По сравнению с 2025 годом число успешных кибератак в России в 2026-м вырастет еще на треть, а основными драйверами этого роста станут стремительная цифровизация и геополитическая напряженность, следует из анализа текущего ландшафта киберугроз в России и прогноза, который сделали в Positive Technologies. Хакеры продолжают исследовать на прочность промышленные предприятия и госсектор, а также телеком и IT-компании. Последние особенно привлекательны для злоумышленников, поскольку через бреши в их инфраструктуре они могут пробраться в IT-контур тех, кого атаковать напрямую чересчур дорого и сложно, говорят аналитики
Цифровизация и геополитика
Россия входит в число наиболее приоритетных целей киберпреступников: с июля 2024-го по сентябрь 2025 года на нее пришлось от 14 до 16% всех успешных кибератак в мире и 72% атак, зафиксированных в СНГ. При этом, согласно прогнозам, по итогам текущего года общее их количество превысит прошлогодние показатели на 20-45%, а в 2026-м может увеличиться еще на 30-35%. Такие данные, выводы и прогнозы основаны на экспертизе Positive Technologies (РТ), исследованиях команд Threat Intelligence и Incident Response экспертного центра безопасности PT ESC, результатах проектов по анализу защищенности веб-приложений и тестированию на проникновение, выполненных специалистами PT SWARM, анализе объявлений на специализированных дарквеб-площадках, проведенном командой PT Cyber Analytics, а также информации из авторитетных открытых источников. Какие еще страны в списке наиболее приоритетных целей хакеров, какие доли на них приходятся и сколько атак было зафиксировано в абсолютных значениях — эти вопросы в РТ оставили без комментариев.На руку эскалации играют несколько ключевых факторов, указывают эксперты РТ:
- роль России на мировой политической арене — она значительно определяет картину киберугроз: «Аффилированные с иностранной разведкой злоумышленники стремятся заполучить информацию о планах и решениях страны по глобальным вопросам»;
- энергетический и промышленный потенциал России: в силу этих своих мощностей Россия представляет особый интерес для хакеров;
- высокотехнологичные отрасли: традиционно под прицелом хакеров находятся такие сферы, как оборонно-промышленный комплекс, ядерные технологии, космос и IT;
- геополитика: при снижении напряженности основную угрозу будут представлять финансово мотивированные киберпреступники, а при усугублении возрастет число целевых кампаний на критическую инфраструктуру и активизируются хактивисты;
- активная цифровизация: она заметно расширяет поверхность атак, при этом в условиях нехватки квалифицированных специалистов и зрелых решений защитные меры могут оказаться недостаточными.
По мнению ведущего аналитика исследовательской группы Positive Technologies Яны Авезовой, ключевыми методами кибератак останутся социальная инженерия и вредоносное ПО, однако они приобретут более сложные формы. «Фишинговые кампании станут многоступенчатыми, а для большей персонализации все чаще будет использоваться ИИ. Возрастет востребованность многофункциональных троянов, совмещающих функции кражи, шифрования и удаления данных. Популярность сохранят «тихие» техники, использование легитимных программ, системных утилит», — прогнозирует Авезова.
«Будут только наращивать активность»
Скорее всего, именно геополитическая ситуация будет определять динамику киберугроз в 2026 году, согласны с коллегами эксперты. Хактивисты и проправительственные группировки, чаще всего атаковавшие российскую инфраструктуру в течение последних трех с половиной лет, по-прежнему нацелены на причинение максимального ущерба, говорит гендиректор Security Vision Руслан Рахметов: вывод из строя оборудования, простой бизнес-процессов, уничтожение IT-инфраструктуры, шантаж, кража данных, кибершпионаж.«Ускоренное импортозамещение, освоение новых российских защитных технологий и необходимость выполнения ужесточающихся регуляторных требований отнимают ресурсы дефицитных специалистов, а темпы цифровизации приводят к росту зависимости всей национальной экономики от киберустойчивости инфраструктуры, — рассуждает Рахметов. — Компании — производители высокотехнологичных продуктов и телеком-игроки, действительно, не всегда успевают решать задачи киберзащищенности в условиях кадрового дефицита и экстенсивного развития на фоне ухода западных конкурентов. Зачастую именно незрелостью их ИБ-процессов и пользуются злоумышленники».
