ГК «Солар»: промышленность и региональная власть стали самыми атакуемыми сегментами в 2025 году

ГК «Солар»: промышленность и региональная власть стали самыми атакуемыми сегментами в 2025 году

Вредоносное ПО и несанкционированный доступ к системам были основными угрозами для российских компаний в 2025 году, а промышленность и региональные органы власти — самыми атакуемыми секторами экономики. Такие выводы сделали эксперты ГК «Солар», архитектора комплексной кибербезопасности. В основу аналитики легли данные центра противодействия кибератакам Solar JSOC, крупнейшего коммерческого SOC в России.

Отчет Solar JSOC охватил около 300 организаций из ключевых отраслей экономики, включая госсектор, финансы, нефтегазовую отрасль, энергетику, телекоммуникации, крупный ритейл, добывающую и пищевую промышленность, транспорт и логистику и др. Все компании представляют сегмент Large Enterprise и Enterprise c количеством сотрудников 500–1000 человек и более, и оказывают услуги в разных регионах страны.

Всего за 2025 год мониторинг Solar JSOC выявил 1,16 млн событий ИБ — подозрений на инцидент после обработки первой линией мониторинга и фильтрации ложных срабатываний. Это на 36% меньше, чем в 2024 г. — 1,81 млн событий, однако до показателей 2022 года и ранее все еще далеко, отмечают эксперты. К тому же за прошлый год вырос процент подтвержденных заказчиками инцидентов: более 33 тыс. — в 2025 г. против 31,5 тыс. — в 2024 г. Причем на горизонте четырех лет по этому показателю видна схожая «сезонность»: в начале года относительное затишье, затем рост числа инцидентов, причем в последние два года наибольший всплеск приходится на конец года.

Вредоносное ПО остается одной из самых распространенных угроз, на его долю пришлось 36% всех инцидентов (+6 п.п. к показателю 2024 г.). При этом в большинстве случаев атакующие использовали уже готовые инструменты, известное и типовое ВПО. С развитием автоматизированных платформ (например, Malware-as-a-Service) злоумышленники получили возможность массово распространять вредоносное ПО, что снизило барьер входа для атакующих и увеличило общее количество таких инцидентов.

Второе место в топе занимают попытки несанкционированного доступа (23%). Хакеры активно используют брутфорс (метод автоматизированного перебора паролей), эксплуатацию уязвимостей, атаки на веб-приложения и системы аутентификации и т.д. Количество и качество таких атак растет под конкретные значимые для государства события. Например, в 3 квартале 2025 г. значительный всплеск веб-атак пришелся на Единый день голосования в России (14 сентября) — очевидно, хакеры рассчитывали оказать деструктивное воздействие на избирательный процесс.

Помимо этого, в отчете Solar JSOC впервые была выделена в отдельный блок категория «изменения инфраструктуры», доля которой от всех подтвержденных заказчиками инцидентов составила 11%. Этот тренд явно свидетельствует о росте усилий хакеров в направлении целевых продвинутых атак.

Отраслевая направленность инцидентов также претерпела изменения в 2025 г. Если в 2024 в топ-3 по среднему числу атак на организацию были госсектор (ФОИВ, РОИВ и другие госорганизации — совокупно 55%), финсектор (18%) и транспортная отрасль (16%), то в 2025 году особенно выделяются промышленность (добывающая и пищевая — совокупно 23%), а также госсектор (совокупно — 14%, из которых РОИВ — 11%). Также в числе наиболее атакуемых секторов остаются торговля, финансовая и транспортно-логистическая отрасли, занимающие равные доли в 10%.

Добывающая промышленность, обеспечивающая 40% экономики и ориентированная на экспорт, становится ключевой мишенью для кибератак. Остановка добычи ресурсов может использоваться как инструмент давления в международных отношениях, что привлекает государственных и политически мотивированных хакеров, а также вымогателей, рассчитывающих на финансовую выгоду из-за высоких издержек простоя. Активная цифровизация отрасли, включая интеграцию IT и OT-сетей, расширяет поверхность атаки, а устаревшее оборудование и неподдерживаемые системы усложняют защиту. Кроме того, взаимодействие с большим числом подрядчиков делает цепочку поставок уязвимой для компрометации.

Пищевая промышленность также попала в число наиболее атакуемых секторов из-за стратегической значимости и зависимости от сложных цепочек поставок. Использование внешнего и устаревшего ПО, характерное для отрасли, увеличивает риски кибератак, направленных на дестабилизацию производства.

Рост кибератак на региональные органы власти (РОИВ) России год к году составил 7 п.п. Это обусловлено их стратегической значимостью и общим уровнем ИБ. В случае с РОИВ злоумышленники могут преследовать разные цели — например, это может быть кибершпионаж и дестабилизация обстановки (нарушение работы органов власти и госслужб, похищение и публикация конфиденциальных данных). Однако инфраструктура РОИВ может стать для хакеров и точкой входа в более крупные госструктуры федерального значения, атаковать которые напрямую гораздо сложнее. По мнению экспертов, нынешний повышенный интерес группировок к РОИВ выглядит как «прощупывание» киберландшафта перед более крупными атаками.

Из-за ограниченных бюджетов уровень киберзащиты РОИВ часто ниже, чем в федеральных структурах, а устаревшие CMS, операционные системы и офисные пакеты содержат известные уязвимости. Человеческий фактор также играет роль: регулярные тренировки по кибербезопасности и повышение цифровой грамотности сотрудников не всегда являются приоритетом, что повышает киберриски. Наряду с этим каждый регион представляет собой отдельную «поверхность атаки»: собственные сайты, сервисы и подрядчики с доступом к системам увеличивают количество потенциальных точек проникновения для злоумышленников.

Дмитрий Иванов

директор по развитию сервисного портфеля ГК «Солар»

«2025 год подтвердил, что геополитика остается основным драйвером кибератак. Мы наблюдаем рост сложных целевых атак на стратегически важные отрасли, такие как промышленность и госсектор (особенно региональную власть). При этом вредоносное ПО и попытки несанкционированного доступа остаются ключевыми угрозами для компаний. Чтобы минимизировать риски, организациям необходимо повышать свой уровень защиты, регулярно обновлять ПО и обучать сотрудников, проводить аудит доступов у подрядчиков. Мониторинг инцидентов в режиме реального времени и своевременное реагирование на угрозы становятся критически важными для обеспечения кибербезопасности организаций самого разного масштаба».