Российский ретейл лидирует по числу расследований киберинцидентов в 2025 году
3 мин
62
1
В 2025 году чаще всего за расследованием киберинцидентов с высоким уровнем ущерба обращались компании из сферы ретейла. На долю этой отрасли пришёлся 31% всех обращений. При таких инцидентах инфраструктура компаний была зашифрована или полностью уничтожена. Причиной в большинстве случаев стали устаревшая ИT-инфраструктура и слабое сегментирование сетей.
Второе место по числу расследований инцидентов заняла ИT-отрасль с показателем 26%. Злоумышленникам интересны даже небольшие ИT-компании, поскольку они часто выступают в качестве подрядчиков у более крупных организаций. Киберпреступники стремятся использовать их в качестве точки входа в инфраструктуру более защищённых компаний.
С атаками через подрядчиков были связаны 30% всех высококритичных киберинцидентов в 2025 году. Годом ранее этот показатель составлял 15%.
Третье место делят транспортные и телекоммуникационные компании, а также государственные организации — по 11% случаев.
Руководитель управления по борьбе с киберугрозами BI.ZONE, Михаил Прохоренко отметил, что кибератаки эволюционируют, но базовые мотивы и методы злоумышленников сохраняются. Финансовая выгода по-прежнему доминирует, а фишинг остаётся самым распространённым способом проникновения. Однако каждый год выделяются всплески по отдельным направлениям.
В 2022 году в России заметно выросло число дефейсов и хактивистских кампаний. В 2023 году акцент сместился на публикации утечек и массовые сливы данных. В 2024-м злоумышленники активно шифровали инфраструктуры компаний. В 2025 году специалисты фиксируют всё более частое использование вайперов. Эти инструменты полностью уничтожают данные и сетевое оборудование.
2025 год подтвердил главную тенденцию последних лет: атаки усложняются и становятся более разрушительными. Ключевой фактор устойчивости сегодня не только защита периметра, но и скорость реагирования, глубина анализа и готовность к восстановлению. Важна своевременная и регулярная оценка компрометации.
Время скрытого пребывания злоумышленников в инфраструктуре также растёт. В 2024 году средний показатель составлял 25 дней, а в 2025-м – уже 42 дня. Однако в некоторых случаях картина может значительно отличаться от среднестатистических данных. Минимальное время развития атаки от проникновения в инфраструктуру до начала шифрования равно в этом году 12,5 минуты. Максимальное время составило 181 день.
В 2025 году пострадавшим компаниям в среднем требовалось 3 дня, чтобы восстановить функциональность критически важных систем. Эти системы минимально необходимы для возобновления бизнес-процессов. Полное восстановление процессов занимало в среднем 14 дней.
