Официальной статистики взломов сайтов и аккаунтов НКО нет, но, по оценке экспертов, в части масштабов кибератак благотворительные фонды сопоставимы с малым и средним бизнесом. При этом, выбирая цель, вряд ли мошенники метят именно в третий сектор.
«Большая часть атак автоматизирована: сканеры ищут уязвимости по миллионам ресурсов, и боту все равно, чей это сайт – интернет-магазин, благотворительный фонд или школьный музей. Поэтому сайты НКО оказываются в зоне тех же рисков, что и малый бизнес, но без сопоставимых ресурсов защиты, – говорит Анна Ладошкина, основатель «Бюро Анны Ладошкиной». – Организация может заниматься чем угодно, от помощи животным до музейного просвещения, но если ее сайт содержит уязвимый модуль, он становится легкой добычей».
Последствия для НКО обычно тяжелее. У малого бизнеса, как правило, есть подрядчики, резервные копии и план восстановления, а у НКО – чаще нет. Кроме того, утрата сайта может означать потерю доверия, доноров и репутации – ее восстановить труднее, чем техническую инфраструктуру. Получив доступ к электронным ресурсам фонда, преступники могут, например, перенаправить поток пожертвований в личный карман.
Сколько атак на сайты НКО происходит в неделю
По данным статистики, с попытками взлома сталкивается каждый десятый сайт компании малого и среднего бизнеса. Средняя нагрузка для сайта НКО оценивается в 500–800 автоматических атак в неделю, а рост за последние годы – около 20–25% ежегодно.
Бюджетные решения по кибербезу для НКО
В реальности большинство проблем с кибербезопасностью цифровых ресурсов НКО – вопрос элементарной дисциплины, а не дорогих решений. Они сводятся к простым правилам цифровой гигиены:
– придумывать сложные пароли;
– где возможно – применять двухфакторную аутентификацию (когда помимо пароля требуется подтверждение по смс);
– не использовать один и тот же пароль в разных сервисах и раз в 3–6 месяцев их менять;
– пользоваться антивирусным программным обеспечением (и не забывать его обновлять);
– не ставить галочки «запомнить пароль», если работаете за чужим компьютером, а по окончании работы не забывать разлогиниваться;
– постараться не хранить пароли от цифровых ресурсов в переписке с коллегами. Если взломают вашу почту или мессенджер, то получат доступ и к паролю, который там лежит.
DDos-атака и перезагрузка инфраструктуры: опыт фонда «Гольфстрим»
Что произошло. На одном IP-адресе размещалось несколько сайтов, включая сайт фонда «Гольфстрим». Когда один из ресурсов подвергся DDoS-атаке, легли все остальные. Тип угрозы – технологическая: атака на инфраструктуру, а не на сам сайт. Как рассказал «Милосердию.ru» работавший на тот момент менеджером проектов «Гольфстрима» Кирилл Синдеев, чтобы сохранить работоспособность сайта, фонд был вынужден временно за доплату увеличить квоту нагрузки процессора на хостинге. Когда DDoS-атака завершилась, квоту вернули к обычному размеру.
Что советуют эксперты. Максимальную защиту даст размещение сайтов фонда и партнеров на отдельных аккаунтах, а не в одной папке, и использование хостинга с анти-DDoS-защитой или партнерским сервисом фильтрации. Дополнительно стоит организовать мониторинг доступности для ключевых сайтов и иметь канал связи с техподдержкой и понятную процедуру действий при инциденте.
Минимальные действия по предотвращению угрозы – использовать для ключевых сайтов тариф с арендой выделенного IP. Проверьте, предлагает ли ваш хостинг изоляцию сайтов внутри аккаунта. Также при выборе тарифа важно уточнить, есть ли у провайдера мониторинг и уведомления о сбоях.
Кража домена и вымогательство – опыт православного сайта «Молитвослов»
Что произошло. В 2013 году хакер получил доступ к панели домена molitvoslov.com, переписал его на себя, внедрил рекламу и вредоносный код, а потом потребовал выкуп. До момента решения проблемы администрация сайта «Молитвослов» была вынуждена временно переехать на другой домен – molitvoslov.org, о чем она сообщила на сайте-зеркале. Вернуть домен удалось только через суд, спустя 10 месяцев.
О ходе разбирательств администратор сайта Юлия Лэк подробно рассказала на сайте «Молитвослова» и в СМИ. В переговоры с мошенниками о выкупе домена администрация решила не вступать и сначала обратилась к регистратору webnames.ru, к которому был переведен домен. Но это не принесло никакого результата. Сайт инициировал процесс о возвращении домена в арбитражном суде. Убедительная доказательная база позволила им добиться успеха.
Что советуют эксперты. Комплексно защитить сайт помогают регистрация домена у аккредитованных регистраторов с юридической поддержкой, включение двухфакторной аутентификации для входа в панель управления, активация функции «запрет на передачу домена», оформление домена на юрлицо фонда. Минимальные шаги по предупреждению угрозы – проверка через whois, кто указан владельцем домена и актуальны ли контакты. Также важно убедиться, имеется ли у НКО доступ к домену и учетной записи регистратора. И если у регистратора нет двухфакторной аутентификации (2FA) или поддержки по безопасности, нужно его сменить.
Сайт для НКО: что учесть, нанимая разработчиков, и как получить желаемый результат
Взлом страницы в соцсети: опыт БФ «Дедморозим» и Фонда Арины Тубис
Что произошло. В январе 2025 года хакеры взломали страницу пермского БФ «Дедморозим» во «ВКонтакте» и стали рассылать подписчикам от имени фонда сообщения с просьбой пройти по ссылке и проголосовать за некую художницу в обмен на билеты в кино. В похожую ситуацию еще в 2019 году попал карельский Фонд имени Арины Тубис. От имени группы в той же соцсети была сделана рассылка, в которой содержался призыв подписать петицию для выделения квоты на операцию больному ребенку.
Что советуют эксперты. Технический руководитель портала «Милосердие.ru» Иван Соловьев рекомендует придерживаться ориентиров по обеспечению кибербезопасности, которые дают сами соцсети. Так, во «ВКонтакте» есть целый список правил для предотвращения перехода аккаунта в руки злоумышленников. Они одинаковы как для частных профилей отдельного человека, так и для групп, которые ведутся от лица организации.
Правила безопасности
1. Подключите двухфакторную аутентификацию.
2. Перейдите на авторизацию без пароля и входите в аккаунт с помощью одноразовых кодов.
3. Используйте сложный пароль, если выбираете этот способ входа.
4. Регулярно проверяйте историю активности аккаунта.
5. Проверяйте актуальность данных.
6. Избегайте сторонних сервисов, расширяющих возможности «ВКонтакте»
7. Не переходите по сомнительным ссылкам и нигде не вводите данные для входа в свой профиль «ВКонтакте» или аккаунт VK.
8. Следите за безопасностью компьютера и мобильных устройств.
Фишинговые сайты-подделки под известные фонды
Что произошло. В начале августа 2020 года неизвестные злоумышленники зарегистрировали семь доменов, копирующих имена известных благотворительных организаций – фонды «Подари жизнь», «Старость в радость», «Кислород», Фонд Константина Хабенского и другие. Поддельные сайты с названиями, похожими на крупные благотворительные фонды, собирали «пожертвования» от имени организаций. Это самый массовый известный случай регистрации фейковых сайтов НКО в России. Самую массовую регистрацию фейковых сайтов НКО в мире выявила в 2020 году международная компания Group-IB, специализирующаяся на предотвращении кибератак. Тип подобной угрозы совмещает репутационную и экономическую.
В случае с Фондом Хабенского также имела место несанкционированная рассылка на адреса сотрудников от якобы директора фонда с просьбой немедленно перевести средства, собранные для одного из подопечных фонда, на указанные реквизиты. Письмо было отправлено с сервера хостинг-провайдера Timeweb, в поле «обратный адрес» вместо официального домена Фонда Хабенского bfkh.ru использовался фальшивый домен с другой последовательностью букв: bfhk.ru. Если бы получатель ответил на письмо, его ответ получили бы мошенники.
Что советуют эксперты. Такая кибератака происходит вне инфраструктуры фонда, и от нее никто не застрахован, но крайне важно вовремя на нее среагировать. «Здесь помогает не техника, а скорость коммуникации. Важно не замалчивать, а сразу предупреждать людей: где ваш настоящий сайт и как отличить подделку, – говорит Анна Ладошкина. – Для этого в идеале нужно настроить мониторинг регистрации доменов, похожих на ваш (существуют специализированные сервисы), зарегистрировать ключевые варианты своего домена (.ru, .org, .com) заранее. Также нужно настроить DMARC/SPF/DKIM для защиты исходящей почты. А при обнаружении подделки – оперативно обратиться к регистратору, Роскомнадзору и в полицию».
Минимальные действия для НКО, если нет ресурсов на все остальные: разместить на сайте и в соцсетях официальное предупреждение, где указаны ваши настоящие реквизиты и адрес; провести инструктаж с сотрудниками, чтобы самим не стать жертвами фишинга; быть в контакте с юристом или знакомым специалистом, который сможет оперативно подготовить жалобу.
Как НКО решила проблему фишинговых сайтов. Кейс фонда «Старость в радость»
«Когда мы увидели регистрацию похожих доменных имен, то дождались истечения года от их регистрации — тот, кто это делал, регистрацию не продлил. И мы зарегистрировали эти имена уже сами. Нельзя сказать, способствовало ли внимание СМИ тому, что на этих доменных именах не появилось мошеннических сайтов и регистрацию не стали продлевать, но это вполне вероятно», – рассказал IT-специалист фонда «Старость в радость» Михаил Викторов.
Случаи с регистрацией фейковых сайтов, похожих на порталы крупных благотворительных фондов, к сожалению, не редкость. Сотрудники фонда «Старость в радость» однажды даже обнаружили на фриланс-бирже заказ на изготовление клона их сайта с копией дизайна и основных страниц.
«Мы написали в администрацию биржи заказов, что с интересом (и не без тревоги) следим за судьбой заказа и были бы признательны, если бы его удалили. Биржа действительно удалила заказ и сообщила, что заблокировала заказчика. Мы признательны за содействие», – поделился Михаил Викторов. При этом, как отмечают в фонде «Старость в радость», никакой гарантии, что биржа поступит именно так, не было. Но, видимо, авторы заказа не планировали участия в потенциальных скандалах, судебных делах и не стали спорить с площадкой по размещению заказов.
Иван Соловьев из «Милосердия.ru» отмечает, что в ситуациях с фишинговыми сайтами многое зависит и от бдительности самих жертвователей: «Мошенников отлавливают банки, и организовать на фишинговом сайте нормальный сбор денег через платежную систему они, как правило, не могут. Поэтому там будет либо сбор на личную карточку, либо еще какие-то странные платежные истории – а это значит, что есть повод насторожиться».
Что касается случая с поддельными письмами, то, по словам Ивана Соловьева, следует выработать рефлекс на истерические фразы «срочно», «немедленно» (именно с такой пометкой пришли письма мошенников сотрудникам Фонда Константина Хабенского). Так всегда пишут злоумышленники. Важно внимательно проверять, с какого адреса пришло письмо – сверяйте адрес побуквенно. А если сомнения остаются, то следует связаться с человеком, от имени которого пришло письмо, по другому каналу – перезвонить, написать в мессенджер.
Как выбрать надежного хостера
Кибербезопасность сайта – дело непростое, в крупных компаниях этим занимаются отдельные специалисты и даже подразделения. В благотворительных организациях ресурсов на это чаще всего нет. Если НКО сама не осиливает разбираться в инфраструктуре, выход в том, чтобы выбрать надежного хостинг-провайдера и платить ему чуть больше за адекватный сервис и поддержку.
«При выборе хостинга стоит обратить внимание на то, где находится ваш хостер. Лучше, если он будет базироваться в России, в противном случае могут возникнуть проблемы со скоростью загрузки сайта, а это не всем посетителям понравится, – говорит эксперт по кибербезопасности Института экономики роста им. П.А. Столыпина Алексей Горелкин. – Второй важный момент – в тариф должны быть включены важные для работы сайта сервисы, либо их вам должны предоставлять за небольшую дополнительную плату».
В числе таких необходимых сервисов – создание сертификатов безопасности SSL. С одной стороны, они нужны для защиты конфиденциальной информации от утечки, с другой – удостоверяют, что сайт действительно принадлежит заявленной организации.
Для сайтов, через которые регулярно идут денежные потоки, немаловажен SLA провайдера – Service Level Agreement. «Это соглашение об уровне обслуживания между поставщиком услуг и заказчиком, своего рода гарантия бесперебойной работы сайта от хостера. Соглашение определяет перечень услуг, в том числе сервисных, время реакции на обращения, скорость устранения инцидента, а также ответственность поставщика услуг», – отмечает Горелкин.
По его словам, защита от DDoS-атак также может быть либо уже включена в определенный тарифом перечень услуг от провайдера, либо приобретаться дополнительно. Все это вместе позволяет быть уверенными в безопасности и доступности сайта НКО на уровне хостинга.
Чек-лист для оценки защищенности сайта НКО от киберугроз*
1. Назначен ответственный за сайт (домен, хостинг, сервисы, доступы). Данные должны быть задокументированы и доступны не только ему, но и руководству организации.
2. У каждого пользователя есть свой учетный профиль.
Общие логины не используются, а администраторы входят с двухфакторной аутентификацией.
3. Применяется защищенное хранение паролей.
Они хранятся в менеджере паролей или защищенном корпоративном хранилище (в файлах, таблицах и личных заметках – нельзя).
4. Программное обеспечение планово обновляется.
Речь идет о CMS (Content Management System – система управления контентом), плагинах и серверном программном обеспечении.
5. Настроено резервное копирование и проверка восстановления. Не менее трех последних версий.
6. Обеспечена безопасная конфигурация среды.
Административный доступ ограничен, стандартные пути входа, стандартные конфигурации и пароли изменены, тестовые сайты и неиспользуемые сервисы отключены.
7. Обеспечено шифрование данных и защищенное соединение.
Действительный протокол HTTPS, передача персональных данных осуществляется по защищенным каналам. Проверить валидность сертификата можно через браузер или SSL Labs.
8. Настроен мониторинг событий безопасности.
Фиксируются ходы, ошибки, уведомления при сбоях, падениях или подозрительных действиях.
9. Сотрудники и редакторы проходят инструктаж по цифровой гигиене.
Он включает в себя работу с паролями, распознавание фишинга, правила приема вложений.
10. Цифровая среда очищена от хлама и слабых мест.
Удалены неиспользуемые плагины, старые версии и тестовые файлы, закрыты доступы бывших сотрудников, проведена ревизия учетных записей.
* На основе стандартов безопасности ГОСТ, CIS Controls и OWASP:
ГОСТ Р ИСО/МЭК 27002‑2021 – «Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности».
CIS Controls v8 – версия 8 рекомендаций по кибергигиене от Center for Internet Security.
OWASP Top 10 (2021) – десять наиболее критичных рисков безопасности веб-приложений от OWASP.
Иллюстрации Дмитрия ПЕТРОВА
