zharkevich.ru
ГосСОПКА: как устроен «антихакерский зонтик» России

ГосСОПКА: как устроен «антихакерский зонтик» России

· 17 мин чтения

Летом 2024 года у миллионов россиян одновременно перестали работать банковские приложения. ВТБ, Сбербанк, Альфа-банк, Газпромбанк — у всех разом легли мобильные сервисы. Люди не могли перевести деньги, оплатить покупку, проверить баланс. Через пару месяцев хакеры стёрли серверы ВГТРК — крупнейшего телевизионного холдинга страны. В январе 2025-го взломали «Ростелеком». Параллельно — шифровальщики в больницах, утечки данных из Росреестра, вайперы в логистических компаниях.

Всё это не «где-то далеко в интернете». Это про деньги на вашей карте, свет в квартире, запись к врачу и посылку в пути. И где-то рядом с каждым таким инцидентом почти всегда фигурирует одна аббревиатура — ГосСОПКА.

Я решил разобраться и написать этот текст, потому что сам долго не мог найти нормальное человеческое объяснение: что это за система, как она работает, кого касается и что меняет на практике. Большинство материалов — либо бюрократический канцелярит «для своих», либо маркетинговые тексты вендоров ИБ. Попробую иначе: с конкретными примерами, свежими цифрами и без казённого языка.

Что такое ГосСОПКА и откуда она взялась

ГосСОПКА — это государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. Прежде всего — на так называемую критическую информационную инфраструктуру (КИИ): энергетику, транспорт, связь, банки, здравоохранение, оборонку, госуслуги.

Правовая основа — Указ Президента № 31с от 15 января 2013 года и 187-ФЗ «О безопасности критической информационной инфраструктуры» от 2017 года.

За сложными формулировками скрывается простая идея. В стране есть тысячи организаций, от которых зависит повседневная жизнь: электростанции, водоканалы, больницы, банки, операторы связи. Каждая из них может стать мишенью кибератаки. Если каждая будет отбиваться в одиночку, то злоумышленнику достаточно найти одно слабое звено. А если все эти организации связать в единую сеть обмена информацией об атаках — можно увидеть картину целиком и предупреждать тех, до кого атака ещё не дошла.

ГосСОПКА — это попытка построить такую сеть. Не одна «волшебная коробка», не одна программа, а экосистема из правил, центров, людей и технологий, которые должны замечать атаки, делиться информацией о них и помогать реагировать.

Масштаб проблемы

Чтобы понять, зачем нужна такая система, достаточно посмотреть на статистику последних лет. Она впечатляет даже тех, кто привык к громким заголовкам про хакеров.

В 2024 году на российские объекты критической инфраструктуры было зафиксировано более 208 тысяч особо опасных кибератак — это данные заместителя секретаря Совета Безопасности РФ. RED Security SOC насчитал около 130 тысяч инцидентов информационной безопасности за 2024 год — в 2,5 раза больше, чем в 2023-м. А в первом полугодии 2025 года, по данным RED Security SOC, общее количество инцидентов превысило 63 тысячи — на 27 % больше, чем за аналогичный период 2024-го.

По данным Positive Technologies, на Россию приходится 14–16 % всех успешных кибератак в мире и 72 % атак в СНГ. Чаще всего бьют по госучреждениям (21 % успешных атак), промышленности (13 %), ИТ-компаниям и медицине (по 6 %). Самые популярные методы — вредоносное ПО (в 2025 году оно использовалось в 71 % атак на организации, ещё пару лет назад было 56 %) и социальная инженерия (60 % атак).

Отдельная тревожная тенденция — рост заказных кибератак: с 10 % в 2023 году до 44 % в 2024-м. Это уже не хаотичные набеги подростков с форумов, а целенаправленные операции с конкретным заказчиком.

По данным BI.ZONE, злоумышленники в 2025 году в среднем находились в инфраструктуре 42 дня до обнаружения — в 2024-м было 25. При этом от проникновения до начала шифрования может пройти всего 12 с половиной минут. А средний размер выплат вымогателям вырос со 150 тысяч долларов США в 2024 году до 5 миллионов в 2025-м.

Россия вошла в топ-5 стран мира по объёму утечек личных данных — в 2024 году в сеть попало 1,58 млрд записей о россиянах. Около 70 % всех обращений в НКЦКИ в 2024 году были связаны с уничтожением данных, в том числе вирусами-вымогателями.

