Блог

Киберриски 2025, и как стандарты помогают защищаться

В этой статье мы собрали главные киберугрозы, с которыми сталкивается бизнес, и показали, как компании из разных отраслей справляются с ними за счёт внедрения международных практик информационной безопасности. На реальных примерах разобрали, какие риски сегодня наиболее критичны и какие подходы действительно работают в защите данных, процессов и репутации.

Информационная безопасность давно вышла за рамки ИТ

Информационная безопасность в 2025 году окончательно перестала быть задачей исключительно ИТ-отдела. Это ключевой вопрос устойчивости бизнеса, влияющий на выручку, репутацию и даже возможность выхода на новые рынки. Почти каждый третий CEO сегодня называет кибершпионаж и утечки данных среди главных угроз для своей компании. Усиливают ситуацию облачные технологии, искусственный интеллект и нестабильная геополитика.
Дополнительную уязвимость создаёт взаимосвязанность поставщиков: более половины крупных организаций уже признают, что риски у подрядчиков напрямую влияют на их собственную безопасность. На этом фоне всё чаще звучит один и тот же вопрос: как бизнесу защититься в условиях постоянных атак и при этом соответствовать растущим требованиям клиентов, партнёров и регуляторов?
Решением для многих становится сертификация по международным стандартам кибербезопасности – ISO/IEC 27001, TISAX, SOC 2, PCI/DSS, ISO/IEC 27017 и ISO/IEC 27018. Но возникает логичный вопрос: насколько эти стандарты сегодня соответствуют реальным угрозам? Защищают ли они от новых рисков: атак через облако, злоупотреблений с применением ИИ, компрометации подрядчиков, ransomware-кампаний и хищений персональных данных?
Оставить заявку

Какие атаки становятся главной проблемой для компаний?

Киберугрозы стали сложнее, умнее и масштабнее. Ниже — обзор ключевых сценариев, которые затрагивают организации по всему миру и требуют системного подхода к защите.

Атаки через подрядчиков и цепочки поставок

Когда крупные компании усиливают собственную защиту, злоумышленники всё чаще атакуют более уязвимые звенья — подрядчиков, облачные сервисы и ИТ-провайдеров. Около 59% всех утечек происходят именно через третьих лиц.
Один из самых громких примеров — взлом ПО передачи файлов MOVEit в 2023 году. Уязвимость позволила хакерам получить доступ к данным более 1000 организаций и 60 миллионов человек, включая банки, госсектор и ИТ-компании.
Сегодня компании всё чаще требуют от подрядчиков соответствия таким стандартам, как ISO/IEC 27001 и SOC 2, чтобы снизить риски на уровне всей цепочки поставок.

Ransomware: вымогатели нового поколения

Атаки с целью вымогательства (ransomware) остаются одними из самых разрушительных. В 2024 году количество таких атак в промышленности выросло на 87%.
  • В Бельгии пивоварню Duvel Moortgat парализовала атака группы Stormous, хакеры похитили 88 ГБ данных.
  • В Великобритании атака на лабораторного подрядчика Synnovis нарушила работу больниц NHS и поставила под угрозу жизни пациентов.
  • В США компании Keytronic и Halliburton временно остановили производственные процессы после атак.
Эти и другие кейсы собраны в обзоре крупнейших киберинцидентов 2024 года.

Облако и eSkimming – новая зона риска

Массовый переход бизнеса в облако открыл новые векторы атак: от фишинга и компрометации учётных записей до атак через уязвимости в конфигурации сервисов. Яркий пример — взлом облачного хранилища Snowflake у Neiman Marcus и многомесячный доступ хакеров к сети аптечной сети Rite Aid.
Отдельный класс угроз — eSkimming и Magecart-атаки, когда вредоносный JavaScript внедряется в платёжные страницы и перехватывает данные карт. Ущерб от таких атак в ритейле достигает $ 3,2 млрд ежегодно.
Для защиты в облаке всё чаще применяются стандарты ISO/IEC 27017 и ISO/IEC 27018, а платёжная индустрия адаптируется через требования PCI/DSS 4.0.

