В этой статье мы собрали главные киберугрозы, с которыми сталкивается бизнес, и показали, как компании из разных отраслей справляются с ними за счёт внедрения международных практик информационной безопасности. На реальных примерах разобрали, какие риски сегодня наиболее критичны и какие подходы действительно работают в защите данных, процессов и репутации.
Информационная безопасность давно вышла за рамки ИТ
Информационная безопасность в 2025 году окончательно перестала быть задачей исключительно ИТ-отдела. Это ключевой вопрос устойчивости бизнеса, влияющий на выручку, репутацию и даже возможность выхода на новые рынки. Почти каждый третий CEO сегодня называет кибершпионаж и утечки данных среди главных угроз для своей компании. Усиливают ситуацию облачные технологии, искусственный интеллект и нестабильная геополитика.
Дополнительную уязвимость создаёт взаимосвязанность поставщиков: более половины крупных организаций уже признают, что риски у подрядчиков напрямую влияют на их собственную безопасность. На этом фоне всё чаще звучит один и тот же вопрос: как бизнесу защититься в условиях постоянных атак и при этом соответствовать растущим требованиям клиентов, партнёров и регуляторов?
Решением для многих становится сертификация по международным стандартам кибербезопасности – ISO/IEC 27001, TISAX, SOC 2, PCI/DSS, ISO/IEC 27017 и ISO/IEC 27018. Но возникает логичный вопрос: насколько эти стандарты сегодня соответствуют реальным угрозам? Защищают ли они от новых рисков: атак через облако, злоупотреблений с применением ИИ, компрометации подрядчиков, ransomware-кампаний и хищений персональных данных?
Какие атаки становятся главной проблемой для компаний?
Киберугрозы стали сложнее, умнее и масштабнее. Ниже — обзор ключевых сценариев, которые затрагивают организации по всему миру и требуют системного подхода к защите.
Атаки через подрядчиков и цепочки поставок
Когда крупные компании усиливают собственную защиту, злоумышленники всё чаще атакуют более уязвимые звенья — подрядчиков, облачные сервисы и ИТ-провайдеров. Около 59% всех утечек происходят именно через третьих лиц.
Один из самых громких примеров — взлом ПО передачи файлов MOVEit в 2023 году. Уязвимость позволила хакерам получить доступ к данным более 1000 организаций и 60 миллионов человек, включая банки, госсектор и ИТ-компании.
Сегодня компании всё чаще требуют от подрядчиков соответствия таким стандартам, как ISO/IEC 27001 и SOC 2, чтобы снизить риски на уровне всей цепочки поставок.
Ransomware: вымогатели нового поколения
Атаки с целью вымогательства (ransomware) остаются одними из самых разрушительных. В 2024 году количество таких атак в промышленности выросло на 87%.
- В Бельгии пивоварню Duvel Moortgat парализовала атака группы Stormous, хакеры похитили 88 ГБ данных.
- В Великобритании атака на лабораторного подрядчика Synnovis нарушила работу больниц NHS и поставила под угрозу жизни пациентов.
- В США компании Keytronic и Halliburton временно остановили производственные процессы после атак.
Эти и другие кейсы собраны в обзоре крупнейших киберинцидентов 2024 года.
Облако и eSkimming – новая зона риска
Массовый переход бизнеса в облако открыл новые векторы атак: от фишинга и компрометации учётных записей до атак через уязвимости в конфигурации сервисов. Яркий пример — взлом облачного хранилища Snowflake у Neiman Marcus и многомесячный доступ хакеров к сети аптечной сети Rite Aid.
Отдельный класс угроз — eSkimming и Magecart-атаки, когда вредоносный JavaScript внедряется в платёжные страницы и перехватывает данные карт. Ущерб от таких атак в ритейле достигает $ 3,2 млрд ежегодно.
Для защиты в облаке всё чаще применяются стандарты ISO/IEC 27017 и ISO/IEC 27018, а платёжная индустрия адаптируется через требования PCI/DSS 4.0.
Социальная инженерия и генеративный ИИ
Методы социальной инженерии вышли на новый уровень. Хакеры используют deepfake-видео, фейковые звонки от лица руководства и реалистичные фишинговые письма, сгенерированные нейросетями.
47% компаний сегодня рассматривают инструменты AI в руках киберпреступников как одну из ключевых угроз. При этом большинство организаций не имеют чётких процедур оценки рисков ИИ перед внедрением.
Классический фишинг и атаки на бизнес-переписку (BEC) тоже не исчезли — напротив, усилились и стали нацелены на финансовые и управленческие должности.
Удары по критической инфраструктуре
В 2024 году киберпреступники не обошли вниманием ни одну отрасль — под прицелом оказались телеком, транспорт, медицина и промышленность.
- В США группа Salt Typhoon взломала крупнейших операторов связи, получив доступ к данным пользователей.
- В Лондоне атака на Transport for London вызвала сбои в работе и утечку данных клиентов.
- В энергетике пострадали Halliburton и другие игроки: атаки повлекли отключения систем и многомиллионные убытки.
От атак на подрядчиков и облако — до угроз от генеративного ИИ и остановки производств: современная киберугроза не знает границ. Чтобы ей противостоять, компаниям нужен не набор хаотичных решений, а выстроенная система управления ИБ. Именно такой системный подход закладывается через внедрение международных стандартов — от ISO/IEC 27001 до PCI/DSS.
