Пристальное внимание, которое организации испытывают после широко освещенных инцидентов с программами-вымогателями (ransomware), стало одной из определяющих черт современной эры кибератак. Регуляторы, клиенты и акционеры ищут ответы, а последствия таких инцидентов зачастую весьма заметны и могут привлекать общественное внимание в течение нескольких месяцев. Примеры включают школы, вынужденные приостанавливать работу, производителей, останавливающих производственные линии, и медицинские учреждения, которые спешат восстановить услуги для пациентов.
Однако, как отмечает генеральный директор и основатель BlackFog, эти широко освещенные инциденты представляют собой лишь малую долю от общего масштаба угрозы. Реальная картина гораздо шире, поскольку ежедневный поток атак программ-вымогателей охватывает все секторы и организации любого размера. Основная мотивация злоумышленников — это ценность и доступность данных компании.
Пробел в информировании об инцидентах
Количество атак программ-вымогателей, происходящих незаметно, постоянно растет. По данным собственного исследования, отслеживающего активность ransomware, в 2025 году было выявлено 7 079 нераскрытых атак, что составило 86% от всех инцидентов за тот год. Это свидетельствует о значительном росте на 37% по сравнению с предыдущим годом.
Хотя общеизвестно, что программы-вымогатели представляют угрозу, эти "слепые зоны" создают серьезную проблему. Советы директоров и руководители служб безопасности принимают решения о рисках, не имея полного представления о реальном уровне угрозы, а регуляторы разрабатывают политику и нормативы, основываясь лишь на части информации. Отслеживание тенденций, обмен данными и понимание полного масштаба угрозы имеют решающее значение для формирования стратегий и решений, способных защитить от этой быстро меняющейся и высокоразвитой киберпреступной экосистемы.
Нормативно-правовые акты четко определяют обязанности организаций по отчетности об инцидентах, влияющих на основные услуги, и утечках, связанных с персональными данными. Например, в соответствии с GDPR (Общий регламент по защите данных), организации обязаны сообщать об утечках персональных данных в течение 72 часов, а также рекомендуется информировать правоохранительные органы.
Тем не менее, утечка, которая становится достоянием общественности, может привести к ущербу для репутации, вопросам со стороны акционеров и недовольству клиентов. Сравнивая такой ущерб бренду с возможностью тихо заплатить выкуп, организации могут попытаться урегулировать инциденты без публичного раскрытия информации.
Меняющаяся тактика групп программ-вымогателей также может влиять на реакцию организаций. Шифрование данных ранее вынуждало компании действовать публично — системы переставали работать, люди замечали, и скрыть это было невозможно. Однако несанкционированное изъятие данных (так называемая "эксфильтрация данных"), которое теперь происходит в подавляющем большинстве атак, работает иначе: платежи могут быть произведены без ведома кого-либо за пределами компании.
"Слепые зоны" в политике и обороне
Разрыв между реальными событиями и тем, что сообщается, имеет значение по нескольким причинам. Когда нормативно-правовая база строится на неполных данных, целые отрасли могут недооценивать свою уязвимость, поскольку они видят лишь часть происходящего.
Последствия выходят за рамки политики. Обмен информацией об угрозах, который зависит от сообщений организаций о выявленных инцидентах, нарушается, когда большинство инцидентов остаются в секрете. Поставщики решений по кибербезопасности разрабатывают защиту от известных им атак, в то время как критически важная информация о тактиках, методах и процедурах остается в тени.
Когда такая большая доля атак остается незарегистрированной, индустрия безопасности сталкивается с трудностями в отслеживании того, насколько быстро развиваются злоумышленники. Фактически, ведется борьба с противником, которого можно наблюдать лишь частично. Это особенно важно сейчас, когда искусственный интеллект (ИИ) активно используется злоумышленниками для ускорения разведки, обнаружения уязвимостей и масштабирования своих операций намного быстрее, чем это возможно при ручной работе.
Повышение прозрачности и смягчение последствий
Для решения этой проблемы требуются изменения как в законодательстве, так и в корпоративной культуре. Цель состоит в том, чтобы предоставить разработчикам политики и командам безопасности необходимую информацию.
Изменения уже происходят: предлагаются новые законодательные требования для усиления обязательств по отчетности об инцидентах. В Великобритании правительство провело консультации по реформам, которые обяжут предприятия сообщать об инцидентах с программами-вымогателями в течение 72 часов. Хотя пока неясно, будут ли эти требования распространяться на все инциденты, организациям следует начать подготовку уже сейчас, чтобы обеспечить своевременное и эффективное выявление и отчетность об инцидентах.
Этот подход лучше отражает современные атаки программ-вымогателей, где кража данных часто наносит больший ущерб, чем простой. Новые требования позволят вывести больше инцидентов на свет.
Также необходимо улучшить обмен информацией внутри отраслей. Логика проста: когда атаки остаются скрытыми, все становятся более уязвимыми, особенно если группы программ-вымогателей продолжают развивать свои методы, а злоумышленники действуют быстрее. Чем дольше отрасль работает на основе неполной информации, тем сильнее она отстает.
Хотя угроза для всех отраслей и организаций остается высокой, предприятия должны продолжать уделять внимание защитным мерам для повышения устойчивости, а не ждать, пока правила вынудят их к действию.
Это означает предотвращение компрометации систем за счет строгого контроля доступа и пресечение утечки конфиденциальных данных из сети с помощью таких мер, как защита от несанкционированного изъятия данных (ADX). В конечном итоге, цель должна заключаться в том, чтобы изначально избежать превращения в мишень и не быть вынужденным принимать решения о переговорах, выплате злоумышленникам и выполнении регуляторных требований, следующих за утечкой данных.
Поскольку преступники нацелены на кражу данных в качестве рычага для вымогательства, лучшая стратегия защиты — сделать вашу организацию "трудной мишенью" и минимизировать риск стать следующей жертвой атаки, которая поставит вас под пристальное внимание регуляторов, средств массовой информации и широкой общественности.
