UDV Group: новая логика вымогательства — как штрафы за утечки усиливают давление на бизнес

Ужесточение ответственности за утечки данных в России заметно меняет не только поведение бизнеса, но и тактику самих злоумышленников. Новые штрафы, достигающие десятков миллионов рублей, а в случае повторных инцидентов — доли от выручки, усиливают давление на компании и делают последствия кибератак более чувствительными с точки зрения экономики. В результате сам факт утечки становится не только репутационной, но и финансовой.

На этом фоне вымогатели всё активнее встраивают регуляторные риски в свои сценарии атак. Вместо классической схемы с блокировкой данных они всё чаще используют комбинированное давление: угрожают публикацией информации, о возможном уведомлении регуляторов и партнёров, а также штрафами. Таким образом, компания оказывается в ситуации «двойного риска» — с одной стороны, последствия инцидента, с другой — санкции за него.

При этом реальная картина таких инцидентов остаётся во многом скрытой: значительная часть случаев не выходит в публичное поле, а решения принимаются внутри компаний под давлением времени и рисков. Это усложняет объективную оценку масштабов проблемы, но одновременно делает её более чувствительной для бизнеса и менее предсказуемой с точки зрения развития.

Компании публично крайне редко признают факты вымогательства, поэтому достоверно оценить динамику таких инцидентов сложно. В этих условиях важно понимать, что нельзя однозначно утверждать, что именно штрафы за утечки стали ключевым драйвером для злоумышленников — скорее, это один из дополнительных рычагов давления наряду с угрозами раскрытия факта взлома, остановки инфраструктуры, публикации внутренней переписки и другими последствиями.

Почему выкуп не решает проблему и что происходит на практике

В вопросе поведения компаний важно учитывать, что те, кто соглашается на условия злоумышленников, практически никогда не выносят это в публичное поле, из-за чего полноценную картину рынка сформировать трудно. Однако из непубличных кейсов, известных в профессиональной среде, следует важный вывод: выплата выкупа, как правило, не решает проблему, а, напротив, сигнализирует злоумышленникам о готовности компании поддаваться давлению. В результате такие организации нередко становятся повторной целью — уже с новыми требованиями и более высокими суммами.

На этом фоне особенно важно рассматривать не только сам факт вымогательства, но и возможные сценарии действий компании в подобной ситуации. Если говорить о сценариях помимо оплаты, то здесь можно опираться на практический опыт столкновения с подобными кейсами. Универсального рецепта нет, потому что каждый инцидент развивается по-своему, но есть несколько подходов, которые помогают снизить ущерб и вернуть контроль над ситуацией.

Как действовать при атаке: от коммуникации до восстановления

Один из самых сильных шагов — не пытаться любой ценой скрыть произошедшее, а взять публичную коммуникацию в свои руки. Когда кейс становится публичным, у хакеров пропадает их главный аргумент давления. Риск уже реализовался, и компания перестает быть стороной, которую можно держать в постоянном страхе. Да, негативный фон в такой ситуации неизбежен, но он все равно лучше, чем зависимость от требований злоумышленников. Более того, даже после оплаты риск никуда не исчезает: компанию могут начать шантажировать уже самим фактом того, что она заплатила за молчание. Поэтому, если выйти в публичное поле сразу невозможно и нужно время на оценку ущерба, разумно хотя бы заранее подготовить пресс-релиз, который при необходимости можно быстро выпустить.

Параллельно важно максимально изолировать инфраструктуру и как можно точнее понять, к чему именно получили доступ злоумышленники. На практике они часто преувеличивают масштаб своего проникновения, потому что их главная задача — запугать и заставить компанию заплатить. Так бывает и в реальных кейсах: получив доступ, например, только к нескольким почтовым ящикам, атакующие могут создавать впечатление, что контролируют почти всю инфраструктуру. Именно поэтому критически важно провести тщательное расследование и, даже если в компании есть собственная команда ИБ, подключить внешних специалистов с опытом реагирования на такие инциденты. Сторонний взгляд нередко помогает заметить то, что внутри команды могли упустить.

Если есть риск утечки персональных данных, дальше уже нужно действовать строго в правовом поле и превентивно уведомлять Роскомнадзор. Одновременно стоит как можно раньше сообщить о рисках тем, кто потенциально мог пострадать — контрагентам, сотрудникам и другим затронутым сторонам. Это нужно не только с точки зрения прозрачности, но и для того, чтобы вместе оценить возможные последствия и заранее принять меры, которые помогут эти последствия снять или хотя бы снизить.

После этого компания должна провести все необходимые действия по усилению защиты, даже если в моменте это болезненно для бизнеса. Речь может идти о смене паролей, отзыве и пересборке доступов, замене сертификатов, блокировке или отключении отдельных ресурсов, устойчивость которых вызывает сомнения. В таких обстоятельствах временный управляемый простой или частичное ограничение работы — куда более безопасный сценарий, чем попытка сохранить привычный режим любой ценой и в итоге получить полную публичность данных или длительный вывод инфраструктуры из строя.

И, пожалуй, главный вывод в том, что такая ситуация теоретически может случиться с любой компанией, даже если она серьезно относится к защите. Всегда остается человеческий фактор, уязвимости нулевого дня и новые инструменты взлома, в том числе с использованием ИИ. Поэтому лучше заранее продумать не только меры защиты, но и сценарий действий на случай, если шантаж все же произойдет.