
43 % удалёнщиков пересылают файлы на личную почту, а 57 % хранят пароли в браузере. Удалённая работа размыла периметр безопасности, сделав домашние сети и личные устройства новыми целями для атакующих. В материале разбираем, чем опасен дистанционный и гибридный формат работы.
- 1. Введение
- 2. Как изменилась модель угроз при переходе на удалённую работу
- 3. Угрозы удалённой работы: где прячутся реальные риски
- 3.1. Пользователь: компрометация учётных данных, ошибки и теневая инфраструктура
- 3.2. Подрядчики, внешние разработчики и аутсорсинг
- 3.3. Устройство: уязвимые домашние ПК, BYOD и отсутствие контроля
- 3.4. Канал связи: MITM, слабый VPN и избыточный доступ
- 3.5. Новая категория угроз: ИИ‑агенты в удалённой среде
- 4. Почему классические меры защиты не работают
- 5. Как защитить данные при удалённой работе
- 5.1. Стройте защиту вокруг идентичности, а не периметра
- 5.2. Переходите от VPN к Zero Trust
- 5.3. Контролируйте устройства постоянно, а не только при подключении
- 5.4. Минимизируйте права и сегментируйте доступ
- 5.5. Управляйте привилегированными пользователями через PAM
- 5.6. Ограничивайте полномочия ИИ‑агентов и контролируйте их действия
- 5.7. Контролируйте облака и токены
- 5.8. Обучайте сотрудников практическим сценариям, а не теории
- 5.9. Выстраивайте процессы и регламенты, которые работают в реальности
- 6. Выводы
Введение
В 2025 году каждая десятая вакансия в России предполагала дистанционный формат: при общем объёме предложений в 9,7 млн это более 900 тысяч позиций. Около 80 % компаний имеют сотрудников, работающих вне офиса, а для 48 % соискателей возможность работать дистанционно стала важным критерием выбора работодателя, уступая только уровню дохода.
Но удобство и гибкость удалёнки обходятся дорого с точки зрения безопасности. Домашние сети, личные устройства и отсутствие контроля создают зону постоянного риска. По данным «Стахановца»:
- 43 % сотрудников на удалёнке неосознанно подвергают опасности корпоративные данные;
- 57 % хранят пароли в браузере;
- 31 % используют личные мессенджеры для рабочих задач;
- 25 % копирует документы на личные USB‑накопители.
Мировая статистика подтверждает тенденцию:
- 92 % удалённых сотрудников используют личные смартфоны и планшеты для работы;
- 46 % сохраняют на них рабочие файлы;
- 71 % хранят пароли на личных устройствах.
Эксперты AM Live сошлись во мнении, что VPN уже недостаточно для защиты удалённого доступа. Он даёт доступ ко всей сети, а не к конкретному приложению. Многофакторная аутентификация (Multi-Factor Authentication, MFA) не спасает от MFA-усталости (MFA fatigue) и перехвата сессий. Злоумышленники атакуют учётные данные, конечные устройства и пользовательские сессии, обходя инфраструктуру напрямую. Удалёнка стала одним из главных источников инцидентов в 2025–2026 годах.
Как изменилась модель угроз при переходе на удалённую работу
Переход на удалённую работу изменил саму архитектуру корпоративной безопасности. В офисной модели компания контролировала сеть, рабочие станции, точки входа и физический доступ. Внутренняя сеть считалась доверенной: трафик проходил через корпоративные фильтры, устройства находились под управлением ИТ, а большинство угроз отсекалось на периметре.
После ухода сотрудников из офиса периметр распался на сотни домашних сетей, личных ноутбуков, смартфонов, облачных сервисов и пользовательских сессий. Компания потеряла контроль над устройствами, сетями и приложениями, которые используют сотрудники. Она больше не знает, кто, откуда и с чем подключается.
Внутренняя сеть перестала быть признаком доверия. Злоумышленник может войти в неё под видом сотрудника, используя украденные учётные данные или токен. Раньше ИБ-команда могла сказать: «Если ты внутри сети — ты свой». Теперь это утверждение опасно.
По данным BI.ZONE Threat Zone 2026, в России 18 % кибератак начинаются с компрометации служб удалённого доступа. Стоимость простоя после кибератаки достигает 21,7 млн рублей в час для ИТ- и телеком-компаний и 9,6 млн рублей в час для ритейла. Восстановление после инцидента занимает от трёх дней до двух недель, а полный возврат к штатному режиму может занять месяцы. Расследование и восстановительные работы стоят от 0,5 до 15 млн рублей в зависимости от масштаба.
Удалённая работа изменила природу угроз и расширила поверхность атаки. Контроль сместился с сети на личность, устройство и сессию.
Угрозы удалённой работы: где прячутся реальные риски
Эксперт AM Live Станислава Бенграф (менеджер по продукту Ideco) разделила угрозы удалённой работы на три группы: угрозы, связанные с пользователем; угрозы, связанные с устройством; угрозы каналов связи. Рассмотрим каждую.
Пользователь: компрометация учётных данных, ошибки и теневая инфраструктура
Удалённый сотрудник работает в одиночку. Рядом нет коллег, которые могли бы перепроверить странный запрос, нет оперативной поддержки ИТ, а регламенты часто остаются только на бумаге. Компания не управляет его сетью, устройством, каналами связи и окружением и не может гарантировать, что сессия остаётся безопасной. Этим пользуются злоумышленники: они имитируют письма от руководителя, звонки от службы поддержки и добиваются того, чтобы сотрудник перевёл деньги, отдал доступы или запустил вредоносную команду.
Компрометация учётных данных стала главным способом проникновения. По словам Виталия Медведева (CISO ГК «МЕДСИ»), в 90 % успешных пентестов точкой входа становится скомпрометированная учётная запись. На площадках даркнета массово продают VPN- и RDP-доступы. В марте 2026 года появилось объявление о продаже эксплойта к 0-day-уязвимости в RD Web Access за 200 000 долларов — под угрозой оказались около 400 российских организаций.
Вне офиса сотрудники чаще становятся жертвами BEC-атак (Business Email Compromise) — подмены деловой переписки с финансовой мотивацией. По данным ФБР, в 2025 году ущерб от BEC достиг 3,04 млрд долларов. Около 60 % таких атак приходится на VEC (Vendor Email Compromise) — подтип BEC, при котором злоумышленники подменяют переписку с поставщиком услуг или товаров и меняют реквизиты для оплаты.
Рисунок 1. Схема BEC-атаки через поддельное письмо (Источник: Palo Alto Networks)
Растёт количество ClickFix-сценариев — интерактивного фишинга, при котором жертву убеждают вручную выполнить вредоносную команду. По данным ESET, количество ClickFix-атак выросло на 517 % за второе полугодие 2025 года, а доля этого метода достигла почти 8 % всех заблокированных атак.
Более 80 % сотрудников используют хотя бы один несанкционированный инструмент (Shadow IT): Telegram для переписки, Яндекс.Диск для файлов, AnyDesk для удалённой помощи. ИТ-отдел не видит трафик и устройства сотрудников, а значит, не может блокировать доступ к неавторизованным сервисам. Возникают слепые зоны, через которые регулярно уходят данные и доступы.
По оценке BI.ZONE, лишь 2 % из 200 российских компаний полностью знают свои ИТ-активы.
Рисунок 2. Схема атаки ClickFix (Источник: отчёт ESET Research S1 2025)
Подрядчики, внешние разработчики и аутсорсинг
Подрядчики и внешние сотрудники представляют не меньшую угрозу, чем штатные, а часто и большую. Они получают доступ к тем же системам, но контролируются гораздо хуже.
