Профессор Жданов обозначил главные угрозы киберпреступности для постсоветского пространства

2025-07-03T06:37:43Z — Наше Ближнее зарубежье испытывает беспрецедентный всплеск киберугроз, противостоять которым становится все труднее. С чем в киберпространстве столкнулись наши соседи по постсоветскому пространству, в чем причины и есть ли выход из сложившейся ситуации, рассказал Исполнительный секретарь Координационного совета генеральных прокуроров государств-участников СНГ, профессор, заведующий кафедрой Международного права РГСУ Юрий Жданов

- Юрий Николаевич, насколько серьезны киберугрозы на постсоветском пространстве?

– Они серьезны настолько, что речь идет уже об угрозе национальной безопасности и существованию государств СНГ. Иные кибератаки по своим последствиям сопоставимы с ракетно-бомбовыми ударами.

Всесторонне оценили ландшафт киберпреступности и кибермошенничества в Ближнем зарубежье авторы аналитического отчета - «Киберугрозы в СНГ: региональная динамика, национальные уязвимости и стратегический прогноз на 2025-2026 гг.». Полагаю, что эта работа будет весьма полезна не только айтишникам и правоохранителям, но и экономистам, бизнесменам, госуправленцам, законодателям, даже военным и дипломатам. Так, авторы отчета указывают, что регион переживает беспрецедентный всплеск киберактивности, катализатором которого выступает острая геополитическая обстановка.

- Что чаще всего интересует хакеров?

– Согласно отчету, ключевым фактором, определяющим современный ландшафт угроз, является рост числа политически мотивированных атак, осуществляемых как прогосударственными группами, так и сообществами хактивистов. Их цели варьируются от шпионажа и кражи конфиденциальной информации до прямого саботажа и нарушения функционирования критической инфраструктуры.

- Неужели хакеров уже не интересуют деньги?

– Еще как интересуют! Финансово мотивированная киберпреступность продолжает набирать обороты, становясь все более изощренной. В отчете представлен детальный сравнительный анализ ситуации в Азербайджане, Армении, Беларуси, Казахстане, Кыргызстане, Молдове, Таджикистане, Туркменистане и Узбекистане. Выявлены значительные различия в уровне угроз, степени готовности национальных систем кибербезопасности и прозрачности статистических данных.

Например, в то время как некоторые страны, такие как Беларусь, сталкиваются с угрозами, зеркально отражающими российские, другие (например, Узбекистан) переживают взрывной рост финансового мошенничества, обусловленный стремительной цифровизацией, опережающей развитие защитных механизмов и цифровую грамотность населения. В 2023 году в стране было зафиксировано 55 тысяч киберпреступлений, а за последние пять лет их число выросло в 68 раз.

- Каковы последствия этих атак в странах СНГ?

– Прежде всего - серьезный экономический и репутационный ущерб. Для частных лиц инциденты информационной безопасности оборачиваются утечкой конфиденциальной информации в 69% случаев и прямыми финансовыми потерями в 32% случаев. В корпоративном секторе основной целью злоумышленников являются персональные данные (30% от общего объема похищенных данных) и коммерческая тайна (29%), что свидетельствует о высоком интересе как к финансовой выгоде, так и к промышленному шпионажу.

Число политически мотивированных атак, основной целью которых является не финансовая выгода, а шпионаж, диверсии или разрушение IT-инфраструктуры, выросло на 116% в 2023 году.

Эта тенденция подтверждается резким увеличением числа активных прогосударственных хакерских групп. Если в 2023 году аналитики отслеживали 14 таких группировок, нацеленных на СНГ, то в 2024 году их число почти удвоилось, достигнув 27. Основными их мишенями становятся госучреждения, объекты критически важной инфраструктуры и предприятия ВПК.

Одновременно с этим мощной силой стал хактивизм. На долю хактивистов приходится четверть (26%) всех атак на организации в СНГ. Группировки, такие как IT Army of Ukraine, и другие подобные сообщества, атакуют компании, воспринимаемые как связанные с противоборствующей стороной, зачастую выбирая цели с относительно слабой защитой для достижения максимального медийного и разрушительного эффекта.