На этом фоне ГосСОПКА — не абстрактная регуляторная надстройка, а ответ на вполне конкретную растущую угрозу.

Как устроена ГосСОПКА: кто за что отвечает

Структура выглядит как пирамида с несколькими уровнями. Если упростить — это четыре слоя.

ФСБ России — куратор всей системы

За ГосСОПКА отвечает ФСБ через Центр информационной безопасности и другие подразделения. Именно ФСБ определяет политику, утверждает правила и имеет полномочия «командовать парадом» при крупных инцидентах. В 2024–2025 годах ФСБ подписала семь новых приказов в области ГосСОПКА — система активно расширяется.

НКЦКИ — мозг и координационный штаб

Внутри ФСБ работает Национальный координационный центр по компьютерным инцидентам — по сути, российский национальный CERT. Это центральный узел всей системы.

Вот чем занимается НКЦКИ:

  • собирает со всей страны сообщения о киберинцидентах и анализирует их;
  • рассылает предупреждения и индикаторы компрометации по ведомствам, банкам, операторам связи, энергетикам;
  • координирует реагирование, когда атакуют что-то крупное или когда одна атака бьёт сразу по нескольким отраслям;
  • обменивается данными с иностранными CERT/CSIRT;
  • выпускает еженедельные бюллетени со статистикой (с 2020 года).

Когда условный банк, оператор связи и министерство одновременно видят похожие атаки, задача НКЦКИ — сложить этот пазл быстрее, чем каждая организация по отдельности поймёт, что происходит.

Центры ГосСОПКА — глаза и руки

Под НКЦКИ работает целая сеть центров ГосСОПКА: ведомственные, отраслевые, региональные, корпоративные. Это, по существу, распределённые центры реагирования на инциденты (CSIRT), каждый — со своей зоной ответственности.

У крупных банков — свои SOC, формально включённые в систему. У Минцифры или Росавтодора — свои центры, следящие за ведомственными системами. У региона — центр при ИТ-департаменте, мониторящий системы области. Их задачи: круглосуточно наблюдать за сетями, ловить атаки, уведомлять НКЦКИ и помогать восстанавливать сервисы.

НКЦКИ активно заключает соглашения с новыми центрами — в 2025 году подписаны соглашения с несколькими новыми участниками, включая коммерческие ИБ-компании.

Субъекты КИИ

Это конкретные организации, которые по 187-ФЗ обязаны взаимодействовать с ГосСОПКА: защищать свои объекты, обнаруживать атаки, сообщать о серьёзных инцидентах в НКЦКИ и выполнять предписания. К КИИ относятся 14 отраслей — от энергетики и транспорта до здравоохранения и науки.

Частный бизнес, который не имеет статуса субъекта КИИ, может подключиться к ГосСОПКА добровольно. Но прямой обязанности нет.

Как это работает на практике: жизнь инцидента в ГосСОПКА

Теория — это одно. Но чтобы понять суть, лучше посмотреть на реальные ситуации.

Банковский DDoS: июль 2024 года

23–24 июля 2024 года российский банковский сектор попал под массированную DDoS-атаку. Сначала посыпались жалобы клиентов Газпромбанка, Райффайзенбанка, Росбанка — не работали приложения, не проходили переводы. На следующий день — ВТБ, Альфа-банк, снова Газпромбанк. Более 10 крупных банков оказались под ударом одновременно.

Сбербанк в конце того же месяца пережил самую мощную DDoS-атаку за всю свою историю: 13 часов непрерывного давления, несколько ботнетов, более 62 тысяч устройств. Замглавы Сбера Станислав Кузнецов заявил, что с начала 2024 года количество DDoS-атак на банк выросло как минимум на 40 %.

Вот как это должно работать через ГосСОПКА. SOC банка фиксирует аномалию — необычный рост входящего трафика, отказ сервисов. Центр ГосСОПКА при банке регистрирует инцидент, собирает технические данные: источники трафика, протоколы, характер атаки. Если инцидент подпадает под критерии 187-ФЗ, банк уведомляет НКЦКИ по защищённому каналу. НКЦКИ, получая аналогичные сигналы от других банков, понимает, что это не локальная проблема, а координированная кампания, — и рассылает предупреждение с индикаторами атаки всем остальным субъектам КИИ: IP-адреса источников, характер трафика, правила для фильтрации.

В идеале это позволяет тем, кого ещё не задело, заранее включить фильтры.

