Шесть мифов о шифровании компаний
4 мин
45
2
Миф 1: киберпреступникам интересны только корпорации
Бытует мнение, что злоумышленники охотятся исключительно за крупными организациями с большими деньгами и чувствительными данными. Однако это заблуждение: по нашим данным, до 80% атак приходится на малый и средний бизнес. Такие компании привлекательны для преступников, ведь провести серию атак по множеству небольших целей проще и быстрее, чем пробивать защиту одной крупной организации.
Также малые компании могут быть завязаны в цепочке поставок и часто выступают подрядчиками для более крупных. Успешно атаковав небольшую цель, злоумышленники получают доступ к инфраструктуре её более масштабного партнёра или заказчика.
Миф 2: главный источник атак — инсайдеры
Более трети компаний, пострадавших от шифровальщиков или вайперов, рассматривают действия инсайдеров или конкурентов как ключевую причину произошедшего. Однако связь таких кибератак с инсайдерами прослеживается редко. На практике атакующие чаще всего полагаются на социальную инженерию, например фишинг. Согласно исследованию Threat Zone 2026, 64% атак начинаются именно с него.
В большинстве случаев причины инцидентов нужно искать в ошибках, которые допустили сами организации при выстраивании киберзащиты или ещё на этапе формирования ИТ-инфраструктуры. По нашим данным, только 25% пострадавших компаний вели мониторинг событий кибербезопасности, и даже он был неполным и не охватывал всю инфраструктуру. Практически 90% организаций имеют типовые уязвимости: неконтролируемый периметр, отсутствие фильтрации входящей почты и двухфакторной аутентификации для VPN. Многие компании также пренебрегают регулярными проектами по выявлению компрометации (compromise assessment), хотя критически важно не только выстраивать комплексную защиту, но и постоянно проверять инфраструктуру на наличие следов злоумышленников.
Миф 3: антивирус защищает от любых угроз
Многие считают антивирусное ПО панацеей. На деле это базовое решение, которое блокирует лишь часть вредоносных программ. К тому же эффективность антивируса резко падает, если обновления не контролируются и механизмы обнаружения на рабочих станциях устаревают.
Даже если антивирус настроен корректно, на его предупреждения нужно уметь правильно и оперативно реагировать. Кроме того, помимо использования ВПО, важно отслеживать аномальную активность на хостах — действия, которые могут выглядеть легитимно для антивируса, но на самом деле их совершает злоумышленник. Для выявления таких аномалий необходимы решения класса EDR (endpoint detection and response). Простой пример атаки через подрядчика: злоумышленник, получив доступ к его учётной записи, входит в инфраструктуру жертвы и выполняет команды с помощью легитимных инструментов двойного назначения (например, для системного администрирования). Антивирус такую активность не заметит, ведь ВПО не использовалось. Однако EDR-решение обнаружит аномалию.
Чтобы минимизировать риски, защита должна быть комплексной. Антивирус защищает от массовых автоматизированных угроз, EDR обеспечивает мониторинг и выявление сложных атак. Это значительно расширяет область видимости и контроля в инфраструктуре. Кроме того, комплексная защита включает контроль сетевого трафика, использование данных киберразведки (threat intelligence), а также регулярное выявление уязвимостей, фильтрацию почты и другие меры.
Миф 4: дешифратор можно найти в сети
В интернете предлагают множество программ, которые якобы возвращают зашифрованные данные в исходное состояние. С вероятностью 99,9% это мошеннические предложения, которые не решат проблему, а лишь приведут к новым финансовым потерям. Современные шифровальщики используют криптостойкие алгоритмы, и восстановить данные без ключа, который есть только у атакующих, невозможно. Как только вендоры кибербезопасности находят способ расшифровки, злоумышленники перестают использовать уязвимый алгоритм.
Если инцидент уже произошёл, лучше сразу обратиться к специалистам по реагированию, которые проведут расследование, безопасно изолируют и нейтрализуют угрозы, помогут восстановить работоспособность и исключат повторное проникновение.
Ещё одна важная мера — подготовиться к плохому сценарию заранее. Для этого стоит разработать план аварийного восстановления (Disaster Recovery Plan, DRP). Его цель — быстро вернуть работоспособность за счёт заранее подготовленных резервных копий и отработанных действий команды. Такой план помогает действовать без паники: он определяет, что восстанавливать в первую очередь, кто отвечает за каждый этап и какие шаги нужно предпринять.
Миф 5: если заплатить выкуп, вас оставят в покое
Конечно, встречаются «порядочные» атакующие, которые расшифровывают данные после оплаты. Но это лишь временное спасение: такую компанию внесут в список «платёжеспособных» и атакуют снова.
Заплатив выкуп, можно столкнуться с тем, что злоумышленники взяли деньги, а данные не расшифровали. Некоторые киберпреступники делают это из политических убеждений: получив деньги, хактивисты «благодарят» жертву в своих телеграм-каналах и обвиняют её в финансировании преступной деятельности.
Кроме того, выплата выкупа противоречит законодательству, в том числе Федеральному закону № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма», а также КоАП и УК РФ.
Миф 6: кража конфиденциальных данных — самое страшное, что может случиться
Почти треть (28%) опрошенных россиян считают главной опасностью кражу важных документов, в том числе содержащих коммерческую тайну. Это не лишено оснований. По данным исследования «Threat Zone 2025: обратная сторона», с начала 2025 года доля утечек, включающих документацию компаний, переписку сотрудников и другую корпоративную информацию, резко достигла 40% от общего числа утёкших данных. Раньше же, напротив, преобладали (80–85%) утечки пользовательских данных (ФИО, почта, логины, пароли, телефоны). Такие инциденты ведут к раскрытию логинов, паролей, данных клиентов и влекут за собой крупные штрафы.
Однако утечка — далеко не единственное возможное последствие. Шифрование может полностью остановить рабочие процессы и нанести прямые убытки на длительный срок. А это, в свою очередь, ударит по репутации и затронет партнёров, поставщиков и заказчиков. Риски могут возрасти, если жертва поставляет критически важные продукты или услуги.
По данным Threat Zone 2026, в 47% случаев мотив атакующих — деньги. Аппетиты киберпреступников растут: средний размер запрашиваемого выкупа за год увеличился со 150 до 200 тыс. долларов. Чтобы снизить риски, необходимо не только внедрять различные классы защитных решений, но и регулярно повышать киберграмотность сотрудников. Важно помнить, что в половине атак для первоначального доступа используется фишинг.
