Кибератаки как часть войны. Что делают враги и чем отвечает Россия?
В конце июля 2025 года Аэрофлот столкнулся с масштабной кибератакой, которая привела к коллапсу ИТ-систем компании. Ответственность за атаку взяли хакерские группировки Silent Crow (Украина) и «Киберпартизаны BY» (Белоруссия). Хакеры заявили, что атака была направлена против сотрудничества «Аэрофлота» с российскими военными, включая перевозку персонала и техники.
Этот прецедент является хорошим примером изменений в хакерских атаках последних лет. Если раньше хакеры преимущественно взламывали системы с целью наживы, то после начала СВО появился устойчивый тренд на проведение политически-мотивированных атак.
Целью стало нанесение максимального ущерба и вывод событий в информационное пространство для психологического воздействия на граждан. И наиболее благодатной почвой в этом являются крупные российские компании, ИТ-системы которых всё еще существенно завязаны на иностранный софт. В этом материале рассмотрим, что еще происходит на киберфронте и чем отвечает Россия.
Ситуация на киберфронте
Практически сразу после атаки на Аэрофлот, кибернападению подверглись медицинские учреждения и аптечные сети, включая Столички и Неофарм, а также клиники «Семейный доктор». Это привело к сбоям в работе онлайн-заказов и баз данных пациентов, а некоторые аптеки были вынуждены временно закрыться. Также произошла атака на сеть алкомаркетов Винлаб, принадлежащую Novabev Group. В результате было парализовано более 2000 магазинов по всей стране.
Очевидно, что такая «кучность» атак не случайна и призвана создать у жителей России чувство тотальной незащищенности от киберугроз.
Весной хакерским атакам подвергались Лукойл и Роснефть. Они стали жертвами вирусов-шифровальщиков, что вызвало проблемы с оплатой топлива и доступом к системам. Аналогичные атаки затронули Юганскнефтегаз и Башнефть. А 31 марта хакеры нарушили работу цифровых сервисов московского метро, включая систему оплаты проезда и пополнения карт «Тройка». На восстановление ушло несколько дней.
Если говорить про динамику инцидентов в сфере информационной безопасности, то после начала СВО их число стало кратно расти год от года. Пиковым стал рост в 2024 году, тогда количество инцидентов выросло в 2,5 раза по отношению к прошлому году. В 2025 году темп роста хоть и замедлился, но все равно остается значительным. Кроме того, как мы видим, начал происходить переход от количества к качеству.
Важно отметить, что две трети инцидентов пришлось на объекты критической информационной инфраструктуры (КИИ), в которую входят ИТ-системы крупных компаний из сферы финансов, энергетики, промышленности, транспорта и телекоммуникаций. Именно в этих сферах и наблюдаются наибольшие проблемы с импортозамещением: специализированный зарубежный софт давно и плотно интегрирован в бизнес, а отечественные решения такого уровня только-только начинают разрабатываться.
Тот же самый Аэрофлот был атакован через зарубежные программы, среди которых система бронирования Sabre, ERP-система SAP, коммуникационные решения Microsoft SharePoint и Exchange, а также операционные системы Windows XP и Server 2003. Причем все эти системы давно не обновлялись как в силу ухода вендоров из России, так и без видимых причин.
Изменение мотивации кибератак
В отчете компании RED Security за первое полугодие 2025 года отмечается, что после начала российской спецоперации хакеры стали чаще проводить атаки с целью нанесения ущерба, а не только для финансовой выгоды. В исследовании подчеркивается, что политически мотивированные киберпреступники (хактивисты) теперь составляют значительную часть угроз для российских компаний. Их атаки стали более тщательно спланированными и адаптированными под конкретные цели, что увеличивает потенциальный ущерб.
В отчете Positive Technologies за IV квартал 2024 года — I квартал 2025 года также говорится о росте числа атак, направленных на нарушение работы критической инфраструктуры и государственных учреждений, что указывает на сдвиг в сторону политически мотивированных действий.
То есть кибервойна против России ведется со все возрастающей силой, и движет ею не жажда наживы, а человеконенавистническая идея.
Что предпринимает Россия
Россия в сфере киберзащиты после начала СВО сосредоточилась на двух направлениях: импортозамещении зарубежного программного обеспечения (ПО) и защите информационного пространства.
И хотя программа импортозамещения была объявлена еще в 2014 году, к началу СВО она была выполнена всего на несколько процентов. После начала спецоперации эту программу начали активно ускорять, преимущественно регуляторно. Так, например, были изданы указы президента и постановления правительства, требующие полностью заместить зарубежный софта на объектах КИИ к 1 января 2025 года. Напомним, что к таким объектам относятся в том числе ИТ-системы упомянутых выше крупных российских компаний.
Однако, по данным опроса Ассоциации по защите информации (BISA), только 7% компаний полностью выполнили эти требования. Еще 32% организаций планировали успеть, но столкнулись с трудностями из-за отсутствия финансирования или качественных отечественных аналогов. В госкомпаниях доля импортозамещенного ПО остается низкой: лишь 15–20% успели завершить переход к началу 2025 года.
