«Наша инфраструктура, по сути, была отформатирована», — исполнительный директор «Орион Телеком» о разрушительной кибератаке в интервью SecPost

В 2025 году российская отрасль телекоммуникаций пережила целую серию громких атак. Одной из наиболее громких из них была атака по сибирскому провайдеру «Орион Телеком», ущерб для которого оценивался в 66 млн рублей. В интервью SecPost исполнительный директор компании Денис Якунин рассказал о том, как была устроена атака, и какие процессы в «Орион Телеком» пришлось пересмотреть, чтобы обезопасить оператора.

О герое: Денис Якунин занимает пост исполнительного директора «Орион Телеком» с июня 2024 года. В 2005 году окончил Красноярский Государственный Технический Университет (КГТУ), квалификация «Инженер» по специальности «Техническая эксплуатация транспортного радиооборудования». С 2009 по 2012 годы руководил Братским отделением Иркутского филиала «Вымпелкома». Затем два года руководил городским центром продаж и обслуживания телекоммуникаций в «Ростелекоме». С 2018 по 2023 годы занимал пост руководителя группы продаж в МТС.

В 2026 году мы видим рост числа атак на многие отрасли российской экономики, в том числе и на телеком-операторов. Ощущаете ли вы эту тенденцию, ожидаете ли её усиления?

— Точно да. Мы действительно видим системный рост атак, и не только на телеком-операторов. Мы считаем, что телеком-операторы — это одна из отраслей, которая в первую очередь является частью инфраструктуры жизнеобеспечения. Параллельно мы видим, что цветет тренд на хактивизм — политически мотивированные атаки, целью которых является резонанс. И мы понимаем, что с учетом того, что атаки на телеком приводят к существенному резонансу среди конечных пользователей, они будут чаще подвергаться атакам. И, конечно, мы знаем, что наши абоненты будут сами в первую очередь поддерживать резонанс как пострадавшие.

Мне кажется, что этот тренд касается и телекома, и банковского сектора, и ритейла.

Мы внимательно следим за профильными исследованиями в сфере ИБ — взять тот же недавний отчет «Солара». Согласно ему, 2024 год отличился тем, что до 70% атак приходилось со стороны субъектов из недружественной страны. Но в 2025 году картина начала меняться: децентрализация начала расти, мы видим расширение количества векторов, из которых поступают атаки. Видим и тенденцию на «заказные» атаки.

В июне 2025 года на «Орион Телеком» была проведена масштабная хакерская атака. Каковы были обстоятельства этой атаки?

— Отмечу, что до июня 2025 года наша компания не сталкивалась с такими масштабными атаками от слова совсем. Но у нас не было иллюзий по поводу того, что мы должны быть атакованы, — потому что буквально в апреле того же года в нашем «материнском» регионе, в Красноярском крае, уже был атакован один из провайдеров.

Атака на «Орион Телеком» произошла 12 июня 2025 года, в День России. Дата злоумышленниками, по всей видимости, была выбрана не случайно — мы, как и вся страна, думали отдохнуть. Я с семьей, например, закрывал хоккейный сезон.

«Орион Телеком» судится с Роскомнадзором из-за утечки данных после атаки BO Team

Сейчас, после изучения всех технических отчетов, в том числе и независимых, мы можем сказать, что 12 июня произошла скорее кульминация. Атаке предшествовала глубокая предварительная подготовка. Цель злоумышленников была очень простой: полное разрушение инфраструктуры компании.

Мы ожидаем окончательного решения от коллег из правоохранительных органов, завершения расследования. Много вопросов пока остаются в пределах закрытого правового контура: как именно происходила атака, почему целью были выбраны именно мы, почему действовала именно эта группировка?

Но уже сейчас мы точно можем заявлять, что атака была совершена профессиональной хакерской группировкой. При всем при этом, как это обычно бывает в таких историях, нападающим содействовали силовые структуры недружественной стороны.

В конечном счете, после 12 июня мы пережили еще три атаки. Так получилось, что по итогу этого инцидента мы стали куда больше разбираться в ИБ, стали лучше понимать, как происходят такие атаки. И мы приобрели некий такой иммунитет, устойчивость информационной безопасности — мы выстояли эти атаки. Но в декабре произошла уже четвертая подобная атака, когда мы испытывали давление на инфраструктуру в 297 Гб/с. Пришлось выйти в эфир и объяснить абонентам происходящее.

Безусловно, несмотря на то, что мы не падали, что мы устояли, наши абоненты ощущали деградацию сервиса — и мы должны были это прокомментировать.

Как изменилось отношение в компании к ИБ после атаки? Какие действия были предприняты, что пришлось «подтягивать»?