ВГТРК: атака с удалением всего

7 октября 2024 года — ВГТРК подверглась «беспрецедентной хакерской атаке». Стали недоступны онлайн-сервисы каналов «Россия 1», «Россия 24», «Культура», радиостанций «Вести FM» и «Маяк». По данным ИБ-экспертов, хакеры использовали вредоносное ПО, которое не шифровало, а уничтожало файлы — было «стёрто всё с серверов, включая резервные копии». Ответственность взяла на себя группировка sudo rm -RF, ранее связанная с атакой на RuTube в 2022 году.

Дмитрий Песков назвал это «хакерской атакой на объект критической инфраструктуры». ВГТРК — это именно субъект КИИ, и инцидент такого масштаба входит в зону ответственности ГосСОПКА. Данные об атаке — образцы вредоноса, логи, характер проникновения — должны были уйти в НКЦКИ. А НКЦКИ, имея базу по десяткам подобных случаев, может оперативно разослать предупреждение по другим медиахолдингам и ведомствам: «Вот так проникают, вот такой вредонос, вот что нужно перекрыть».

СДЭК и Head Mare: когда встают посылки

26 мая 2024 года курьерская компания СДЭК — один из крупнейших логистических операторов страны — полностью прекратила работу. Не работали сайт, приложение, пункты выдачи не могли ни принять, ни отдать посылки. Простой длился более трёх суток — это около 400 тысяч отправлений в день, которые зависли. Ущерб оценивается примерно в миллиард рублей. Атакующие — группировка Head Mare — целенаправленно зашифровали конкретные виртуальные машины, включая те, что отвечали за бэкапы. Это была не массовая рассылка, а спланированная операция: злоумышленник знал, где что лежит. ИБ-эксперт Андрей Масалович назвал это «100-процентным отсутствием какой-либо готовности к подобным атакам».

Та же группа взломала сервисную систему, обслуживавшую РЖД и «Роснефть» — уничтожены сотни терабайт данных, выведены из строя 390 виртуальных серверов. А в ночь с 30 апреля на 1 мая Head Mare уничтожили инфраструктуру кубанского интернет-провайдера «Теле-Центр»: стёрты базы данных, отключены более 20 000 абонентов.

Каждый из этих инцидентов — потенциальный кейс для ГосСОПКА: информация об атаке уходит вверх, НКЦКИ анализирует паттерн, рассылает индикаторы по отрасли. Для логистики, для транспорта, для телекома — чтобы следующая жертва увидела атаку раньше, чем потеряет данные.

«Ростелеком» и Silent Crow: утечка через подрядчика

В январе 2025 года группировка Silent Crow заявила о взломе баз данных «Ростелекома»: 154 тысячи уникальных email-адресов и 101 тысяча телефонных номеров. Компания подтвердила инцидент, но списала утечку на подрядчика, который обслуживал корпоративные ресурсы.

Характерная деталь: Роскомнадзор сообщил, что не получал от компании уведомление об утечке в установленные 24 часа. Это именно та ситуация, которую ГосСОПКА призвана менять — когда информация об атаке замалчивается или задерживается, страдает вся система раннего предупреждения.

Та же Silent Crow ранее брала на себя ответственность за утечки из «АльфаСтрахование-Жизнь» и Kia Россия и СНГ, а также заявляла о взломе Росреестра — по заявлениям хакеров, они получили доступ к более чем 2 млрд строк данных общим объёмом около 1 ТБ. В качестве доказательства был опубликован файл на 44,7 ГБ с почти 82 млн строк, содержащих ФИО, даты рождения, паспортные данные, СНИЛС и адреса граждан. Росреестр утечку не подтвердил, но объявил о проведении дополнительных проверок.

Почему роль ГосСОПКА растёт именно сейчас

До 2022 года вся эта конструкция для многих выглядела как очередная регуляторная надстройка. С началом СВО, когда произошёл разрыв с западными вендорами и взрывной рост кибератак, ГосСОПКА превратилась из теории в очень практичную историю.

Атаки стали другими. В 2023 году доминировали публикации утечек и массовые сливы данных. В 2024-м злоумышленники перешли к шифрованию инфраструктур. А в 2025 году BI.ZONE всё чаще фиксирует использование вайперов — программ, которые не просят выкуп, а просто уничтожают данные и сетевое оборудование. Эволюция от «дай денег» к «сотри всё» — это уже не бизнес, а война.

