Каждый день мы слышим про компьютерные атаки на информационные системы страны, на системы и сервисы, инфраструктуру связи, на предприятия, транспорт, сети магазинов и аптек. Речь не о звонках мошенников гражданам, а именно о компьютерных атаках, целью которых является уничтожение или сбои в работе цифровых сервисов различного уровня критичности — от продаж алкоголя до аэропортов, о деструктивных воздействиях на информационные системы.

Как исследователи, так и официальные лица говорят про рост компьютерных атак на критическую информационную инфраструктуру, на конкретные регионы и корпорации. При этом разброс данных велик — от 637-1090 DDoS-атак в месяц по данным Роскомнадзора (за период 10 месяцев этого года) до 2,5-2,7 миллионов атак на РЖД в год (в среднем более 200 000 кибератак в месяц). Центральный банк России в своих ежеквартальных обзорах инцидентов информационной безопасности при переводе денежных средств говорит о среднем значении за предшествующие 4 квартала по основным типам компьютерных атак (18,8 тысяч за III квартал 2025 этого года) и об их динамике. Встречается и больший разброс — от 50 000 в масштабах страны до 90 миллионов в масштабах одного региона.

Если периоды, на которые пришлись компьютерные атаки, возможно сопоставить между собой, то географию, виды объектов атак, сферу отрасли в которой они функционируют, их количество обычно неизвестны. Из заявлений глав ряда корпораций, например, понятна отрасль, к которой относится большинство атакуемых объектов, но без их количества и видов, а география — скорее всего, вся страна.

Из публикаций Роскомнадзора мы видим три вида компьютерных атак на несколько видов отраслей, например:

«В июле 2025 года специалисты Центра мониторинга и управления сетью связи общего пользования (#ЦМУ_ССОП):
Заблокировали 8 004 фишинговых ресурса и 44 сайта, на которых распространялось вредоносное программное обеспечение.
Отразили 680 DDoS-атак в отношении систем защищаемых субъектов государственного управления, транспортного сектора и операторов связи. …»

Разные данные и у компаний, работающих в сфере кибербезопасности. Практически все они формируют их на основании событий, зарегистрированных в их SOC, но вот методики обработки данных, а также срез по типам и количеству подключенных объектов, их принадлежности, размерам и т.п. неизвестен.

В Интернет опубликовано много статей по теме компьютерных атак — на сайтах компаний, предоставляющих услуги в сфере инфобеза, много — в СМИ, но часто смешивают в одну кучу атаки, способы и тактики их проведения, угрозы, события, инциденты; инциденты и атаки рассматривают как синонимы.

Разницу и несравнимость данных о компьютерных атаках можно объяснить не только тем, что данные относятся к разным множествам объектов, но и тем, что считают их по-разному.

Чтобы одинаково считать или хотя бы иметь возможность сравнивать результаты, нужна методология. Основа любой методологии — определения и классификация.

Определение понятия «компьютерная атака»

Начнём с того, что проверим, есть ли официальное определение понятия «компьютерная атака».

Есть, прежде всего, это 187-ФЗ про безопасность КИИ, статья 2, пункт 4:

«компьютерная атака — целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации».

Кроме того, в документе «Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации» (Утверждены Президентом Российской Федерации Д.Медведевым 3 февраля 2012 г., № 803)) приведено такое определение:

«г) компьютерная атака — целенаправленное воздействие на информационные системы и информационно-телекоммуникационные сети программно-техническими средствами, осуществляемое в целях нарушения безопасности информации в этих системах и сетях».

Также определение компьютерной атаки есть в Р 50.1.056-2005 (3.2.8), в стандартах серии ISO/IEC 27000. А в методическом документе ФСТЭК РОССИИ «ПРОФИЛЬ ЗАЩИТЫ СИСТЕМ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ УРОВНЯ СЕТИ ЧЕТВЕРТОГО КЛАССА ЗАЩИТЫ. ИТ.СОВ.С4.ПЗ» (Утвержден ФСТЭК России 3 февраля 2012 г.) есть «вторжение (атака)».

Интересно, что в ГОСТ 56205-2014 «СЕТИ КОММУНИКАЦИОННЫЕ ПРОМЫШ-ЛЕННЫЕ. Защищенность (кибербезопасность) сети и системы. Часть 1-1. Термино-логия, концептуальные положения и модели» также присутствует определение «ата-ка» и её классификации:

• активная атака,
• пассивная атака,
• внутренняя атака,
• внешняя атака,

но хотя стандарт относится к сфере кибербезопасности, слова «компьютерная» в определении нет.

То есть с определениями понятно — они есть и не противоречат друг другу.

Официальный классификатор компьютерных атак

А есть ли у нас в стране официальный классификатор компьютерных атак? То есть разбивка по типам и видам? Иерархия?

Прошерстив доступные официальные документы, включая стандарты, я не нашёл официально утвержденного классификатора компьютерных атак.

В своей отчётности Центральный банк приводит статистику компьютерных атак по типам (классификация де-факто). Например, в документе «Обзор отчетности об инцидентах информационной безопасности при переводе денежных средств» перечислены следующие типы компьютерных атак:

1. использование методов социальной инженерии,
2. фишинговые атаки,
3. атаки с использованием ВПО,
4. атаки типа «отказ в обслуживании» (DDoS),
5. иные атаки.

Или в «Обзор операций, совершенных без добровольного согласия клиентов финансовых организаций», вместе перечислены компьютерные инциденты и компьютерные атаки:

1. DDoS-атаки,
2. компрометация учётных записей,
3. использование вредоносного ПО,
4. использование фишинговых ресурсов,
5. выполнение сканирования портов, сервисов,
6. эксплуатация уязвимостей информационной инфраструктуры,
7. использование методов социальной инженерии,
8. иные компьютерные атаки (бот-сети, маршрутизация).

Также не нашёл классификаторов — ведомственных документов, возможно, они существуют, но не опубликованы и используются в работе отраслевых и корпоративных SOC.

В результате, пройдясь по документам, отчётам и статьям составил вот такой перечень типов компьютерных атак, ни в коем случае пока не являющийся классификатором:

1. Фишинговые.
2. DDoS.
3. Заражение вредоносным ПО (ВПО).
4. Использование уязвимостей ПО, информационной инфраструктуры.
5. Атака на цепочку поставок.
6. Атака «человек посередине».
7. Целевые атаки (APT).
8. Brute-Force (атака подбора).
9. Атаки на основе идентификационных данных: использование украденных ло-гинов и паролей.
10. Распыление паролей: использование украденных учетных данных для входа в различные аккаунты.
11. Внутренняя атака (основанная на действиях сотрудника внутри компании).
12. Спуфинг: выдача себя за другое лицо или устройство.
13. IoT-атаки: на устройства Интернета вещей.
14. Использование методов социальной инженерии.
15. «Атака с использованием скрытых каналов» (ГОСТ Р 53113.2-2009, часть 2).
16. Иные компьютерные атаки (бот-сети, маршрутизация).

Хотя, с моей точки зрения, социальная инженерия — не компьютерная атака, да и сканирование портов многими организациями за такую атаку не считается, зато мимо проходят вопросы, связанные со скрытыми каналами.

Интересно, что поговорив с коллегам по инфобезу, получил несколько просьб выслать перечень. Результатом стала эта статья.

Остаётся пустяк — выделить критерии классификации…