— Сразу после того, как мы восстановились, мы пересмотрели все политики компании в этой сфере: от парольных политик до метода 3-2-1 (метод резервного копирования. — Прим. SecPost). Но самое главное, что мы вынесли и что изменили, — это внедрили риск-ориентированный подход.

Оказывается, практически ни в одном учебнике нет четкого ответа, кто ответственен за такие кризисы. Сейчас я с полной уверенностью могу сказать, что ответственным будет либо собственник, либо генеральный, либо исполнительный директор. Точно не технический директор, точно не CISO.

Мы начали активно делиться собственным опытом с коллегами по рынку в вопросах управления кризисами. Нам, бывает, звонят даже и не из телеком-отрасли, задают вопросы: «Нас зашифровали, что делать?» Первый вопрос — есть ли бэкапы? Чаще всего их нет. Сколько «простаивает» компания из-за кризиса? Вышли ли к клиентам или абонентам, объяснили ли ситуацию? Почему о проблеме знает ваш CISO, но не знает собственник?

Есть часть задач, которые не имеют технического характера, но которые необходимо делать в ситуации кризиса.

Все это мы пересмотрели после июньской атаки и теперь делимся своими методичками. Начали, конечно, с того, что можно говорить в публичном поле о происходящей атаке. Ведь оказывается, по нашей практике, что слушают твой эфир не только клиенты и конкуренты, но и те, кто тебя подломал. И в зависимости от того, как ты будешь рассказывать о своих успехах или неудачах в отражении атаки, ты будешь ожидать следующий шаг от злоумышленников.

Получается, защищаясь от атаки, необходимо применять социальную инженерию в отношении атакующих?

— Абсолютно точно.

Вы говорили о том, как сильно повлиял июньский инцидент на компанию. Повлиял ли он на вас каким-то образом как на исполнительного директора компании? Пришлось ли осваивать какие-то новые компетенции, пересматривать подходы?

— Безусловно. Нужно понимать, что в информационной безопасности есть две стороны.

Одна из них — регуляторная. И согласно ей первое лицо в организации в первую очередь отвечает перед законом. Вторая же сторона — это непосредственно физическая часть вопроса, сама защита систем. И вторая часть сопряжена с таким моментом, что компании, аналогичные нам по масштабам, вряд ли могут себе позволить расширить штат в ИБ, дополнить его узкими специалистами, развернуть целый SOC. И уж тем более они не смогут потянуть разработку собственных продуктов для безопасности, вроде той же защиты от DDoS-атак. Да это и не нужно, по моему убеждению.

Но нужно понимать, что и сторонние решения не всегда позволяют выстроить сплошную защиту. Мы покупали, например, решение для защиты от DDoS-атак, но во время атаки оно попросту не срабатывало. Мы связывались с поставщиком, просили: «Уважаемый наш партнер, пожалуйста, включите московских коллег — помогите, покажите, как это работает». И мне доводилось слышать ответ: «Слушайте, очень здорово, вы купили пушку, но она по воробьям стрелять не будет».

Потому что может быть атака, допустим, посредством генеративного DDoS. Или же это какой-то точечный, маленький DDoS. И несмотря на это, он вполне может загнуть компанию очень сильно. И в следующую итерацию всей этой истории ты уже обращаешься с просьбой подключить какой-либо другой продукт, не так важно какой, общаешься с поставщиком, предлагаешь считать день поставки продукта уже днем контрактования. Но и не все подрядчики с этим справляются, не все так могут.

Я уже упоминал, что к нам после той серии атак стали чаще обращаться за рекомендациями. И меня приглашают выступать, но не столько как специалиста по ИБ, а скорее как руководителя, готового поделиться опытом кризисного управления. Разбираем вопросы, например, реакции на киберинциденты — условно говоря, кто должен быть в кризисном штабе? Не один только технический директор. Там должен быть и финансовый директор, и руководитель юридической службы, и директор по коммуникациям, и коммерческий директор. Все те, кто будут вытаскивать компанию из кризисной ситуации, — спокойно, в определенных контурах управления выполнять свои задачи. До тех пор, пока ИБ или технический департамент не скажут, что они закончили свои работы.

К слову о покупке решений: как обстоят дела в компании с импортозамещением решений в информационной безопасности?

— Мы полностью на российском продукте уже, но я вот что хочу подчеркнуть. Конечно, мы смотрим на законопроекты, мы видим тенденции. Более того, мы как телеком-оператор должны были предоставить свой многолетний план импортозамещения, и мы его предоставили.

Но у нас нет иллюзий, что какой бы там самый лучший в мире продукт ты ни купил, даже если он не отечественный, он не гарантирует тебе стопроцентную безопасность. Поэтому мы делаем ставку, еще раз, на иммунитет — на наше умение управлять кризисами, действовать в ситуации неопределенности.

