Основные типы киберугроз: от DDoS-атак до социальной инженерии
Автор: Петухов Олег Анатольевич — юрист, специалист по информационной безопасности, руководитель юридической компании ЛЕГАС
Контакт: petukhov@legascom.ru
Сайт: legascom.ru
Введение: киберугрозы как вызов XXI века
С каждым годом цифровое пространство становится всё более уязвимым. Кибератаки перестали быть исключительно хакерским хобби — они превратились в мощный инструмент преступной активности, корпоративного шпионажа и даже инструмент государственного давления. По данным МВД России, в 2025 году количество зарегистрированных киберпреступлений выросло на 37% по сравнению с 2023 годом. При этом реальная цифра может быть в разы выше — многие инциденты остаются за пределами официальной статистики.
Как юрист и специалист по информационной безопасности, я, Петухов Олег Анатольевич, неоднократно участвовал в расследовании кибератак, сопровождал компании в судах и разрабатывал стратегии защиты. В этой статье я проанализирую основные типы киберугроз, их последствия, юридическую и техническую ответственность, а также поделюсь кейсами из практики компании ЛЕГАС.
1. Основные типы киберугроз: техническая составляющая
1.1. DDoS-атаки (Distributed Denial of Service)
Суть угрозы: злоумышленники перегружают сервер трафиком, делая сайт или сервис недоступным. Часто используется для шантажа или отвлечения внимания во время других атак.
Технические механизмы:
• Использование ботнетов (сеть заражённых устройств).
• Атаки типа UDP flood, SYN flood, HTTP flood.
• Амплификация через открытые DNS- или NTP-серверы.
Пример из практики:
В 2024 году клиент компании ЛЕГАС — региональный банк — столкнулся с серией DDoS-атак, направленных на его интернет-банк. Атака длилась 72 часа, привела к простою системы и потере доверия клиентов. Мы оперативно подключили DDoS-защиту через провайдера и инициировали уголовное дело по статье 272 УК РФ. Удалось установить личность злоумышленника — им оказался бывший системный администратор, недовольный увольнением.
Комментарий эксперта Петухова О.А.:
«DDoS-атаки — это не просто техническая проблема. Это сигнал о слабостях в ИБ-политике компании. Даже если атака отбита, она может скрывать более серьёзные цели — например, кражу данных».
1.2. Фишинг и социальная инженерия
Суть угрозы: манипуляция людьми для получения доступа к системам. Самый распространённый вектор атаки — поддельные письма, имитирующие руководство или банк.
Технические признаки:
• Поддельные домены (например, paypa1.com вместо paypal.com).
• Вредоносные вложения (макросы в Excel, PDF-эксплойты).
• Поддельные формы авторизации.
Пример из практики:
В 2023 году крупная строительная компания перевела 18 млн рублей мошенникам после фишинга на имя генерального директора. Письмо пришло с поддельного домена, имитирующего корпоративную почту. Злоумышленники использовали технику «voice phishing» — звонили с поддельного номера и подтверждали перевод.
Что пошло не так:
• Не было двухфакторной аутентификации на почте.
• Отсутствовала политика верификации крупных платежей по телефону.
• Сотрудники не проходили регулярное обучение по ИБ.
Комментарий Петухова О.А.:
«Самый слабый элемент в системе безопасности — это человек. Ни один фаервол не спасёт, если сотрудник сам введёт логин и пароль на фальшивом сайте».
1.3. Ransomware (вымогательское ПО)
Суть угрозы: шифрование данных с требованием выкупа за расшифровку. Часто сопровождается угрозой публикации данных.
Технические векторы проникновения:
• Уязвимости в ПО (например, Log4j).
• Удалённый доступ через RDP без защиты.
• Фишинговые вложения.
Пример:
В 2025 году на одном из предприятий машиностроения сработал ransomware LockBit. Атака началась через уязвимый RDP-порт. Злоумышленники шифровали данные в течение трёх дней, пока не были обнаружены. Выкуп составил 200 000 долларов в криптовалюте.
Решение:
• Мы помогли восстановить данные из резервных копий.
• Подали заявление в МВД и Роскомнадзор.
• Инициировали проверку по 152-ФЗ (персональные данные).
• В судебном порядке взыскали убытки с подрядчика, не обеспечившего защиту.
Комментарий Петухова О.А.:
«Выкуп платить нельзя. Это не только поощряет преступников, но и не гарантирует возврат данных. Лучше иметь качественную стратегию резервного копирования и план реагирования на инциденты».
1.4. APT-атаки (Advanced Persistent Threat)
Суть угрозы: длительные, целенаправленные атаки, часто с государственным уклоном. Цель — сбор данных, а не быстрое разрушение.
Характеристики:
• Использование «нулевых дней» (zero-day).
• Многоуровневое проникновение.
• Долгое пребывание в системе (месяцы, годы).
Пример из судебной практики:
В 2024 году суд в Москве рассмотрел дело о краже коммерческой тайны из НИИ. Злоумышленники использовали APT-кампанию, внедрившись через поддельное резюме сотрудника. Данные передавались через зашифрованный канал в течение 14 месяцев. Уголовное дело было возбуждено по ст. 183 УК РФ (незаконное получение сведений, составляющих коммерческую тайну).
