Киберугрозы давно перестали быть проблемой только крупных корпораций или финансовых учреждений. Сегодня мошенники атакуют и некоммерческие организации: по разным оценкам, таких атак происходит от 50 до 100 в неделю. 

Как не стать жертвой киберпреступников и к чему это может привести? Разбираем эти важные ответы в «Журнале о благотворительности».

Как НКО попадают под кибератаки

Кажется, что некоммерческие организации слишком малы и неинтересны для хакеров. Но злоумышленники ищут уязвимости по миллионам ресурсов и часто НКО становятся их целью совершенно случайно из-за незащищенности цифровой инфраструктуры. Так, технические ресурсы некоммерческой организации могут выступать не целью, а лишь инструментом для хакерских атак, отмечает технический директор в благотворительном фонде «Культура благотворительности» Сергей Андрианов. 

Вот с какими киберугрозами сталкиваются некоммерческие организации:

1. DDoS-атаки — перегрузка серверов запросами, из-за чего сайт становится недоступным. По данным Бюро Анны Ладошкиной, ежегодно число таких атак на сайт НКО растет на 20–25%.

«DDoS-атаки — одна из самых реальных киберугроз для НКО: они не требуют сложных навыков от злоумышленников и могут парализовать сайт на часы или дни, прервав сбор пожертвований и коммуникацию с донорами, — поделился заместитель гендиректора Servicepipe Даниил Щербаков. — Но часто фонды не заинтересованы в покупке каких-либо защитных решений, поскольку думают, что никому не нужны. Даже, если подобное с ними таки происходит, они уверены, что во второй раз это не повторится».

В 2022-м году платформа онлайн-пожертвований Благо.ру пережила самую мощную в своей истории DDoS-атаку. Тогда на сайт Благо.ру обрушились десятки миллионов запросов, IT-команда восстановила полную работоспособность сайта всего за 2 дня. После атаки повторялись в 2023 и 2025 годах, но уже безуспешно.

С подобным столкнулся фонд «Гольфстрим». Сайт НКО не был основной мишенью злоумышленников, но инфраструктурный удар по IP-адресу хостинга нарушил его работу. В итоге сотрудникам пришлось временно увеличить квоту нагрузки на процессор у хостинг-провайдера для обработки шквала ложных запросов, а по завершению атаки вернуть параметры к стандартным квотам.

2. Фишинговые письма — обманные сообщения, которые маскируются под официальные запросы. Например, письмо может выглядеть как уведомление от налоговой службы или партнера, но содержать вредоносные ссылки и файлы, которые при открытии заразят компьютер или мобильное устройство пользователя вирусом. И в итоге сам компьютер или телефон могут стать распространителем. Тогда злоумышленники начнут использовать его для DDoS-атак на сайты или чтобы писать с электронной почты сотрудника фонда, которому доверяют, в крупную партнерскую компанию.

Андрианов рекомендует всегда аккуратно смотреть на доменное имя в ссылке и, если это что-то неизвестное, ни в коем случае не открывать ее.

«Часто „фишинговые“ письма подделывают домен отправителя так, что кажется что письмо пришло „от вашего“ же домена. Например внезапный имейл от „системного администратора“ с просьбой срочно перейти по ссылке. Следует уточнить у вашего технического специалиста, действительно ли он отправлял указанное письмо», — отметил специалист.

Сейчас мошенники все чаще используют в своей работе искусственный интеллект и могут подделывать голосовые сообщения и видеозвонки. Поэтому, если начальник позвонил вам с необычной просьбой и у вас есть сомнения, лучше попробовать связаться с ним другим способом.

«Из-за развития технологии генеративного ИИ сегодня мы уже не можем быть уверены в том, что человек на видео или в аудиосообщении — действительно тот, за кого себя выдаёт, — говорит гендиректор Phishman Алексей Горелкин. — Поэтому так важно повышать киберустойчивость и грамотность в области информационной безопасности, включая развитие здорового скепсиса к входящим письмам, сообщениям и звонкам».

Помимо фишинговых писем мошенники также создают фишинговые сайты, которые маскируются под известные некоммерческие организации. В 2024 году цифровые эксперты обнаружили более 20 таких порталов, где использовали фото реальных людей из соцсетей и сопровождали их фейковой информацией.

3. Взлом аккаунтов и утечка данных. Возможен взлом почты и соцсетей — их, по словам Сергея Андрианова, могут позже использовать для рассылки спама.

«Например, на странице НКО публикуют сообщение с просьбой проголосовать за нее в какой-нибудь номинации. Люди не проверяют информацию, переходят по ссылке, регистрируются там и в итоге их данные попадают злоумышленникам», — добавляет гендиректор Phishman Алексей Горелкин.

С подобным в 2025 году столкнулся фонд «Дедморозим». Подписчикам НКО предлагалось проголосовать по ссылке за некую художницу в обмен на билеты в кино. А в 2019 году от имени карельского фонда имени Арины Тубис провели рассылку с просьбой проголосовать за предоставление квоты для тяжело больного ребенка. 

Также в почте может храниться личная информация о донорах, волонтерах или проектах. Утечка этих данных нанесет удар по репутации организации и приведет к серьезным финансовым последствиям.

2,5 млрд рублей за год и рост на 57%: итоги нового исследования платформ онлайн-пожертвований в России

Как повысить свою кибербезопасность

Кибербезопасность начинается с осведомленности. Многие атаки становятся успешными из-за невнимательности или отсутствия знаний у сотрудников. Поэтому так важно обучить команду основам кибергигиены.

Сюда входят простые правила: 

  1. Умение распознавать фишинговые письма. 
  2. Использование сложных паролей. 
  3. Применение двухфакторной аутентификации: то есть, использование дополнительной защиты помимо пароля — например, кода из смс. 
  4. Использование антивирусного программного обеспечения. С его помощью необходимо каждый раз проверять все внешние устройства, например, флешки, которые сотрудники открывают на своем компьютере. А также — все файлы, которые приходят по электронной почте или скачиваются из интернета. Проект Совкомбанка «Технологии добра» предоставляет сотрудникам НКО бесплатные лицензии на продукты «Лаборатории Касперского».
  5. Установка всех новейших обновлений безопасности системы.
  6. Использование официальных версий приложений, а не их копий (особенно актуально для фейковых «клонов» WhatsApp, Telegram, непроверенных VPN-сервисов).

Участники проекта «Технология добра» могут бесплатно пройти курс по киберграмотности от компании Phishman. В нем рассказывают об основах фишинга, анализируют подозрительные письма, учат распознавать фишинговые сайты и защищать корпоративную почту.

Помимо этого важна технологическая безопасность НКО в целом. Чтобы обезопасить сайт от атак, нужно использовать хостинг с анти-DDoS-защитой или партнерским сервисом фильтрации. Помимо этого важно, чтобы хостинг обладал важными сервисами — имел сертификаты безопасности SSL и SLA, соглашение об уровне услуг между заказчиком и поставщиком.

Компания Servicepipe предоставляет участникам проекта «Технология добра» защиту от DDoS-атак. Она фильтрует трафик в реальном времени и обеспечивает практически полную доступность сайта даже под серьезными атаками.

Почему важно обращать внимание на кибербезопасность

У некоммерческих организаций — в отличие от бизнеса и госструктур — чаще всего нет подрядчиков, резервных копий и плана восстановления. Последствия кибератак могут быть разрушительными — это не только потеря данных или временная недоступность сайта, но и утрата доверия, доноров и репутации. Восстановить репутацию после утечки данных или кражи средств может быть сложно.

«Некоммерческая организация должна работать как коммерческая в плане защиты данных, но ей часто не хватает настороженности, которая чаще встречается в бизнесе, — отмечает гендиректор Phishman Алексей Горелкин. — Сотрудники НКО думают, что ничего не потеряют из-за кибератаки, но под угрозой доверие и деньги. Поэтому так важно знать, что делать и как себя обезопасить».

ИИ в НКО: 7 способов неэтично использовать нейросети и советы, как этого избежать