Отчет Verizon Data Breach Investigations Report за 2026 год проанализировал более 22 000 подтвержденных случаев утечки данных в 145 странах. Его выводы указывают на одну неприятную истину: организации не успевают устранять уязвимости достаточно быстро, чтобы предотвратить каждый инцидент. Использование уязвимостей вырвалось на первое место среди векторов первоначального доступа, медианное время устранения критического дефекта выросло до 43 дней, а объем критических уязвимостей увеличился на 50% по сравнению с предыдущим годом. Даже самые эффективные организации смогли исправить лишь 30–40% известных эксплуатируемых уязвимостей, перечисленных в каталоге CISA по известным эксплуатируемым уязвимостям, в течение первой недели после обнаружения. Этот показатель почти не изменился, несмотря на годы инвестиций в инструментарий, зрелость процессов и регуляторное давление.
Большинство организаций в конечном итоге столкнутся с серьезным инцидентом. Качество вашего реагирования определит исход.
Программы-вымогатели затронули 48% утечек. Решение о выплате — это только начало
Программы-вымогатели фигурировали в 48% всех подтвержденных утечек, по сравнению с 44% годом ранее. Среди случаев, когда был известен размер организации, 96% жертв составляли малые и средние предприятия.
«Кульминацией» каждого учения по реагированию на программы-вымогатели, которое я наблюдаю, всегда был вопрос: платить или отказаться? DBIR показывает, что 69% жертв решили не платить, по сравнению с 65% годом ранее. Этот показатель сохранился, даже когда злоумышленники шифровали системы. Отказ становится стандартной практикой. Медианная выплата снизилась до 139 875 долларов США.
Столкнувшись с сокращением доходов, операторы программ-вымогателей теперь намеренно максимизируют операционные сбои, чтобы форсировать более быстрые решения. Атака 2025 года на Marks & Spencer на несколько недель вывела из строя онлайн-продажи, отслеживание запасов и мониторинг холодильных установок, что привело к убыткам, по оценкам, в 300 миллионов фунтов стерлингов. Утечка данных Jaguar Land Rover остановила производство на пять недель, нанесла ущерб в 1,9 миллиарда фунтов стерлингов и потянула ВВП Великобритании ниже квартального прогноза.
Используйте эти примеры для вдохновения при проведении следующего учения по программам-вымогателям. Вопрос о выкупе — это лишь один пункт повестки дня. Поддержание операций без основных систем, координация с юридическими консультантами и правоохранительными органами, управление коммуникациями с клиентами и инвесторами в рамках регуляторных сроков, решение о том, что и когда раскрывать: это те решения, которые определяют, переживет ли компания событие с программой-вымогателем или станет поучительным заголовком. Организации, которые репетируют только вопрос о выплате, отрабатывают вступительную сцену и пропускают остальную часть пьесы.
Утечки через третьи стороны выросли на 60%. Ваши учения должны это отражать
Утечки, связанные с поставщиками или сервис-провайдерами, составили 48% всех подтвержденных инцидентов, что на 60% больше, чем в предыдущем году. Этот показатель удвоился по сравнению с годом ранее. Траектория очевидна.
DBIR выделяет три архетипа: уязвимость в продукте поставщика открывает дверь в вашу среду; поставщик, хранящий ваши данные, подвергается прямой компрометации; или злоумышленник взламывает поставщика и осуществляет боковое перемещение в вашу сеть. Несколько наиболее громких кампаний этого года задействовали два или все три архетипа одновременно.
Большинство программ учений полностью игнорируют этот сценарий. Я видел, как организации десятки раз отрабатывали свои внутренние планы, ни разу не симулируя звонок скомпрометированному поставщику. Когда поступает реальный звонок, они замирают. Утечка через третью сторону проверяет принципиально иной набор навыков, чем внутренняя компрометация.
Когда поставщик взломан, информация, которая больше всего нужна вашей команде, — это та, которой поставщик наименее готов быстро поделиться. Учения должны симулировать это трение. Участники должны практиковаться в задавании точных вопросов: Какие наши данные вы хранили? Каков подтвержденный масштаб? Какие журналы существуют? Как вы уведомляете других пострадавших клиентов?
Другая половина учения не менее важна. Ваши клиенты потребуют ответов, пока расследование еще продолжается. Прозрачность укрепляет доверие. Преждевременное возложение вины разрушает партнерские отношения. Дисциплина заключается в том, чтобы сообщать о том, что вы знаете и что вы делаете для решения проблемы, не возлагая публично вину на поставщика, сотрудничество с которым вам все еще необходимо. Заявление для прессы, которое подставляет третью сторону, может обеспечить громкий заголовок. Но оно также гарантирует, что юридическая команда поставщика прекратит делиться информацией с вашей.