Социальная инженерия и генеративный ИИ

Методы социальной инженерии вышли на новый уровень. Хакеры используют deepfake-видео, фейковые звонки от лица руководства и реалистичные фишинговые письма, сгенерированные нейросетями.
47% компаний сегодня рассматривают инструменты AI в руках киберпреступников как одну из ключевых угроз. При этом большинство организаций не имеют чётких процедур оценки рисков ИИ перед внедрением.
Классический фишинг и атаки на бизнес-переписку (BEC) тоже не исчезли — напротив, усилились и стали нацелены на финансовые и управленческие должности.

Удары по критической инфраструктуре

В 2024 году киберпреступники не обошли вниманием ни одну отрасль — под прицелом оказались телеком, транспорт, медицина и промышленность.
  • В США группа Salt Typhoon взломала крупнейших операторов связи, получив доступ к данным пользователей.
  • В Лондоне атака на Transport for London вызвала сбои в работе и утечку данных клиентов.
  • В энергетике пострадали Halliburton и другие игроки: атаки повлекли отключения систем и многомиллионные убытки.
От атак на подрядчиков и облако — до угроз от генеративного ИИ и остановки производств: современная киберугроза не знает границ. Чтобы ей противостоять, компаниям нужен не набор хаотичных решений, а выстроенная система управления ИБ. Именно такой системный подход закладывается через внедрение международных стандартов — от ISO/IEC 27001 до PCI/DSS.
Оставить заявку

Обзор ключевых стандартов для вашего бизнеса

ISO/IEC 27001:2022 – фундамент кибербезопасности

ISO/IEC 27001 — один из самых универсальных стандартов в мире. Он задаёт рамки построения Системы менеджмента информационной безопасности (ISMS), позволяя компаниям выстраивать процессы защиты данных в соответствии с реальными рисками.
Что важно в 2025 году:
  • Последняя версия стандарта — ISO/IEC 27001:2022 — включает новые меры против современных угроз: облачные атаки, угрозы от подрядчиков, целевые атаки (APT).
  • ISO/IEC 27001 помогает не просто «закрыть» безопасность, но и выстраивать цикл непрерывного улучшения (Plan-Do-Check-Act), что особенно важно в условиях быстро меняющегося ландшафта угроз.
Для кого актуально? Для любой компании, работающей с данными клиентов, особенно в B2B-сегменте, сфере IT, финтеха, логистики, облачных услуг.

TISAX – стандарт для автопрома

Разработанный в Германии, TISAX становится обязательным для всех поставщиков автомобильной отрасли в Европе. Он основан на ISO/IEC 27001, но включает специфические требования автопроизводителей: защита прототипов, производственных чертежей, тестов.
Что нового в 2025:
  • Версия ISA 6.0 расширила требования по защите персональных данных и доступности ИТ-сервисов.
  • Учитываются современные угрозы: саботаж производства, ransomware, атаки на удалённые заводы и цепочки поставок.
TISAX становится не просто инструментом кибербезопасности, а «пропуском» к контрактам с автогигантами. Сертификация экономит ресурсы на аудиты и повышает доверие со стороны OEM-партнёров.

SOC 2 – стандарт доверия для облачных сервисов

SOC 2 — это американский аудит, который стал де-факто стандартом для SaaS-компаний, дата-центров и облачных провайдеров. Он оценивает, насколько хорошо организация защищает данные и поддерживает надёжность сервисов.
Ключевое в 2025:
  • SOC 2 охватывает не только безопасность, но и конфиденциальность, доступность, целостность обработки.
  • Учитывает актуальные риски: третьи лица, фишинг, атаки на API, утечки в облаке.
  • На рынке появились платформы, упрощающие постоянный мониторинг соответствия SOC 2 (например, Drata и Secureframe).
Без SOC 2 сегодня практически невозможно работать с корпоративными клиентами в США и Европе. Этот отчёт стал маркером зрелости и конкурентоспособности облачного бизнеса.