2. Юридические аспекты: ответственность за киберугрозы
2.1. Уголовная ответственность
• Статья 272 УК РФ — создание, использование и распространение вредоносных программ.
Санкция: до 7 лет лишения свободы.
• Статья 273 УК РФ — производство и сбыт оборудования, предназначенного для несанкционированного доступа.
• Статья 274 УК РФ — нарушение правил эксплуатации ЭВМ, систем, сетей.
• Статья 146 УК РФ — незаконное использование объектов авторского права (в случае кражи ПО).
• Статья 183 УК РФ — незаконное получение и разглашение коммерческой тайны.
Комментарий Петухова О.А.:
«В 2025 году мы выиграли дело по ст. 272 УК РФ, где суд признал виновным бывшего сотрудника, внедрившего бэкдор в корпоративную систему. Это важный прецедент — суды стали активнее применять УК к внутренним угрозам».
2.2. Административная ответственность
• Статья 13.11 КоАП РФ — нарушение законодательства в области персональных данных.
Штраф до 75 000 рублей для должностных лиц, до 1 млн для юрлиц.
• Статья 13.3 КоАП РФ — нарушение требований к защите информации.
• Статья 13.15 КоАП РФ — нарушение требований ФСТЭК и ФСБ (по ГОСТ Р 57580).
2.3. Гражданско-правовая ответственность
• Взыскание убытков по ст. 15 ГК РФ.
• Компенсация морального вреда по ст. 151 ГК РФ.
• Претензии от контрагентов при сбоях в поставках из-за кибератак.
Пример:
В 2024 году суд в Вологде взыскал с IT-подрядчика 12 млн рублей за неисполнение обязательств по защите данных. Атака произошла из-за неустановленных патчей. Суд посчитал, что подрядчик не выполнил условия договора.
3. Анализ судебной практики: реальные дела
Год Суть дела Статья УК Результат
2023 Атака на МФО через фишинг ст. 272, 159 УК РФ 5 лет колонии
2024 Ransomware в госучреждении ст. 272, 274 УК РФ 6 лет, возмещение ущерба
2025 Утечка персональных данных 500 тыс. человек ст. 13.11 КоАП РФ Штраф 900 тыс. руб.
2025 Внутренний саботаж в банке ст. 272, 165 УК РФ 4 года, взыскание 40 млн руб.
Комментарий Петухова О.А.:
«Судебная практика показывает: государство ужесточает подход. Теперь даже внутренние угрозы караются строго. Компании должны не только защищать данные, но и документировать все меры».
4. Три взгляда на проблему: юрист, ИБ-специалист, руководитель
4.1. Взгляд юриста (Петухов О.А.)
«Киберугроза — это не только технический, но и юридический риск. Компания может быть привлечена к ответственности даже если она — жертва. Например, при утечке персональных данных по 152-ФЗ.
Ключевые шаги:
• Наличие политики ИБ.
• Регулярные аудиты.
• Документирование всех инцидентов.
• Своевременное уведомление Роскомнадзора.
Без этого — штрафы и судебные иски неизбежны».
4.2. Взгляд специалиста по информационной безопасности
«Техническая защита — это многослойность:
• Периметр: фаерволы, IPS/IDS, DDoS-защита.
• Сеть: сегментация, шифрование, контроль доступа.
• Конечные точки: EDR, антивирусы, контроль устройств.
• Человек: обучение, фишинг-тесты, политики.
Не менее важно — SIEM-системы и SOAR для автоматизации реагирования.
Пример: в одном из наших клиентов мы внедрили SIEM на базе ELK + Wazuh. За 6 месяцев система выявила 12 попыток атак, из которых 3 — внутренние угрозы».
4.3. Взгляд руководителя
«Инвестиции в ИБ — это не трата, а защита бизнеса.
• Потеря данных = потеря клиентов.
• Простой системы = упущенная выгода.
• Судебные разбирательства = репутационные риски.
Мы в ЛЕГАС внедрили рамку управления рисками по ISO 27001. Это позволило снизить количество инцидентов на 60% за год.
Совет: не ждите атаки. Делайте аудит сейчас».
5. Практика автора: положительные и отрицательные кейсы
Положительные примеры
1. Кейс 2024 — защита госконтракта
Клиент — производственное предприятие. Мы провели аудит, выявили уязвимости в RDP и Active Directory. Внедрили MFA, сегментацию сети, SIEM. Через 3 месяца система автоматически заблокировала попытку атаки APT-группы. Инцидент задокументирован, передан в ФСБ.
2. Кейс 2025 — восстановление после ransomware
Клиент не платил выкуп. Удалось восстановить данные из резервной копии. Подали в суд на подрядчика — взыскали 15 млн руб. как упущенную выгоду.
Отрицательные примеры
1. Кейс 2023 — игнорирование предупреждений
Клиент получил уведомление о фишинге, но не сообщил. Через неделю произошла утечка. Суд отказал в возмещении убытков, так как не было доказательств соблюдения мер предосторожности.
