Журнал для руководителей компаний и специалистов ИБ
Друзья, на связи команда АйЭсТи! Мы рады представить вам июльский выпуск нашего ежемесячного дайджеста для руководителей и специалистов в области информационной безопасности.
В этом выпуске:
Игорь Лим
Что такое DDoS-атака и как она работает?
DDoS (Distributed Denial of Service) — это распределённая атака отказа в обслуживании, цель которой — сделать онлайн-ресурс недоступным для пользователей. Это достигается путём отправки огромного количества запросов к целевому серверу, что перегружает его и мешает обрабатывать легитимный трафик.
Это можно сравнить с магазином, к кассе которого внезапно выстраивается толпа людей. Но вместо того чтобы совершать покупки, каждый просто задаёт один и тот же вопрос: «Касса работает?» — из-за чего кассир не может обслуживать настоящих покупателей. Так и при DDoS-атаке: сервер тратит ресурсы на обработку бессмысленных запросов и «падает».
Кто под прицелом: самые уязвимые отрасли
Цели атак могут быть разными: от чисто экономических до политических, а также для демонстрации возможностей хакерских групп. Особый риск представляют компании из следующих сфер:
Электронная коммерция
Каждая минута простоя означает потерю прибыли и доверия клиентов. Интернет-магазины становятся особенно уязвимыми в периоды высокого трафика.
Логистика и транспорт
Сбой в цифровой инфраструктуре приводит к срывам в цепочках поставок и может парализовать целые отрасли экономики.
Финансовые учреждения
Банки и платёжные системы являются одними из самых частых мишеней злоумышленников из-за высокой ценности данных.
Государственные структуры
В условиях геополитической нестабильности часто становятся объектами целенаправленных атак с политической мотивацией.
Эволюция атак: DDoS стал умнее
DDoS-атаки в 2025 году кардинально отличаются от тех, что были 10 лет назад. Ранее запросы были максимально простыми. Сегодняшние атаки мимикрируют под легитимный трафик, затрудняя выявление и блокировку. Хакеры используют уязвимости в современном программном обеспечении, постоянно меняя методы воздействия.
Кроме того, активно используются инструменты на базе искусственного интеллекта. Боты круглосуточно сканируют интернет-пространство в поисках уязвимых IP-адресов, после чего цели атак выбираются либо вручную, либо автоматически.
Простые пользователи тоже в опасности
Важно понимать: жертвой DDoS-атаки может быть не только крупная компания, но и обычный пользователь — в роли "невольного участника". Через вредоносное ПО злоумышленники формируют ботнет-сети.
Заражение устройств
Пользователь может не подозревать, что его компьютер участвует в атаках. В фоновом режиме устройство выполняет команды хакеров, IP-адрес попадает в чёрные списки.
Как не попасть в ботнет?
Всё начинается с цифровой гигиены. Несколько простых, но действенных рекомендаций:
- Не отключайте брандмауэр — он является первой линией обороны.
- Обновляйте операционную систему и антивирусы — большинство заражений происходит через уязвимости в устаревшем ПО.
- Не скачивайте ПО из непроверенных источников — многие заражения происходят через "бесплатные" утилиты.
- Настройте фильтрацию трафика — особенно если вы пользуетесь домашним роутером.
Почему «галочка» под формой на сайте — не согласие на обработку данных
На многих сайтах используется форма обратной связи с галочкой: «Я даю согласие на обработку персональных данных». Однако с точки зрения закона этого недостаточно. Если вы используете такую форму без дополнительных механизмов идентификации — готовьтесь к претензиям от надзорных органов.
Почему просто галочки недостаточно
С юридической точки зрения, доказательством получения согласия на обработку ПДн является однозначная идентификация человека, который это согласие дал.
Сергей Быков
Ситуация:
Акакий Акакиевич заходит на сайт, где есть форма: «Оставьте ФИО и номер телефона — оператор свяжется с вами». Но вместо своих данных он вводит информацию вымышленной Ирины Петровны и ставит галочку.
В этом случае, с точки зрения регулятора, согласие не получено. Потому что доказать, что это галочку поставило лицо, которое заполняло форму, попросту невозможно.
Как получить согласие правильно
Согласно закону, единственная форма согласия человека, которое он может предоставить в электронном виде — подписать свое обращение электронной подписью.
Оптимальный способ: интегрировать сайт с единой системой идентификации и аутентификации на портале Госуслуги.
Так вы получите 100% гарантию того, что согласие дал именно тот, кто указан в форме.
Проверьте, насколько вы сильны в ИБ
Ответьте, как правильно поступить в разных случаях
Вопрос 1
Ситуация: Компания обрабатывает персональные данные пользователей в рамках своего онлайн-сервиса. В запросе на согласие пользователя необходимо указать, кому именно передаются эти данные.
Что из следующего будет соответствовать требованиям законодательства?
Правильный ответ: б
В согласии на обработку персональных данных нужно указать конкретную организацию или лицо, кому именно, какие персональные данные передаются и какие действия с ними будут предприниматься.
Вопрос 2
Ситуация: В организации изменился состав третьих лиц, которым могут передаваться персональные данные пользователей. Новый контрагент теперь имеет доступ к этим данным.
Как следует поступить с уже полученным согласием от пользователей?
Правильный ответ: а
Так как согласие субъекта было получено для передачи данных конкретным третьим лицам, необходимо получить повторное согласие в случае изменения состава этих третьих лиц.
Вопрос 3
Ситуация: Организация использует программу 1С для обработки персональных данных сотрудников.
Является ли это автоматизированной обработкой данных?
Правильный ответ: а
Использование программного обеспечения, установленного на компьютере, означает, что обработка данных является автоматизированной.