Solar webProxy заблокировала 32,1 млрд обращений к вредоносным ресурсам в школах

Школьники и студенты колледжей Центрального и Приволжского федеральных округов чаще всего становятся целями киберпреступников. На эти два региона пришлось более половины всех заблокированных обращений к вредоносным ресурсам по стране. С 23 февраля по 17 мая 2026 года SWG-система «Secure Web Gateway» Solar webProxy, которая уже защищает более 50 тыс. школ и колледжей в единой сети передачи данных (ЕСПД), заблокировала 32,1 млрд таких обращений во всех округах России. При этом Solar webProxy пресекает более 98% угроз ещё до загрузки файла на устройство.

От 60% до 85% блокировок связаны с «малвертайзингом» - вредоносной веб-рекламой. Отдельный тренд - рост интереса к ИИ-сервисам: за два месяца система зафиксировала 51,6 тыс. попыток обращений к DeepSeek, ChatGPT и Perplexity. Обращение к ИИ-сервисам SWG-система «Солара» выделяет в отдельную категорию: доступ к ним в школах регулируют правила фильтрации трафика, а сами сервисы к вредоносным ресурсам не относятся.

Тема безопасного использования ИИ в школах выходит на первый план на ПМЭФ-2026, на котором обсуждается развитие новых навыков будущего - от когнитивных способностей до работы с нейросетями. При этом важно не только научить школьников пользоваться ИИ, но и предоставить безопасный доступ в интернет, а также научить отличать легитимные сайты от вредоносных.

Как устроена защита: требования Минпросвещения и технологии

Фильтрация интернет-трафика в школах и колледжах строится на основе Методических рекомендаций Минпросвещения России, которые направлены на блокировку контента, вредящего здоровью и развитию детей или не соответствующего учебным задачам. Рекомендации реализует SWG-система Solar webProxy. Она анализирует трафик, распределяет сайты по тематическим категориям, использует «постоянный белый», «временный белый» и «чёрные списки» для настройки доступа и проверяет загружаемые файлы антивирусом. Благодаря этому защита в ЕСПД работает на опережение и блокирует угрозы до того, как они достигают устройств учащихся.

Школьники Центра и Поволжья - больше половины блокировок

Аналитики ГК «Солар» проанализировали трафик устройств, подключённых к ЕСПД, за период с 23 февраля по 17 мая 2026 года. Под обращением SWG-система понимает каждую попытку устройства открыть запрещённый или заражённый ресурс. Такие запросы создают сами учащиеся и учителя, когда переходят на заблокированные сайты, а также программы на их гаджетах, которые обращаются к подобным ресурсам автоматически, в фоновом режиме. Больше всего таких обращений Solar webProxy заблокировала на устройствах из Центрального и Приволжского федеральных округов - по 8,9 млрд (около 27,7%) в каждом, то есть более половины всех зафиксированных попыток по стране. В Южном федеральном округе система заблокировала 4,9 млрд обращений (15,3%), в Сибирском - 3,8 млрд (11,9%). Уральский округ - 2,1 млрд (6,5%), Дальневосточный - 1,9 млрд (5,9%), Северо-Западный - 1,6 млрд (5%).

В среднем решение «Солара» блокирует 1,6 млрд обращений к вредоносным ресурсам в неделю, однако на пике - с середины марта по середину апреля - этот показатель достигал 4,9 млрд. Всплески совпали с периодом подготовки к пробным ЕГЭ, ОГЭ и ВПР. Злоумышленники наращивали массовые рассылки, заражали легитимные сайты и усиливали малвертайзинг. В начале мая активность снизилась из-за праздничных выходных.

«Школьники ищут готовые ответы к пробным экзаменам и переходят на заражённые ресурсы, скачивают файлы с вредоносным кодом. Мошенники распространяют такие ссылки через рекламу в социальных сетях и маскируют заражённый код в файлах, которые дети загружают на устройства», - поясняет Анастасия Хвещеник, руководитель продукта Solar webProxy ГК «Солар».

Малвертайзинг: как реклама заражает школы
Малвертайзинг остаётся главным каналом доставки вредоносного контента в школах и колледжах. На веб-рекламу приходится от 60% до 85% всех блокировок в зависимости от недели и региона. Киберпреступники легально покупают рекламные места на популярных сайтах и размещают заражённые баннеры или скрипты. Переход по такому объявлению запускает загрузку вредоносного кода на устройство.

На втором месте - вредоносный контент, который злоумышленники распространяют через социальные сети (до 20% блокировок). Злоумышленники взламывают аккаунты блогеров, запускают таргетированную рекламу, рассылают вредоносные ссылки и файлы от имени друзей. Дети доверяют сообщениям от знакомых, и это повышает результативность атак.

До 7% блокировок приходится на угрозы, которые распространяются через мессенджеры - Telegram и Zoom. В школах доступ к ним ограничен, однако и сами учащиеся, и злоумышленники пытаются использовать эти каналы для обмена файлами и ссылками, в том числе вредоносными.

Киберпреступники также используют временные или редко посещаемые домены для размещения фишинговых страниц и вредоносного ПО - на такие сайты приходится от 2% до 5% блокировок. В категории «Поисковые системы и порталы» (Яндекс, Google, Mail.ru) Solar webProxy блокирует до 4% обращений, причём речь идёт не о самих поисковиках, а о вредоносных редиректах: переход по заражённой ссылке из поисковой выдачи или рекламного блока перенаправляет пользователя на фишинговый сайт.

Невысокую, но стабильную долю (до 3%) занимает категория «Вредоносное ПО и вирусы» - трояны, программы-вымогатели и шпионское ПО. Низкий процент объясняется тем, что большинство атак проходит через рекламу и соцсети, а сам вредоносный файл система блокирует ещё до идентификации - на этапе «неизвестного файла».

Отдельная категория, которую Solar webProxy зафиксировала впервые, - «Анонимные прокси и VPN» (до 2% блокировок, преимущественно в ЦФО и ПФО). Учащиеся используют эти инструменты для обхода школьных ограничений и доступа к соцсетям или играм. Те же технологии применяют злоумышленники для маскировки командных серверов. Например, если школа не блокирует такие каналы, заражённые устройства могут получать команды - на кражу паролей или шифрование файлов.

До 1,5% блокировок связано с рекламными модулями-шпионами (adware) и спам-рассылками. Чаще всего заражение происходит при скачивании бесплатных программ или игр с торрент-ресурсов, где киберпреступники маскируют вредоносный код под легальное ПО.

«Доверие детей - главный канал атак. Киберпреступники создают поддельные страницы игр, конкурсов и "ответов на экзамены", рассылают вредоносные ссылки от взломанных аккаунтов одноклассников. Solar webProxy блокирует обращения к заражённым ресурсам на раннем этапе, но одних технологий недостаточно - нужно системное повышение киберграмотности детей и учителей», - отмечает Анастасия Хвещеник, руководитель продукта Solar webProxy ГК «Солар».

Блокировка до загрузки: борьба с неизвестными и зашифрованными файлами

Помимо атак через рекламу, злоумышленники активно распространяют вредоносные файлы. Solar webProxy блокирует их ещё на этапе запроса - до загрузки на устройство. Более 98% таких блокировок приходится на категорию «Неизвестный файл». Школьники скачивают подобные файлы в поиске ответов к экзаменам, рефератов, нелицензионных игр или бесплатного ПО, а злоумышленники маскируют вредоносный код под нейтральные названия - например, «otvety.exe» или «shpargalka.zip».

Остальные блокировки распределяются так: «пустые» или слишком крупные файлы (0,5-1,5%) - это тестирование защитных механизмов или попытка передать крупную вредоносную нагрузку; текстовые форматы (HTML, XML, JSON) - 0,5-1,2% - в них размещают фишинговые формы и скрипты перехвата данных; JavaScript-скрипты - до 0,5% - через них подгружают вредоносную рекламу, крадут пароли и перенаправляют на поддельные сайты.

«В версии Solar webProxy 4.5 мы усилили защиту от зашифрованных архивов. Теперь любой зашифрованный архив, в котором может скрываться вредоносный код, система блокирует автоматически - независимо от содержимого. Школа получает надёжный барьер без дополнительных затрат», - отмечает Анастасия Хвещеник.

Кто использует нейросети: школьники или киберпреступники?

Школьники и студенты колледжей всё активнее обращаются к нейросетям: ищут информацию для докладов, изучают языки, пишут код для учебных проектов. Параллельно злоумышленники используют ИИ-инструменты для создания фишинговых писем, генерации вредоносных скриптов и автоматизации атак через открытые API.

За период с 23 марта по 17 мая 2026 года Solar webProxy зафиксировала 51,6 тыс. обращений учащихся к ИИ-сервисам. Это попытки открыть такие сервисы; случаи заражения или скачанные вредоносные файлы, которые SWG-система учитывает отдельно. Больше всего запросов зафиксировано в Приволжском федеральном округе - 14,9 тыс. (около 29%). Далее следуют Сибирский - 11,3 тыс. (22%) и Центральный - 9,9 тыс. (19%) округа. На остальные округа пришлось около 30% блокировок: Южный - 7,8 тыс. (15%), Уральский - 3,4 тыс. (7%), Дальневосточный - 2,6 тыс. (5%), Северо-Западный - 1,7 тыс. (3%).

Активность росла с конца марта и достигла пика в первую неделю мая - в период подготовки к экзаменам. Самым популярным сервисом среди учащихся стал DeepSeek (chat.deepseek.com) - на него пришлось более 65% всех заблокированных запросов к ИИ (33,6 тыс. обращений). На втором месте - российские сервисы-агрегаторы trychatgpt.ru и gpt-chatbot.ru с долей 8% (4,1 тыс. запросов). Тройку замыкает Perplexity AI - 5% (2,6 тыс. обращений). На эти три категории пришлось 78% всего заблокированного ИИ-трафика.

«Solar webProxy фильтрует исходящие запросы к нейросетям и входящие ответы от ИИ-сервисов, блокируя вредоносные скрипты, фишинговые страницы и опасный контент. С версии Solar webProxy 4.5 полученные данные об использовании нейросетей в школах и колледжах будут адаптироваться под политики безопасности», - поясняет Анастасия Хвещеник, руководитель продукта Solar webProxy ГК «Солар».

Пик блокировок пришёлся на подготовку к экзаменам, и по оценкам аналитиков, к новым учебным сезонам нагрузка на фильтрацию в ЕСПД будет повторяться. Solar webProxy блокирует угрозы до того, как они достигают устройств учащихся, и расширяет проверку новых каналов - от зашифрованных архивов до обращений к ИИ-сервисам.