В 2025 году ключевыми киберугрозами для российского бизнеса стали вредоносные программы и попытки несанкционированного проникновения в системы, причем наиболее уязвимыми оказались промышленные предприятия и органы региональной власти. К такому заключению пришли специалисты ГК «Солар», разработчика комплексных решений в области кибербезопасности. Анализ основан на информации, полученной от центра реагирования на кибератаки Solar JSOC — крупнейшего в России коммерческого SOC. Об этом CNews проинформировали в пресс-службе компании.
Данные отчета Solar JSOC включают сведения примерно от 300 организаций, представляющих важнейшие сектора экономики: государственное управление, финансовую сферу, нефтегазовый комплекс, энергетику, телекоммуникации, крупный розничный бизнес, горнодобывающую и пищевую промышленность, транспорт и логистику и другие. Все эти компании относятся к сегментам Large Enterprise и Enterprise с численностью персонала от 500–1000 человек и выше, а их деятельность охватывает различные регионы страны.
По итогам 2025 года система мониторинга Solar JSOC зафиксировала 1,16 млн событий информационной безопасности — это подозрения на инциденты после первичного анализа и отсева ложных тревог. Данный показатель на 36% ниже, чем в 2024 году (1,81 млн событий), однако, как подчеркивают эксперты, он все еще существенно превышает уровни 2022 года и более раннего периода. При этом в прошлом году увеличилась доля инцидентов, подтвержденных клиентами: более 33 тыс. случаев в 2025 году против 31,5 тыс. в 2024 году. Кроме того, за четырехлетний период прослеживается схожая сезонная динамика: начало года характеризуется относительным спадом активности, затем следует рост числа атак, причем в последние два года пик приходится на завершающие месяцы года.
Вредоносное программное обеспечение сохраняет статус одной из наиболее частых угроз, на него пришлось 36% всех зарегистрированных инцидентов (рост на 6 процентных пунктов по сравнению с 2024 годом). При этом в большинстве случаев злоумышленники применяли уже готовые, известные и типовые вредоносные инструменты. Развитие автоматизированных платформ (таких как Malware-as-a-Service) предоставило атакующим возможность массового распространения вредоносных программ, что снизило порог входа для киберпреступников и привело к увеличению общего числа подобных атак.
На втором месте в рейтинге угроз находятся попытки получения несанкционированного доступа (23%). Злоумышленники активно используют методы брутфорса (автоматизированный подбор паролей), эксплуатацию уязвимостей, атаки на веб-приложения и системы аутентификации и т.д. Интенсивность и изощренность таких атак возрастает в периоды значимых общегосударственных событий. Например, в третьем квартале 2025 года резкий всплеск веб-атак был зафиксирован в Единый день голосования в России (14 сентября) — очевидно, хакеры стремились оказать дестабилизирующее влияние на избирательный процесс.
Помимо этого, в отчете Solar JSOC впервые отдельно была выделена категория «изменения инфраструктуры», удельный вес которой среди всех подтвержденных клиентами инцидентов достиг 11%. Эта тенденция явно указывает на то, что злоумышленники активизируют усилия по проведению целевых и технически сложных атак.
Структура инцидентов по отраслям также изменилась в 2025 году. В то время как в 2024-м лидерами по среднему количеству атак на одну организацию являлись государственный сектор (федеральные и региональные органы власти, а также иные госучреждения — в сумме 55%), финансовый сектор (18%) и транспорт (16%), то в 2025 году на первый план вышли промышленность (добывающая и пищевая — суммарно 23%) и снова госсектор (всего 14%, из которых 11% пришлось на РОИВ). В перечне наиболее уязвимых сфер также сохранились торговля, финансы и транспортно-логистическая отрасль, каждая из которых занимает по 10%.
Добывающая промышленность, формирующая 40% экономики и ориентированная на экспорт, превратилась в одну из главных целей для киберпреступников. Приостановка добычи ресурсов может служить инструментом давления в международной политике, что привлекает как государственных и политически ангажированных хакеров, так и вымогателей, рассчитывающих на финансовую выгоду из-за высоких издержек от простоев. Активная цифровая трансформация отрасли, включающая сближение IT- и OT-сетей, расширяет поле для атак, а использование устаревшего оборудования и неподдерживаемых систем усложняет обеспечение защиты. Кроме того, взаимодействие с многочисленными подрядчиками делает цепочки поставок уязвимыми для взлома.
Пищевая промышленность также вошла в число наиболее атакуемых отраслей из-за её стратегической важности и зависимости от сложных логистических цепочек. Широкое применение внешнего и устаревшего программного обеспечения, типичное для этой сферы, повышает риски кибератак, нацеленных на срыв производственных процессов.
Увеличение числа кибератак на региональные органы власти (РОИВ) России в годовом сопоставлении составило 7 процентных пунктов. Это связано с их стратегической ролью и общим состоянием информационной безопасности. В случае с РОИВ злоумышленники могут преследовать различные цели — например, осуществлять кибершпионаж и дестабилизировать обстановку (нарушая работу ведомств и госуслуг, похищая и обнародую конфиденциальные данные). Однако инфраструктура региональных органов власти может также стать для хакеров плацдармом для проникновения в более крупные федеральные структуры, атаковать которые напрямую значительно сложнее. По оценкам специалистов, нынешний всплеск внимания хакерских группировок к РОИВ выглядит как «разведка» киберпространства перед масштабными операциями.
Из-за бюджетных ограничений уровень киберзащиты в региональных органах власти часто уступает федеральному, а устаревшие системы управления контентом (CMS), операционные системы и офисные пакеты содержат известные уязвимости. Человеческий фактор также вносит свой вклад: регулярные тренинги по кибербезопасности и повышение цифровой грамотности сотрудников не всегда являются приоритетными задачами, что увеличивает киберриски. Параллельно с этим каждый регион представляет собой самостоятельную «зону атаки»: собственные сайты, сервисы и подрядчики, имеющие доступ к системам, умножают количество потенциальных точек входа для злоумышленников.
«2025 год показал, что геополитическая обстановка продолжает быть главным фактором, провоцирующим кибератаки. Отмечается увеличение числа изощренных целевых атак на стратегические сектора экономики, включая промышленные предприятия и государственные структуры (в особенности на региональном уровне). Параллельно с этим, вредоносные программы и попытки получить несанкционированный доступ по-прежнему представляют собой основные опасности для бизнеса. Для снижения рисков компаниям требуется укреплять защитные механизмы, систематически обновлять программное обеспечение и повышать грамотность персонала, а также проверять уровни доступа у контрагентов. Непрерывный мониторинг инцидентов и оперативное реагирование на угрозы приобретают первостепенное значение для поддержания кибербезопасности организаций любого размера», — отметил Дмитрий Иванов, директор по развитию сервисного портфеля ГК «Солар».
