«Обычно атаки, приводящие к таким длительным последствиям, напрямую связаны с вирусами-шифровальщиками, которые специально распространяются для получения выкупа. Но, судя по всему, ВСК пытается справиться самостоятельно с восстановлением данных», — говорят эксперты по кибербезопасности, моделируя, что могло произойти с одной из крупнейших страховых компаний России. Сервисы легли 12 ноября — и уже на следующий день страховщик публично признал, что стал жертвой кибератаки. В социальных сетях десятки разгневанных клиентов осаждают ВСК жалобами, но на горячей линии все еще рекомендуют с плановыми обращениями к врачу погодить, а со срочными — звонить в скорую. Подробности — в материале «БИЗНЕС Online».
Одна из крупнейших российских страховых компаний ВСК признала масштабную кибератаку на свои IT-системы
Хакеры почти на неделю парализовали ВСК
Первые сообщения, что в работе одной из крупнейших российских страховых компаний ВСК что-то пошло не так, пользователи начали оставлять в официальной группе страховщика во «ВКонтакте» еще ранним утром 12 ноября. «Не работает ни горячая линия, ни местные номера, ни сайт, ни приложение — ничего!» — возмущались клиенты в комментариях в 07:55. Компания сначала объясняла сбой «небольшими техническими сложностями», но через сутки признала масштабную кибератаку на свои IT-системы. «Инцидент затронул только работоспособность нашей IT-инфраструктуры. Данные наших клиентов и партнеров в безопасности. Мы приносим искренние извинения нашим клиентам, агентам и партнерам за трудности, с которыми они могут столкнуться. Все ресурсы компании нацелены на решение этой проблемы», — говорится в сообщении ВСК, где подчеркивается, что все взятые на себя обязательства компания выполняет в полном объеме.
С последним тезисом согласятся далеко не все клиенты. Многие не могут застраховать автомобиль или внести изменения в страховой полис, получить гарантийное письмо… Кто-то даже присылает фотографии прав и все данные автомобилей прямо в комментарии под постом с требованиями оформить все как надо. «Ждала целый месяц записи [к врачу], и в итоге ваши сотрудники сказали клинике не принимать и перезаписывать после 17.11, а это, на секунду, запись еще через месяц», — негодует одна из пострадавших.
ВСК — крупная универсальная страховая компания, специализирующаяся в основном на ОСАГО, каско, страховании имущества юридических лиц и ДМС. 51% акций принадлежит Сергею Цикалюку, 49% у инвестиционного холдинга SFI семьи Гуцериевых. В числе клиентов ВСК — 33 млн физлиц и более 500 тыс. предприятий и организаций.
По итогам первого полугодия 2025-го ВСК занимает 8-е место на страховом рынке со сборами 61,6 млрд рублей и долей рынка 3,3%, следует из данных «Эксперт РА». На 30 июня 2025 года активы страховщика составили 152,3 млрд рублей, обязательства по портфелям договоров страхования и выпущенных (принятых) договоров перестрахования — 78,6 млрд рублей, собственные средства — 61,4 млрд рублей, уставный капитал — 12,1 млрд рублей.
Как убедился корреспондент «БИЗНЕС Online» сегодня в 15:00, автоответчик на горячей линии по вопросам организации медицинских услуг рекомендует подождать с плановым приемом, пока все заработает, а если обращение экстренное — советует обратиться по телефону 112 или 103, т. е… в скорую помощь. У кого-то получилось обойти систему, и они договорились с клиникой напрямую, но многие остались без приема. В чат-боте в «Телеграме» на сообщение о сроках возобновления работы на момент публикации не ответили.
Вчера утром ситуация усугубилась: компания заявила, что домен vsк.ru тоже был подвержен хакерской атаке и на данный момент он ведет на мошеннический телеграм-канал. Пока всю коммуникацию с клиентами ВСК замкнула в личных сообщениях во «ВКонтакте», чат-боте в «Телеграме» и по телефонам горячей линии, оснащенным автоответчиками.
