По итогам «Цифрового краш-теста российского бизнеса» («Недопустимое событие 2025») компании «Кибериспытание» эксперты провели 74 экспресс-аудита IT-защиты участников из пяти ключевых отраслей и разных масштабов.
«Белые хакеры» смогли проникнуть в критические системы в 60 % случаев — и это при строгом приближении к реальным атакам, но без ущерба бизнесу, объясняет генеральный директор «Кибериспытания» Наталья Воеводина.
Сектора и размеры
- Торговля: «взлом» удался в 83 % компаний.
- Обрабатывающая промышленность: 80 %.
- Информация и связь: 59 %.
- Финансы и страхование: только 25 % организаций.
- По малому бизнесу успешных атак оказалось 75 %, а крупные компании «пропускали» недопустимые события в двух из трёх тестов.
Скорость и простота
- 67 % атак не требовали высокой квалификации: «взломщики» действовали менее суток, а самый быстрый кейс занял 34 минуты.
- Основные векторы проникновения: атаки на периметр, использование утечек и слабых паролей, уязвимости веб-приложений и внутренней инфраструктуры.
Цифровой ущерб
Моделирование простоя баз данных из пяти отраслей показало потенциальные недополученные продажи на 1,57 млрд руб.
Вознаграждения
Более 1 500 «белых хакеров» участвовали в краш-тестах, 26 получили премии за найденные уязвимости. Максимальная выплата составила 5,6 млн руб., средняя — 700 тыс. руб., минимальная — 300 тыс. руб. Платить исследователям полагается только за подтверждённые угрозы, что, по словам руководителя дивизиона ИБ Infosecurity Андрея Найденова, делает модель «кибериспытаний» эффективной.
Инструменты оценки киберустойчивости
В современные ИБ-метрики входят: время обнаружения и реакции на инциденты, доля устранённых критических уязвимостей, «фишинговая устойчивость» сотрудников, регулярное обучение и отработка плейбуков реагирования. «Тесты, приближённые к реальным атакам, выявляют пробелы, которые статические сканеры пропускают», — отмечает проджект-менеджер MD Audit Кирилл Левкин.
Ограничения выборки
Нельзя считать результаты репрезентативными для всего рынка: отбор участников ограничен клиентской базой «Кибериспытания» и насчитывает лишь 105 компаний, предупреждает Андрей Найденов. При этом он подтверждает, что малый бизнес действительно остаётся наиболее уязвимой категорией из-за дефицита ресурсов и слабой проработки IT-процессов.