Атаки с использованием социальной инженерии в российских компаниях: уязвимости, схемы и защита

Бухгалтер получает письмо от «директора» с просьбой срочно перевести 2,3 миллиона рублей. Звонить нельзя — тот «на встрече». Через два часа деньги уводят на подставной счёт. Подобные схемы действуют в российских компаниях, их не останавливает антивирус. Неужели с этим ничего нельзя поделать? Можно!

Иногда самая надёжная система ломается не из-за уязвимости в коде, а потому что кто-то просто поднял трубку. Социальная инженерия не требует взлома серверов — достаточно убедить человека выдать нужную информацию. В российских реалиях этот подход особенно опасен: уровень доверчивости, загруженность персонала, неготовность к новым трюкам делают компании уязвимыми с неожиданной стороны.

Социальная инженерия стала одним из главных рисков для бизнеса в России: атаки становятся точнее, а жертвы — всё чаще не ИТ-новички, а опытные специалисты.

Определение в контексте киберугроз

Социальная инженерия — это способ получить доступ к информации или системам компании с помощью манипуляций. Злоумышленник притворяется сотрудником службы поддержки, представителем госоргана или даже коллегой — собирает данные, которые потом превращаются в инструмент атаки.

Техники социальной инженерии используют слабые места в повседневной работе: спешку, невнимательность, страх нарушить регламент или желание помочь.

Почему техническая защита не спасает от обмана

Даже если в компании мощный антивирус, настроены политики доступа, стоят дорогие межсетевые экраны, этого недостаточно. Социальный инженер обходит защиту, просто разговаривая с людьми. Он не ломает систему — он обманывает того, у кого есть ключи.

Сотрудник может сам передать логин, открыть фишинговую ссылку или переслать внутренние документы. Всё выглядит так, будто это его обычная рабочая задача. В итоге даже идеальная техподдержка не помогает, если пользователь решил, что разговаривает с безопасником или директором.

Основные цели атак на российские компании

Злоумышленники преследуют конкретные цели:

• Доступ к учетным записям: для кражи данных, денег или внедрения в ИТ-инфраструктуру.
• Выманивание информации: коммерческой тайны, договоров, внутренних процедур.
• Саботаж: через компрометацию руководства или служб ИБ.
• Захват контроля: например, над системами управления предприятием или внутренними чатами.

В России такие атаки особенно чувствительны: многие компании работают с персональными данными, тендерами, закрытой отчётностью. Плюс — высокий уровень доверия к официальным лицам, особенно в регионах. Это делает схему «позвонил — получил» опасно рабочей.

Примеры громких кейсов в РФ (госорганы, банки, ритейл)

Социальная инженерия давно перестала быть историей про наивных пользователей. Вот несколько кейсов, случившихся в российских компаниях за последние годы:

— Более 80 тысяч работников российских банков стали жертвами массовой рассылки сообщений с вирусным файлом в 2019 году. В письме предлагалось заполнить а нкету и отправить её обратно отправителю, обещая взамен бесплатные билеты на мероприятие и размещение названия банка на сайте форума. Однако внутри архива находился замаскированный троян под названием Silence.Downloader aka TrueBot.

— В 2025 году специалисты подразделения Solar 4RAYS холдинга «Солар» зафиксировали крупную кампанию фишинга, использовавшую опасный троян DarkWatchman  RAT. По данным экспертов, десятки предприятий из различных субъектов страны получили поддельные сообщения, внешне похожие на оповещения Московского межрайонного отдела судебных приставов по исполнительному производству. После заражения устройства, зловред открывал канал для незаметного входа хакеров в инфраструктуру и похищения важных сведений.

Общее в этих историях — человеческий фактор. Всё началось не с кода, а с раскрытия письма.

Типовые сценарии атак в российских реалиях

Социальные инженеры адаптируются к привычкам сотрудников и корпоративной культуре. Они внимательно следят за тем, как устроена работа внутри российских компаний и подстраивают свои сценарии под реалии. Ниже разберём самые частые схемы.

Письма от «службы безопасности банка»

На почту бухгалтерии или руководителя приходит письмо с тревожным сообщением: подозрительная активность по счёту, срочная проверка, блокировка операций. Приложен файл — якобы инструкция или отчёт. Логотип банка настоящий, подпись выглядит официально, текст убедительный. Иногда добавляют номер «горячей линии» — фальшивый, конечно.

