Цифровой Армагеддон: почему при отключении интернета компании становятся уязвимее перед хакерами

Цифровой цунами

В Иране с начала 2026 года продолжаются протесты. На фоне забастовок в Тегеране и других крупных городах страны происходят сбои связи – по данным независимых систем мониторинга, вероятно, они управляемы и их производят местные власти.

По данным сервиса NetBlocks, занимающегося отслеживанием доступности интернета у разных операторов, в некоторых регионах Ирана происходит «цифровой блэкаут» — полное отключение сети. Мессенджеры не открывают сообщения, сайты не грузятся, VPN то подключается, то нет, жалуются жители страны.

В январе во время самых сильных блокировок у Ирана и вовсе пропала видимая снаружи IPv6-инфраструктура (специальный протокол, который используется для идентификации устройств и обмена информации в интернете – ред.). Этот протокол преимущественно применяется в мобильных сетях, которые в это время, действительно, резались сильнее всего.

Подобные отключения интернета, кроме экономических потерь, несут и серьезные риски для кибербезопасности компаний. При этом блэкаут создает иллюзию защищенности.

В действительности во время полного цифрового блэкаута компании лишаются систем мониторинга угроз в реальном времени, не могут устанавливать критические патчи безопасности и теряют доступ к облачным защитным сервисам, рассказывает Евгений Гуляев, руководитель отдела реализации проектов и поддержки продаж R-Vision. Также, говорит он, в этот период системы аутентификации, зависящие от облачных решений, перестают функционировать, что тоже может привести к масштабным сбоям.

При цифровых блэкаутах перестают правильно работать все внутренние системы безопасности компаний. Security Operation Center (SOC) теряют видимость событий, это парализует реагирование на инциденты, говорит директор по информационной безопасности сервиса «Грузовичкоф» Дмитрий Ляхов. Нарушается работа центров сертификации: недоступность серверов проверки действительности сертификатов (OCSP) блокирует доступ к облачным сервисам и B2B-интеграциям. Также внутренняя PKI-инфраструктура (дословно, «инфраструктура открытых ключей» —совокупность технологий, стандартов, нужных для создания, управления, хранения цифровых сертификатов – ред.) может дать сбой без синхронизации с внешними центрами сертификации).

Кроме того, риски кибератак повышают и сами пользователи. Например, в Иране во время самых сильных блокировок резко выросло число атак социальной инженерии, продолжает Гуляев. Жители страны, стремясь восстановить доступ к сети, устанавливали поддельные VPN-приложения и инструменты обхода блокировок, содержащие вредоносный код. «Так, во время июньского отключения 2025 года в Иране интерес к VPN-сервисам вырос на сотни процентов, что спровоцировало массовую волну фишинговых атак через фальшивые приложения», — поясняет эксперт.

Когда же восстанавливается доступ к интернету, возникают новые угрозы: в этот момент проявляются самые сильные всплески активности преступников – они могут совершать мощные DDoS-атаки, находить уязвимости в необновленном ПО, подчеркивает менеджер по развитию UserGate SIEM Дмитрий Чеботарев. По его словам, вместе с этим увеличивается вероятность фишинга из-за ошибок, связанных с простоем в работе сотрудников.

Другим риском для компаний становится то, что во время восстановления связи происходит массированный выброс накопленных данных — логов, транзакций, синхронизации облачных сервисов, очередей обновлений, поясняет Анатолий Сазонов, руководитель департамента соответствия требованиям по информационной безопасности Infosecurity (входит в группу компаний Softline). «Это создает аномально высокую нагрузку на системы, злоумышленники, знающие о графике отключений, могут запланировать атаку на момент включения, рассчитывая на неразбериху и уязвимости в устаревшем ПО, которое не успело обновиться», — поясняет эксперт.

Веерные отключения

Опрошенные SecPost эксперты говорят, что самые большие киберриски несет не полный блэкаут, а периодические частичные отключения интернета.

Во время полного цифрового блэкаута ситуация более определенная: угрозы фишинга, сканирования и других атак нет. Все работают в заведомо ограниченных условиях, а фокус смещается на внутреннюю защиту периметра, а вот частичные или нестабильные отключения создают иллюзию доступности, осложняя администрирование и реагирование, говорят опрошенные SecPost эксперты. «В действительности же при них специалисты не могут удаленно управлять инфраструктурой или применять исправления. И это фактически парализует борьбу с инцидентами», — говорит Дмитрий Ляхов.

При частичной блокировке всегда остаются какие-то каналы связи с глобальной сетью – отдельные провайдеры, белые списки, объясняет директор по кибербезопасности «Домклик» Андрей Лагоденко. «Мониторинг и безопасность проседают, специалисты по кибербезопасности могут пропустить какие-то инциденты, часть информационных систем у компаний перестают быть доступными», — говорит он, добавляя, что системы обновляются без синхронизации, поверхность атаки становится динамической. Новые метрики, продолжает Лагоденко, и понимание приходящего приходит к аналитикам с задержкой: «в итоге детектировать и противостоять атаке становится намного сложнее».

