Исследование Bitdefender: компании давят на сотрудников, чтобы скрыть утечки данных
В каждой старой редакции был запертый ящик в столе главного редактора — туда отправлялись неудобные истории. О них узнавали спустя годы, обычно когда юрист уже ушёл на пенсию, а компанию давно продали. Современные команды безопасности, как оказывается, работают с точно таким же ящиком. Только теперь внутри лежит сообщение с требованием выкупа от вымогателей.
Новое исследование Bitdefender, опубликованное Cybersecurity Insiders, описывает то, в чём большинство CISO признаются лишь в неформальной обстановке: многие компании негласно просят собственных сотрудников замалчивать инциденты безопасности. Этот ящик становится тяжелее, а замок куда ненадёжнее, чем думает руководство.
Что произошло
Главный вывод Bitdefender сформулирован без обиняков. Значительное число специалистов по кибербезопасности сообщили, что работодатели просили их скрывать или не сообщать об утечках данных. Около 55% опрошенных сотрудников заявили, что им препятствовали или прямо запрещали открыто обсуждать инциденты безопасности внутри организации. Это не сбой в коммуникации. Это политика — независимо от того, была ли она когда-либо зафиксирована в документе.
Важен и контекст этой цифры. Более половины респондентов сообщили, что за последние двенадцать месяцев их организации неоднократно подвергались попыткам кибератак. Стандартный набор угроз: компрометация корпоративной электронной почты (BEC), несанкционированный доступ к облачным сервисам и заражение программами-вымогателями. Ничего экзотического — это будни любого SOC, та скучная рутина, о которой не рассказывают на конференциях.
Bitdefender трактует это как растущий коммуникационный разрыв между бизнес-руководством и командами кибербезопасности. Это мягкая формулировка. Если говорить прямо: руководители, столкнувшись с требованиями раскрытия информации, давлением регуляторов и опасениями за котировки акций, предпочли бы, чтобы инженеры безопасности сделали вид, что тревожных записей в логах никогда не существовало. Эксперты по кибербезопасности и правоохранительные органы годами говорят об обратном: сообщать нужно быстро, широко, и давать специалистам возможность выполнять свою работу. Во многих странах законодательство о защите данных переводит этот совет в жёсткое правовое требование — с временными рамками на уведомление, исчисляемыми часами или сутками.
Прибавьте к этому AI-составляющую — и ситуация становится ещё хуже. Респонденты Bitdefender убеждены, что злоумышленники сегодня извлекают из AI больше пользы, чем защитники. Автоматизированный фишинг, убедительные сообщения для социальной инженерии, обнаружение уязвимостей в масштабе — всё это обходится атакующей стороне дешевле, чем прежде. А защитникам при этом приказывают молчать.
Техническая механика
Механизм замалчивания интереснее, чем кажется на первый взгляд. Когда утечку скрывают, это редко происходит чисто. Кто-то в SOC видел оповещение. Кто-то открыл тикет. Кто-то снял PCAP. Затем менеджер или его руководитель принимает решение переклассифицировать инцидент как «ошибку конфигурации» или «замечание по гигиене» — и тикет тихо меняет форму.
Любой, кто наблюдал, как тикет по инциденту понижают в приоритете в реальном времени, прекрасно знает, чем это кончается. IOC отправляются в закрытый канал вместо общего фида threat intelligence. Криминалистическая временная шкала обрывается на точке первоначального доступа, не доходя до бокового перемещения. Затронутая система пересобирается без надлежащего снятия дампа памяти. К тому моменту, когда внешний аудитор задаёт неудобный вопрос, доказательства уничтожены, а история выглядит безупречно.
Такова техническая цена молчания. Вы теряете артефакты, позволяющие сопоставить поведение атакующего с MITRE ATT&CK, — а значит, не сможете определить, вернётся ли тот же актор через другую точку входа через шесть недель. Теряется корреляция по CVE, и патчинг остаётся реактивным. Исчезает возможность делиться индикаторами компрометации с коллегами — а это единственное, что последовательно срывает скоординированные кампании.
Тем временем инструментарий атакующих становится острее. Фишинговые приманки, сгенерированные AI, лишены характерных грамматических ошибок, которые раньше срабатывали на почтовых фильтрах. Сообщения для социальной инженерии можно адаптировать под каждого получателя, используя собранные из открытых источников данные. Сканеры уязвимостей с LLM-обёртками способны выстраивать цепочки находок по облачному периметру цели быстрее, чем это сделает человек-пентестер. Когда BEC, захват облачных аккаунтов и программы-вымогатели занимают первые три строчки угроз, а защитники активно скрывают данные о них, асимметрия перестаёт быть теоретической. Это и есть вся игра.
Кто пострадает
Очевидные проигравшие — клиенты, чьи данные окажутся на сайтах утечек спустя полгода после инцидента. Но более интересный список жертв — внутренний.
Регулируемые отрасли пострадают первыми. Платёжные процессоры, операторы iGaming и финтех-платформы работают в условиях режимов раскрытия информации с реальными санкциями. Если цифры Bitdefender хотя бы приблизительно отражают ситуацию в отраслях, значительная часть этих компаний сидит на нераскрытых инцидентах, о которых они обязаны были уведомить регулятора по закону. Это не гипотетический штраф. Это событие уровня совета директоров, ожидающее повестки суда.
Команды в сфере криптовалют и DeFi сталкиваются с тем же в несколько иной форме. Публичные блокчейны означают, что доказательства эксплойта на цепочке обычно видны в течение нескольких минут, однако разбор полётов вне цепочки — та часть, где объясняется, как утекли приватные ключи или как мультиподпись была скомпрометирована через социальную инженерию, — зачастую так и не публикуется. Пользователи теряют доверие быстрее, когда молчание становится оглушительным.
