Новости отрасли

 

По словам заместителя директора Национального координационного центра по компьютерным инцидентам (НКЦКИ) Алексея Иванова, в 2025 году в распределении компьютерных атак и компьютерных инцидентов по типам лидируют проникновения «типа отказа в обслуживании и внедрения вредоносного программного обеспечения». Об этом он сообщил на форуме по информационной безопасности «Инфофорум-2026».

 

При этом DDoS-атаки часто использовались для сокрытия факта эксфильтрации данных (exfiltration, несанкционированный вывод или кража данных из защищённой системы или информационной среды для продажи или шантажа). Еще одной особенностью проведения таких атак, по словам Алексея Иванова, стало то, что атаки часто были направлены не на сам «целевой объект, а на оператора, обеспечивающего его связью».

 

«Это демонстрирует развитие технологии противника, который достиг возможности парализовать работу небольшого регионального провайдера. Помимо непосредственно последствий для объекта заинтересованности, противник получает дополнительный побочный эффект в виде недоступности информационных ресурсов, обслуживаемых тем же оператором связи», - подчеркнул он. Такой подход позволяет нарушителям достигать значительных результатов даже при относительно небольших масштабах нападений. В этой связи, увеличилось количество успешных атак на региональных провайдеров. В частности, в прошлом году НКЦКИ зафиксировал не менее 20 удачных попыток проникновения в сети операторов связи. «В наиболее критических ситуациях НКЦКИ имеет возможность оказать содействие в применении технических средств противодействия угрозам, эксплуатируемых Роскомнадзором, для защиты от таких атак. Однако это не отменяет необходимость принятия владельцами информационных ресурсов самостоятельно мер по защите от DDoS-воздействий. Хочу напомнить, что против российской инфраструктуры действует противник, который нацелен на нанесение максимального ущерба. Среди свежих случаев крупная федеральная страховая компания и оператор почтовой связи в одном из южных регионов. В первом случае, зашифровали всю информационную инфраструктуру. Во втором, затерли все информационные ресурсы», - пояснил Алексей Иванов.

 

 

Замдиректора НКЦКИ привел ряд «более сложных» хакерских операций.

 

«У крупной нефтяной компании злоумышленники выявили уязвимость в иностранном телекоммуникационном оборудовании, которое функционирует на границе интернета и корпоративной сети компании. [Хакеры] в ходе разведки выявили некорректные настройки межсетевого экрана уже на границе корпоративной сети технологического сегмента. Проникли внутрь технологического сегмента, перепрошили ряд контроллеров и нанесли серьезный ущерб производственным процессам. Другой пример - группа компаний топливно-энергетического комплекса. Несколько предприятий подключены к единой корпоративной сети передачи данных. Злоумышленник, используя фишинговое сообщение, проникнул в корпоративную сеть, захватил домен и с уже высокими привилегиями начал ее изучать. [В итоге], злоумышленник зашифровал основные информационные ресурсы предприятий», - сообщил Алексей Иванов.

 

Напомним, НКЦКИ - это специализированное подразделение, созданное в рамках государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) РФ. Основной задачей НКЦКИ является координация действий различных структур и организаций, занимающихся защитой критической информационной инфраструктуры государства от компьютерных атак.

 

По словам представителя НКЦКИ, если противник нацелен атаковать информационные ресурсы организации, то он без большого труда может найти информацию о партнерах этой организации. Источниками такой информации могут быть порталы закупок, сообщения на сайтах производителей оборудования, ПО, проектная документация.

 

«Одна из главных причин большого количества взломов через подрядчиков - беспечное отношение к удаленному доступу, которые со времен пандемии считается чем-то привычным. Конечно, удобно дать управление ПО разработчику. Но, как правило, мероприятия, которые направлены на обеспечение эффективного и удобного функционирования информационной системы, реализуется без должного учета вопросов противодействия угроз, связанных с таким форматом эксплуатации», - отметил он.

 

 

Алексей Иванов напомнил, что в конце декабря 2025 года директором ФСБ подписаны 7 приказов во исполнение закона о безопасности объектов критической информационной инфраструктуры (КИИ).

 

В частности, приказ от 23 декабря 2025 года № 539 устанавливает порядок получения субъектами КИИ информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения за счет ресурсов и возможностей НКЦКИ. У центра появилось право запрашивать у субъектов КИИ, центров ГосСОПКА и предприятий результаты проведенных мероприятий, направленных на защиту от компьютерных атак, а также сведения об устранении уязвимостей.

 

Приказ от 25 декабря 2025 года № 546 корректирует порядок обмена информации о компьютерных атаках и компьютерных инцидентах между субъектами КИИ внутри страны, а также между субъектами КИИ и зарубежными профильными ведомствами, международными и иностранными организациями. Ключевое изменение - субъекты КИИ, при получении информации о компьютерных атаках, компьютерных инцидентах, связанных с функционированием объекта КИИ и другого субъекта КИИ, должны информировать НКЦКИ не позднее 12 часов с момента получения такой информации.

 

Приказ от 25 декабря № 547 устанавливает порядок уведомлений ФСБ о компьютерных атаках и компьютерных инцидентах, а также сроки направления уведомлений. Субъекты КИИ обязаны информировать ФСБ обо всех компьютерных атаках, компьютерных инцидентах, проведенных в отношении значимых объектов КИИ. Сроки уведомления в НКЦКИ о компьютерных инцидентах для субъектов КИИ - 3 часа для значимых объектов и 24 часа для иных объектов. Срок направления уведомлений в НКЦКИ о компьютерных инцидентах для руководителя органов организации 24 часа. Срок уведомления в НКЦКИ о компьютерных атаках в отношении объектов КИИ или информационных ресурсов органов организации 24 часа.

 

Приказ от 25 декабря № 548 устанавливает правила непрерывного взаимодействия с ГосСОПКА для субъектов, которым принадлежат значимые объекты КИИ, а также для руководителя органов организации. Приказ № 553 утвердил новый порядок и технические условия установки и эксплуатации средств ГосСОПКА субъектами КИИ, а приказ № 554 - обновленные требования к средствам государственной системы обнаружения и предотвращения атак.