Почему так происходит:
- им часто дают права шире, чем необходимо;
- доступы редко пересматривают, после завершения проекта учётная запись может годами оставаться активной;
- подрядчики используют свои устройства, не проходят обучение по ИБ и работают сразу с несколькими заказчиками — контроль со стороны каждого размыт.
Исследование CICADA8 показало, что более 50 % российских подрядчиков имеют низкий уровень кибербезопасности: открытые управляющие порты, отсутствие многофакторной аутентификации (Multi-Factor Authentication, MFA), слабые пароли.
По данным УЦСБ SOC, в 2025 году не менее 30 % атак в России были совершены через подрядчиков. BI.ZONE DFIR фиксирует рост таких инцидентов с 15 % в 2024 году до более 30 % в 2025-м.
«Лаборатория Касперского» отмечает, что 31 % российских предприятий сталкивались с атаками через подрядчиков, а 55 % поставщиков оставляют открытыми хотя бы один управляющий порт.
Реальные кейсы подтверждают статистику. Атака на «Аэрофлот» в июле 2025 года началась через взломанного подрядчика — московскую фирму «Бакка Софт». Группировки Silent Crow и «Киберпартизаны» получили удалённый административный доступ к инфраструктуре авиакомпании. Только за отменённые рейсы «Аэрофлот» потерял не менее 260 млн рублей. Хакеры также похитили и опубликовали внутренние документы, аудиозаписи и данные из систем видеонаблюдения.
Агрохолдинг «Русагро» в 2025 году отразил атаку через подрядчика электронного документооборота. Злоумышленники скомпрометировали инфраструктуру подрядчика, но попытка проникновения была своевременно выявлена, и ИТ-контур компании не пострадал. В ответ компания усилила проверки подрядчиков и начала внедрять систему управления событиями и инцидентами безопасности (Security Information and Event Management, SIEM).
Управление доступом подрядчиков — обязательный элемент безопасности: права нужно ограничивать, срок жизни учётных записей контролировать, устройства проверять, а все сессии фиксировать. Без этого любая внешняя команда становится удобным входом для атакующих.
Устройство: уязвимые домашние ПК, BYOD и отсутствие контроля
Вторая группа угроз связана с устройствами, которые находятся вне контроля ИТ-отдела. Домашние компьютеры редко обновляются, используются всей семьёй, а корпоративные агенты безопасности туда не поставить — сотрудники сопротивляются тотальному контролю над личной техникой.
Смартфоны и планшеты стали полноценными рабочими инструментами. По данным исследования «Яндекс Браузера для организаций» и группы Okkam, 74,2 % работающих россиян (около 52 млн человек) используют для работы личные мобильные телефоны. Среди распространённых задач — проверка почты, видеозвонки, чаты и документооборот. Эти функции востребованы более чем в 60 % организаций.
Личные устройства подключаются к публичным Wi-Fi, на них устанавливают непроверенные приложения, через них получают доступ к корпоративной почте и мессенджерам. По данным УБК ГУ МВД по Санкт-Петербургу, в первой половине 2025 года число атак через личные устройства выросло на 30 %. Примерно 20–25 % всех утечек корпоративной информации происходят именно с личных устройств сотрудников, чаще всего смартфонов и ноутбуков, подключённых к корпоративной сети.
Смартфоны заражаются через вредоносные приложения или поддельные обновления, ноутбуки — через фишинг, уязвимости в ПО или установку нелицензионного софта. Дистанционная и гибридная работа усиливают риски: сотрудники совмещают личное и рабочее на одном устройстве, расширяя поверхность атаки.
В 2025 году 78 % всех уязвимостей были обнаружены на бесконтрольных ресурсах: домашних ПК, личных ноутбуках, смартфонах и сторонних сервисах удалённого доступа. 70 % компаний, пострадавших от атак с шифрованием, имели в инфраструктуре теневые активы. До 60 % уязвимостей начинают эксплуатироваться в первые часы после появления публичного кода, но на бесконтрольных устройствах они могут оставаться открытыми годами. Среднее время незаметного присутствия злоумышленников — 42 дня, в отдельных случаях — до 181 дня.
Станислава Бенграф отмечает: «Важно проверять состояние устройства не только в момент авторизации, но и на протяжении всей сессии. Если состояние изменилось, необходимо автоматически принимать решение: разрывать сессию или пересматривать права доступа».
Это особенно важно в условиях BYOD (Bring Your Own Device — использование личных устройств для работы). По данным Jamf, 49 % компаний в Европе не имеют формальной BYOD-политики — они не контролируют обновления, антивирусы, шифрование дисков и состояние рабочих станций. Дополнительный риск создают домашние принтеры, флешки и IoT-оборудование: они активно используются в быту, но остаются вне зоны корпоративного контроля.
Канал связи: MITM, слабый VPN и избыточный доступ
Третья группа угроз связана с каналами, через которые сотрудник подключается к корпоративным ресурсам. Публичные Wi-Fi, домашние роутеры с устаревшей прошивкой, подмена DNS и перехват трафика создают условия для атак типа Man-in-the-Middle. Злоумышленник может подменять сертификаты, перенаправлять запросы, собирать учётные данные и токены доступа.
VPN — это только канал, а не защита. Он шифрует трафик, но не контролирует устройство, не отслеживает состояние сессии и не ограничивает доступ внутри сети. Если злоумышленник получает действительные учётные данные, он входит в инфраструктуру как обычный сотрудник. Как отмечает Владимир Русин (САКУРА, «ИТ-Экспертиза»), одного VPN уже недостаточно: он даёт доступ, но не даёт понимания, что происходит на рабочем месте.
По данным At-Bay, в 2025 году через удалённые сервисы начинались 87 % всех атак с вымогателей (где удалось определить точку входа), причём взломы VPN-шлюзов составили 73 % против 38 % в 2023-м. SonicWall (CVE-2024-12802) стала самой атакуемой VPN — на неё пришлось 27 % всех исков по вымогателям. Средняя тяжесть инцидента составила 508 000 долларов.
Компрометация паролей, кража сессионных токенов, фишинг и инфостиллеры — основные инструменты проникновения. Для удалённого сотрудника это особенно опасно: он работает через веб-интерфейсы, облачные сервисы, единый вход (Single Sign-On, SSO) и браузеры, где сессии живут долго, а токены редко пересоздаются.
Основные угрозы:
- Кража сессионных файлов — конфигураций VPN (.ovpn), RDP-профилей (.rdp), cookie-файлов браузера. Атакующий может воспроизвести сессию на своём устройстве.
- Перехват браузерных токенов — с помощью вредоносных расширений или инфостилеров, которые извлекают токены из локального хранилища.
- Атаки на SSO — перехват OAuth- и refresh-токенов. Получив refresh-токен, злоумышленник может поддерживать доступ неделями.
- Захват облачных сессий — в Microsoft 365, Google Workspace, Slack, Jira и других сервисах.
- Повторное использование сессий (Session replay) — повторное применение действительной сессии без ввода пароля и многофакторной аутентификации (Multi-Factor Authentication, MFA).
- Фиксация сессии (Session fixation) — злоумышленник заранее создаёт сессию, которая становится активной после входа пользователя.
Перечисленные угрозы усугубляются избыточным сетевым доступом. Удалённые сотрудники часто получают те же права, что и в офисе. Это позволяет злоумышленнику перемещаться по инфраструктуре (lateral movement) и делает компрометацию одной учётной записи критичной для всей компании.
Рисунок 3. Схема Session fixation-атаки (Источник: GeeksforGeeks)
Новая категория угроз: ИИ‑агенты в удалённой среде
ИИ-агенты стали новой поверхностью атаки, и в удалённой работе их уязвимость выше: они запускаются на домашних устройствах, работают через облачные сервисы и получают данные по каналам, которые компания не контролирует. Агент автоматически читает письма, документы и веб-страницы и выполняет действия от имени сотрудника — фактически превращаясь в автономного пользователя с доступом к корпоративным данным.