Как только пользователь открывает вложение или звонит по номеру, начинается этап выманивания данных. Часто цель — установить троян на устройство или заставить пользователя ввести реквизиты входа в онлайн-банк.

Фейковые запросы на оплату от «гендиректора»

Сценарий часто начинается с изучения соцсетей и внутренней структуры компании. Затем бухгалтер получает срочную просьбу — перевести деньги контрагенту. Почта выглядит как настоящая: адрес может отличаться на один символ или быть подменён через скомпрометированный ящик.

Смысл атаки в том, чтобы создать давление и спешку: «Не звони, я на переговорах», «Счёт нужно оплатить до 17:00». Успешность таких атак в России особенно высока — из-за иерархичности и привычки исполнять указания сверху без лишних вопросов.

Обман через Telegram, WhatsApp и корпоративные чаты

Сотруднику пишет коллега, руководитель или клиент — с просьбой срочно передать данные, перевести деньги, отправить файл. Аватарка знакомая, стиль общения совпадает. Но это клон аккаунта или злоумышленник, получивший доступ к телефону.

Особенно часто атаки проходят в неформальных рабочих чатах. Пользователи расслаблены, переписка быстрая, никто не перепроверяет источник. Один неверный клик и конфиденциальная информация уходит за пределы компании.

Социальная инженерия через 1С, CRM, HelpDesk

Мошенники стали использовать типовые программы российских компаний как точку входа. Сценарий может выглядеть так: сотруднику приходит заявка в HelpDesk от «нового работника», просьба выдать доступ к 1С или внести изменения в учётную запись в CRM. Всё выглядит как стандартная операция.

Если сотрудник техподдержки не перепроверит запрос, злоумышленник получает доступ к внутренним системам. А дальше — к данным клиентов, расчётам, отчётности и другим критичным процессам.

Во всех этих сценариях цель одна — заставить сотрудника принять неправильное решение. Давление, подмена доверия, правдоподобие — вот главные инструменты, а не вредоносные файлы. Защищаться от таких атак нужно не столько с помощью антивирусов, сколько с помощью внимания и правил внутри компании.

Кто в компании наиболее уязвим

Злоумышленники редко атакуют наугад. Обычно они хорошо понимают, кто внутри организации может быть наиболее полезным, при этом не готовым к обману. Именно эти сотрудники становятся первой мишенью при социальной атаке.

Бухгалтерия и финансовый директор

Здесь проходят платёжки, доступ к онлайн-банку, доверенности, документы с подписью. Даже если запрос вызывает сомнения, бухгалтер часто чувствует давление: счёт горит, контрагент ждёт, начальство недоступно.

Финансовый директор, как правило, менее вовлечён в детали ИБ-процессов, но принимает решения быстро — особенно если злоумышленник имитирует срочную задачу от вышестоящего уровня. Этим и пользуются.

Ассистенты и офис-менеджеры

У них нет доступа к деньгам, но есть доступ к расписанию, служебной переписке, внутренним документам. Через них злоумышленник может узнать, кто в отпуске, кто участвует в тендере, кто за что отвечает. А значит — подготовить более убедительную атаку на другого сотрудника.

Ассистенты часто получают письма, звонки, запросы «от имени руководства» — и не всегда имеют полномочия или ресурсы, чтобы перепроверить источник.

Отдел кадров и рекрутеры

Кадровики обрабатывают большое количество внешней информации: резюме, письма, анкеты. Это удобный канал для доставки вредоносных вложений, фишинговых ссылок или сбора внутренней информации. Кроме того, именно они могут выдать доступ новому (на самом деле — фальшивому) сотруднику или рассказать, кто за что отвечает в структуре компании.

Проблема в том, что кадровиков редко обучают работать с информационной безопасностью, особенно если ИТ-служба считает их «неприоритетными».

Новые и удалённые сотрудники

Новички ещё не знают внутренних правил, а удалённые часто оторваны от общей коммуникации. Злоумышленнику легко представить себя техподдержкой или руководителем: человек ещё не знает, как выглядят настоящие письма, куда писать в случае сомнений, кто за что отвечает.

Удалёнка усиливает риск: сообщения приходят по разным каналам, голосовые вызовы заменяют личные встречи, сотрудник просто не чувствует общего фона компании.

Технические специалисты без подготовки по ИБ

Админы, DevOps и системные инженеры часто работают с ключевыми доступами. Но если с ними не проводили обучение по социальным атакам, они становятся крайне уязвимыми. Особенно в ситуациях, когда кто-то просит «восстановить пароль», «дать временный доступ» или «устранить срочную проблему».

