Облачно, возможны атаки
Кибербезопасность
Ландшафт киберугроз в 2025 году характеризуется не только количественным ростом, но и качественной эскалацией. Как отмечают эксперты, действия злоумышленников становятся более разрушительными, а их инструментарий активно дополняется технологиями искусственного интеллекта. О том, каким будет ландшафт киберугроз в 2026 году, о выборе стратегий защиты и динамике расходов на информационную безопасность — в материале Guide.
Фото: Коммерсантъ / Игорь Иванко / купить фото
Фото: Коммерсантъ / Евгений Павленко
Битва за периметр
По данным портала киберразведки (Threat Intelligence) «Лаборатории Касперского», в 2025 году российские компании сталкиваются с атаками десятков хакерских группировок — их число росло на протяжении года. «Главным образом это связано с текущей геополитической ситуацией. Основную угрозу представляют хактивисты и APT-группы, проводящие сложные и часто скоординированные киберкампании. Мы также выделяем объединения гибридного хактивизма, которые имеют уникальный почерк. Они достигли высокого технического уровня и активны в публичном поле»,— отмечает Кирилл Митрофанов, руководитель команды аналитики Сyber Threat Intelligence в «Лаборатории Касперского». По словам господина Митрофанова, в числе основных векторов атак злоумышленников остаются фишинг и эксплуатация уязвимостей.
«В 2025 году действия группировок стали более разрушительными: активно применялись программы-шифровальщики и вайперы, то есть вредоносное ПО для уничтожения инфраструктуры. В некоторых случаях группировки использовали сразу оба зловреда в одной атаке. Злоумышленники заметно эволюционировали: все чаще они разрабатывают собственные инструменты, в том числе с применением ИИ, и объединяются для проведения совместных операций, что усложняет атрибуцию атаки конкретной группировке и исследование инцидентов»,— объясняет эксперт.
Во многих случаях инциденты начинались с простых вещей: писем «от бухгалтерии», сообщений «от службы поддержки», ссылок на поддельные сервисы или просьб срочно что-то проверить. «Злоумышленники подстраивались под конкретную компанию, роль сотрудника и текущие события. Люди сами выходили на контакт, переходили по ссылкам или звонили по номерам из писем. После этого атака быстро развивалась и могла приводить к краже доступов или остановке систем»,— уточняет Алина Ледяева, эксперт StopPhish.
Она солидарна с коллегой в том, что во многом это связано с геополитической обстановкой. «Российские компании становились целями атак как по идеологическим, так и по финансовым причинам, а сценарии были направлены на остановку бизнеса. Зоны риска расширялись из-за подрядчиков, облаков, интеграций и внешних сервисов. Базовые меры — бэкапы, доступы, сегментация — не всегда успевали за уровнем угроз. Ситуацию усугубляет и ИИ: фишинговые письма стали дешевле, быстрее и правдоподобнее»,— говорит эксперт.
При этом злоумышленники используют ИИ не только для генерации персонализированных фишинговых писем, но и для создания убедительных дипфейков и клонирования голоса. «Было отмечено множество случаев, когда с помощью сгенерированных аудио- и видеозаписей мошенники имитировали руководителей и пытались получить от сотрудников чувствительную информацию для ее дальнейшего использования в личных целях»,— говорит Алексей Протасов, старший специалист по информационной безопасности BPMSoft (IT-холдинг Lansoft).
Отдельная и очень важная тенденция — использование массивов данных из старых утечек. «На их основе сформировались подробные нелегальные цифровые профили граждан и сотрудников. В сочетании с ИИ это дает более таргетированные, выверенные атаки: от компрометации учетных записей до подмены реквизитов и мошенничества "под конкретного человека"»,— говорит Евгений Семенов, архитектор национальных систем цифровой идентичности, генеральный директор «РТК Софт Лабс».
Алексей Кубарев, директор по информационной безопасности «Т1 Облако» и «Т1 Интеграция» (IT-холдинг Т1), считает, что в основе этих изменений — расширение цифрового периметра бизнеса, часто бесконтрольное со стороны ИБ, что усложняет управление им и поддержание его безопасности, исчерпание нарушителями более простых возможностей атак в связи с общем повышением уровня ИБ в российских компаниях и более активное использование ИИ нарушителями.
О том, что «точками входа» чаще всего являются сотрудники организаций, фишинг и социальная инженерия, говорит и Татьяна Белоусова, начальник отдела ИБ MONS (входит в ГК «КОРУС Консалтинг»). «Также в 2025 году возросла доля атак через цепочки поставок: как правило, большие компании защищены лучше, однако их менее крупные подрядчики имеют меньше возможностей инвестировать в ИБ. Соответственно, атаки на крупный бизнес проще проводить через мелкие компании, которые взаимодействуют с ним, обмениваются различными данными»,— утверждает она.
Небольшой поставщик с незрелыми процессами ИБ, интегрируясь в инфраструктуру крупного заказчика, становится точкой входа, превращая свою локальную уязвимость в системный риск для всего бизнеса, соглашается Валентин Богданов, генеральный директор IT-компании УЦСБ. «Этот тренд требует кардинального пересмотра подходов к оценке киберустойчивости всей экосистемы партнеров»,— заключает он.
В цифровой осаде
Злоумышленники нередко гибко сочетают две тактики: массовые автоматизированные атаки «широким фронтом» на растущие цифровые экосистемы для максимального охвата и эффективности и целенаправленные операции против конкретных организаций. «Особое внимание при этом уделяется отраслям с максимальной концентрацией критических активов: госсектор, промышленность, ТЭК, финансы, транспорт, ритейл и здравоохранение. Их привлекательность для злоумышленников определяется высокой отдачей от успешной атаки, которая измеряется в нескольких ключевых бизнес-метриках: прямой финансовый ущерб от кражи средств, операционные потери от остановки производства или услуг, репутационные риски и регуляторные издержки из-за утечек персональных данных сотен тысяч пользователей, а также целенаправленное негативное воздействие на стабильность отрасли или региона»,— подчеркивает господин Богданов.
По данным портала киберразведки (Threat Intelligence) «Лаборатории Касперского», 14 группировок, атакующих Россию, прежде всего интересуют госсектор, промышленность и телеком, поскольку сбои в работе организаций из этих сфер с высокой вероятностью вызовут большой общественный резонанс. «Однако под удар может попасть кто угодно, предприятие любого размера и профиля»,— уточняет господин Митрофанов.
Госсектор и стратегические компании остаются под давлением из-за политического контекста и масштаба последствий, добавляет госпожа Ледяева. «Атаки здесь нередко связаны с шпионажем, демонстрацией возможностей и попытками повлиять на работу важных систем»,— указывает эксперт. Кроме того, по ее словам, промышленность и транспорт часто атакуют из-за высокой зависимости от IT и технологических систем. «Короткий сбой может привести к простою, срыву поставок и прямым финансовым потерям»,— добавляет госпожа Ледяева.
Финансовый сектор, в свою очередь, интересен доступом к платежным операциям и данным клиентов. «Телеком и IT привлекают хакеров тем, что через них можно атаковать сразу множество компаний. Отдельно выделяются здравоохранение и фармацевтика. Здесь ценны персональные данные пациентов и непрерывность работы»,— делится мнением госпожа Ледяева.
В целом причины атак эксперты разделяют на финансовые и политические. «Если в первом случае цель — получить выкуп, то во втором — уничтожение инфраструктуры и нарушение значимых рабочих процессов»,— подчеркивает госпожа Белоусова.
Защита «под ключ»
Как отмечает Алина Ледяева, в условиях, когда IT-среда постоянно меняется, лучше всего работают понятные и практичные меры. «В первую очередь это контроль доступов, так как большинство атак начинается с украденных логинов и паролей. Важно знать, кто и к каким системам имеет доступ, и вовремя убирать лишние права»,— замечает она.
Вторым пунктом является готовность к инцидентам. «Обновления, резервные копии и заранее продуманные действия на случай атаки позволяют сократить простой и избежать серьезных потерь даже при успешной атаке»,— добавляет эксперт.
Отдельного внимания требуют фишинг и социальная инженерия. По наблюдениям госпожи Белоусовой, все чаще бизнес начинает проводить киберучения как ИБ-команды, так и сотрудников организации в целом. «При этом важно не только выстроить защиту, но и проработать сценарии реагирования на возможные инциденты»,— говорит она.
Также, по словам госпожи Ледяевой, важно учитывать подрядчиков и внешние сервисы. «Интеграции расширяют контур атаки, и сбой на стороне партнера может затронуть всю компанию. Поэтому важно понимать, какие доступы есть у партнеров и как их сбой или компрометация могут повлиять на основной бизнес»,— указывает эксперт.
Ведущий эксперт по сетевым угрозам, веб-разработчик компании «Код безопасности» Константин Горбунов замечает, что современная киберзащита требует комплексного подхода, сочетающего технологии и обучение персонала. «Ключевые меры включают строгий контроль доступа (MFA, минимальные привилегии), оперативное устранение уязвимостей, защиту конечных точек с помощью EDR и сегментацию сетей. Ключевые организационные меры — обучение сотрудников против фишинга, регулярные аудиты и внедрение моделей SDL и Zero Trust»,— поясняет он.
При этом актуальные стратегии киберзащиты фокусируются на максимизации отдачи при жесткой оптимизации бюджета, подчеркивают эксперты. «Это дополняется непрерывным управлением уязвимостями и следованием базовым принципам Zero Trust. В условиях нехватки экспертизы растет спрос на аутсорсинг безопасности (MDR) как способ получить предсказуемые расходы и снизить операционные риски. Эффективность защиты проверяется через регулярные киберучения и тесты на проникновение, что напрямую сокращает время восстановления. Замыкает стратегию активное внедрение ИИ для прогнозирования угроз и автоматизации ответных действий, повышающее скорость работы SOC»,— говорит господин Богданов.
Впрочем, по мнению господина Митрофанова, базовых средств защиты уже недостаточно — актуальны продвинутые решения классов EDR и XDR для обнаружения и реагирования на сложные атаки. «Ключевую роль играет понимание ландшафта киберугроз, основанное на качественной аналитике. Речь идет о потенциальных противниках и их методах, релевантных для конкретной организации, отрасли и региона. Такие киберразведданные можно получить в публичных отчетах ИБ-вендоров и специальных сервисах, предназначенных для аналитики киберугроз»,— делится эксперт.
Цена уязвимости
В 2025 многие компании увеличили свои бюджеты на обеспечение ИБ. «Это связано с ростом количества угроз, необходимостью импортозамещения ИБ-решений, а также с ужесточением законодательства в части КИИ и ПДн. Кроме того, начал расти спрос на ИБ-аудит. Полагаю, что тренд продолжится и в 2026 году, однако рост будет умеренным»,— говорит госпожа Белоусова.
Евгений Акимов, директор направления развития бизнеса департамента информационной безопасности группы Rubytech, солидарен с тем, что во многом расходы на обеспечение кибербезопасности в последние три года были связаны с необходимостью импортозамещения.
«Это привело к отставанию во внедрении новых механизмов и технологий киберзащиты. Поэтому, несмотря на то, что большинство проектов по импортозамещению близко к завершению, высвобождающиеся ресурсы позволят усилить оснащенность команд кибербезопасности. А самые громкие и критичные публичные инциденты дадут возможность обосновать некоторый рост бюджетов, однако вряд ли он превысит 10–15%»,— думает господин Акимов.
По оценкам госпожи Ледяевой, в 2025 году бюджеты на ИБ в целом росли, но рост был сдержанным. «По данным аналитиков, глобальные траты увеличились, однако для большинства компаний это выглядело как прибавка на уровне 4–8%. Часто деньги шли не на развитие, а на поддержание текущего уровня защиты. При этом ИБ-команды сталкивались с ситуацией, когда угрозы росли быстрее, чем доступные бюджеты и ресурсы»,— указывает она.
В 2026 году эксперт ожидает продолжения роста расходов на ИБ, в среднем на 5–10%, но без резких скачков. «Компании будут более осознанно вкладываться в устойчивость: предотвращение инцидентов, готовность к атакам и работу с человеческим фактором через обучение и тренировки. На фоне общего роста трат ИБ будет рассматриваться не как отдельная статья, а как обязательная часть цифрового развития бизнеса»,— подчеркивает госпожа Ледяева.
Господин Богданов также замечает, что в 2025 году рост бюджетов на информационную безопасность замедлился. «Высокая ключевая ставка и общая экономическая неопределенность заставили бизнес пересмотреть инвестиционные планы, сместив акцент с масштабных проектов внедрения на оптимизацию текущих расходов»,— объясняет он.
В 2026 году значительного увеличения финансирования он также не ожидает. «Бюджеты, с высокой долей вероятности, останутся на уровне 2025 года или покажут чисто номинальный рост, несмотря на объективное усложнение угроз. Это означает, что главным трендом станет не привлечение новых средств, а повышение эффективности каждого вложенного рубля. В выигрыше останутся компании, которые сделают ставку на тонкую настройку, консолидацию решений и сервис-ориентированные модели»,— полагает Валентин Богданов.
По данным Константина Горбунова, большинство российских компаний не планируют сокращать расходы на информационную безопасность в 2026 году. «32% компаний оставят расходы на прежнем уровне, 32% — увеличат. Сокращение планируют лишь 7% организаций. Основные направления инвестиций в 2025–2026 годах — защита персональных данных, замена продуктов ушедших вендоров и защита КИИ. При этом у многих компаний есть стратегия развития ИБ, что указывает на более осмысленный подход к распределению бюджета»,— говорит господин Горбунов.
Ускорение всего
Кирилл Митрофанов считает, что существенных изменений в ландшафте угроз в 2026 не ожидается. «Мы предполагаем, что злоумышленники будут эволюционировать, развивать технические навыки и инструментарий. Продолжится рост числа атак на разработчиков ПО и небольших подрядчиков, которые часто используются как точка входа в более крупные компании»,— полагает он.
По мнению Валентина Богданова, в 2026 году главным приоритетом станет получение максимальной отдачи от уже сделанных инвестиций в IT и ИБ через повышение операционной эффективности. «Фокус сместится с закупки новых решений к максимизации отдачи от ранее внедренных инструментов. Компании будут проводить тотальный аудит и "харденинг" своей защиты: анализировать, все ли возможности ИБ-решений задействованы, и проверять системы на наличие старых, оставшихся без техподдержки сервисов и прочих рисков. Цель — закрыть основные уязвимости за счет грамотной настройки, а не дополнительных капитальных затрат. Экономическое давление и поиск операционной эффективности закономерно подтолкнут рынок к сервис-ориентированной модели безопасности, где аутсорсинг функций ИБ станет способом получить экспертизу и предсказуемые расходы»,— рассуждает он.
По прогнозам Алины Ледяевой, в 2026 году фокус атак сместится с «железа» на учетные записи, включая сервисные аккаунты и API-ключи в облаке. «ИИ продолжит делать социнженерию дешевле и убедительнее: письма, звонки и голосовые дипфейк-сценарии будут выглядеть еще более правдоподобно и чаще вводить сотрудников в заблуждение. Шифровальщики сохранятся как один из ключевых рисков, поскольку они могут останавливать процессы и создавать давление на бизнес. Дополнительные риски будут создавать подрядчики, интеграции и внешние сервисы, через которые атаки проще масштабировать»,— говорит она.
Евгений Акимов также называет главным трендом массовое использование искусственного интеллекта злоумышленниками для проведения кибератак. «Первые успешные случаи применения ИИ в атаках были зафиксированы уже в 2025 году, а в 2026-м следует ожидать их резкого роста. Это связано с тем, что ИИ радикально снижает порог входа в киберпреступность. Сложные многоступенчатые атаки, которые раньше могли организовать только высококвалифицированные хакеры, теперь становятся доступны практически любому. Искусственный интеллект автоматизирует разведку, подбор уязвимостей, создание вредоносного кода и даже социальную инженерию. Это означает, что организации столкнутся с лавиной профессионально выполненных атак при минимальных затратах со стороны злоумышленников»,— прогнозирует он.
Главный тренд 2026 года — ускорение всего: атак, реакции, последствий, резюмирует Евгений Семенов. «ИИ продолжит усиливать злоумышленников, снижая порог входа и увеличивая скорость подготовки атак. Поверхность атаки будет расширяться за счет API, интеграций и экосистемных моделей»,— прогнозирует он. Отдельно господин Семенов выделяет кадровый и управленческий риски. «Без встроенной ИБ-логики в процессы и продукт устойчивость становится недостижимой: ручное реагирование и героизм больше не работают»,— заключает эксперт.