В сфере же защиты информпространства «успехи» у всех на слуху. Здесь работа ведется в направлении защиты от нежелательного контента и блокировки политически-ангажированных площадок. Так, например, еще в 2022 году Facebook (организация, деятельность которой запрещена в РФ) и Instagram (организация, деятельность которой запрещена в РФ) были заблокированы после признания Meta (организация, деятельность которой запрещена в РФ) экстремистской организацией. Поводом стало разрешение платформой призывов к насилию против русских. Мессенджер WhatsApp формально не запрещен, но его использование для официальной коммуникации (например, госорганами) ограничено.
С 2023 года началось целенаправленное замедление YouTube из-за отказа Google обновлять инфраструктуру в России. К августу 2025 года скорость загрузки видео упала, особенно для десктопных пользователей.
С 1 июня 2025 года вступил запрет на использование иностранных мессенджеров (Telegram, WhatsApp, Viber, Discord и др.) для официальной переписки госорганов, банков и бизнеса. Для юрлиц введены штрафы до 700 тыс. руб. В качестве альтернативы предложено использовать национальный мессенджер Max. В июне 2025 года Владимир Путин подписал указ о его запуске как альтернативы заблокированным сервисам.
С 1 сентября 2025 года вводятся штрафы за умышленный поиск экстремистских материалов (например, через VPN), а также штрафы 50–500 тыс. руб. за рекламу VPN-сервисов.
В сфере бизнеса действия государства тоже были сосредоточены на закручивании гаек в отношении потенциальных внутренних нарушителей.
Так, например, в мае 2025 года произошло значительное ужесточение ответственности за нарушения Федерального закона № 152-ФЗ «О персональных данных». Штрафы за обработку данных без оснований или без согласия выросли до 500 тыс. руб, а за утечку данных в худшем случае штраф может достигать 3% годовой выручки или от 20 до 500 млн рублей.
Еще в июле 2025 года обсуждалось введение штрафов за поиск и просмотр порнографии, однако на текущий момент такие меры не приняты и остаются на уровне инициативы общественников.
Сводится ли ответ России только ко внутренним ограничениям? Вероятно нет. Отметим, что в кибератаках на Украину и страны НАТО (включая DDoS-атаки на банки, энергосистемы и госучреждения) часто обвиняются российские группировки, такие как Killnet и APT-29. Атаки часто синхронизируются с военными учениями или политическими кризисами.
Например, в феврале 2025 года массированные атаки на украинские банки и портал «Дия» совпали с предупреждениями о возможной эскалации на границе, что интерпретировалось как часть «разведки боем» перед учениями. США и Великобритания вводят санкции против российских киберподразделений, таких как NoName057(16) и APT-28, за атаки в период учений, называя их «дестабилизирующими».
При этом важно учесть, что многие такие заявления наших оппонентов могут являться только элементом пропаганды, не имеющей под собой реальной почвы и призванной оправдать те или иные политические (или финансовые) действия. Отсутствие заявлений с нашей стороны оставляет подвешенным вопрос: действительно ли это был успех России на киберфронте, или это просто очередной акт раскручивания русофобии?
Кибервойна как часть учений
Отметим еще один важный аспект, а именно — отношение к кибервойне. Страны Запада при проведении военных учений в большинстве случаев отрабатывают ответ на комбинированное вторжение, включающее и кибератаку. Так, например, в планах Польши по проведению военных учений Iron Defender («Железный защитник») в сентябре 2025 года кибератаки упоминаются как один из ключевых элементов маневров.
Хотя прямых указаний на конкретные кибератаки в материалах нет, учения НАТО в Польше направлены на противодействие гибридным угрозам, включая, кибератаки на критическую инфраструктуру (энергетика, связь, транспорт), а также дезинформационные кампании, которые могут сопровождаться взломами СМИ или соцсетей.
В российско-белорусских учениях «Запад-2025» планируется отработка киберопераций, включая нарушение работы систем связи и применение методов радиоэлектронной борьбы (РЭБ). Эти действия направлены на имитацию атак на командные центры условного противника.
То есть уже ни для кого не новость, что военные действия неразрывно связаны с кибернетическими воздействиями на врага. Так почему бы тогда не освещать успехи на этом фронте, если они действительно есть?
Заключение
Повышать защищенность критически важных систем безусловно необходимо, равно как и ограничивать вражеское влияние на информационное пространство (причем, как внутреннее, так и внешнее). И в этой работе важно найти эффективный баланс между формальностями и крайними мерами. Безопасность, реализованная только «на бумаге», как мы видим, аукается потом очень болезненными последствиями, а принцип «бей своих, чтобы чужие боялись», в данном случае, тоже действует на руку врагу.
Государство, конечно, не только законодательно требует заместить, но и всячески стимулирует производить импортозамещающее ПО. Но это работает только для небольших решений. Зарубежные системы, используемые в крупных российских корпорациях, создавались и развивались десятки лет коллективами из тысяч человек. Никакие стимулы и даже угрозы не родят такие аналоги без качественного изменения подхода к проблеме как со стороны государства, так и со стороны бизнеса. Уязвимости ИТ-систем корпораций касаются уже не только их самих, и даже не только их клиентов. Сегодня это тоже поле боя.