В технической среде сохраняется миф: раз человек в ИТ — значит, не попадётся. Но это не так. Без настороженности и внутреннего фильтра любые знания об инфраструктуре не спасают.

Руководство, не вовлечённое в ИБ-культуру

Генеральные директора, владельцы бизнеса, топ-менеджеры — фигуры, которых атакуют точечно и аккуратно. Доверие к ним внутри компании безгранично. Письмо «от них» никто не перепроверит. А если атакуют самого руководителя — вероятность успеха выше, чем кажется.

Проблема в том, что многие топы считают информационную безопасность задачей ИТ-отдела. Поэтому спокойно общаются с неизвестными, не проверяют ссылки, не используют менеджеры паролей, могут переслать важный файл через личный мессенджер.

Все эти категории сотрудников важны для бизнеса. Но именно их используют как «точку входа», если они не знают, как выглядит атака. И чем выше доверие к ним в компании — тем серьёзнее могут быть последствия.

Приёмы и психологические триггеры

Социальная инженерия работает не за счёт сложных технологий, а за счёт давления на человека. У злоумышленников есть набор проверенных приёмов, которые почти всегда приводят к ошибке, если человек не успел насторожиться. Рассмотрим основные тактики, которые особенно часто встречаются в российских компаниях.

Срочность: «Нужно перевести до 15:00»

Самый популярный приём — ограничение по времени. Злоумышленник создаёт ситуацию спешки: нужно срочно оплатить счёт, продлить доступ, отчитаться перед проверкой. Чем меньше времени на раздумья, тем выше шанс, что сотрудник сделает, как просят, не перепроверяя.

Фразы вроде «до конца дня», «через 15 минут заблокируют» или «контрагент на проводе» вызывают стресс — и человек действует автоматически, стараясь просто избавиться от проблемы.

Подмена авторитета: «Я от лица директора»

Если сообщение или звонок якобы исходит от человека с высоким статусом — проверять его никто не будет. Злоумышленники используют имена генеральных, топ-менеджеров, представителей контролирующих органов. Иногда бухгалтеров и юристов.

Сотрудник не задаёт лишних вопросов: если «директор сказал», значит, надо делать. Особенно если письмо выглядит знакомо, а стиль общения совпадает. Это доверие — главное оружие социальной атаки.

Игра на страхе: «Ваш аккаунт заблокирован»

В этом сценарии задача — вызвать тревогу. «Система безопасности зафиксировала вход», «учётная запись заблокирована», «данные могут быть в утечки» — эти фразы действуют на инстинктивном уровне.

Пользователь спешит восстановить доступ, нажимает на ссылку, вводит логин и пароль. Так работает классический фишинг, и он по-прежнему даёт результат, особенно если письмо оформлено правдоподобно.

Поддельные PDF, счета, реквизиты

Файлы, оформленные как документы от поставщиков, бухгалтерий, банков или госорганов, приходят ежедневно — и этим пользуются. Подделать счёт или договор можно за пару минут. Если визуально он совпадает с привычным шаблоном, сотрудник не задумывается, откуда он пришёл.

Форматы — PDF, Word, Excel. Иногда в них спрятаны вредоносные макросы, иногда — фальшивые реквизиты. Одна ошибка и деньги уходят не туда.

Использование терминов: «фискальный накопитель», «контур», «сбой 1С»

Злоумышленник старается говорить на языке жертвы. Если это бухгалтер — упоминаются кассы, ККТ, платёжные системы. Если айтишник — «порт 443», «SSL-сертификат», «сбой на стороне дата-центра». Рекрутеру пишут про кадровую систему, юристу про налоговую сверку.

Цель — внушить уверенность: «Эти термины знают только свои». Как только доверие установлено, начинается манипуляция.

Главная опасность в том, что эти приёмы срабатывают на людях всех уровней. Даже опытный сотрудник, попав в стрессовую ситуацию, может не заметить подмену. А значит, защита начинается не с софта, а с умения остановиться и подумать, прежде чем действовать.

Когда социальная инженерия даёт результат, виноват не один человек. Чаще всего проблема в системных слабостях, которые копились годами: отсутствуют базовые правила, никто не учит сотрудников защищаться, а часть коммуникаций давно ушла в «тень». Вот ключевые внутренние уязвимости, которые открывают дверь для атак.

