таким вызовам и насколько хорошо у нее выстроен процесс обеспечения непрерывности бизнеса.

— Есть ли свидетельства того, что это все была одна спланированная хакерская кампания?

— Делать какие-либо выводы сейчас рано, поскольку исследования инцидентов продолжаются. Сначала нужно спокойно разобраться — что случилось, почему, откуда все началось. После этого станет понятно, какие меры по противодействию киберугрозам компаниям стоит включить в рамках риск-менеджмента.

— Что пострадало больше — бизнес компаний или их оценка в глазах клиентов и пользователей?

— Как клиент могу сказать — в моих глазах их репутация нисколько не пострадала. Я, наоборот, отметила, как быстро компании восстановили работу и как спокойно вели себя в этой непростой ситуации.

Понятно, что последствия каждый будет определять по-своему — у всех собственные карты оценки рисков. Компаниям придется самостоятельно разобраться, насколько эффективными оказались принятые меры, хорошо ли сработала митигация рисков и что можно улучшить в будущем.

— Вы бы согласились с тем, что такие сбои — это нехорошо для медиапространства в России?

— Для медиапространства любой страны такие ситуации — это, конечно, плохо. Вспомните недавние кибератаки на Microsoft и эксплуатации уязвимостей распространенного решения SharePoint с последствиями в том числе для крупных энергетических объектов в западных странах. Тут вопрос философский: как мы как общество на это реагируем.

— Один вопрос хотелось бы уделить мессенджеру MAX. Как вы оцениваете предпринятые разработчиками меры защиты как платформы, так и пользователей?

— У VK действительно сильная команда с серьезными компетенциями в области безопасной разработки. Мы не смотрели их решение, но открыты к сотрудничеству. Если будет запрос, готовы поработать, поисследовать вместе, а при необходимости — предоставить инструменты для обеспечения дополнительной защиты.

— Давайте поговорим о совместном проекте компаний из сферы кибербезопасности с "Почтой России", в котором принимаете участие и вы. Какие сложности в обеспечении киберзащиты этой компании видите для себя вы?

— Это амбициозный проект, с которым "Почта России" вышла на рынок и встретила поддержку от индустрии. "Почта России" — одно из системообразующих предприятий страны, у которого колоссальная и очень сложная инфраструктура. Фактически она объединяет и логистику, и распределительные центры, и отделения обслуживания населения по всей стране.

Внутри "Почты России" очень разные структуры, в компании используются сложные наборы решений. На мой взгляд, коллеги выбрали интересный подход — консолидацию лучших практик всех вендоров, которые есть на рынке, чтобы построить комплексную систему кибербезопасности. Не просто эшелонированную защиту, как обычно делают в корпорациях, а с использованием самых сильных решений от разных производителей. Сложность проекта заключается как раз в интеграции всех инструментов между собой. Это масштабная история, которая принесет пользу всей отечественной ИБ-индустрии.

Мы в этом проекте концентрируемся на логистическом и частично офисном сегментах и, соответственно, интегрируем наши решения с инструментами других производителей.

— Давайте теперь про ваш собственный бизнес, в частности зарубежный. В каком регионе мира вы сейчас больше всего развиваетесь?

— В целом наш международный бизнес продолжает расти, несмотря на сложности, связанные с геополитикой.

Белорусский бизнес у нас развивается очень хорошо. Там государство уделяет большое внимание вопросам безопасности, и благодаря этому темпы роста высокие — с хорошими двузначными цифрами. Похожая ситуация и в Центральной Азии. Например, в Кыргызстане приняли новые законы, которые способствуют развитию местной индустрии кибербезопасности. Казахстан и Узбекистан тоже уделяют много внимания вопросам информационной безопасности и показывают хорошие результаты.

Если говорить о макрорегионах, то в МЕТА (страны Ближнего Востока, Африки и Турция) видим двузначные цифры — более 20% роста в настоящее время, есть очень амбициозные цели на будущее. Активно развивается Латинская Америка. Азиатско-Тихоокеанский регион тоже показывает рост, хоть и неравномерный. В то время как Австралия и Япония стагнируют, Индонезия, Малайзия, Вьетнам, Китай и Индия развиваются очень активно. Остановка продаж в США сильно повлияла на показатели в Северной Америке. Однако в Канаде мы по-прежнему работаем.

— А из Канады вас, простите за выражение, не "выгоняют"?

— Канада — это все-таки другая страна. Там свои законы и нюансы ведения бизнеса.

— Но мы ведь знаем, что, когда происходит такого рода "истерия", законы, бывает, игнорируются.

— Везде по-разному. Понятно, что есть политическая конъюнктура, бывают попытки навязывания воли. Это, конечно, добавляет неопределенности. Но есть наша плановая работа, доверие местных заказчиков, партнеров, которые "голосуют за", выбирают и покупают наши решения.

На международных рынках мы идем туда, где нам рады, — и таких стран немало. Продолжаем открывать Центры прозрачности по всему миру и непрерывно наращивать международную экспертизу. Это то, во что мы вкладываем много ресурсов и будем продолжать инвестировать.

— В самом начале интервью вы упомянули ваш межсетевой экран нового поколения. Расскажете о нем подробнее?

— Как мы дошли до жизни такой? О планах по выводу на рынок Kaspersky NGFW мы рассказали в сентябре 2024 года, за год прошли большой путь — через несколько итераций и две бета-версии к коммерческому релизу. Во-первых, до того, как мы всерьез взялись за разработку NGFW, у нас уже были решения, связанные с сетевой безопасностью, ряд других проектов, в том числе SD-WAN. Мы наработали определенные компетенции, которые вселили в нас уверенность, что мы готовы заняться таким серьезным направлением.

Второе, знаете, — это "по многочисленным просьбам трудящихся". Поступало большое количество запросов от наших заказчиков. Это связано с импортозамещением, некорректным уходом ряда западных поставщиков, с тем, что не всегда быстро находилась замена решениям, к которым привыкли заказчики. Они приходили и говорили: "Когда вы сделаете? Мы на вас надежды возлагаем".

Почему не сразу? Потому что мы ответственно анализировали, что нужно рынку. Мы определили для себя три ключевых требования: стабильность и возможность встроиться в существующую ИТ-инфраструктуру заказчика, производительность и, конечно, функциональность с точки зрения кибербезопасности. Это три принципа, которыми мы руководствовались при создании межсетевого экрана нового поколения.

Сейчас наш NGFW активно развивается — уже более 20 заказчиков участвуют в пилотах. Мы получаем огромное количество обратной связи от них. Партнеры с серьезной квалификацией также приняли участие в тестировании. И на себе, на собственной инфраструктуре тоже провели пилот: даже нашли несколько багов и успешно устранили их. Так что эта история очень живая и активная, и у нас амбициозные планы на будущее.

Читайте также: