Глава NCSC: государства стоят за тремя четвертями атак на критическую инфраструктуру Британии

Глава британского Национального центра кибербезопасности (NCSC) Ричард Хорн предупредил, что Великобритания уже сталкивается с первыми эпизодами будущих конфликтов в киберпространстве. В выступлении в Royal United Services Institute он сообщил, что команды NCSC за год до мая обработали более 200 инцидентов, затронувших критическую национальную инфраструктуру и её поддерживающую экосистему. Около 75% этих атак, по оценке ведомства, связаны с государственными акторами.

Хорн заявил, что специалисты регулярно находят и останавливают проникновения до того, как становится понятен их конечный замысел. По его словам, «кинетическое таргетирование в любом конфликте завтра будет основано на разведданных, собранных сегодня», а противники уже «предпозиционируются» внутри британской критической инфраструктуры.

Под этим он понимает создание footholds в технологиях, на которых держатся жизненно важные сервисы: энергетика, связь, транспорт, государственные системы и цепочки поставки. Такие footholds могут быть использованы позже для быстрого разрушительного воздействия в момент кризиса или военного конфликта. Хорн упомянул Volt Typhoon — китайскую государственно-связанную кампанию против инфраструктуры США — как наиболее ясный пример подобной тактики.

Выступление также отражает изменение языка, которым британские власти описывают кибербезопасность. Хорн призвал относиться к ней не только как к «риску», который можно принять и управлять им, а как к постоянному «состязанию» с противником. Это созвучно позиции НАТО и американского Cyber Command: киберпространство рассматривается как постоянно оспариваемая среда, где атаки ниже порога войны всё равно дают стратегические последствия.

Для операторов критической инфраструктуры вывод неприятный, но прямой: сравнивать уровень защиты только с отраслевыми конкурентами недостаточно. По словам Хорна, имеет значение сопоставление с возможностями реального противника. Это означает необходимость непрерывных инвестиций, threat hunting, сегментации, контроля поставщиков, восстановления после компрометации и проверки сценариев, в которых атакующий уже находится внутри сети.

Источник: The Record, 17 июня 2026