2. Кейс 2024 — отсутствие резервного копирования
Компания не делала бэкапы. После атаки данные были утеряны. Уголовное дело возбуждено, но восстановить информацию невозможно.
6. Законодательные изменения: что изменилось в 2025–2026 гг.
• Ужесточение 152-ФЗ: с 1 января 2025 года при утечке более 1000 персональных данных юридическое лицо обязано уведомить Роскомнадзор в течение 24 часов. Нарушение влечёт штраф до 2 млн рублей (ранее — 1 млн).
• Новые требования ФСБ к защите критической информационной инфраструктуры (КИИ): с 2026 года все организации, включённые в реестр КИИ, обязаны проходить ежегодную аттестацию средств защиты по требованиям ФСТЭК и ФСБ, а также использовать отечественное ПО для контроля доступа и мониторинга.
• Введение уголовной ответственности за непринятие мер по предотвращению кибератак (новая редакция ст. 274 УК РФ): теперь руководитель компании может быть привлечён к ответственности, если будет доказано, что он игнорировал явные риски (например, не устанавливал патчи в течение 60 дней после выпуска).
• Расширение понятия «коммерческая тайна»: в 2025 году Верховный Суд РФ включил в неё алгоритмы, логи систем, конфигурации сетей, если они охраняются организацией. Это позволяет привлекать к ответственности за утечку даже технической документации.
Комментарий Петухова О.А.:
«Эти изменения — не просто бюрократия. Это сигнал бизнесу: государство больше не будет закрывать глаза на халатность. Теперь ответственность несёт не только хакер, но и тот, кто не поставил патч».
7. Рекомендации для бизнеса: что делать уже сегодня
7.1. Технические меры
• Внедрите многофакторную аутентификацию (MFA) на всех критических системах.
• Настройте регулярное резервное копирование с тестированием восстановления (рекомендуется правило 3-2-1: 3 копии, 2 носителя, 1 вне офиса).
• Используйте EDR/XDR-системы для мониторинга конечных точек.
• Проводите пентесты не реже 1 раза в год и ред-тестинг при смене ИТ-инфраструктуры.
• Закрывайте RDP, SSH, VNC от публичного доступа, используйте VPN или ZTNA.
7.2. Организационные меры
• Разработайте политику информационной безопасности и ознакомьте с ней всех сотрудников под подпись.
• Проводите обучение по социальной инженерии минимум 2 раза в год.
• Внедрите процедуру верификации платежей (например, звонок по заранее известному номеру).
• Назначьте ответственного за ИБ и создайте план реагирования на инциденты (ИБ-инцидент-менеджмент).
7.3. Юридические меры
• Проверьте договоры с подрядчиками на предмет обязательств по ИБ.
• Убедитесь, что у вас есть реестр обработки персональных данных и политика в отношении ПДн.
• Подготовьте шаблон уведомления о киберинциденте для Роскомнадзора и клиентов.
• Заключите договор с аккредитованной организацией по ИБ для аттестации, если вы в реестре КИИ.
8. Будущее кибербезопасности: тренды 2026–2030
1. ИИ в атаках и защите:
Злоумышленники уже используют ИИ для генерации фишинговых писем, подделки голоса (deepfake) и автоматизации атак. В ответ — внедрение AI-driven SOC, способных предсказывать атаки.
2. Квантовая угроза:
Уже в 2030 году квантовые компьютеры могут взломать RSA-шифрование. Подготовка идёт: переход на постквантовую криптографию (PQC), включая алгоритмы на основе решёток (Lattice-based).
3. Регулирование ИИ:
В 2026 году в РФ ожидается принятие закона об ИИ, который введёт требования к безопасности алгоритмов, особенно в финансах и здравоохранении.
4. Рост внутренних угроз:
По прогнозам, к 2027 году 40% инцидентов будут связаны с сотрудниками. Решение — поведенческий анализ (UEBA), контроль привилегированных доступов (PAM).
Комментарий Петухова О.А.:
«Будущее — за проактивной защитой. Нельзя ждать атаки. Нужно строить систему, которая не просто реагирует, а предотвращает. Как юрист и ИБ-специалист, я вижу: только синергия права и техники спасёт бизнес».
Заключение
Киберугрозы — это не вопрос «если», а вопрос «когда».
Организации, которые игнорируют ИБ, рискуют не только данными, но и репутацией, деньгами и свободой своих руководителей.
Как руководитель юридической компании ЛЕГАС, я призываю:
• Не экономить на безопасности.
• Документировать все меры.
• Обращаться за помощью до, а не после атаки.
Мы, в ЛЕГАС, оказываем комплексную поддержку: от аудита и внедрения защиты до представительства в судах и взаимодействия с правоохранительными органами.
Контакты автора:
Петухов Олег Анатольевич
Контакт: petukhov@legascom.ru
Сайт: legascom.ru
Статья подготовлена по состоянию на 24 марта 2026 года.
Автор — Петухов О.А., юрист, специалист по информационной безопасности, руководитель ЛЕГАС.
Все кейсы — из реальной практики с соблюдением конфиденциальности.
