В первой статье по теме компьютерных атак я написал о проблематике статистики компьютерных атак (кибератак), об отсутствии в стране их официальной классификации, о том, что компьютерные атаки часто путают с компьютерными инцидентами вопреки официальной терминологии. А теперь зададим вопрос: Зачем считать компьютерные атаки (кибератаки)? Зачем их классифицировать? Необходима ли статистика компьютерных атак и на каком уровне? Организации? Корпорации (холдинга)? Отрасли? КИИ? Региона? Страны?
Атаки – вести из регионов
«1,5 млрд кибератак отразили системы защиты Тульской области в 2025 году. Средства защиты блокируют около 6 миллионов попыток подключений ежедневно».
«Киберщит Татарстана: за год отражено 1,5 млн. кибератак. Центр информационных технологий Республики Татарстан подвел итоги года в сфере кибербезопасности государственных информационных систем. В 2025 году система обработала 96 млрд событий безопасности, предотвратив 5 DDoS-атак и выявив 13 фишинговых кампаний, нацеленных на инфраструктуру региона».
Официальная статистика атак
В официальных источниках, Роскомнадзор и НКЦКИ, говорится только о DDoS-атаках. Аналитический отчёт по этой теме за последние два года опубликовал ЭАЦ ИнфоВотч.
Изменения в НПА
В декабре 2025 года вышли три новых приказа ФСБ России (546, 547, 548) о порядке взаимодействия субъектов КИИ с ГосСОПКА (НКЦКИ) -- об обмене информацией как о компьютерных инцидентах, так и о компьютерных атаках.
Зачем нужна статистика компьютерных атак?
Ответ в том, что именно мы можем извлечь из статистики компьютерных атак. Если она не классифицирована, т.е. не разделена по видам атак, то уже ничего. Просто «страшные числа», страх, угрозу. И дезориентацию: кто-то говорит о миллионах или миллиардах, кто-то – о сотнях тысяч, кто-то – о тысячах за одинаковые периоды. Какие это атаки? На какое количество объектов? Что посчитали атаками при подготовке материалов для публикаций?
Сравнивая количество компьютерных атак на конкретный объект с другими аналогичными, мы можем отметить интерес к этому объекту и провести анализ, чтобы выяснить, чем этот объект привлекателен по сравнению с аналогами. Если классифицировать атаки, обрабатывать их с применением SOC и/или Threat Intelligence Platform (TIP), анализировать совместно с атаками компьютерные инциденты на объекте, то можем получить информацию об уровне защищенности объектов, о причинах инцидентов, об атакующих группировках и примененных методах атак и наличии уязвимостей, уровне нарушителей.
Статистика компьютерных атак, основанная на единой классификации, связанной с методами атак и т.п. (см., например, MITRE), даёт возможность обоснованно планировать ресурсы и кадровое обеспечение, повышать уровень защищенности организации.
Причём не говорю о необходимости открытия такой статистики для определенных видов объектов, предприятий, отраслей, так как полные данные по связке «атака-инцидент» могут раскрыть конфиденциальные или секретные (КИИ) данные о защищенности.
Статистика атак для руководителя и безопасника
Что ещё даёт статистика компьютерных атак руководителю организации, заму по безопасности и руководителю подразделений ИТ и ИБ (или CISO, если он достиг такого уровня):
- трудоёмкость – сколько времени и ресурсов отнимает детектирование, отражение и т.п.;
- потребность в ресурсах – СЗИ, подключение SOC, подписку на ресурсы TIP и т.п.;
- потребность в кадрах соответствующих направлений и квалификации.
А сколько атак фиксируете и отражаете вы? Как классифицируете? Как используете эти данные? Буду рад обратной связи от практиков