PCI/DSS 4.0 – щит от угроз для платежей

Если ваша компания обрабатывает платежные карты — соответствие PCI/DSS обязательно. Это узкоспециализированный, но крайне важный стандарт, разработанный платежной индустрией.
Новое в версии 4.0:
  • Усилена защита веб-платежей от атак Magecart (eSkimming).
  • Введены требования к постоянному контролю (continuous compliance), а не разовому аудиту.
  • Поддерживаются гибкие подходы к внедрению контролей — важно для современных финтех-проектов.
PCI/DSS 4.0 особенно актуален для e-commerce, мобильных приложений, маркетплейсов и всех, кто хранит или передаёт данные карт. Несоблюдение стандартов чревато штрафами и потерей доверия.

ISO/IEC 27017 – безопасность в облаке

Облачные технологии стали критичной частью ИТ-инфраструктуры. Стандарт ISO/IEC 27017 помогает безопасно строить и использовать облачные сервисы, устраняя типовые ошибки конфигурации и недопонимание модели ответственности.
Почему важен в 2025:
  • Помогает разделить обязанности между клиентом и облачным провайдером.
  • Даёт практические рекомендации по контролю доступа, шифрованию, удалению данных.
  • Актуален даже в старой редакции 2015 года, но в 2025 ожидается новая версия с учётом real-time-технологий (Kubernetes, serverless и пр.).

ISO/IEC 27018 – защита персональных данных в облаке

Когда речь идёт о PII (персонально идентифицируемой информации), ISO/IEC 27018 — один из немногих стандартов, который фокусируется именно на конфиденциальности в облачной среде.
Ключевые принципы:
  • Обработка данных только с согласия клиента.
  • Защита при передаче, хранении и удалении.
  • Прозрачность — уведомления о доступе третьих лиц и возможности для клиента удалить или вернуть свои данные.
В 2025 году, на фоне роста требований по GDPR, ISO/IEC 27018 становится конкурентным преимуществом для облачных провайдеров и подтверждением их зрелого подхода к защите приватности.
Стандарт
Основной фокус
Ключевые особенности в 2025
Для кого актуально
ISO/IEC 27001:2022
Системное управление ИБ (ISMS)
Учет APT, облака, подрядчиков, киберразведка, управление рисками в цепочке поставок
Любые компании с данными клиентов, особенно IT, финтех, логистика
TISAX
Безопасность данных в автопроме
Новая версия ISA 6.0: акцент на доступность и защиту ПДн, соответствие GDPR
Поставщики и подрядчики автопрома, OEM-партнёры
SOC 2
Безопасность облачных и ИТ-сервисов
Фокус на третьих лицах, фишинге, API; автоматизация мониторинга через Drata, Vanta
Облачные провайдеры, SaaS-компании, дата-центры
PCI/DSS 4.0
Защита данных платежных карт
Новые меры против Magecart, постоянный контроль, гибкий подход к внедрению
E-commerce, финтех, мобильные приложения, маркетплейсы
ISO/IEC 27017
Информационная безопасность в облаке
Помощь в распределении ответственности и устранении конфигурационных ошибок
Организации, использующие IaaS, PaaS, SaaS
ISO/IEC 27018
Конфиденциальность персональных данных в облаке
Усиление доверия клиентов; поддержка требований GDPR; управление согласиями и доступами
Провайдеры, обрабатывающие персональные данные в облаке
Киберриски 2025 года многогранны: они затрагивают не только ИТ-системы, но и операционные процессы, цепочки поставок, репутацию компаний и доверие клиентов. Простых решений здесь больше не существует — защита требует системного подхода, интегрированного в стратегию бизнеса.
Именно такую основу дают международные стандарты информационной безопасности. ISO/IEC 27001, TISAX, SOC 2, PCI/DSS, ISO/IEC 27017 и ISO/IEC 27018 не просто помогают «отчитаться» перед партнёрами или регуляторами — они выстраивают внутреннюю культуру управления рисками, заставляют бизнес думать наперёд и внедрять практики, которые работают в условиях реальных угроз.
Если ваша организация ещё не внедрила международные стандарты — сейчас самое время начать. Потому что в кибербезопасности побеждают не те, кто реагирует на угрозу, а те, кто готов к ней заранее.
Оставить заявку
2025-07-02 10:25 IT Кейсы