Нехватку квалифицированных кадров в качестве главной проблемы в обеспечении кибербезопасности вкупе с желанием компаний сэкономить на защите называет и руководитель направления сервисов центра мониторинга и реагирования на кибератаки RED Security SOC компании RED Security Михаил Климов: «Это приводит к медленным и неэффективным процессам ИБ, и, как конечный итог — к недостаточному уровню защищенности, что и эксплуатируют хакеры».
Хакеры ставят перед собой все более амбициозные задачи и выбирают более значимые организации в качестве целей для атак, говорит руководитель направления по расследованию инцидентов центра Solar 4RAYS ГК «Солар» Геннадий Сазонов, добавляя, что ждать снижения их активности точно не стоит. По статистике Solar 4RAYS, больше всего целевых атак в 2025 году приходится на госсектор (33% расследованных APT-атак; Advanced Persistent Threat, профессионалы, действующие обычно в интересах какого-либо государства), промышленность (15%), IT (13%) и энергетику (10%) — именно они являются основными жертвами хакерских группировок.
Среди тех, кто наносит больше всего вреда российским организациям, Сазонов по-прежнему выделяет проукраинские и восточноазиатские проправительственные группы. Первые, по его словам, показывают высокий уровень организации и признаки разработки собственных инструментов для проведения атак. «Кроме того, они преследуют гибридные цели — как шпионаж, проникновение и взятие под контроль наиболее критичных систем в атакуемой сети, так и уничтожение IT-инфраструктуры для нанесения максимального ущерба. Важно, что те же самые хакеры заявляют, что будут не снижать, а только увеличивать свою активность несмотря на любые изменения в политической ситуации, — продолжает он. — Восточноазиатские группировки традиционно нацелены на такие критичные отрасли, как госсектор, промышленность, ОПК, научный сектор, IT-компании и даже медицину — один из кейсов этого года. Их основной целью остается шпионаж».
APT-группы и хактивисты будут представлять опасность для российских организаций, рассуждает руководитель команды аналитики Сyber Threat Intelligence в «Лаборатории Касперского» Кирилл Митрофанов. Однако ландшафт киберугроз, который сегодня складывается в России, а также текущая геополитическая ситуация становятся благодатной почвой для формирования новых гибридных структур, обращает внимание он. «Это группы, которые не ограничиваются жесткими рамками классических моделей поведения: они адаптивны, автономны и при выборе тактики во многом руководствуются как стратегическими задачами, так и целями конкретной кампании или атаки. Именно они в перспективе могут оказывать серьезное влияние на трансформацию киберугроз в регионе», — размышляет Митрофанов.
На подряде у хакеров
Высокотехнологичные отрасли действительно являются главной целью злоумышленников, ориентированных на проникновение в инфраструктуры российских организаций, рассуждает Михаил Климов. Это, в первую очередь, сферы IT, телекоммуникаций, промышленности, перечисляет он, добавляя к этому списку банковский сектор, который был и остается одной из самых привлекательных мишеней для киберпреступников. В ближайшие годы эта ситуация кардинально не изменится, предполагает Климов: «Единственным исключением может стать рост доли IT в списке самых атакуемых отраслей. IT-компании — это те самые подрядчики, взломав которых можно получить доступ к целевым «жертвам» — организациям, которых слишком сложно и дорого атаковать напрямую».Атаки через компании-подрядчики в сфере IT, действительно, тренд этого года, который наверняка перекочует и в 2026-й, констатирует Геннадий Сазонов: «Причем такой способ взлома целевой сети мы наблюдали в четверти всех расследуемых инцидентов в этом году». Успешные кибератаки на IT-сектор опасны прежде всего тем, что вредоносный код может распространиться на заказчиков и потребителей скомпрометированных IT-продуктов, приводя к масштабным инцидентам, подтверждает гендиректор Security Vision Руслан Рахметов. «В свою очередь, атаки на облачных провайдеров и ЦОДы чреваты последствиями для множества пользователей, от частных до корпоративных, что в сочетании с перерывами в связи и выходом из строя телеком-оборудования может нанести серьезный урон всей экономике», — предостерегает он.
Кирилл Митрофанов также предрекает рост числа кибератак на цепочки поставок: «Для злоумышленников это интересная цель, которая открывает им доступ к большому числу заказчиков скомпрометированного вендора. Анализ недавних инцидентов указывает на широкое использование традиционных фишинговых кампаний как одного из основных методов проникновения в инфраструктуру организаций. Мы ожидаем, что злоумышленники продолжат делать ставку на человеческий фактор, тщательно прорабатывая содержание писем и вредоносные вложения».