Многие не могут застраховать автомобиль или внести изменения в страховой полис, получить гарантийное письмо
«Это стандартная ситуация, хоть и очень страшная и неприятная для компании»
Эксперты, опрошенные «БИЗНЕС Online», практически в один голос уверяют, что атаки на российские компании и ведомства становятся результативнее, причем от них никто не застрахован.
«Это один из тех примеров, когда компания сразу признала кибератаку и действительно подтвердила, что занимается устранением последствий и восстановлением работы. Судя по тому, насколько долго все происходит, у них атака завершилась именно потерей данных и шифрованием. Обычно атаки, приводящие к таким длительным последствиям, напрямую связаны с вирусами-шифровальщиками, которые специально распространяются для получения выкупа от компании. Но, судя по тому, что ВСК моментально заявила о случившемся и, соответственно, начала восстановление, очевидно, что они не намерены платить выкуп и пытаются справиться самостоятельно, восстанавливая данные. Это достаточно стандартная ситуация, хоть и очень страшная и неприятная для компании», — размышляет Антон Бочкарев, эксперт по информационной безопасности, сооснователь компании «Третья сторона».
По его словам, сегодня компанию с большой IT-инфраструктурой очень сложно остановить на длительное время, кроме одного единственного способа — зашифровать все данные, которые напрямую влияют на ее деятельность. Сейчас компании таким образом выбивает из строя довольно часто, но не все об этом говорят, т. к. боятся репутационного ущерба и штрафов Роскомнадзора. «Были в этом году странные случаи, выглядевшие как кибератака, — сервисы компаний на долгое время переставали работать. Например, странная история, когда у „Спортмастера“ не работала программа лояльности, тоже могла быть связана с кибербезом. Но компания не признала ничего такого, объяснив, что у них дождь затопил дата-центры. Очень необычный, видимо, был дождь», — говорит Бочкарев, вспоминая в качестве примера СДЭК и «Винлаб».
Зашифровка данных, как объясняет эксперт, — это вымогательство выкупа: информацию восстановить невозможно, если нет резервных копий. «Наверное, единственный пример, когда получилось профессионально восстановить данные, — это „Аэрофлот“. Самые критичные системы были восстановлены за сутки — это беспрецедентно быстро», — приводит пример он. Но как злоумышленники попали во внутреннюю сеть компании?
«Фактически нужно получить доступ на значительные части внутренних сетей компании и найти критические данные, которые можно зашифровать, а еще в идеале найти резервные копии, чтобы не дать потом из них восстановиться. Это тоже требует какого-то времени и мастерства. Получается, на старте у ВСК случилась какая-то проблема, из-за которой они не получили первоначальный доступ. Причиной могло послужить практически все, что угодно, от взломанной рабочей станции сотрудника до утечки логинов и паролей, — моделирует ситуацию Бочкарев. — У ВСК не хватило реагирования на этапе внутреннего распространения атаки — не успели заблокировать злоумышленников. Проблемы с информационной безопасностью выстрелили в пользу успешной атаки».
Владимир Ульянов, руководитель аналитического центра Zecurion, также допускает, что последствия могут быть довольно серьезными, но раскрытие деталей на данном этапе сейчас может помешать специалистам в части обеспечения информационной безопасности и восстановления после сбоя, поэтому стоит ждать, когда будет восстановлена работа сервиса и расследован сам инцидент.
«От подобных вещей никто на самом деле не застрахован, периодически компании сталкиваются с кибератаками. Вся инфраструктура, которой интересуются злоумышленники, так или иначе уязвима. Тут уже начинаются соревнования, кто может взломать инфраструктуру, добраться до каких-то данных или систем и нарушить их работоспособность». Тот же искусственный интеллект, по мнению Ульянова, сейчас облегчает возможности злоумышленников, хотя разработчики тоже интегрируют элементы ИИ в свои продукты, благодаря чему повышается качество распознавания угроз и реагирования на них.
«К сожалению, нет серебряной пули или одного совета, который позволил бы исключить подобный сценарий. Общие рекомендации — заниматься информационной безопасностью, по возможности выстраивать бизнес наиболее безопасным образом, чтобы деятельность компании была непрерывной», — советует он.
«Кибератак не стало меньше, меньше стало успешных атак, но последствия успешных атак стали выше. Атаки тщательно готовятся, и тут в ход идут всевозможные средства и современные решения, включая технологии ИИ, который используется для кибератак более эффективно, чем для защиты. Кроме того, не так много аудитов IT-инфраструктур после кибератаки. Даже под видом незначительного киберинцидента может скрываться вредоносное ПО», — подчеркивает и Олег Седов, директор по развитию компании RusPoint. Он также отметил, что, если кибератаки предотвратить невозможно, нужно готовиться к ним так, чтобы выйти из них с минимальными потерями в максимально короткое время, т. е. сфокусироваться на задачах киберустойчивости предприятий.
Но если крупные компании и так понимают, что нужно делать, то малый и средний бизнес задумывается об этом реже, хотя сейчас его шифруют не меньше. «Злоумышленники просят гораздо меньшие деньги, но тем не менее. Средний размер выкупа для малых компаний — примерно 3–4 миллиона рублей. Совет всему малому бизнесу: к сожалению, вы теперь тоже под атакой и с вас будут требовать деньги за расшифровку, поэтому придется теперь тоже заниматься безопасностью. Не думайте, что вы слишком маленькие и незаметные. Конкретно вас искать не будут, но если злоумышленники наткнутся именно на вас, просто массово сканируя весь интернет, то вы станете одной из жертв», — предупреждает Бочкарев.
Вредоносность кибератак зависит от уровня цифровизации компании: там, где большинство услуг предоставляются онлайн, самые серьезные убытки, констатирует экс-главред Cyber Media, продакт-менеджер АО «Кибериспытание» Валерий Иванов. Он предполагает, что страховая компания должна при этом обладать достаточно высоким уровнем защищенности, поэтому вряд ли это была тривиальная атака. «Есть два варианта: финансовая мотивация либо активистская группировка. Во втором случае с большой долей вероятности цель —нанести ущерб, а никакой выкуп изначально не запрашивать. В последнее время тоже распространенный сценарий», — прокомментировал Иванов цели хакеров.
«Чтобы убежать от медведя, не нужно бегать быстрее всех, достаточно бегать быстрее кого-то одного. Финансово мотивированные преступники идут по пути наименьшего сопротивления. У них есть определенные предпочтения в целях, но нет предпочтения, как эта компания будет называться. Из 10 они сломают ту, которая проще, а не ту, у которой больше выручка», – резюмировал Иванов. Так, 10 ноября хакеры положили сайт московского Государственного университета управления и его пропускную систему, которую до сих пор не могут восстановить...
Стоимость актива, по данным издания, оценивается в 12–20 млрд рублей. Но возможна только продажа доли Михаила Гуцериева
А саму ВСК готовят к продаже?
Одновременно с новостями о кибератаке «Коммерсанту» стало известно, что владельцы ВСК ищут покупателей, заинтересованных в приобретении или всего страхового дома, или доли одного из владельцев (51% — у Сергея Цикалюка, 49% — у инвестиционного холдинга SFI, принадлежащего семье Гуцериевых). Стоимость актива, по данным издания, оценивается в 12–20 млрд рублей. Но возможна только продажа доли Михаила Гуцериева, отмечают два собеседника издания. В числе потенциальных покупателей называют группу «Т-Технологии» и Совкомбанк. В самой ВСК слухи не комментируют.
В 2025 году ВСК претерпела существенные кадровые изменения: в июне сменился гендиректор, новым стала Анна Рыбина. Компанию покинули замгендиректора по медицинскому страхованию Олег Витько, замгендиректора по управлению продажами Вера Гезердава и замгендиректора по развитию бизнеса Ольга Сорокина.
Комментарии 15
Редакция оставляет за собой право отказать в публикации вашего комментария.
Правила модерирования.