Элина СИДОРЕНКО: «Цифровая безопасность бизнеса сегодня - это уже не технический вопрос, а вопрос выживания»

Что такое кибербезопасность с правовой точки зрения

Когда меня спрашивают, как корректно определить кибербезопасность с точки зрения права, я всегда начинаю с одной принципиальной оговорки: право в этой сфере всё ещё догоняет реальность. У нас есть технические стандарты, отраслевые регламенты, рамочные законы, но единого, системного правового определения кибербезопасности, которое отвечало бы современному уровню угроз, в российском законодательстве пока нет. Есть отдельные отраслевые федеральные законы, есть ГОСТы, есть доктринальные документы в сфере информационной безопасности, но все это лишь фрагменты мозаики, которую ещё предстоит собрать.

Если говорить концептуально, кибербезопасность в правовом измерении есть система норм, механизмов и обязательств, обеспечивающих защиту цифровых активов, инфраструктуры и персональных данных от несанкционированного доступа, разрушения или использования. И ключевое слово здесь - «система». Не набор запретов, не технический регламент, а именно системная правовая архитектура с чёткими субъектами ответственности, механизмами принуждения и институциональной инфраструктурой. К этому мы только движемся.

Очень важен и вопрос о соотношении кибербезопасности бизнеса и защиты прав граждан. На мой взгляд, здесь нет жёсткой границы - есть точка напряжения. Бизнес собирает данные граждан, обрабатывает их, монетизирует. Когда происходит утечка, страдает не корпорация, страдает человек, чьи данные оказались в открытом доступе, чья кредитная история была скомпрометирована, чьи медицинские сведения стали известны работодателю. Поэтому кибербезопасность организаций и защита прав граждан – это противоположные полюсы, а смежные задачи, которые должны решаться в одной правовой логике.

Как изменился ландшафт угроз

За последние три-пять лет произошло то, что я бы назвала качественным переломом в природе киберугроз. Они не просто участились, они кардинально изменили свою структуру, масштаб и целеполагание.

Приведу несколько цифр, которые говорят сами за себя. По отдельным экспертным оценкам, отечественный бизнес теряет от кибератак свыше триллиона рублей в год. В 2025 году в России было зафиксировано 9,3 миллиона случаев кибератак в более чем 38,5 тысячи организаций. Роскомнадзор фиксирует сотни крупных утечек баз данных ежегодно, каждая из которых затрагивает десятки и сотни миллионов записей. При этом 64% успешных атак на организации в 2025 году завершались именно утечкой конфиденциальных данных.

Но важна не только статистика. Важны качественные изменения. И здесь есть основания для тревоги. Во-первых, атаки перестали быть хаотичными. Мы наблюдаем устойчивый переход к управляемым, таргетированным, долгосрочным кампаниям с разведкой, предварительным внедрением, терпеливым ожиданием нужного момента. Во-вторых, искусственный интеллект уже сейчас радикально снизил порог входа в преступную цифровую деятельность. Сегодня с помощью языковых моделей можно генерировать убедительные фишинговые письма, создавать полиморфное вредоносное ПО, которое меняет собственный код и обходит антивирусные системы. Это означает, что угрозы, доступные прежде только профессиональным хакерским группировкам с серьёзными ресурсами, сегодня стали общедоступными. В-третьих, геополитизация киберпреступности. Атаки всё чаще реализуются в логике гибридных конфликтов, когда цель состоит не в краже денег, а в дестабилизации инфраструктуры, подрыве доверия, политическом давлении. Это принципиально меняет правовую квалификацию и требует принципиально иных ответных механизмов.

Какие угрозы сегодня наиболее актуальны

Если говорить о наиболее острых угрозах, то я бы выделила несколько направлений.

Первое из них – это целенаправленные атаки на данные. Мы переживаем эпоху, когда данные важнее денег, потому что именно данные позволяют добраться до денег, до репутации, до государственных тайн. Атаки на кражу учётных данных, по оценкам Белого Интернета, за два последних года выросли с 20% до 35% от общего числа инцидентов.