Подрядчики стали главной дырой. По данным BI.ZONE, в 2025 году более 30 % инцидентов с шифрованием или уничтожением данных были связаны с атаками через подрядчиков — в 2024-м это было 15 %. Та же история с «Ростелекомом»: взломали не саму компанию, а её подрядчика. Positive Technologies отмечает, что атаки через цепочки поставок выросли в три раза за год. ГосСОПКА здесь — один из немногих механизмов, который может отследить атаку, идущую через подрядчика, и предупредить всех, кто пользуется его услугами.

Импортозамещение как фактор риска. Парадоксально, но НКЦКИ называет одной из главных угроз не только «злых хакеров», а наследие зарубежного ПО — огромный парк софта, который остался без поддержки и обновлений из-за санкций. Системы сидят на «коробках», для которых больше не выходят патчи, — это дырявый забор, и ГосСОПКА вынуждена работать в условиях, когда фундамент под ногами трещит.

Регулирование ужесточается. В январе 2026 года Госдума приняла в первом чтении два законопроекта, меняющих систему ответственности по статье 274.1 УК РФ. Вводится двухуровневая система: уголовная ответственность — за доказанное уничтожение, блокирование или утечку данных КИИ, административная — за нарушения правил эксплуатации без тяжёлых последствий. При этом уголовная ответственность будет наступать только за умышленные нарушения, а специалист, который помог в расследовании и сохранил следы атаки, сможет быть освобождён от ответственности. Это попытка перестать пугать айтишников тюрьмой за ошибки — и одновременно усилить спрос с тех, кто занимается кибербезопасностью «для галочки».

Обязанности субъектов КИИ: что конкретно требуется

Если организация является субъектом КИИ, 187-ФЗ и подзаконные акты обязывают её делать вполне конкретные вещи:

  1. Своевременно информировать НКЦКИ и ФСБ о компьютерных инцидентах на значимых объектах.
  2. Обеспечивать установку и работу средств мониторинга, которые являются частью ГосСОПКА.
  3. Выполнять предписания и рекомендации по защите и реагированию.
  4. Участвовать в оценке состояния защищённости своих объектов — в том числе совместно с НКЦКИ.
  5. Предоставлять отчётность о проделанной работе по устранению уязвимостей.

В апреле 2025 года подписан Федеральный закон № 58-ФЗ, вступивший в силу 1 сентября 2025-го. Ключевые изменения: обязательная интеграция с ГосСОПКА теперь распространяется на все государственные органы, а не только на субъекты КИИ. НКЦКИ получил право устанавливать средства мониторинга на любых государственных информационных ресурсах. Введено требование об обязательном использовании российского ПО из реестра Минцифры на значимых объектах КИИ. Ужесточены и сроки уведомлений: инцидент на значимом объекте КИИ — 3 часа, на остальных — 24 часа. С 2026 года отчётность должна передаваться в режиме реального времени через личный кабинет.

Штрафы за нарушения тоже растут. Административная ответственность может достигать 500 тысяч рублей, а в ноябре 2024 года принят закон об оборотных штрафах до 3 % годовой выручки за повторные утечки персональных данных. В особо тяжёлых случаях — уголовная ответственность по статье 274.1 УК РФ с наказанием до 10 лет лишения свободы.

Что это даёт бизнесу и обычным людям

Для бизнеса и субъектов КИИ

Плюсы вполне ощутимые. Доступ к централизованной аналитике по угрозам: не нужно в одиночку разбираться, что за новая волна атак пришла — есть бюллетени и индикаторы от НКЦКИ. Методическая поддержка: рекомендации по настройке защиты, реагированию, формату отчётов. Возможность при сложной атаке «поднять руку» и получить помощь.

Но есть и ощутимая боль:

Для обычного человека

Нас с вами ГосСОПКА никуда не подключит. Но косвенно она влияет на то, будет ли работать банкомат и электричество, не утекут ли наши персональные данные. Чем быстрее система распознаёт массовую атаку и предупреждает участников, тем меньше вероятность проснуться в мире, где одновременно лежат банки, «Госуслуги», мобильные операторы и энергосбыт.

Частые вопросы и мифы

«ФСБ теперь видит всё, что происходит в сетях компаний?»