С точки зрения продуктов инфобеза — они у нас все российские: и те, которые у нас стоят на значимых объектах, и те, которые мы устанавливаем на клиентскую часть.

А как же нарекания, которые вы упоминали? По поводу DDoS-атак. Чего не хватает, на ваш взгляд, российским разработчикам?

— Тут хочется зайти несколько издалека. В 2019 году, когда мир начал переходить на «ковидный» режим, интенсивность атак увеличилась кратно. Параллельно наши пути с остальным миром очень сильно разошлись из-за геополитической обстановки. В конечном счете-то что произошло? Зарубежные продукты, в том числе и ИБ, свернулись и ушли.

Безусловно, написать сегодня, условно говоря, какой-нибудь Windows — это окажется очень большим вопросом с точки зрения экономики: нужны годы, чтобы создать комфортный продукт. И я не могу сказать, что у меня нет каких-то пожеланий, — конечно, они есть. Но я отмечу, что разработчики и вендоры, с которыми мы сейчас общаемся, слышат нас и наши пожелания.

Если вернуться к теме DDoS, но отойти от вопроса вендоров, я хочу привести такой пример. Мы понимаем, что наш текущий вендор, который нам поставляет, например, профили каких-то конкретных группировок, против которых мы самостоятельно не сможем выстоять, он же тоже атакуется. И внутри собственной инфраструктуры мы, безусловно, делаем эшелонирование. Будучи региональным, полностью частным бизнесом, мы не способны платить за второй, третий эшелон от DDoS — просто из-за стоимости. Так что мы просим вендоров помогать нам, и часть из них идут к нам навстречу.

Но еще раз: иллюзии, что есть какая-то стопроцентная гарантия, что если ты купишь все коробки мира, то будешь тотально защищен, — этой иллюзии быть не должно. Даже если все коробки мира сработают, то без адекватной работы антикризисной команды этого будет недостаточно. Даже если всю компанию запихнуть под купол, то в любом случае происходит деградация сервиса, а значит — это уже ситуация управленческого кризиса.

И тебе нужно выйти к клиентам и объяснить, почему твой сервис сейчас не самый лучший. И самое главное, есть риск, что ситуация ухудшится.

С учетом увеличения числа атак и дороговизны средств защиты, не ожидаете ли вы, что телеком-рынок начнет перестраиваться?

— Рынок точно будет консолидироваться, и атаки будут скорее ускорять этот процесс. Отмечу, что ни один рубль, инвестированный в регуляторные требования, вроде установки той же СОРМ, или инфобез, который должен защитить компанию, не генерирует ни рубля выручки, нет дополнительной ценности компании.

Другой момент, что и у атак есть собственная экономика. И атаки необходимо отражать. Если этого не происходит и они просто сходят на нет — это не значит, что вы выиграли. Это значит, что вас будут «сушить» до победного. Поэтому когда вы находитесь под давлением атаки от мощной группировки из недружественной страны, то вам, к сожалению, придется ее отбивать. Как только вы отбиваетесь, то экономика атаки разрушается — и вас отпускают. Злоумышленники переходят к следующей компании в списке.

Но чтобы отбить, необходимо инвестировать. И здесь встает вопрос о большом-большом чеке на защиту. Так что необходимо принимать непростые решения.

Во время июньской атаки, когда наша инфраструктура, по сути, была отформатирована, мы понимали, что нам еще предстоит заниматься внутренней гигиеной своих сетей, усиливать безопасность. И мы решили, что готовы на какое-то время отказаться от финансового потока. При этом мы понимали, что есть час и день икс, когда компания просто начнет отмирать, если выручка перестанет поступать.

И в этот момент мы решили, что готовы предоставлять свои услуги практически бесплатно — просто для того, чтобы сохранить клиентскую базу. И готовы прожить без финансирования какой-то период, пока мы дадим технарям время возобновить работу внутренних систем, биллинговых систем, выстроить информационную систему.

Это непростое решение. Но у нас эта стратегия себя оправдала — по итогам 2025 года мы приросли по выручке. Даже несмотря на атаку, которая принесла потери.

Безусловно, есть ряд факторов. Если бы мы решили «сушиться» несколько месяцев — картина была бы иная. Сыграла высокая лояльность клиентов, собранность компании, какую-то часть сыграло отсутствие мобильной связи. Но скорость реакции управления в конечном счете очень сильно влияет на то, как ты выходишь из ситуации.

А какие были финансовые итоги июньской атаки? Можете ли назвать цифру, сколько «Орион Телеком» потерял из-за атаки?