Любая подмена контента (prompt injection) в письме, приглашении или на сайте попадает в контекст агента и интерпретируется как команда. Корпоративные фильтры не распознают такие инструкции, а на домашнем устройстве активность агента и вовсе остаётся вне зоны видимости ИТ-отдела.
Удалённая работа также усилила проблему Shadow AI — несанкционированных ИИ-инструментов, которые сотрудники используют для ускорения задач. Это сторонние ассистенты, расширения и мобильные приложения, которые получают доступ к рабочим данным, но остаются невидимыми для компании. По данным Reco.ai, 71 % сотрудников используют ИИ-сервисы без одобрения ИТ, а исследование 1Password показывает, что почти половина делает это ради удобства и скорости.
Исследование Invitation Is All You Need показало опасность атак через календарные приглашения. Злоумышленник отправляет жертве приглашение в Google Calendar, в имя которого встроена скрытая команда (indirect prompt injection). Этого достаточно, чтобы перехватить управление ИИ-агентом и выполнять действия от имени пользователя: удалять события, рассылать спам, определять геолокацию, вести видеотрансляцию через Zoom, управлять устройствами умного дома, похищать письма. SafeBreach оценивает 73 % подобных угроз как высоко- или критически опасные.
Рисунок 4. Варианты Promptware-атак (Источник: SafeBreach)
OWASP включил три ИИ-риска в топ-10 уязвимостей 2026 года:
- подмена цели через входные данные;
- злоупотребление доверенными правами;
- атаки через цепочки зависимостей.
Эксперты AM Live подчёркивают: ИИ-агенты и Shadow AI уже стали новым входом в инфраструктуру, и политики безопасности должны учитывать это прямо сейчас.
Почему классические меры защиты не работают
Корпоративная безопасность всегда строилась вокруг периметра. Компания контролировала сеть, устройства и физическую среду, а всё внутри считалось доверенным. С переходом на удалённую работу эта модель сломалась.
VPN не проверяет состояние устройства и не управляет сессией. Антивирусы не видят атаки в памяти и подмену токенов. Многофакторная аутентификация (Multi-Factor Authentication, MFA) защищает только момент входа и не предотвращает угон сессии. Системы защиты от утечек данных (Data Leak Prevention, DLP) и обнаружения и реагирования на угрозы (Endpoint Detection and Response, EDR) не понимают ИИ-агентов, центры мониторинга и управления (Security Operations Center, SOC) не видят домашнюю среду. Каждый из этих инструментов закрывает свою узкую задачу, но вместе они не дают целостной картины.
Теперь безопасность строится вокруг личности, устройства и сессии, а не вокруг сети.
Как защитить данные при удалённой работе
Защита удалённого доступа — это не про установку VPN или включение MFA. Это про архитектуру, процессы и постоянный контроль. Ниже — девять принципов, которые работают в условиях удалённой и гибридной занятости.
Стройте защиту вокруг идентичности, а не периметра
Безопасность начинается с личности. Используйте строгую парольную политику, FIDO2‑ключи, ротацию паролей и контроль токенов. Отслеживайте аномалии поведения: необычные входы, подозрительные действия, попытки доступа из новых геолокаций. Злоумышленники всё чаще похищают учётные данные и получают легитимный доступ к сети — защита должна это учитывать.
Переходите от VPN к Zero Trust
Zero Trust — принцип «не доверять никому и ничему по умолчанию». Он требует проверять каждое действие, а не только момент входа. Выдавайте доступ не ко всей сети, а к конкретным приложениям. Проверяйте соответствие устройства требованиям безопасности и контролируйте сессию в реальном времени. Если устройство меняет состояние, пересматривайте доступ автоматически. VPN может оставаться транспортом, но не должен быть единственной мерой защиты.