- Киберпреступники используют локальные и региональные конфликты?

– Да, и ярким примером стала эксплуатация напряженности вокруг Нагорного Карабаха. Вредоносные рассылки, нацеленные на организации в Азербайджане и Армении, маскируются под сообщения, связанные с конфликтом, что значительно повышает вероятность того, что получатель откроет вредоносное вложение, будучи введенным в заблуждение актуальной и эмоционально заряженной тематикой.

- Как распределены цели для атак?

– Наиболее атакуемыми отраслями в СНГ являются: госучреждения (18%), промышленные предприятия (11%), телекоммуникации (10%).

Тут очевиден явный фокус злоумышленников на получении доступа к государственной тайне, нарушении работы органов власти, промышленном шпионаже и компрометации критической инфраструктуры, обеспечивающей связь.

Финансовый сектор, традиционно привлекающий киберпреступников, также остается под высоким давлением. Он входит в топ-5 самых атакуемых индустрий в мире.

В то же время, анализ по отдельным странам выявляет интересные национальные особенности. Например, в Казахстане самой атакуемой отраслью неожиданно оказались средства массовой информации (19% атак), что свидетельствует о том, что страна является полем битвы в информационной войне. В Беларуси, напротив, основной удар приходится на государственный сектор (22%), что соответствует ее статусу ближайшего союзника России и делает ее приоритетной целью для групп, занимающихся политическим хакерством.

- Каков современный криминальный киберарсенал?

– Значительная часть успешных атак в регионе по-прежнему реализуется с использованием относительно простых, но эффективных методов, что свидетельствует о недостаточном уровне базовой кибергигиены во многих организациях. Использование вредоносного программного обеспечения (ВПО) является основным методом атак. Например, в Беларуси ВПО применялось в 76% всех инцидентов.

В целом по СНГ наиболее распространенными типами ВПО, используемыми против организаций, являются шпионское ПО (41%), средства удаленного администрирования (RATs) (37%) и программы-вымогатели (22%). Поразительно, но злоумышленники продолжают успешно эксплуатировать давно известные и широко распространенные уязвимости.

- Почему такое стало возможным?

– Это прямо указывает на системные проблемы с управлением обновлениями в компаниях региона. Успех атак, основанных на уязвимостях многолетней давности, говорит о том, что многие организации не выполняют даже базовых требований по обеспечению безопасности, что делает их легкой добычей. Это создает ситуацию, при которой злоумышленникам достаточно систематически сканировать сети на наличие «старых дыр», что значительно снижает порог входа и повышает рентабельность преступной деятельности.

Опять же, вовсю используется пресловутый человеческий фактор: фишинг и другие методы социальной инженерии остаются одним из самых эффективных векторов первоначального проникновения. Особую роль в этом играют так называемые «облака логов» — закрытые Telegram-каналы и подпольные форумы, где массово продаются и распространяются скомпрометированные учетные данные. Эти данные становятся сырьем для последующих атак на корпоративные сети.  Кроме того, набирает популярность модель Phishing-as-a-Service («фишинг как услуга»), которая позволяет даже низко квалифицированным преступникам арендовать готовую инфраструктуру для проведения фишинговых кампаний.

- Какие принимаются меры по защите от этой угрозы?

– Практически все страны СНГ усиливают законодательство и инфраструктуру безопасности. Создаются государственные центры CERT, разрабатываются национальные стратегии кибербезопасности и стандарты защиты, внедряются механизмы двухфакторной аутентификации, ограничения переводов и блокировки мошеннических сайтов. Важное значение имеет также обмен информацией между правоохранительными органами (Региональная сеть CERT/CIRT СНГ, Интерпол, ООН).

- Тем не менее, рост киберпреступности в странах СНГ будет продолжаться?

