Выкуп или убытки: почему не нужно платить хакерам?

По данным ENISA Threat Landscape 2025, 13,4% всех зафиксированных киберинцидентов были напрямую связаны с вымогательством и шантажом. 81,1% из них — результат внедрения вредоносного ПО, ещё 15,2% — утечек. Чаще всего целились в IT-компании, но под удар попали и бизнесы из сфер производства, финансов, транспорта и логистики.

Почему компаниям всё сложнее защищаться от кибератак

Методы злоумышленников становятся более продвинутыми и хорошо адаптируются к современным условиям. В России ситуация осложняется тем, что в 2025 году выросли штрафы для компаний за нарушения, связанные с персональными данными. И хакерам стало ещё проще шантажировать бизнес. Компаниям же, хранящим данные в облаках (их подавляющее большинство), сложнее контролировать, управлять и защищать распределённые корпоративные данные, а значит, атаковать их проще.

• 89% компаний в разных странах используют мультиоблачные стратегии.
• 92% хранят данные на 2–5 облачных платформах.

По данным CrowdStrike, в 79% случаев для атак вообще не используют вредоносное ПО. Опасность в том, что антивирусы ищут вредоносный код, но не видят, когда злоумышленник действует под видом легального пользователя.

Учитывая актуальные условия, самыми распространёнными становятся такие типы атак:

• Кража и использование действительных учётных данных пользователей. Преступники получают логины и пароли, входят в системы как легальные пользователи, потом повышают привилегии для дальнейших действий в системе.
• Социальная инженерия — от фишинга до претекстинга. Используют человеческий фактор и манипуляциями вынуждают жертву самостоятельно выдать информацию.
• Компрометация систем идентификации для получения доступа к корпоративным средам. Microsoft отмечает, что ежедневно по всему миру происходит 600 млн попыток взлома учётных записей.
• Автоматизированные бот-атаки. Злоумышленники используют ботнеты — сети заражённых устройств, которые одновременно обрушиваются на системы. Чаще всего это DDoS-атаки, перегружающие серверы трафиком, но также могут быть и брутфорс-атаки на учётные записи.
• Вредоносное ПО. Вместе с классическими вирусами и троянами значительную угрозу представляют программы-шифровальщики. Они проникают в систему, блокируют данные и требуют выкуп за расшифровку.

Всё это позволяет злоумышленникам незаметно захватить контроль над системами и парализовать работу компании. Оказавшись перед фактом взлома, неподготовленный бизнес часто видит единственный выход — заплатить выкуп.

Почему бизнес выбирает заплатить хакерам

Не знают, какие данные были затронуты

Когда происходит атака, бизнес часто оказывается в информационном вакууме. Если нет чёткой классификации данных и системы мониторинга, то оперативно не получится определить, какие именно системы пострадали и какая информация попала в руки вымогателей: клиентские базы, финансовые отчёты или интеллектуальная собственность. Именно поэтому руководство выбирает расстаться с деньгами, чтобы не рисковать дальнейшей утечкой критически важных данных.

Нет резервных копий, или они недоступны/зашифрованы

74% компаний, подвергшихся атаке, не смогли восстановить данные из копий, из них 35% подтверждают, что резервные системы были полностью скомпрометированы. Всё дело в устаревших бэкапах или в том, что они хранились на том же сервере, что и основные данные, а значит, тоже попали под удар. Ещё вариант: процесс восстановления настолько сложный и долгий, что бизнес предпочитает заплатить выкуп, чтобы быстрее возобновить работу.

Паника и давление: простои, регуляторы, репутационные потери

Атака вымогателей — это не только техническая проблема, но и кризис для всей компании. Каждый час простоя приносит убытки. Ситуацию усугубляют возможные штрафы от регуляторов и потеря доверия клиентов. Чтобы минимизировать последствия и быстрее стабилизировать бизнес, выкуп становится единственным решением.

Нет чёткого плана восстановления

33% компаний не проверяют восстановление данных на регулярной основе — а это значит, что в момент реальной атаки у них, вероятно, не окажется плана действий, распределённых ролей, отработанных процедур. Если бизнес не готов к кибератаке, то после инцидента много времени уйдёт на попытки понять масштаб проблемы и связанные риски, скоординировать работу специалистов. Отсутствие заранее проработанного сценария приводит к задержкам, ошибкам и в итоге к решению заплатить выкуп.

Иногда выкуп дешевле, чем простой

Для некоторых отраслей даже кратковременный простой может обойтись дороже суммы выкупа. Особенно это касается предприятий с непрерывным циклом производства, медицинских учреждений или компаний, работающих в условиях высокой конкуренции. В этом случае выплата может стать экономически оправданным шагом.

4 главных шага: что делать бизнесу, чтобы не пришлось платить хакерам

Шаг 1. Понять, где и какие данные находятся

Важно создать полную карту данных компании, чтобы в случае атаки точно знать, что пострадало и насколько это опасно. Понимая масштаб, можно обойтись без выкупа в том случае, если ущерб управляемый. И сразу начать восстанавливать только повреждённые данные, а не всю инфраструктуру.