Контролируйте устройства постоянно, а не только при подключении
Проверяйте обновления ОС, состояние антивируса, работу EDR и DLP, наличие уязвимостей и включённое шифрование диска. Используйте MDM/EMM для управления личными устройствами в рамках BYOD. Блокируйте небезопасные внешние устройства. Если рабочая станция перестаёт соответствовать требованиям — разрывайте сессию автоматически.
Минимизируйте права и сегментируйте доступ
Удалённый сотрудник не должен получать доступ как в офисе. Ограничивайте права по ролям, времени, геолокации и контексту. Разделяйте сеть на сегменты, чтобы злоумышленник не мог перемещаться по инфраструктуре после компрометации одной учётки. Используйте Just‑In‑Time доступ для администраторов — привилегии выдаются только на время выполнения задачи.
Управляйте привилегированными пользователями через PAM
Привилегированные пользователи — главный риск. Используйте Bastion‑прокси, храните пароли в защищённом Vault, выдавайте временные креды и записывайте все сессии. Применяйте поведенческий анализ для выявления нетипичных действий. Если администратор выполняет подозрительные команды — автоматически разрывайте сессию.
Как отмечает Татьяна Свиридченкова (эксперт сервисов ИБ «Контур.Эгида»), PAM-системы перестали быть нишевым решением и стали обязательным элементом защиты удалённой работы, особенно с учётом роста числа подрядчиков и внешних сотрудников.
Ограничивайте полномочия ИИ‑агентов и контролируйте их действия
ИИ‑агенты читают письма, документы и сайты и могут выполнять действия от имени пользователя. Ограничьте их полномочия, разделите чтение и выполнение команд, требуйте подтверждения для писем, платежей и удаления файлов. Проверяйте документы на скрытые инструкции и журналируйте все действия агента. Тестируйте ИИ‑сценарии так же строго, как веб‑приложения.
Контролируйте облака и токены
Запрещайте вечные токены, ограничивайте refresh‑токены и проверяйте OAuth‑приложения перед выдачей доступа. Сегментируйте данные в SaaS‑средах, шифруйте облачные бэкапы и отслеживайте аномальные входы. Если злоумышленник получает токен, он обходит MFA и корпоративные политики. Контроль токенов должен быть таким же строгим, как контроль паролей.
Обучайте сотрудников практическим сценариям, а не теории
Показывайте реальные примеры BEC, VEC, ClickFix, дипфейков и атак через ИИ‑агентов. Разбирайте инциденты, а не абстрактные правила. Обучение должно быть коротким, регулярным и ориентированным на действия: как проверить запрос «от руководителя», как распознать поддельный звонок, как реагировать на подозрительное письмо. Практика снижает риск ошибок лучше любых инструкций.
Выстраивайте процессы и регламенты, которые работают в реальности
Определите правила подключения, требования к устройствам, BYOD‑политику и порядок действий при инциденте. Назначьте ответственных, установите сроки проверки настроек и проводите регулярные аудиты. Тестируйте удалённый доступ как критичный сервис, а не как временную меру. Чёткие процессы позволяют поддерживать безопасность даже тогда, когда сотрудники работают из разных городов и стран.
Выводы
Злоумышленники научились обходить периметровую защиту, атакуя учётные данные, конечные устройства и сессии пользователей. Компрометация паролей, кража сессионных токенов, фишинг и инфостиллеры стали основными инструментами проникновения в корпоративные сети.
Одного лишь шифрованного канала связи недостаточно, необходимо контролировать пользователя, устройство, сессию и привилегии. Концепции Identity-First Security и Zero Trust постепенно вытесняют периметровую модель защиты. PAM-системы стали обязательным элементом защиты удалённой работы.
И самая сложная проблема — человеческий фактор. Сопротивление сотрудников требованиям ИБ и отсутствие контроля над удалёнными устройствами создают больше рисков, чем любые технические уязвимости. Организационная культура зачастую важнее технологий.










