58% директоров по ИБ готовы платить хакерам-вымогателям выкуп, потому что простой страшнее самой потери денег

Более половины руководителей служб ИБ готовы рассмотреть выплату выкупа после атаки программы-вымогателя при возможности быстрого возврата систем к работе. По данным отчёта Absolute Security от 13 мая, такую позицию заняли 58% опрошенных CISO. Главная причина кроется в страхе перед длительным простоем, парализующим бизнес сильнее самой суммы выкупа.

Исследование показывает неприятный разрыв между уверенностью компаний в своих силах и реальной скоростью восстановления. 83% руководителей служб ИБ заявили о способности их организаций быстро восстановиться после ransomware-атаки. Среди переживших инцидент 57% сообщили о восстановлении в течение 1 недели, ещё 20% — до 2 недель. Ни один CISO не заявил о полном возврате к работе за 24 часа.

Интересно, что 83% CISO уверены в быстром восстановлении, но реальные данные показывают недели простоя у тех, кто действительно прошёл через атаку.

Отчёт Absolute Security получил название «The Ransomware Reality Zero Days to Recover». В нём участвовали 750 руководителей служб ИБ из организаций США и Великобритании. География выборки показала заметные различия в отношении к выкупу:

• 63% американских CISO готовы рассматривать выплату;
• 47% британских CISO допускают подобный вариант;
• 58% составляют общий показатель готовности;
• разрыв между странами достигает 16 процентных пунктов;
• британцы менее уверены в гарантиях преступников.

Absolute Security связывает осторожность британских руководителей с более жёсткими правовыми ограничениями, сложностью применения GDPR при кражах данных и меньшей уверенностью в восстановлении после выплаты. Часть компаний уже не верит в простую формулу «заплатили — восстановились».

Для США картина выглядит прагматичнее. Руководители чаще рассматривают выкуп как один из вариантов кризисного управления при остановке бизнеса и недостаточной скорости резервных процедур. Подобная позиция показывает выбор между плохим и очень плохим вариантом.

По словам опрошенных руководителей, самым серьёзным последствием ransomware-атаки становится простой. Не потеря данных, не репутационный удар и даже не штрафы регуляторов, а остановка работы. Под угрозой одновременно оказываются разные процессы:

• кассовые операции и приём платежей;
• производство и логистика;
• клиентские сервисы и поддержка;
• корпоративная почта и ERP;
• медицинские системы и внутренние порталы.

Простой ломает расчёты руководства. Компания может выдержать публичный скандал или расследование, но не всегда способна пережить 7–14 дней полной или частичной остановки процессов.

Президент и генеральный директор Absolute Security Кристи Уайатт отметила понятность готовности руководителей платить выкуп даже с учётом давления регуляторов. По словам Кристи Уайатт, длительный простой приводит к невосполнимым потерям, поэтому службы ИБ и управления рисками продолжают рассматривать выплату как возможный способ восстановления.

Выплата выкупа остаётся рискованным решением. Она не гарантирует восстановление данных. Дешифратор может не сработать, преступники могут передать неполный инструмент, а украденные данные всё равно появятся в продаже. Кроме того, оплата поддерживает экономику вымогателей.

Есть и юридическая сторона. В некоторых случаях выплата нарушает санкционные ограничения или попадает в зону внимания регуляторов. Решение о выплате требует участия не только CISO, но и юристов, финансового директора, гендиректора, совета директоров и внешних консультантов.

Разрыв между ощущением готовности и фактическим временем восстановления тревожен. Восстановление за неделю или 2 недели в условиях современного бизнеса остаётся огромным сроком. Подобный разрыв появляется из-за нескольких ошибок планирования:

• проверка наличия резервных копий без теста скорости восстановления;
• отсутствие отработки сценариев на учениях;
• устаревшая документация по инфраструктуре;
• неописанные критичные зависимости между системами;
• отсутствие согласованного порядка запуска сервисов.

Интересно, что наличие бэкапов и реальное возвращение бизнеса в строй — это две совершенно разные истории, и компании часто путают первое со вторым.

Ransomware давно перестал быть простой схемой шифрования файлов. Современные группы сначала изучают сеть, ищут резервные копии, отключают средства защиты, крадут данные и повышают привилегии. Восстановление после атаки требует не только расшифровки, но и понимания путей входа, закрепления, украденных данных и скомпрометированных учётных записей.

ИИ усилит давление сильнее. Кристи Уайатт предупредила о способности руководителей с быстрым восстановлением непрерывности избежать замкнутого круга при росте числа атак с применением ИИ. Злоумышленники смогут быстрее искать слабые места, автоматизировать разведку и точнее выбирать момент удара.

Для компаний ответ кроется не в готовности платить, а в готовности восстанавливаться. Особое внимание нужно уделять защите резервных копий и приоритизации систем при восстановлении:

• изоляция бэкапов от основной инфраструктуры;
• защита резервных копий от удаления злоумышленниками;
• регулярные тесты восстановления сервисов;
• определение приоритетных систем для запуска;
• подготовка планов коммуникаций с клиентами и регуляторами.

Руководству компаний стоит воспринимать ransomware не как проблему ИБ-отдела, а как риск непрерывности бизнеса. CISO отвечает за защиту, но не решает в одиночку вопросы критичности процессов и допустимого простоя.

Ранее Sophos сообщала о столкновении более 70% организаций с утечкой идентификационных данных за 12 месяцев. 2 трети пострадавших от ransomware компаний связывали инцидент с крупнейшей атакой на учётные данные. Подобная статистика объясняет силу вымогателей через украденные доступы сотрудников и сервисных аккаунтов.

Ранее Trend Micro сообщила о появлении новой версии вымогателя LockBit 5.0 в сентябре 2025 года к 6-й годовщине активности группировки. В распоряжении злоумышленников оказались сборки для Windows, Linux и ESXi. Поддержка ESXi делает LockBit 5.0 особенно опасным из-за возможности удара по гипервизору с одновременной остановкой множества виртуальных машин.

Эксперты редакции CISOCLUB отмечают, что данные Absolute Security превращают готовность платить выкуп в симптом слабой уверенности в восстановлении. По мнению редакции, при неспособности компании вернуть критичные системы за часы вместо недель ransomware-группы сохраняют сильный рычаг давления. Настоящая защита от вымогателей начинается не с обещания «мы не платим», а с проверенной способности продолжать работу, восстанавливать сервисы, контролировать доступы и понимать масштаб инцидента без зависимости от преступников. В эпоху ИИ-ускоренных атак подобная зрелость становится не теоретической задачей, а условием выживания бизнеса.