– Увы, да. По текущим тенденциям, можно прогнозировать увеличение числа инцидентов на 20–30% ежегодно. Так, если в Казахстане 2024 г. показал двукратный рост инцидентов, то в 2025-2026 гг. ожидается рост еще на 50–100%. В Узбекистане, где в 2023–2024 гг. рост составил 9% (с 11 до 12 млн попыток атак), к 2026 г. число атак может превысить 14–15 млн. При этом раскрываемость остается низкой, во многих странах – менее 40%.

Региональные тренды указывают на дальнейшее укрепление фишинга и вымогательства, доля атак «шифровальщиков» и организаций хактивистов, как ожидается, будет расти. Усилится и геополитический фактор: страны, ведущие активную цифровизацию (Казахстан, Узбекистан, Беларусь), привлекут больше интереса со стороны преступных группировок. Опять же, страны с низкой цифровизацией (Таджикистан, Туркменистан) останутся в числе наименее защищенных, если не произойдут значительные изменения - повышение грамотности, модернизация инфраструктуры. Страны же, применяющие современные меры защиты (обучение IT-специалистов, международную координацию), сумеют смягчить негативные тренды. В целом, в прогнозируемом периоде СНГ ждет рост числа инцидентов, требующий скоординированных ответных мер.

- Насколько часто преступники используют искусственный интеллект?

– В СНГ использование технологий ИИ в киберпреступности в ближайшее время перейдет из разряда экзотики в мейнстрим. Это приведет к качественному скачку в эффективности атак, основанных на социальной инженерии. Следует ожидать массового применения ИИ для генерации высокоправдоподобных фишинговых писем, персонализированных сценариев для телефонного мошенничества, а также дипфейковых аудио- и видеоматериалов для обмана как граждан, так и систем биометрической аутентификации. Эксперты прогнозируют рост числа атак на мобильные устройства и на национальные платежные системы и банки.

- Программы-вымогатели тоже эволюционируют?

– Обязательно. Программы-вымогатели сохранят свой статус одной из главных киберугроз для корпоративного сектора. Доминирующей тактикой останется модель «двойного вымогательства», включающая шифрование данных и угрозу их публикации в случае неуплаты выкупа. Более того, эта модель будет эволюционировать в сторону уже «тройного вымогательства», когда к первым двум элементам добавляются DDoS-атаки на инфраструктуру жертвы или прямое давление на ее клиентов и партнеров.

Практика предварительной кражи данных перед их шифрованием уже стала стандартом для большинства современных вымогателей. В 2024 году число атак с использованием программ-вымогателей выросло на 44%, что подтверждает сохранение актуальности этой угрозы. Совокупность этих трендов ведет к тому, что можно назвать «индустриализацией киберпреступности». Развитие моделей «как услуга» — RaaS, PhaaS, а теперь и инструментов на базе ИИ — приводит к коммодитизации (превращению в общедоступный товар) высокотехнологичных атак. Сложные инструменты, ранее доступные только «элитным» группировкам, теперь могут быть арендованы или куплены широким кругом менее квалифицированных преступников.

Это создает эффект мультипликатора: одна команда разработчиков ВПО может «вооружить» тысячи аффилиатов по всему миру. Для региона СНГ, с его большим количеством пользователей с низкой цифровой грамотностью, это означает неминуемый шквал изощренных атак, к отражению которых существующие системы защиты и уровень осведомленности населения зачастую не готовы.

- Страны СНГ не стремятся организовать что-то типа коллективной обороны против общей угрозы?

– Тут, как обычно, все очень не просто. Да, страны СНГ продолжат декларировать стремление к более тесному сотрудничеству в борьбе с киберпреступностью. На официальном уровне наблюдается явное движение в сторону кооперации. Об этом свидетельствует как «Соглашение о сотрудничестве государств - участников СНГ в борьбе с преступлениями в сфере информационных технологий» от 2018 года, так и новая инициатива 2025 года по созданию единой межгосударственной IT- системы для обмена цифровыми следами преступлений. Регулярно проводятся встречи руководителей органов безопасности и спецслужб стран Содружества, в том числе по линии Интерпола, для обсуждения этих вопросов.