Отсутствие ИБ-обучения и инструкций

В большинстве компаний о безопасности говорят в лучшем случае на вводном инструктаже. А дальше каждый действует на свой страх и риск. Нет регулярных разборов инцидентов, никто не объясняет, как выглядит фишинг, с кем согласовывать сомнительные письма и кому сообщить, если что-то пошло не так.

Без практических инструкций сотрудники не распознают угрозу даже тогда, когда она лежит в явном виде — в теле письма, во вложении, в звонке.

Доступ к корпоративной почте без защиты

Во многих компаниях почта — это просто логин и пароль. Ни ограничений по IP, ни защиты от переадресации, ни контроля за странной активностью. Если атакующий получает доступ к почтовому ящику, он получает всё: цепочку переписок, счета, документы, имена нужных людей.

Через почту можно отправлять фальшивые письма от имени сотрудника, внедряться в текущие цепочки и выманивать критичную информацию, не вызывая подозрений. Как защитить почту, рассказали в статье.

Отсутствие политики двухэтапной верификации

Когда для доступа к сервису достаточно одного пароля — безопасность держится на честном слове. Двухфакторная аутентификация (2FA) снижает риски, но в российских компаниях её до сих пор часто отключают «ради удобства» или просто не внедряют.

Это особенно опасно в бухгалтерии, в CRM-системах, на почте руководства и в административных панелях. Один украденный пароль — и злоумышленник уже внутри.

Многофакторная аутентификация защитит доступ к критичным системам, рассказали об этом в статье.

Использование личных мессенджеров для рабочих задач

Обсуждения клиентов, отправка документов, согласование сделок — всё это уходит в личные Telegram-чаты, WhatsApp-группы и даже Instagram. Эти каналы никто не контролирует. Если телефон сотрудника теряется или его аккаунт перехватывают, восстановить цепочку и понять, что утекло, уже невозможно.

При этом сотрудники пользуются личными устройствами без паролей, антивируса и шифрования. Такой «серый канал» создаёт дыры, которые не видно до момента утечки.

Как правильно встроить личные устройства в сеть, как MDM помогает управлять мобильными устройствами — читайте наши материалы.

Незащищённые публичные страницы сотрудников (HH, VK, Telegram)

Злоумышленники с интересом изучают профили в соцсетях. Там легко найти информацию о должности, отделе, контактных данных, связях с коллегами. Особенно опасны открытые резюме: они содержат полное описание обязанностей, технологий, проектов.

Если к этому добавить Telegram-никнейм, геолокацию, пару постов — создаётся портрет идеальной цели. Дальше — дело техники: подобрать правдоподобный предлог и выйти на контакт.

Всё, что кажется удобным, от личных чатов до доступа по паролю без подтверждения, в контексте социальной инженерии превращается в уязвимость. А значит, повышение безопасности начинается с внутренней дисциплины и правил, а не с установки новых фильтров.

Как выстроить корпоративную защиту

Бороться с социальной инженерией — значит, закрывать не только технические уязвимости, но и управленческие. Атаки не прекращаются, потому что для них слишком много открытых дверей. Но если последовательно выстроить внутренние правила, становится гораздо труднее обмануть даже неопытного сотрудника.

Разработка регламентов ИБ на основе №152-ФЗ

Работа с персональными данными в России регулируется законом №152-ФЗ, его часто воспринимают как формальность. Но именно на его основе можно создать рабочие регламенты: кто имеет доступ, как обрабатываются обращения, какие каналы считаются допустимыми.

Хорошо оформленный внутренний порядок — это не «бумажка для Роскомнадзора», а ежедневный ориентир. Если человек знает, что делать с подозрительным письмом, кому сообщить, по каким каналам действовать — шанс ошибки снижается в разы.

Порядок обработки финансовых запросов

Любая задача, связанная с переводом денег, должна иметь чёткий маршрут: кто согласует, как подтверждается источник, какие форматы допустимы. Уточнение «в мессенджере» или «по звонку» не должно считаться нормой.

В реальных кейсах, где компании теряли миллионы, почти всегда нарушался внутренний порядок. Его или не было вовсе, или он не соблюдался. Поэтому важно не просто написать правила, но внедрить их в повседневную работу: чтобы без согласования с бухгалтерией или службой ИБ платёж не ушёл — даже если письмо пришло от самого директора.

Настройка антифишинговых фильтров на почте

Современные почтовые сервисы позволяют настроить фильтрацию фишинговых и поддельных писем. Это не панацея, но важный рубеж. Стоит активировать SPF, DKIM, DMARC — эти механизмы проверяют, с какого сервера пришло письмо, не подделан ли адрес отправителя.

Также полезно включать автоматическое помечание внешних писем, отключать макросы по умолчанию, ограничивать возможность запуска скриптов во вложениях. Всё это помогает задержать атаку до того, как она попадёт в фокус внимания сотрудника.

Аудит каналов коммуникации (мессенджеры, облака)

Сначала нужно понять, какими каналами реально пользуются сотрудники. Где ведётся переписка? Куда скидывают документы? Через какие сервисы пересылают сканы, пароли, счета?

После этого — установить правила: какие каналы считаются безопасными, как шифруются данные, где нужна авторизация по корпоративному аккаунту. Лучше сократить число каналов до необходимых и контролируемых, чем потом пытаться разобраться, откуда ушли данные.

Доступ к СБИС, 1С, ЭДО — через защищённые VPN

Доступ к ключевым рабочим системам должен быть строго ограничен. Это касается не только внешних пользователей, но и внутренних. Особенно если сотрудник работает удалённо. Подключение к 1С, СБИС, Диадок или другим системам ЭДО должно идти через VPN, привязанный к корпоративной учётке и устройству.

Такой подход не только снижает риск внешнего взлома, но и не даёт злоумышленнику перехватить доступ с домашнего Wi-Fi или через фишинговый клиент.

Корпоративная защита от социальной инженерии не требует сложных решений. Главное — последовательность: сначала навести порядок, потом укрепить защиту. Дать каждому сотруднику ясную инструкцию, что делать в сомнительной ситуации. Именно такие меры реально сдерживают атаки, а не отчёты о закупке нового антивируса.

Обучение сотрудников и культура безопасности

Никакие технические меры не сработают, если человек не понимает, как выглядит атака и что делать при подозрении. Устойчивость к социальной инженерии строится через регулярную практику — простую, понятную, включённую в рабочую рутину. Это не разовая акция, а постоянная часть корпоративной культуры.

О важности кибергигиены и как ее правильно выстроить в компании, читайте наш материал.

Внутренние тренинги и рассылки по ИБ

Обучение должно быть регулярным, неформальным и конкретным. Лучше коротко, но по делу: раз в месяц — мини-инструкция на одну страницу, раз в квартал — разбор инцидентов или кейсов. С примерами, с картинками, без перегрузки терминами.

Рассылки и встречи помогают напоминать, что ИБ — не абстракция, а часть повседневной работы. Особенно важно это для тех, кто не связан с IT: бухгалтеров, менеджеров, кадровиков.

Проведение симулированных атак

Один из самых эффективных способов проверить, как сотрудники реагируют на угрозу — провести имитацию атаки. Отправить фальшивое письмо, запустить фейковый звонок или поддельную заявку в HelpDesk. Реакцию можно измерить и обсудить на общем собрании.

Такие тренировки важны не для того, чтобы поймать «виноватого», а чтобы все увидели: даже опытные сотрудники могут ошибиться, если нет привычки перепроверять.

Отработка сценариев: кто, куда и как сообщает об угрозе

Сотрудники часто не знают, что делать, если что-то пошло не так. Открыл подозрительный файл — и молчит. Получил странное письмо — удалил, не сказав никому. Это — прямой путь к катастрофе.

Нужна чёткая инструкция: кому писать, по какому каналу, что приложить. Лучше всего — отработать это вживую: разобрать сценарий, потренироваться, как реагировать. Это снижает растерянность и экономит драгоценное время при реальной атаке.

Игровые форматы: викторины, квесты по безопасности

Когда обучение становится интересным, в нём охотнее участвуют. Можно провести викторину по фишингу, сделать квест в офисе с поддельными письмами и подсказками, организовать конкурс на лучшее сообщение об угрозе. Главное — вовлечь людей и показать, что безопасность касается всех.

Такие форматы особенно хорошо работают в крупных коллективах: они объединяют, создают повод обсудить ИБ неформально, помогают выработать правильные реакции.

Культура безопасности — это не страх и не формальность. Это привычка думать, прежде чем нажимать. Если у сотрудников есть базовые знания, уверенность в действиях и понимание, куда обратиться — даже хорошо спланированная атака может закончиться ничем.