— У нас есть оценки прямые, финансовые. Правоохранительные органы оценивали в несколько десятков миллионов рублей — это правда.

Но у нас было два сценария по абонентской базе — «красный» и «зеленый». Последним предполагалось, что мы должны потерять около 10% клиентов. Но мы прошли гораздо лучше, чем по «зеленому» сценарию.

Как сейчас устроена ваша команда информационной безопасности? Какая структура и штат? Как планируете развиваться в 2026 году?

— У нас есть отдельное подразделение по информационной безопасности — оно полностью обеспечивает правовую, учебную, лабораторную и техническую части. Они — элемент, который напрямую взаимодействует с нашими партнерами, у которых мы берем продукты круглосуточного мониторинга. Таким образом, мы усилены нашими вендорами и поставщиками.

Наша ИБ имеет полномочия управлять технической службой — она у нас огромная, в четырех субъектах страны. Бюджет на ИБ в прошлом году подрос, там несколько десятков миллионов рублей. В 2026 году сумма схожая.

Мы продолжаем закупки систем как в части софта, так и железа для нашей защиты. Для нас это плановая работа, которую мы проводим систематически. Но есть и другая часть нашей работы — мы сейчас проводим учения, в первую очередь с топ-составом, чтобы наши управленцы были готовы к кризисным ситуациям. У нас несколько сотен сотрудников в одном только телеком-направлении. И нам принципиально точно знать, чтобы в каждом регионе каждый руководитель каждого уровня понимал, что будет делать компания, заходя в очередной потенциальный кризис: что можно говорить клиентам, что нельзя, как необходимо действовать в целом.

Чего обычно не хватает в учениях? Допустим, имеется хороший план реагирования на тот или иной инцидент, но, как всегда, не хватает времени, чтобы провести тренировку. Честно говоря, я почти и не знаю компаний, которые полноценно их проводят, — может, разве что крупные федеральные. Мы же проводим учения при любом техническом инциденте, например на каком-то элементе сети. То есть, если что-то где-то упало, мы автоматически включаем инфобез в разбор инцидента.

Это значит, что любая аварийная ситуация в нашей компании сопровождается проверкой со стороны нашей информационной безопасности на наличие потенциальных угроз. Это же не кино, где хакерские атаки — это какой-нибудь красный значок на весь экран. Атаки начинаются незаметно — допустим, с того, что потихоньку сворачивается какой-то один из сервисов. Очень важно уметь быстро реагировать, подключаться и разбираться, что именно происходит.

Помимо этого, сейчас очень живая, мне кажется, регуляторная часть. Мы следим за законопроектами, приказами ФСТЭК, потенциальными изменениями в регуляторике. Это, на самом деле, тоже огромная работа.

Какие советы вы бы хотели дать CISO из других организаций, особенно в части защиты бюджета? И что вы порекомендуете другим руководителям компаний в части информационной безопасности?

— Когда к тебе приходит CISO и раскладывает бюджет, первый вопрос — а какая экономика этих инвестиций, за счет чего и что будет из себя представлять отдача? Но когда случается несчастье, я сейчас привожу гипотетический сценарий, который, я уверен, нет-нет да у кого-нибудь случается, CISO разводит руками и говорит: «Слушайте, я же высылал вам бумажку, вы ее тогда не утвердили, а там была такая коробка, что все мы бы спаслись». Да, есть такая дилемма.

Но почему-то в моем окружении, по крайней мере пока, немногие CISO говорят о риск-ориентированном подходе. Я повторюсь: нельзя защитить компанию на 100%. Опять же, без имен — мы все прекрасно помним прошлый год, когда был нанесен удар по одной из компаний в сфере авиации. И таких бюджетов на ИБ, как там, наверное, не было и не будет ни у одного из телеком-провайдеров на рынке России. Вопрос не в деньгах, вопрос в управлении.

CISO должен точно понимать устройство сети. Он должен сказать: «Слушайте, вот это — критически важный элемент нашей сети, более того, он может быть и критически значимым согласно действующему законодательству, и нам необходимо обеспечить его безопасность». И эту критическую часть необходимо спасать в первую очередь, если она — основа бизнеса.

С точки зрения приоритизации, с точки зрения языка бизнеса CISO будет гораздо проще общаться при защите любого бюджета. Если он говорит про бизнес, а не про то, что ему нужны деньги на какую-то железку, — он будет понят. Директор, извините меня, вообще не должен разбираться, что значит NGFW. Впрочем, знаю о таких случаях, когда и заместители по ИБ этого слова не знают.

Мне кажется, язык должен быть один и тот же у CISO и руководства — и это прежде всего язык бизнеса.