Нет. Формат взаимодействия — сообщения об инцидентах и технические данные: какие IP атаковали, какой вредонос использовался, какие уязвимости эксплуатировались, какие системы затронуты. ГосСОПКА — не система тотального перехвата трафика, а механизм координации по кибератакам. Да, прозрачность для государства усиливается, и опасения бизнеса по поводу конфиденциальности реальны. Но технически это работает не так, как некоторые пытаются представить.

«ГосСОПКА — это одна большая коробка в дата-центре?»

Нет. Это не одно устройство и не одна программа. Это комплекс: правила, процессы, центры, люди и разные технические средства. Скорее организационно-техническая экосистема, чем «продукт».

«Я обычная компания без статуса КИИ — мне это надо?»

Закон заставляет взаимодействовать с ГосСОПКА именно субъектов КИИ. Остальным — опционально. Кто-то идёт в системное взаимодействие, кто-то строит свой SOC и предпочитает минимально светиться перед регуляторами. Логика простая: чем глубже ты интегрирован в государственную инфраструктуру (деньги, услуги, транспорт, связь), тем выше шансы, что ГосСОПКА рано или поздно станет для тебя обязательной.

Где система буксует

Про это редко пишут в официальных материалах, но важно проговорить честно.

Централизованная модель — одновременно сила и узкое место. Когда на НКЦКИ валится более 200 тысяч инцидентов в год, качество обратной связи неизбежно страдает. Насколько оперативно субъект КИИ реально получает полезную аналитику, когда у него «горит», — сильно зависит от практики, а не только от нормативки.

Уровень зрелости участников очень разный. ФСТЭК по результатам проверок 2025 года нашла нарушения практически в каждой проверенной организации: более 1 200 нарушений, 603 административных дела. При этом только 35–36 % значимых объектов КИИ достигли минимального базового уровня безопасности. Половина выявленных нарушений могла привести к остановке защищаемого объекта. НКЦКИ по итогам первого мониторинга защищённости КИИ оценил результаты как «неудовлетворительные». Две трети от «неудовлетворительного» — это не теория, а реальная дыра в обороне.

Страх раскрытия инцидентов. Многие компании делают всё, чтобы решить проблему тихо, без лишних уведомлений. История с «Ростелекомом», где Роскомнадзор не получил уведомление в срок, — характерный пример. Каждый инцидент, который «замолчали», делает общую картину атак неполной, а значит — снижает эффективность всего механизма.

Зависимость от одного регулятора. Когда вся система замкнута на ФСБ, у бизнеса возникают понятные опасения: а не будет ли раскрытие инцидента использовано против самой компании? Новые законопроекты 2026 года частично адресуют эту проблему, давая возможность избежать ответственности при активном содействии расследованию, но доверие выстраивается медленнее, чем принимаются законы.

Что дальше

Positive Technologies прогнозирует рост успешных кибератак на Россию на 30–35 % в 2026 году. Фишинг станет многоступенчатым, для персонализации атак будет активно использоваться ИИ, а многофункциональные трояны, совмещающие кражу, шифрование и удаление данных, станут нормой. Заместитель директора НКЦКИ Пётр Белов прямо заявлял, что с начала 2024 года против российских структур ведётся целенаправленная кибероперация, которая продолжается по сей день.

В этих условиях ГосСОПКА — не «бумажный проект ФСБ», а реальный центр приложения сил всей истории с кибербезопасностью в стране. ФСБ работает над законопроектом о расширении списка участников, передающих данные в ГосСОПКА. Чем сложнее внешняя среда, тем меньше шансов, что компаниям удастся «жить боком» к этой системе.

Сама идея ГосСОПКА разумная: делиться информацией об атаках и координироваться. Это ровно то, как устроены национальные CERT по всему миру. Но работоспособность системы на практике зависит не от указов и приказов, а от того, как именно владельцы инфраструктуры и центры реагирования будут наполнять её реальным содержанием — а не только отчётами.

Как объяснить ГосСОПКА за ужином

Если нужно объяснить всё это одним абзацем кому-то, кто далёк от ИТ:

«ГосСОПКА — это государственная система раннего предупреждения о кибератаках. Она не защищает отдельных людей, как антивирус, но должна защищать «фоновые сервисы» нашей жизни — банки, свет, транспорт, связь. Когда ломают какую-нибудь крупную контору, она обязана рассказать об этом в ГосСОПКА. Там это объединяют с другими атаками и предупреждают остальных. В идеале — чтобы не жить в стране, где в один день может лечь всё сразу».

Источники

Предыдущий пост
Наверх