Реагирование на инциденты

Когда атака всё-таки произошла — скорость и правильность действий важнее любых технологий. Ошибка уже случилась, теперь задача — ограничить последствия, собрать доказательства и не нарушить закон. Важно сделать выводы: где был сбой, как его не допустить снова.

Куда сообщать: служба ИБ, служба безопасности

Первое, что должен знать каждый сотрудник — куда обращаться в случае подозрений на атаку. Это может быть внутренняя служба ИБ, IT-отдел с полномочиями по безопасности, либо служба безопасности предприятия. Контакт должен быть известен, доступен, а схема уведомления — прописана в регламенте.

Нельзя полагаться на здравый смысл или интуицию. Необходимо чётко указать: при каком событии сотрудник обязан сообщить, в каком виде и по какому каналу. Это минимизирует время реакции и снижает масштаб потенциального ущерба.

Внутреннее расследование и фиксация фактов

Как только инцидент зафиксирован, начинается анализ. Нужно понять, что произошло, какие действия предпринял сотрудник, что сделали злоумышленники, какие данные были затронуты. Всё это фиксируется: логи, скриншоты, переписка, исходные письма.

Если впоследствии инцидент окажется связан с нарушением закона (например, с утечкой персональных данных), документы станут основой для отчётов перед контролирующими органами или судом.

Важно: любые действия по устранению последствий должны вестись без уничтожения цифровых следов. Прежде чем удалять вредоносное письмо или выключать доступ, нужно сохранить улики.

Уведомление банка, партнёров, Роскомнадзора (при утечке ПДн)

Если инцидент затрагивает финансовую сферу — нужно сразу уведомить банк. Это может помочь заблокировать перевод, отменить транзакцию, зафиксировать мошенничество. Банк не всегда сможет вернуть деньги, но его уведомление важно для дальнейшего разбирательства.

Если под угрозой оказались партнёрские данные, важно предупредить контрагентов. Это защищает репутацию и снижает риски правовых претензий.

В случае утечки персональных данных компания обязана уведомить Роскомнадзор в течение 24 часов после выявления факта. Такая обязанность указана в п. 3.1 ст. 21 № 152-ФЗ. Порядок уведомления утвержден приказом РКН от 14.11.2022 №187.

Форма уведомления утверждена приказом Роскомнадзора, её можно отправить с портала госуслуг. Через 72 часа необходимо отправить результат внутреннего расследования инцидента.

Актуализация регламентов после инцидента

Каждый инцидент — это обратная связь. После анализа нужно внести изменения в регламенты: уточнить, что пошло не так, какие точки были слабыми, где сотрудники действовали неверно. Это касается как процедур, так и технических настроек.

Важно довести изменения до всех участников процесса — не просто обновить документы, а провести короткий разбор: что произошло, почему это опасно, как теперь действовать. Такой подход формирует культуру, где безопасность — не абстрактная тема, а часть общей ответственности.

Реагирование на инцидент — не только защита информации, но и выполнение обязательств по закону. Если всё зафиксировано, действия последовательны, уведомления отправлены — даже серьёзная атака не приведёт к фатальным последствиям.

Читайте подробный гайд по реагированию на киберинциденты.

Юридические и нормативные аспекты

Информационная безопасность — это не только про защиту от атак, но и про соблюдение закона. В российской правовой системе есть чёткий набор требований, регулирующих работу с данными, защиту информации и действия при инцидентах. Игнорировать их — значит рисковать не только данными, но и репутацией, деньгами и лицензиями.

№152-ФЗ «О персональных данных»

Федеральный закон № 152-ФЗ — основной нормативный акт, регулирующий обработку ПДн в России. Он обязателен для всех организаций, которые собирают, хранят или используют ФИО, телефоны, адреса, паспортные и другие идентифицирующие сведения.

В контексте социальной инженерии надо понимать: если в результате атаки произошла утечка ПДн, оператор (то есть компания) несёт полную ответственность, даже если ошибка произошла по вине конкретного сотрудника. Закон требует:

• назначить ответственного за защиту ПДн
• проводить обучение персонала
• использовать технические и организационные меры защиты
• уведомлять Роскомнадзор об утечке — в течение 24 часов после её выявления и в течение 72 часов — о результатах проверк.

За нарушения ответственность — от предупреждений до крупных штрафов, включая блокировку обработки данных.