Тем не менее, фундаментальные препятствия остаются. Глубокие геополитические разногласия (например, между Азербайджаном и Арменией), создают атмосферу недоверия, которая мешает открытому и эффективному обмену оперативной разведывательной информацией между всеми членами Содружества. Сложно представить, например, полноценный обмен данными об атаках между Баку и Ереваном. Таким образом, сотрудничество, скорее всего, будет развиваться по двусторонним или блоковым трекам (например, в рамках ОДКБ).

- Что конкретно рекомендуют эксперты?

– Разработаны стратегические рекомендации, адресованные как государственным структурам, так и частному сектору. Эти меры направлены на переход от реактивного реагирования на инциденты к построению проактивной и эшелонированной системы защиты.

- Что имеется в виду?

– Так, требуется повышение цифровой грамотности населения до уровня национального приоритета. В странах, переживающих бурный рост цифровизации (в первую очередь, Узбекистан, Казахстан, Кыргызстан), разрыв между скоростью внедрения технологий и уровнем осведомленности граждан является главной уязвимостью. Необходимо развертывание масштабных, непрерывных государственных программ по повышению кибергигиены населения через все каналы коммуникации - от школьного образования до социальной рекламы.

Следует ускорить работу по гармонизации законодательства в области кибербезопасности и защиты данных в рамках СНГ. Введение единых стандартов и обязательных требований по уведомлению о крупных утечках данных и киберинцидентах создаст правовую основу для более эффективного обмена информацией между национальными CERT-центрами и правоохранительными органами.

При этом, Национальным центрам реагирования на киберинциденты (CERT) необходимо сместить фокус с исключительно реактивной работы (реагирование на уже случившиеся инциденты) на проактивный поиск угроз. Это требует инвестиций в технологии, аналитические платформы и, что самое важное, в подготовку высококвалифицированных аналитиков, способных отслеживать деятельность хакерских группировок и предсказывать их действия.

- Это поможет выйти из кризиса раскрываемости?

– Эксперты очень на это рассчитывают. Ведь хронически низкий уровень раскрываемости киберпреступлений подрывает доверие к правоохранительной системе и создает у преступников чувство безнаказанности. Необходимо целевое финансирование программ по подготовке следователей и прокуроров, специализирующихся на расследовании высокотехнологичных преступлений, а также оснащение их современными криминалистическими инструментами для сбора и анализа цифровых доказательств.

- А что делать частному сектору?

– Надо вернуться к основам кибергигиены. Как уже говорилось, значительная часть успешных атак эксплуатирует базовые уязвимости. Приоритетом должно стать внедрение фундаментальных мер защиты: агрессивная политика управления обновлениями для своевременного закрытия известных уязвимостей, внедрение строгой политики паролей и повсеместное использование многофакторной аутентификации.

Следует внедрить архитектуру «нулевого доверия». Традиционный периметральный подход к безопасности более неэффективен. Нужно исходить из предположения, что злоумышленник уже находится внутри сети. Архитектура «нулевого доверия», которая требует проверки каждого пользователя и устройства при попытке доступа к любому ресурсу, должна стать стандартом для корпоративных сетей.

В эту же схему входит и аудит цепочки поставок, ведь атаки через подрядчиков и поставщиков становятся все более распространенным вектором. Необходимо проводить тщательную проверку партнеров по цепочке поставок на предмет их уровня кибербезопасности и включать соответствующие требования в контракты.

И, конечно же, каждая организация должна иметь комплексный и регулярно тестируемый план реагирования на инциденты, который должен обязательно включать сценарии, специфичные для атак программ вымогателей с «двойным вымогательством», и четко определять порядок действий в случае шифрования данных и угрозы их публикации.

- Как быть с человеческим фактором, который нередко рушит самые продуманные планы и схемы?

– Чтобы этого не случилось, надо проводить непрерывное обучение сотрудников. Согласен, человек остается самым слабым звеном в цепи защиты. Необходимо внедрение постоянных, а не разовых, программ обучения и повышения осведомленности сотрудников. Тренинги должны включать симуляции реальных фишинговых атак и обучать распознаванию изощренных методов социальной инженерии, включая дипфейки.

Читайте также: