Когда о кибербезопасности начинают говорить как о части геополитики, сразу же представляется безнадежная мрачная картина: отключение электроэнергии, коллапс связи, паралич власти. Окружающее нас киберпространство давно уже превратилось в постоянную серую зону, где атаки не редкость, а повседневная реальность. Как фоновый шум.

Для серой зоны характерны скоординированные, враждебные действия, которые еще нельзя назвать войной. Их цель – не уничтожить, а обессилить страну, заставить тратить больше денег на оборону, посеять неуверенность в надежности систем и создать ощущение постоянного давления извне. При этом нет прямых доказательств того, кто именно стоит за этим, и подобная деятельность рассматривается ​​как активизм особого рода или обычное преступление. Оценив киберугрозы в минувшем году, Европейское агентство по кибербезопасности ENISA сделало вывод, что подобные инциденты перестали быть единичными шоковыми случаями, а уже носят волновой характер. 

Экономика усталости

Наиболее распространенным (видимым) инструментом, используемым злоумышленниками в серой зоне, стали DDoS-атаки. Их цель – перегрузить сервис шквалом запросов. На долю таких атак, по данным ENISA, пришлось почти три четверти всех киберинцидентов в Европе. Причем большинство из этих простых, с технической точки зрения, нападений имеют явно политическую окраску – они направлены на государственные учреждения, медиа и предприятия, деятельность которых у всех на виду.

Цель DDoS-атак – посеять беспорядок и заставить впустую тратить ресурсы. В Эстонии было зарегистрировано около 750 DDoS-атак. Но лишь менее ста из них смогли негативно повлиять на работу услуг. По мнению Департамента государственной инфосистемы (RIA), ситуация стала заметно лучше по сравнению с предыдущими годами, когда успешной (с точки зрения злоумышленников) была почти каждая пятая атака.

Кто стоит за этими киберинцидентами? Время и цели говорят сами за себя: волны DDoS-атак напрямую связаны с событиями, происходящими в мире. Если прежде подобные атаки на Эстонию совершали, как правило, российские хакеры, выражая таким образом недовольство решениями НАТО, санкциями или заявлениями в поддержку Украины, то в прошлом году наша страна стала также мишенью для пропалестинских группировок с Ближнего Востока и из Северной Африки в результате военного конфликта в Газе. Хактивисты разной политической направленности активно взаимодействуют между собой и относятся к Эстонии как к полноправному члену коалиции западных стран. 

Рынок данных как кибергеополитическая инфраструктура

DDoS-атаки у всех на виду, но в серой зоне есть и другой сегмент. Он не такой заметный, более сложный и связан со всем, что имеет отношение к данным и доступу к ним. В отчете Европола об угрозе организованной интернет-преступности в 2025 году (IOCTA 2025) скомпрометированные данные описываются как центральный товар в экономике киберпреступности. Информацию преднамеренно похищают с целью перепродажи, комбинирования и последующего использования для новых атак. 

Не менее важно для преступников получить доступ к самой системе: аккаунту корпоративной э-почты, VPN-соединению, среде управления облачными услугами или рабочему компьютеру. Возможность доступа – это тоже товар, который можно продать. Одна сторона получает доступ, а другая – использует его для атак с целью вымогательства, кражи данных или мошенничества. Атака проводится поэтапно, ответственность распределяется между исполнителями – и доказать их взаимосвязь довольно сложно. А когда данные и доступ к ним свободно перемещаются на рынке, то одна и та же инфраструктура может использоваться как для преступной деятельности, так и для отстаивания национальных интересов.

Люди как самое слабое звено системы

Существенная часть проблемы кибербезопасности в той или иной мере связана с человеческим фактором. Так, по данным ENISA, почти 60% успешных кибератак начинались с фишинга: абстрактный пользователь переходил по зараженной ссылке, скачивал вредоносный файл или вводил пароль на мошенническом сайте. Фишинг нацелен на частных лиц и сотрудников организаций, иными словами, на всех, у кого есть доступ к системе, которую можно использовать в корыстных целях.

Искусственный интеллект только усложнил проблему. Злоумышленники с помощью AI теперь гораздо быстрее адаптируют и автоматизируют кибератаки. Системы защиты тоже постоянно совершенствуются, но они далеко не всегда способны противостоять подобному массированному воздействию. В результате заинтересованная сторона может оказывать постоянное давление без необходимости ручной корректировки каждой атаки, а это, в свою очередь, способствует масштабируемости серой зоны. 

Дилемма компактной Эстонии: сила или уязвимость

По данным RIA, количество киберинцидентов, приведших к негативным последствиям, в прошлом году превысило 10 тысяч и с каждым годом растет по экспоненте. С одной стороны, это можно рассматривать как увеличение уязвимости, но с другой – как подтверждение нашей силы: мониторинг и системы оповещения работают хорошо, а инциденты попадают в статистику.

Важно также отметить, что большинство сбоев в работе услуг не были связаны с кибератаками. Так, нарушение функционирования новостных порталов и э-услуг было дважды обусловлено техническими неполадками в Cloudflare. А сбои в работе медицинских сервисов, Mobii-ID и Smart-ID происходили в период технического обслуживания систем. В данном случае речь идет не о враждебных действиях, а о технических ошибках.

Отличительная особенность Эстонии – взаимосвязанность. Наше цифровое государство состоит не из отдельных IT-проектов, а из связанных между собой сервисов, уровней идентификации, потоков данных и партнеров, обеспечивающих быстрый и комфортный пользовательский опыт. Но это также означает, что сбой в каком-то одном звене незамедлительно затронет и все остальные.

С точки зрения серой зоны Эстония может оказаться довольно привлекательной целью. При таком высоком уровне цифровизации даже небольшой сбой может превратиться в общественную проблему. И если на короткое время выходит из строя какая-то услуга или сайт, то эта новость мгновенно облетает все социальные сети – гораздо быстрее, чем официальное объяснение.

Взаимосвязанность сервисов еще больше усиливает негативный эффект. Когда нарушается работа одной услуги, люди сразу начинают спрашивать: а не окажутся ли под угрозой другие сервисы, например, э-услуги, ID-карта или интернет-банк? Злоумышленникам даже не придется атаковать всё сразу. Их вполне устроит, если у населения возникнет сомнение относительно того, находится ли вся система под контролем? Появление у людей такого вопроса и есть самое мощное оружие серой зоны, поскольку вызывает подозрение, а также сумятицу в мыслях, чувствах и делах.

Руководитель подразделения бизнес-клиентов Tele2 Юрген Ялакас