Приказы ФСТЭК и требования Роскомнадзора

Если компания работает с государственными информационными системами, критической инфраструктурой или использует средства защиты информации, применяются дополнительные требования:

• Приказ ФСТЭК № 239 (о защите информации в ИС)
• Приказ ФСТЭК № 235 (о классификации ИС и уровнях защищённости)
• Рекомендации Роскомнадзора по обеспечению безопасности ПДн, особенно в рамках модели угроз и выбора СЗИ.

Даже если компания не является оператором ГИС, она обязана соблюдать базовые требования к защите информации и фиксировать действия с персональными данными. Это становится критично, если возникает спор — например, при проверке после инцидента.

Ответственность компании за действия сотрудников

По закону, компания отвечает за действия своих сотрудников в пределах их должностных обязанностей. Если бухгалтер открыл фишинговую ссылку, или офис-менеджер передал реквизиты злоумышленнику — юридическая ответственность ложится на организацию как оператора данных или владельца систем.

Сотрудник может быть привлечён к дисциплинарной ответственности (замечание, выговор, увольнение), но административные и гражданско-правовые последствия несёт именно юридическое лицо. В некоторых случаях возможна субсидиарная ответственность должностного лица — если будет доказано, что он допустил грубую халатность.

Проверки регуляторов и аудиты по ИБ

Роскомнадзор, ФСТЭК и даже прокуратура могут проводить плановые и внеплановые проверки:

• по факту утечки ПДн
• по жалобе гражданина или клиента
• в рамках межведомственного контроля (например, при проверке соблюдения требований законодательства о связи, ИБ, защите КИИ).

В проверке обычно запрашиваются: модель угроз, политика ИБ, журналы регистрации инцидентов, документы об обучении сотрудников, соглашения с подрядчиками, копии договоров об обработке ПДн. Отсутствие этих документов рассматривается как нарушение.

Аудиты бывают и добровольными — для оценки состояния защиты. Их часто заказывают крупные компании перед запуском сервисов или входом в тендеры.

Доказательная база и хранение логов событий

В случае инцидента важно не только устранить последствия, но и уметь доказать, что вы приняли все разумные меры. Это возможно, если ведётся централизованный сбор логов:

• события доступа
• действия пользователей внутри систем
• административные действия
• ошибки и сбои.

Регистрация и использование событий безопасности как меры по защите информации предусмотрена, например, приказом ФСТЭК № 21.

Описание этих мер можно найти в методическом документ ФСТЭК России «Меры защиты информации в государственных информационных системах». Здесь же указано, что необходимо обеспечить срок хранения зарегистрированных событий безопасности не менее трех месяцев.

Приказ ФСТЭК России от 14.04.2023 № 64

«Об утверждении Требований по безопасности информации к системам управления базами данных» устанавливает требования к безопасности информации в системах управления базами данных (СУБД). В частности, он требует обеспечения регистрации событий безопасности, связанных с функционированием СУБД и действиями пользователей. Однако конкретные сроки хранения этих журналов в тексте приказа не указаны. Требования могут варьироваться в зависимости от класса защищенности СУБД и других факторов.

ГОСТ Р 59548-2022

«Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации» устанавливает требования к составу и содержанию информации, подлежащей регистрации в информационных системах. Данный стандарт тоже не устанавливает конкретных сроков хранения зарегистрированных событий безопасности. Он определяет, что средства, осуществляющие регистрацию событий безопасности, должны обеспечивать возможность получения информации о событиях для реализации мониторинга информационной безопасности, контроля защищенности, выявления инцидентов и контроля функционирования систем.

В отдельных отраслях, таких как банковская сфера, действуют более строгие нормативы, предусматривающие минимальные сроки хранения логов.

Организациям рекомендуется самостоятельно устанавливать сроки хранения логов, исходя из требований отраслевых стандартов, уровня защищенности информации и необходимости обеспечения возможности расследования инцидентов информационной безопасности.

Новые угрозы и тренды в России

Социальная инженерия эволюционирует быстрее, чем многие компании успевают на это реагировать. Атакующие адаптируются под российские реалии, используют доступные сервисы и технологии, которые вчера ещё казались фантастикой. Ниже — ключевые направления, которые уже активно применяются против бизнеса.

Использование deepfake для звонков от «начальства»

С появлением доступных ИИ-сервисов появились звонки, в которых голос руководителя — не запись, а имитация. Это deepfake-звонок: в нём голос «начальника» просит срочно перевести деньги, выдать доступ, сообщить пароли.