Использование уязвимостей — главный вектор атаки. ИИ ускорит его
Использование уязвимостей достигло 31% всех подтвержденных утечек, что на 55% больше по сравнению с 20% годом ранее. Впервые в истории DBIR этот метод вытеснил злоупотребление учетными данными как основной способ первоначального доступа.
Структурная проблема проста. В 2025 году организации столкнулись в среднем с 16 известными эксплуатируемыми уязвимостями CISA, по сравнению с 11 годом ранее. Только 26% были полностью устранены, по сравнению с 38%. Защитники оказались в «Гонке Красной Королевы» Алисы.
ИИ еще больше сжимает временные рамки. Сотрудничество DBIR с Anthropic изучило 793 угрожающих актора, которые злоупотребляли платформами ИИ в злонамеренных целях между мартом 2025 и февралем 2026 года. Медианный актор искал помощи по 15 различным техникам ATT&CK. Тридцать два процента активности первоначального доступа с использованием ИИ были нацелены конкретно на эксплуатацию уязвимостей. В отчете отмечается, что создание инструментов для эксплойтов, их адаптация для разных языков и обнаружение новых уязвимостей «достижимо с помощью текущей помощи ИИ в кодировании». Собственное исследование угроз Anthropic задокументировало первую известную кибершпионскую кампанию, оркестрованную ИИ, в которой злоумышленники использовали агентный ИИ для автономного осуществления вторжений. К декабрю 2025 года исследователи задокументировали VoidLink — полный фреймворк вредоносного ПО, созданный агентом ИИ за шесть дней. Двадцать девять процентов KEV-уязвимостей были атакованы до их публичного раскрытия в том году.
Это ускорение требует сдвига в том, как организации отрабатывают свои возможности реагирования на инциденты. NIST SP 800-84 давно рекомендует формальные программы тестирования, обучения и учений для оценки готовности к реагированию на инциденты. Растущая скорость и объем эксплуатации делают это руководство срочно необходимым. Технические учения, в ходе которых участники работают над фактической триажной сортировкой, а не обсуждают гипотетические ответы, должны стать рутиной. Командам необходимо практиковать выявление затронутых систем, определение радиуса поражения, выполнение планов сдерживания и координацию устранения неполадок между отделами в условиях реалистичного временного давления. Окно между первоначальной компрометацией и полномасштабной утечкой сужается. Скорость, с которой ваши технические команды могут проводить триаж и сдерживание, напрямую определяет серьезность последствий. Организации, которые впервые сталкиваются с этими решениями во время реального инцидента, не смогут действовать достаточно быстро.
Утечка, к которой вы готовитесь, — это та, которую вы переживете
DBIR за 2026 год и отчет M-Trends 2026 от Google рисуют одну и ту же картину с разных ракурсов: скорость атак растет, площадь поверхности расширяется за счет сторонних зависимостей, а разрыв в уровне сложности между злоумышленниками и защитниками сокращается благодаря широко доступным инструментам на базе ИИ. Это не прогнозы. Они описывают ландшафт угроз в его нынешнем виде.
Организации, которые ждут утечки, чтобы протестировать свои возможности реагирования, обнаружат свои пробелы в самый неподходящий момент. Планы действий, которые никогда не отрабатывались под давлением, как правило, рушатся при первом контакте с реальным инцидентом. Планы коммуникаций, которые выглядят разумными на бумаге, разваливаются, когда генеральный юрисконсульт, технический директор (CISO) и генеральный директор (CEO) сидят в одной комнате, споря о сроках раскрытия информации, в то время как клиенты наводняют линии поддержки.
Решение — это целенаправленная, повторяющаяся практика. Учения, симулирующие сценарии с программами-вымогателями, должны выходить за рамки вопроса о выплате и затрагивать операционный хаос, который следует за этим. Учения, связанные с утечками через третьи стороны, должны заставлять участников ориентироваться в напряжении между прозрачностью и сохранением партнерских отношений. Технические учения должны сжимать временные рамки и требовать такой же скорости триажа, какую потребовала бы реальная кампания по эксплуатации уязвимостей.
Ничто из этого не является новым советом. Но данные 2026 года делают ставки яснее, чем когда-либо. Организации, которые выстраивают кризисное реагирование как отработанный навык, переживут эти инциденты. Те же, кто рассматривает свой план реагирования на инциденты как статичный документ, узнают о его недостатках на горьком опыте.
Эта статья опубликована в рамках сети экспертных авторов Foundry.
Хотите присоединиться?
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Cassio Goldschmidt
