кибервойны

В XXI веке в наборе средств противостояния между государствами появились кибератаки. Согласно недавним исследованиям, мы находимся на пороге массовых и глобальных цифровых войн.

Тенденции кибератак последних лет

В последние годы кибератаки приобрели систематизированный характер. Количество инцидентов, связанных с государственным вмешательством, демонстрирует стремительный рост:

  • В первом полугодии 2025 года на госучреждения пришлось 21% от всех успешных атак на организации
  • В России количество кибератак на государственный сектор выросло на 80% в 2022 году
  • На глобальном уровне 39% всех крупных кибератак в 2025 году были связаны с государственными спонсорами

Кибератака становится способом нанесения ущерба без объявления войны, ввода войск или нарушения физических границ. Это позволяет вести боевые действия скрытно, эффективно и зачастую безнаказанно — последнее делает такой инструмент особенно привлекательным.

Правда ли, что кибератаки анонимны?

Жертва не сразу понимает, что на неё напали. А даже если осознание приходит — доказать, кто именно стоит за этим, невероятно трудно.

Именно здесь проявляется одна из главных проблем в сфере кибербезопасности — атрибуция. Это способность с высокой степенью достоверности определить источник нападения. Но в мире, где злоумышленники используют цепочки VPN-серверов, заражённые инфраструктуры третьих стран и коды, установить виновного практически невозможно.

Кибер-атрибуция представляет собой дорогостоящий и трудоёмкий процесс, требующий значительных ресурсов и экспертизы в области кибер-криминалистики. Недостаток ресурсов и опыта остается фундаментальным препятствием в достижении точной и своевременной атрибуции киберугроз, особенно для организаций, не имеющих доступа к передовым технологиям. Каждый этап атаки может оставлять артефакты, такие как записи в файлах журналов, которые можно использовать для определения целей и идентификации атакующего, однако даже эксперты по кибербезопасности сталкиваются с серьёзными трудностями.

К тому же часто используются посредники в виде хакерских группировок, формально не связанных с государством, но действующих в его интересах. Такая схема позволяет прибегать к стратегии, известной как plausible deniability (правдоподобное отрицание). Государство может утверждать, что не имеет отношения к атаке, и формально будет право. Юридически привязать операцию к конкретному заказчику почти невозможно.

Эта стратегия предоставляет государствам-спонсорам дополнительный уровень отрицаемости, делая атаки через прокси-группы особенно привлекательными. Поэтому в большинстве публичных отчётов мы видим осторожные формулировки — «с высокой степенью вероятности», «предположительно связаны с..».

Интересно, что некоторые исследователи ставят под сомнение саму эффективность стратегии правдоподобного отрицания в современных условиях. Развитие технологий атрибуции, участие частного сектора в расследованиях, медийное освещение и распространение собственных правительственных кибер-возможностей делают эту концепцию всё менее убедительной.

Как отмечают исследователи, «мы живём в эпоху неправдоподобного отрицания».

Кто больше всех грешит кибератаками?

Существует авторитетный показатель в международной политологии  индекс CINC (Composite Index of National Capability). Он учитывает множество факторов: численность населения, размер армии, объёмы промышленного производства, энергопотребление и другие параметры, определяющие «силу государства».

Чем выше CINC, тем больше у страны ресурсов для влияния — как экономического, так и военного.

Если ориентироваться на этот индекс, выясняется интересная вещь. Кибератаки чаще инициируют именно мощные государства, а не слабые. Более того, жертвами этих атак становятся менее развитые страны. Согласно исследованиям, существует положительная корреляция между национальными возможностями государства и количеством инициированных им кибер-инцидентов.

На кого в первую очередь нацелены государственные кибератаки?

В отличие от обычных хакеров, страны не преследуют финансовой выгоды. Именно поэтому основными мишенями становятся федеральные ведомства и вооружённые силы.

В первом полугодии 2025 года злоумышленники чаще всего атаковали госучреждения, промышленность, IT-компании и медицинские учреждения. Доля атак на госучреждения достигла 21% от общего количества успешных атак на организации, что на 6 процентных пунктов больше, чем в предыдущем полугодии.

Бизнес также может попасть под удар, но, как правило, лишь в тех случаях, когда компания выполняет оборонные заказы или тесно связана с госструктурами. Зато образовательные учреждения, а также местные органы власти почти никогда не оказываются на «мушке», и это вполне объяснимо. Такая избирательность соответствует логике разведопераций. Атакуют те места, где сконцентрированы власть, информация и ценные ресурсы.

Критически важная инфраструктура (КИИ) также находится в зоне повышенного риска. Атаки на критическую инфраструктуру выросли на 34% в 2025 году, особенно нацеленные на энергетический, водный и транспортный секторы. Такие цели привлекательны для государственных акторов, поскольку их компрометация может привести к масштабным нарушениям в работе общества и оказать психологическое давление на население.

В основном государства проникают и сидят в системе годами. Подобные действия говорят о приоритетах разведдеятельности, а не открытого давления.

По данным команды Bi.Zone Threat Intelligence, доля совершаемых в целях шпионажа кибератак в России достигла рекордных 39% в первой половине 2025 года, по сравнению с 15% в 2023 году и 21% в 2024 году. Всё же крупные игроки предпочитают действовать из тени, методично и стратегически, оставляя как можно меньше следов.

Какиe есть примеры операций, которые принято приписывать государствам?

В качестве наглядных примеров стоит рассмотреть три резонансные операции.

1. Первая из них — Operation Cloud Hopper. В этом случае хакеры атаковали провайдеров облачных ИТ-сервисов, чтобы через них получить доступ к внутренним сетям клиентов. Жертвами стали десятки организаций, включая глобальные корпорации и госучреждения. Среди них: министерства обороны, федеральные агентства, фармацевтические и энергетические компании, а также другие участники ключевых отраслей. PwC UK и BAE Systems оценили, что эта операция проводилась с конца 2016 года, а некоторые признаки указывают на активность ещё с 2014 года. Фактически, речь идёт о беспрецедентном по масштабу хищении интеллектуальной собственности и важной информации. Точный объём украденного подсчитать сложно. По мнению западных экспертов, за этой операцией стоял Китай.

2. Собственно, КНР приписывают и второй громкий инцидент. В 2015 году вскрылся факт проникновения вУправление кадровой службы США(Office of Personnel Management, OPM). И тут речь идёт уже не просто о базах данных. Хакеры получили доступ к людям, которые работают на государство. В общей сложности была украдена личная информация более 22 миллионов человек. И это не только федеральные служащие и подрядчики. 1,8 миллиона человек пострадали из-за того, что их личные данные хранились вместе с досье федеральных служащих, с которыми они имели счастье состоять в каких-либо отношениях. Например, семейных или дружеских.

Некоторые заполняли так называемую «форму 86» (Standard Form 86). Это правительственная анкета, которая используется для получения допуска к секретной информации. Она включает в себя колоссальный массив сведений: биографию, список мест проживания, трудовую историю, информацию о семье и многое другое. То есть в руки хакеров могло попасть буквально всё о человеке. Взлом был обнаружен в апреле 2015 года, но активность хакеров продолжалась с мая 2014 года.

3. Третий случай тоже связан с Китаем. Только теперь он оказался в роли пострадавшего. года в сети всплыла утечка с банковскими картами, ФИО, телефонами, адресами проживания, метаданными пользователей соцсетей и много чем еще. Правда, информация быстро исчезла из открытого доступа, как будто ничего и не было. Вроде бы ничего необычного — такие истории случаются регулярно. Обвинять в этом целую страну, а не группу хакеров, на первый взгляд кажется притянутым за уши. Но, как всегда, суть — в деталях. Точнее, в масштабе.

База содержала четыре миллиарда записей. Это уже не просто случайный слив, а систематический сбор информации. Причём на протяжении длительного времени. Исследователи считают, что такая база может использоваться для построения поведенческих, экономических и социальных профилей буквально каждого жителя КНР. База данных объёмом 631 гигабайт содержала 16 различных коллекций данных, включая финансовую информацию, данные WeChat и Alipay, идентификационные номера, адреса и многое другое. Вот почему многие уверены, что за этим стоит не рядовая кибергруппировка, а определенная страна.