Вендоры ad-tech и корпоративного SaaS сталкиваются с проблемой цепочки поставок. Каждый нераскрытый захват облачного аккаунта — это живые учётные данные где-то в Slack клиента или в Snowflake партнёра. Когда это всплывёт, история будет подана как инцидент в цепочке поставок, и вендор окажется злодеем — независимо от того, была ли изначальная компрометация его виной.
И наконец — сами инженеры безопасности. Те 55%, которым запрещали говорить об инцидентах, не останутся у этих работодателей навсегда. Лучшие уйдут и унесут с собой институциональную память. Оставшиеся научатся создавать более тихие тикеты. Ни тот, ни другой исход не устроит CTO, подписывающего очередное продление SOC 2.
Руководство для команд безопасности
Приоритетная задача сейчас — не покупка нового инструмента. Это аудит политик.
Начните с матрицы классификации инцидентов. Кто имеет право понизить Sev-2 до Sev-4 — и фиксируется ли это решение в системе, которую руководитель CISO не может тихо отредактировать? Если нет — вот первое исправление. Неизменяемые журналы инцидентов, хранящиеся вне досягаемости тех, кому выгодно их исчезновение, — это самый дешёвый контроль, который вы внедрите в этом квартале.
Далее — проверьте свои сроки раскрытия информации. Для каждой юрисдикции, в которой вы работаете, запишите окно уведомления и событие-триггер. Повесьте это на стену SOC, если нужно. Когда руководитель впоследствии предложит «подождать и убедиться», дежурный инженер будет иметь что-то конкретное, на что можно указать.
В-третьих, создайте защищённый канал для сообщений об инцидентах, который не проходит через менеджера, заинтересованного в закрытии тикета. Омбудсмен, внешняя горячая линия, контакт аудитора на уровне совета директоров — выберите один вариант и опубликуйте его. Выводы Bitdefender — это по сути история о разоблачителях, оформленная в виде опроса, и решение здесь то же самое, что используется в любой системе защиты разоблачителей.
Наконец, инвестируйте в AI на стороне защиты — но делайте это осознанно. LLM-ассистированная сортировка, автоматическое обогащение IOC и классификаторы фишинговых приманок возвращают время. Но они не вернут культуру, которая наказывает за честность. Инструменты сами по себе не закроют разрыв, описанный в исследовании.
Ключевые выводы
- Исследование Bitdefender показывает: около 55% опрошенных сотрудников подвергались давлению с целью предотвратить открытое обсуждение инцидентов безопасности внутри организации.
- Более половины респондентов сообщили о частых попытках кибератак за последние 12 месяцев; лидируют BEC, захват облачных аккаунтов и программы-вымогатели.
- Скрытые утечки дают злоумышленникам больше времени на присутствие в сети, уничтожают криминалистические доказательства и подвергают компании юридическим и репутационным рискам, несопоставимым с ущербом от самого инцидента.
- Респонденты убеждены, что злоумышленники сегодня извлекают из AI больше пользы, чем защитники, — в фишинге, социальной инженерии и поиске уязвимостей.
- Решение носит структурный характер: неизменяемые журналы инцидентов, опубликованные сроки раскрытия информации и каналы для сообщений, минующие заинтересованных в молчании менеджеров.
Запертый ящик в редакторском столе всегда открывался в конце концов — обычно тем, кто уже не работал в этой редакции. С инцидентами безопасности действует то же правило. Компания, по сути, выбирает лишь одно: откроет ли ящик собственная команда, в собственные сроки, или это сделает злоумышленник, торжествующий на каком-нибудь сайте утечек. Сейчас, согласно Bitdefender, большинство компаний по умолчанию выбирают второй вариант.
Часто задаваемые вопросы
В: Что конкретно выявило исследование Bitdefender о сокрытии утечек?
Исследование показало, что значительное число специалистов по кибербезопасности получали от работодателей просьбы скрывать или не сообщать об утечках данных. Около 55% опрошенных сотрудников заявили, что им препятствовали или запрещали открыто обсуждать инциденты безопасности внутри своих организаций.
В: Почему затянутое раскрытие информации об утечке — серьёзная техническая проблема?
Задержка даёт злоумышленникам больше времени для расширения доступа и нанесения дополнительного ущерба. Она также уничтожает криминалистические доказательства, нарушает обмен IOC с коллегами и лишает возможности сопоставлять поведение атакующего с известными фреймворками — что делает повторные вторжения того же актора значительно сложнее для обнаружения.
В: Как AI меняет баланс между атакующими и защитниками согласно исследованию?
Многие опрошенные специалисты убеждены, что киберпреступники сегодня получают от AI большее преимущество, чем защитники. Злоумышленники используют его для автоматизации фишинговых кампаний, создания убедительных сообщений социальной инженерии, выявления уязвимостей и проведения более изощрённых атак в масштабе.
Bad Epoll 0-Day: эксплойт ядра Linux и Android через гонку состояний
CVE-2026-46242 превращает гонку из шести инструкций в ядре Linux epoll в 99% надёжный root-эксплойт, достижимый из renderer Chrome. Что нужно решить техническим руководителям в этом квартале.
Утечка данных 70 000 записей из IBM Cloud через Singapore Land Authority
Набор «тестовых» данных 1998 года в облачной среде IBM раскрыл информацию о 70 000 реальных жителях Сингапура. Боевые системы устояли. Песочница вендора — нет.
Exploitarium: Дамп Zero-Day Меняет Подход к Управлению Рисками Вендоров
Анонимный исследователь опубликовал 30+ zero-day уязвимостей на GitHub без координации с вендорами. Руководители платформ получили незапланированный патч-цикл.




