Компания «Кибериспытание» (входит в фонд Сайберус) опубликовала итоги исследования «Недопустимое событие 2025. Цифровой краш‑тест российского бизнеса». В исследование вошли данные по 74 кибериспытаниям в экспресс‑формате. В 60% случаев хакерам удалось реализовать критический бизнес‑риск — недопустимое событие. По словам компании, исследование показывает слабую защищённость компаний от киберугроз. Информационная служба Хабра присутствовала на представлении итогов исследования.
Испытания прошли в 74 компаниях из 9 отраслей экономики. Больше всего — в IT (57%), затем торговля (10%), научная деятельность и консалтинг (9%), обрабатывающие производства (8%), финансы и страхование (6%). Все испытания длились до трёх месяцев. За успешную реализацию недопустимого события хакеры получали 1 млн рублей из грантового фонда АО «Кибериспытание».
По словам генерального директора компании Натальи Воеводиной, методика приближена к реальным атакам. Этичные хакеры не вредят бизнесу, но показывают, как могут быть реализованы критические риски, что даёт объективную оценку уровня защиты.
Белые хакеры смогли реализовать недопустимое событие в трёх из пяти компаний. Самые уязвимые отрасли — торговля (83% успешных атак), обрабатывающие производства (80%) и информация и связь (59%). Финансовая отрасль показала наибольшую стойкость: успешные атаки — только в 25% компаний.
67% атак не требовали высокой квалификации. В большинстве случаев результат получали за сутки. Самый быстрый «взлом» занял 34 минуты.
Главные векторы атак — уязвимости периметра и его неправильные настройки (27 случаев), утечки данных и проблемы с паролями (20), уязвимости веб‑приложений (19). Уязвимости находили в публичных WiFi, скомпрометированных паролях и забытых тестовых серверах. Эти элементы часто игнорируют, но именно через них хакеры попадают в системы.
Малый бизнес оказался самым уязвимым — 75% успешных атак. У этих компаний часто нет собственных ИБ‑команд и они экономят на защите. Через них риски переходят на более крупные структуры. В крупных компаниях процент успешных атак — 67%.
В 51% случаев инициаторами испытаний были CEO и акционеры. Это говорит о том, что кибербезопасность стала стратегическим вопросом. Раньше это была зона ответственности ИБ‑директоров и IT‑директоров.
По словам Воеводиной, топ‑менеджерам понятен формат оценки, где результат выражен в деньгах. Это помогает CEO и CISO говорить на одном языке — о бизнес‑рисках, а не только об уязвимостях.
В испытаниях участвовали 1,5 тысячи исследователей. Вознаграждение получили 26 человек. Максимальная сумма — 5,6 млн рублей. Средняя — 700 тысяч, минимальная — 300 тысяч.
Источник: habr.com