Есть ли некий шаблон типовой кибератаки?

Если говорить о том, как именно реализуются государственные кибератаки с точки зрения проникновения в чужие системы, то картина в целом довольно стандартная.

  1. Первый шаг — сбор информации о потенциальной цели: какие операционные системы используются, как устроена внутренняя сеть, кто за что отвечает внутри организации. Здесь могут применяться открытые источники, взлом корпоративных или личных аккаунтов сотрудников в соцсетях, перехват служебной переписки.
  2. Второй этап — поиск уязвимостей. Атакующие ищут дыры в защите, как известные, так и нулевого дня.
  3. Третья стадия — проникновение. Оно может происходить через вредоносную ссылку, заражённый файл, фишинговое письмо или с помощью USB-накопителя, который заносят на территорию организации. Как только это получилось сделать, начинается закрепление в системе.
  4. Четвёртый этап — сама операция. Здесь реализуется основная цель: может быть запущен сбор информации или вмешательство в работу систем. Если речь идет не о долгосрочном наблюдении, а об одномоментной операции, то последним, пятым этапом становится уход и маскировка следов.

Что происходит, если всё же удаётся собрать достаточно доказательств и обвинить в атаке конкретную страну?

Вы удивитесь, но не существует ни одной международной конвенции, которая бы чётко регулировала применение цифровых наступательных средств. Есть отдельные инициативы, вроде Таллиннского руководства (Tallinn Manual) НАТО. При этом оно не является обязательным документом.

Таллиннское руководство — это академическое, не имеющее обязательной юридической силы исследование о том, как международное право, особенно право на применение силы и международное гуманитарное право, применяется к кибер-конфликтам и кибервойне. Между 2009 и 2012 годами Таллиннское руководство было написано по приглашению расположенного в Таллине Центра передового опыта НАТО по совместной киберзащите международной группой примерно из двадцати экспертов.

Кстати, Россия много раз пыталась создать систему международных обязательств по применению кибероружия, но против были США. В то время как не существует специального договора о кибервойне, обычное международное право международного гуманитарного права применяется ко всем государствам во время вооружённых конфликтов, независимо от того, ведутся ли конфликты физически в окопах или в киберпространстве. Фактически, каждая страна действует по собственным правилам. При этом ситуацию осложняет растущая милитаризация киберпространства. Всё больше государств создают специальные подразделения, включая их в армейские структуры.

Если вы читаете литературу по тематике кибербеза на английском языке, то точно почувствовали этот нюанс. Они даже не стесняются и могут написать в какой-нибудь главе книги, что после выхода из колледжа студент может выбрать, идти ему в классическую кибербезопасность или в военное ведомство для планирования наступательных операций. Киберкомандование США (USCYBERCOM), например, имеет широкий спектр миссий, от наступательных и оборонительных операций до мониторинга сетей Министерства обороны и помощи в защите критической инфраструктуры. 

Бюджеты на разработку цифрового вооружения исчисляются десятками миллиардов долларов каждый год. С учетом инвестиций в искусственный интеллект, который поглощает уже триллионы долларов ежегодно и напрямую рассматривается как элемент кибервооружений. 

Стоимость киберпреступности, по оценкам, достигнет 10,5 триллионов долларов ежегодно к 2025 году, что составляет приблизительно 9% мирового ВВП. Только в 2025 году OpenAI заключила соглашения на сумму около 1 триллиона долларов, все они связаны с инфраструктурой искусственного интеллекта. Citigroup прогнозирует, что расходы технологических корпораций на инфраструктуру, связанную с ИИ, превысят 2,8 триллиона долларов к 2029 году.

Киберпространство не представляет собой безопасную гавань. Многие эксперты предупреждают о практически неизбежной конфронтации в киберпространстве.

Смотреть все статьи Смотреть комментарии

Вам будет интересно

Положение 382-П ЦБ РФ

Обзор положения 382-П

аудит информационной безопасности

Аудит информационной безопасности

Требование к экспертам

Компьютерно-техническая экспертиза

Предоставлю подробную консультацию

Предложу актуальное и наиболее выгодное решение Вашей проблемы.