Второе направление – это социальная инженерия с применением ИИ. Дипфейки, синтетические голосовые сообщения, сверхперсонализированный фишинг стали повседневным инструментарием злоумышленников. 70% инцидентов начинаются именно с того, что пользователь сам загружал вредоносную программу, будучи убежденным в ее легитимности. Человеческий фактор остаётся самым уязвимым звеном, и именно его атакуют в первую очередь.

Третье направление - инфраструктурные атаки. Энергосети, транспортные системы, медицинские учреждения, объекты водоснабжения стали цифровыми, и потому уязвимыми. ИИ-ассистированные атаки уже способны взаимодействовать с физической инфраструктурой, скомпрометировать системы управления промышленным оборудованием, медицинскими устройствами. Это переводит кибербезопасность в категорию национальной безопасности в самом прямом смысле этого слова.

Четвертое направление - атаки на цепочки поставок. Для того, что разрушить всю экосистему, сегодня достаточно взломать одного контрагента. Этот вектор стремительно набирает силу и при этом крайне сложно доказать на практике.

Почему защита данных стала стратегическим вопросом

Я убеждена, что вопрос защиты данных давно вышел за рамки внутреннего комплаенса компании. Это уже вопрос стратегического суверенитета организации.

С государственной точки зрения тот, кто контролирует данные о гражданах, их перемещениях, финансовом поведении, медицинском статусе, тот де-факто обладает значительным рычагом влияния. Потеря контроля над этими данными - это не просто нарушение приватности, а уязвимость, которая может быть использована в геополитических конфликтах, в информационных войнах, в дипломатическом давлении. Именно поэтому я в своих работах последовательно отстаиваю позицию: защита персональных данных граждан должна быть возведена в ранг конституционно значимого интереса, а не оставаться регуляторной процедурой.

С точки зрения бизнеса, утечка данных сегодня несёт последствия, которые несопоставимо серьёзнее, чем штраф от регулятора. Это репутационный ущерб, потеря клиентской базы, деловых партнёров, конкурентных преимуществ. Я убеждена, что бизнес должен рассматривать кибербезопасность не как статью расходов, а как инвестицию в собственную устойчивость. И, честно говоря, я рада, что эта риторика постепенно меняется.

Как меняется киберпреступность и что ждёт бизнес

Пришла пора всем осознать, что киберпреступность сегодня стала отдельной отраслью со своей специализацией, инфраструктурой, рынком труда, сервисной моделью. «Преступность как услуга» (crime-as-a-service) — уже не метафора, а реальный сегмент теневой экономики. Вы можете арендовать бот-сеть, заказать DDoS-атаку по подписке, купить готовый набор инструментов для взлома за 15 минут в Интернете.

И эта «криминальная доступность» меняет правовую парадигму. Когда преступление совершается распределённо (разные люди в разных юрисдикциях отвечают за разные этапы атаки) привычные инструменты уголовного права работают неэффективно. Нам нужны новые модели ответственности, новые подходы к международному сотрудничеству в сфере уголовного преследования, новые процессуальные инструменты для работы с цифровыми доказательствами.

Что ждёт бизнес и общество? Давление будет только нарастать. По данным Белого Интернета, 96% российских компаний уязвимы к атакам через уже опубликованные уязвимости просто потому, что системы вовремя не обновляются. И это не проблема технологий, это проблема цифровой культуры и управления. Средний и малый бизнес по-прежнему живёт иллюзией, что кибератакам подвергается только крупный бизнес. Но злоумышленники прекрасно понимают, что небольшие компании, как правило, гораздо менее защищены и при этом зачастую являются звеном в цепочке, ведущей к более крупной цели.

Общество, в свою очередь, должно осознать, что цифровая безопасность - это не только обязанность государства и бизнеса, а вопрос личной цифровой грамотности каждого. Пока мы кликаем на подозрительные ссылки, используем один пароль для десяти сервисов и не читаем соглашения об обработке данных, мы сами создаём уязвимости, которыми пользуются преступники.

Цифровая безопасность перестала быть технической надстройкой. Она становится частью базовой устойчивости бизнеса, государства, общества. И право здесь обязано соответствовать этой реальности: не отставать, не ограничиваться декларациями, а формировать реально работающую систему норм, механизмов защиты и ответственности.