Обзор ключевых стандартов для вашего бизнеса
ISO/IEC 27001:2022 – фундамент кибербезопасности
ISO/IEC 27001 — один из самых универсальных стандартов в мире. Он задаёт рамки построения Системы менеджмента информационной безопасности (ISMS), позволяя компаниям выстраивать процессы защиты данных в соответствии с реальными рисками.
Что важно в 2025 году:
- Последняя версия стандарта — ISO/IEC 27001:2022 — включает новые меры против современных угроз: облачные атаки, угрозы от подрядчиков, целевые атаки (APT).
- ISO/IEC 27001 помогает не просто «закрыть» безопасность, но и выстраивать цикл непрерывного улучшения (Plan-Do-Check-Act), что особенно важно в условиях быстро меняющегося ландшафта угроз.
Для кого актуально? Для любой компании, работающей с данными клиентов, особенно в B2B-сегменте, сфере IT, финтеха, логистики, облачных услуг.
TISAX – стандарт для автопрома
Разработанный в Германии, TISAX становится обязательным для всех поставщиков автомобильной отрасли в Европе. Он основан на ISO/IEC 27001, но включает специфические требования автопроизводителей: защита прототипов, производственных чертежей, тестов.
Что нового в 2025:
- Версия ISA 6.0 расширила требования по защите персональных данных и доступности ИТ-сервисов.
- Учитываются современные угрозы: саботаж производства, ransomware, атаки на удалённые заводы и цепочки поставок.
TISAX становится не просто инструментом кибербезопасности, а «пропуском» к контрактам с автогигантами. Сертификация экономит ресурсы на аудиты и повышает доверие со стороны OEM-партнёров.
SOC 2 – стандарт доверия для облачных сервисов
SOC 2 — это американский аудит, который стал де-факто стандартом для SaaS-компаний, дата-центров и облачных провайдеров. Он оценивает, насколько хорошо организация защищает данные и поддерживает надёжность сервисов.
Ключевое в 2025:
- SOC 2 охватывает не только безопасность, но и конфиденциальность, доступность, целостность обработки.
- Учитывает актуальные риски: третьи лица, фишинг, атаки на API, утечки в облаке.
- На рынке появились платформы, упрощающие постоянный мониторинг соответствия SOC 2 (например, Drata и Secureframe).
Без SOC 2 сегодня практически невозможно работать с корпоративными клиентами в США и Европе. Этот отчёт стал маркером зрелости и конкурентоспособности облачного бизнеса.
PCI/DSS 4.0 – щит от угроз для платежей
Если ваша компания обрабатывает платежные карты — соответствие PCI/DSS обязательно. Это узкоспециализированный, но крайне важный стандарт, разработанный платежной индустрией.
Новое в версии 4.0:
- Усилена защита веб-платежей от атак Magecart (eSkimming).
- Введены требования к постоянному контролю (continuous compliance), а не разовому аудиту.
- Поддерживаются гибкие подходы к внедрению контролей — важно для современных финтех-проектов.
PCI/DSS 4.0 особенно актуален для e-commerce, мобильных приложений, маркетплейсов и всех, кто хранит или передаёт данные карт. Несоблюдение стандартов чревато штрафами и потерей доверия.
ISO/IEC 27017 – безопасность в облаке
Облачные технологии стали критичной частью ИТ-инфраструктуры. Стандарт ISO/IEC 27017 помогает безопасно строить и использовать облачные сервисы, устраняя типовые ошибки конфигурации и недопонимание модели ответственности.
Почему важен в 2025:
- Помогает разделить обязанности между клиентом и облачным провайдером.
- Даёт практические рекомендации по контролю доступа, шифрованию, удалению данных.
- Актуален даже в старой редакции 2015 года, но в 2025 ожидается новая версия с учётом real-time-технологий (Kubernetes, serverless и пр.).
ISO/IEC 27018 – защита персональных данных в облаке
Когда речь идёт о PII (персонально идентифицируемой информации), ISO/IEC 27018 — один из немногих стандартов, который фокусируется именно на конфиденциальности в облачной среде.
Ключевые принципы:
- Обработка данных только с согласия клиента.
- Защита при передаче, хранении и удалении.
- Прозрачность — уведомления о доступе третьих лиц и возможности для клиента удалить или вернуть свои данные.
В 2025 году, на фоне роста требований по GDPR, ISO/IEC 27018 становится конкурентным преимуществом для облачных провайдеров и подтверждением их зрелого подхода к защите приватности.
Киберриски 2025 года многогранны: они затрагивают не только ИТ-системы, но и операционные процессы, цепочки поставок, репутацию компаний и доверие клиентов. Простых решений здесь больше не существует — защита требует системного подхода, интегрированного в стратегию бизнеса.
Именно такую основу дают международные стандарты информационной безопасности. ISO/IEC 27001, TISAX, SOC 2, PCI/DSS, ISO/IEC 27017 и ISO/IEC 27018 не просто помогают «отчитаться» перед партнёрами или регуляторами — они выстраивают внутреннюю культуру управления рисками, заставляют бизнес думать наперёд и внедрять практики, которые работают в условиях реальных угроз.
Если ваша организация ещё не внедрила международные стандарты — сейчас самое время начать. Потому что в кибербезопасности побеждают не те, кто реагирует на угрозу, а те, кто готов к ней заранее.