По словам Евгения Гуляева, анализ иранских кейсов показывает, что полное семидневное отключение связи в ноябре 2019 года, действительно, создало предсказуемую среду. Компании перешли в режим «осады», задействовав заранее подготовленные офлайн-процедуры и изолированные контуры управления. «Напротив, введенные в 2022–2023 годах «комендантские часы» с циклическими 12-часовыми отключениями мобильного интернета создавали множественные и повторяющиеся окна уязвимости при каждом переходе между online- и offline-режимами. Такая фрагментированная связность нарушает устойчивость защитных контуров, осложняет контроль целостности систем и существенно повышает вероятность успешных атак в моменты восстановления соединения», — заключает эксперт.

Российский блэкаут

В России также в связи с атаками беспилотников в некоторых регионах происходит отключение мобильного и даже обычного проводного интернета. Эти ограничения начались с начала 2025 года, а их пик пришелся на май 2025-го, когда происходила подготовка к проведению Парада Победы в Великой Отечественной войне. Отключение сети позволяет заблокировать возможность управления дронами ВСУ по каналам мобильной связи.

Чаще всего блокировки происходят в близких к Украине регионах Центрального и Южного федеральных округов.

По словам Дмитрия Ляхова, такие блокировки в России создают новые риски для регионального бизнеса. Растут таргетированные фишинговые атаки: злоумышленники, зная о проблемах со связью, используют это, как и в Иране, в социальной инженерии. В ходу рассылки от имени «техподдержки оператора» с требованием «подтвердить данные для восстановления приоритетного доступа» или установить «приложение, которое позволяет обойти блокировки». Например, хакеры могут пользоваться деактивацией пользователей во время отключений, подменяя в этот момент сервисы. После блокировок пользователи видят, что доступ к сервисам «Сбера», «Госуслуг» снова появился – надо лишь повторно авторизоваться. И не все будут внимательно смотреть, на каком сервисе они авторизуются: на официальном или подменном. Через фейковые сервисы можно будет проникать в периметр организаций, объясняет заместитель генерального директора по науке и развитию ИВК Валерий Андреев.

Наиболее значительным является риск для объектов критической информационной инфраструктуры (КИИ). Отключения связи парализуют работу автоматизированных систем управления технологическими процессами (АСУ ТП), требующих постоянного удаленного мониторинга или синхронизации — это может привести к авариям или переходу на менее безопасный ручной режим, говорит Анатолий Сазонов.

Еще один риск при постоянных блокировках — угрозы для цепочек поставок (supply chain). Отключения нарушают работу не только локальных компаний, но и их контрагентов по всей стране, которые не могут отследить грузы, провести оплаты или получить данные, это делает всю цепочку уязвимой, поясняет Сазонов.

Из-за постоянных блокировок появляются «серые» каналы связи. Компании, чья деятельность напрямую зависит от связи (логистика, банки, ритейл), подключают спутниковый интернет или резервные радиоканалы. Они часто не проходят должной оценки безопасности, не контролируются ИБ-службами и становятся лазейкой в корпоративный периметр. Используются скомпрометированные или недоверенные устройства, появляются провалы в аутентификации, и вместо MFA (многофакторная аутентификация – ред.) применяют пароли, объясняет руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин.

Наконец, серьезный риск создает и остановка работы госсервисов. Например, без интернета не работает Единая биометрическая система и система распознавания лиц, с них не будут передаваться данные на центральный сервер. В итоге не фиксируется передвижение преступников, продолжает Юрий Рожин, руководитель департамента проектирования и внедрения «Кросс технолоджис». Другая проблема — прерывание передачи чувствительных данных в ГосСОПКА. Это выливается в нарушение сроков предоставления информации об инцидентах и, следовательно, в регуляторные сложности, но не несет реального усиления рисков от злоумышленников.

Карточный домик безопасности

Отделы кибербезопасности компаний во время отключений интернета перестраивают свои работы. Компании, работающие в регионах, где часто блокируют интернет, заранее продумывают, что они будут делать в случае, например, отключения какого-то типа трафика, говорит Алексей Горелкин, эксперт по кибербезопасности Института экономики роста им. П.А. Столыпина, генеральный директор компании Phishman. Он отмечает, что можно договориться с регулятором так, чтобы адрес компании не блокировался. Также можно создать план восстановления данных: все современные почтовые программы, к примеру, позволяют накапливать сообщения, то есть можно продолжать работать, писать какие-то письма, и когда интернет заработает, все они уйдут адресатам.

Также в регионах, где есть блокировки, надо учитывать сценарии длительного отсутствия или нестабильности интернета, продолжает Дмитрий Ляхов. Надо быть готовыми развернуть локальные зеркала серверов обновлений, резервные контроллеры систем защиты, планирования инцидент-ответа в автономном режиме.

Также компаниям рекомендуется создавать критичные сервисы максимально автономными – иметь свой сервер обновлений, свой локальный центр сертификации, свой кеширующий DNS и подобное, говорит Сергей Полунин. Надо иметь стратегию по разграничению контуров. «Условно нужно четко разделить, где заканчивается офисная сеть, производственная и, например, административная, и что конкретно можно сделать для создания их полной автономии на случай блэкаута», — заключает он.

Таким образом, компании могут снизить киберриски при отключениях сети. Хотя многие из них этого и не делают, т.к. у ряда предприятий просто может не быть штатного отдела, занимающегося кибербезопасностью.