Как составить карту данных:

• Заранее провести инвентаризацию. Чтобы понять, где хранятся персональные, финансовые, интеллектуальные и системные данные. Как они перемещаются и кто имеет к ним доступы.
• Оценить критичность каждого типа данных. Не вся информация одинаково важна для бизнеса. Например, потерять персональные данные клиентов критично для работы, а архивные проекты — менее болезненно. Если расставить приоритеты, то будет понятно, какие данные нужно защищать в первую очередь, а восстановление каких можно отложить. Это особенно полезно при ограниченных ресурсах на безопасность.
• Внедрить инструменты классификации и мониторинга (Data Discovery, DLP). Системы автоматизируют процессы контроля, отслеживают подозрительные действия: несанкционированный доступ, попытки копирования или утечки. В итоге дают возможность вовремя обнаружить угрозу, предотвратить её развитие, минимизировать потенциальный ущерб.

Шаг 2. Защитить все доступы, а не только периметр

Традиционная защита периметра (фаерволы, VPN) не работает, когда преступники действуют через скомпрометированные учётные записи пользователей. Именно поэтому нужно усложнить продвижение злоумышленников внутри сети, пока они не добрались до чувствительных данных. Это снизит шансы на успех атаки и уменьшит риск столкнуться с необходимостью платить выкуп.

Как защитить внутреннюю сеть:

• Внедрить Zero Trust. При этом подходе каждый запрос на доступ рассматривается как потенциальная угроза. Сотрудники получают строго ограниченные разрешения только к тем ресурсам, которые нужны для работы. Например, доступ к CRM не должен означать доступа к платёжным системам, даже если сотрудник работает в финансовом отделе.
• Разделить корпоративную сеть на изолированные сегменты. Доступ к одним системам не открывает автоматический вход в другие.
• Закрыть «лишние» доступы. Проверить, не работают ли неактуальные разрешения. Например, когда сотрудник сохраняет права в системе после увольнения.
• Ввести многофакторную аутентификацию по умолчанию, в том числе на внутренних сервисах. Это значит, что для входа пользователю нужно подтвердить личность минимум двумя разными способами. Даже если злоумышленник взломает пароль, без второго фактора он не сможет войти в систему.
• Мониторить действий админов и пользователей (UEBA). UEBA-решения анализируют поведение пользователей и объектов системы. Строят цифровые профили нормального поведения для каждого сотрудника и мгновенно реагируют на отклонения. Например, если бухгалтер вдруг решит скачать чертежи. Фиксируют, кто и когда получал доступ к критически важной информации, помогают предупредить утечку данных или провести аудит, если инцидент произошёл.

Шаг 3. Обеспечить резервное копирование вне зоны поражения

Если у бизнеса есть надёжные и защищённые копии, то угроза теряет силу — можно не бояться потерять чувствительные данные и не платить злоумышленникам.

Как настроить резервное копирование:

• Хранить неизменяемые копии в облаке или изолированном хранилище. Это гарантирует, что даже при успешной атаке у компании останется «чистая» версия данных для восстановления.
• Настроить автоматизацию и регулярность бэкапов. Сотрудники могут забывать о резервных копиях. Автоматизированные системы создают бэкапы по расписанию без участия людей, а также сразу проверяют их целостность.
• Периодически проводить тестирование восстановления. Регулярные тесты позволяют выявить проблемы заранее: повреждённые файлы, неправильные настройки или недостаточную скорость восстановления.

Шаг 4. Подготовить чёткий план реагирования

Это поможет не паниковать в моменте, сохранять контроль над бизнесом и принимать взвешенные решения — касаются ли они выкупа или других актуальных тем.

Как составить хороший план и проверить его:

• Назначить ответственных за действия при кибератаке. Например, технические специалисты локализуют угрозу, юристы оценивают риски и взаимодействуют с регуляторами, PR-служба готовит коммуникацию для клиентов и партнёров.
• Прописать сценарии работы, если атака произошла. Регламент реагирования должен содержать конкретные процедуры: как изолировать заражённые системы, кого и в какие сроки информировать о происшествии, как проводить анализ ущерба и восстанавливать данные.
• Проводить регулярные учения и обновлять сценарии поведения. Тренировки помогают выявить слабые места в плане и отработать навыки командной работы в условиях стресса. После каждого учения план нужно актуализировать с учётом выявленных недостатков и новых угроз.

Почему не нужно платить хакерам?

1. Вы спонсируете развитие преступных схем. Когда вы платите вымогателям, вы буквально финансируете их деятельность: они продолжают создавать всё новые вредоносные инструменты и атаковать других. Это замкнутый круг: чем больше успешных выкупов, тем чаще происходят атаки.
2. Нет гарантии, что данные вернутся. Даже если вы заплатите, злоумышленники могут не предоставить ключа шифрования или допустить ошибки в коде, из-за которых файлы восстановить будет невозможно.
3. Вас могут шантажировать повторно. Даже после уплаты выкупа преступники могут атаковать снова: либо повторно зашифровать системы, либо продолжать шантаж, требуя ещё денег.

Из-за одного «да» киберпреступникам тысячи компаний становятся новыми жертвами. Каждая выплата делает атаки выгодными, а значит, воспроизводимыми. Злоумышленники видят, что схема работает, и запускают новые волны шантажа — уже не только против крупных корпораций, но и против малого и среднего бизнеса. Остановить этот цикл можно только подготовленным отказом: для этого нужно строить защиту заранее, резервировать данные и работать с персоналом над повышением уровня киберграмотности.