Угроза становится реальной, особенно если сотрудники уже слышали этот голос на совещаниях или в видеообращениях. Отличить подделку сложно, особенно в условиях спешки и давления. Пока это ещё редкость, но тренд устойчиво нарастает, особенно в атаках на крупные компании и VIP-менеджмент.

Подмены номеров через VoIP и spoofing

В звонках злоумышленников всё чаще отображаются номера банков, техподдержки, госорганов. Это достигается через VoIP-сервисы с поддержкой spoofing (подмены номера). Устройство показывает «Сбербанк» или «ФНС», а на линии — мошенник.

Пользователь не сомневается, потому что номер знакомый. Особенно уязвимы компании, где сотрудники принимают много входящих от клиентов, поставщиков, банков. Без навыка критической оценки и перепроверки — высок риск потери доступа или утечки данных.

Рассылки через Яндекс, VK

Злоумышленники начали активно использовать привычные платформы: массовые сообщения приходят с адресов на доменах yandex.ru или с аккаунтов во «ВКонтакте». Это снижает уровень настороженности — особенно у сотрудников, не работающих с защищённой корпоративной почтой.

Многие компании не фильтруют письма от популярных российских почтовиков, считая их «по умолчанию безопасными». На деле это идеальный канал доставки вредоносных вложений, ссылок или поддельных инструкций.

Взлом Telegram и WhatsApp с последующим обманом

Если злоумышленник получил доступ к аккаунту в Telegram, он может вести переписку от имени сотрудника с прежней аватаркой, историей сообщений и характерным стилем. Угроза особенно опасна, если Telegram активно используется внутри компании: для согласований, обмена файлами, финансовых вопросов. Даже внимательные сотрудники не сразу понимают, что общаются не с тем, кем кажется.

Аналогичная ситуация с WhatsApp — особенно у тех, кто работает с клиентами через личные номера.

Рост атак на удалённые и гибридные команды

Удалённые сотрудники работают вне защищённого корпоративного периметра. Их можно атаковать на домашнем Wi-Fi, через личные устройства, не обновлённые приложения, незащищённые каналы связи. А потом использовать как «точку входа» в основную инфраструктуру.

Особенно часто атакуют фрилансеров, региональные офисы, подрядчиков. Чем слабее ИТ-поддержка и дисциплина, тем проще выдать себя за «службу ИБ», «админа» или «руководителя».

Новые технологии не делают атаки сложнее. Они делают их правдоподобнее. И чем выше реалистичность, тем труднее отличить угрозу от рабочего процесса. Поэтому компании должны отслеживать тренды и пересматривать защиту не раз в год, а регулярно — иначе безопасность перестаёт быть актуальной.

Главное

Социальная инженерия — это атака не на систему, а на человека.
Сломать можно любую защиту, если убедить сотрудника выдать нужное. Поэтому безопасность начинается не с оборудования, а с головы — с привычки проверять, сомневаться и действовать по правилам.

Наиболее уязвимы не ИТ-специалисты, а обычные сотрудники.
Бухгалтерия, офис-менеджеры, кадры, ассистенты — именно через них часто заходят злоумышленники. Они не обязаны знать технические детали, но должны понимать, где их могут обмануть.

Современные атаки используют психологию, доверие и срочность.
«До 15:00», «от имени директора», «сбой в 1С» — это не просто фразы, это триггеры. Злоумышленник знает, как вызвать нужную реакцию. Единственная защита — отработанные действия и понимание, где манипуляция.

Ошибки сотрудников — зона ответственности компании.
Даже если виноват один человек, отвечать будет юридическое лицо. Именно поэтому важно не только обучать, но и документировать процессы, фиксировать действия, вести логи, иметь актуальные регламенты.

Каждая атака — повод обновить защиту.
После инцидента важно не просто закрыть «дыру», а разобраться, почему она возникла. Пересмотреть правила, инструменты, обучение. Без анализа опыт пропадает, а риск повторения увеличится.

Закон — не формальность. Это реальный фактор риска.
№152-ФЗ, приказы ФСТЭК, проверки Роскомнадзора — всё это влияет на бизнес. Незнание норм не освобождает от ответственности. Правильное юридическое оформление защиты может спасти в спорной ситуации.

Информационная безопасность — вопрос не бюджета, а зрелости. Компании, где ИБ встроена в культуру, переживают атаки без серьёзных потерь. Остальным придётся учиться на собственных ошибках.