Эксперт UDV Group — о росте атак на уничтожение инфраструктуры, дефиците ИБ-кадров, роли ИИ и новых подходах к защите российских компаний
В 2026 году характер киберугроз для российских компаний и госсектора заметно изменился. Если раньше основными рисками считались кража данных, дефейсы сайтов и точечные взломы, то теперь злоумышленники все чаще делают ставку на максимально разрушительный сценарий — шифрование и полное уничтожение ИТ-инфраструктуры. По оценкам экспертов, именно такие атаки уже составляют 76% всех критических инцидентов.
Главным инструментом давления на бизнес остаются программы-вымогатели. На них пришлось около 70% всех киберинцидентов и в прошлом году, а суммы выкупов в отдельных случаях достигали 400-500 млн рублей. При этом современные атаки редко ограничиваются только шифрованием данных. Все чаще злоумышленники комбинируют сразу несколько методов: используют фишинг для первоначального проникновения, легитимные инструменты удаленного администрирования вроде Cobalt Strike или AnyDesk для скрытого закрепления в инфраструктуре, а затем переходят к уничтожению систем или длительному кибершпионажу.
Одновременно продолжает расти интенсивность DDoS-атак. В I квартале 2026 года их число увеличилось на 82% по сравнению с аналогичным периодом прошлого года, а пиковая мощность отдельных атак достигала 2-3 Тбит/с. Еще одной тенденцией стало усиление активности APT-группировок. Только в прошлом году эксперты выявили 18 APT-групп, семь из которых появились впервые. По данным F6, против России и стран СНГ действовали уже 27 прогосударственных группировок.
Наиболее опасными для бизнеса и госсектора сегодня считаются атаки, способные привести к остановке ключевых процессов и прямому финансовому ущербу. В первую очередь это шифровальщики: 64% экспертов называют их главной угрозой для организаций. Растет и число атак через подрядчиков: более трети инцидентов связаны со взломом партнеров, имеющих доступ к инфраструктуре крупных организаций. Особенно опасны такие сценарии для промышленности и объектов КИИ, где компрометация технологических сетей может привести уже не только к ИТ-сбоям, но и к остановке производства или промышленным авариям.
Дополнительным фактором риска становится использование искусственного интеллекта в кибератаках. Языковые модели уже применяются для создания вредоносных скриптов, генерации персонализированных фишинговых писем и дипфейков руководителей компаний. Эксперты ожидают, что в 2026 году количество подобных ИИ-усиленных атак продолжит расти.
На что российские компании делают ставку в ИБ
За последние несколько лет рынок информационной безопасности в России прошел этап экстренной перестройки и постепенно переходит к более прагматичной модели развития. Если в 2022–2023 годах основным приоритетом для бизнеса и госсектора было быстрое импортозамещение зарубежных решений, то теперь на первый план выходят вопросы эффективности, совместимости и стоимости эксплуатации систем защиты.
Переход на российские средства защиты информации остается ключевым трендом рынка. По данным UserGate, на начало 2026 года около 60% ИБ-решений, используемых российскими компаниями, уже являются отечественными. В госсекторе уровень применения российских продуктов достигает 95–98%, а в сегменте критической информационной инфраструктуры — более 80%. Однако сам процесс импортозамещения постепенно перестает восприниматься как отдельная стратегическая задача и становится базовым требованием работы. При этом рынок по-прежнему сталкивается с проблемой зрелости отечественных решений: компании отмечают, что не все продукты пока способны полностью заменить западные аналоги по стабильности, глубине интеграции и функциональности. В результате российский бизнес вынужден искать компромисс между требованиями регуляторов и реальной эксплуатационной эффективностью.
Одновременно компании отказываются от подхода, при котором под каждую задачу закупалось отдельное решение. Вместо «лоскутной автоматизации» растет спрос на комплексные платформы, объединяющие несколько функций защиты в едином контуре управления. По данным UserGate, 93% организаций уже используют или планируют внедрение автоматизированных ИТ-систем в сфере ИБ. Рынок постепенно смещается в сторону экосистемного подхода и сервисной модели потребления кибербезопасности.
Распространение сервисной модели напрямую связано с еще одной системной проблемой — дефицитом кадров. По оценкам Positive Technologies, нехватка ИБ-специалистов в России за 2025 год выросла на 24%. Особенно остро ощущается дефицит аналитиков угроз, специалистов по расследованию инцидентов и мониторингу атак. На этом фоне компании все чаще передают функции SOC и мониторинга внешним подрядчикам. Бизнес начинает платить не за лицензии и инфраструктуру как таковые, а за конечный результат — непрерывный мониторинг, реагирование на инциденты и расследование атак. Дополнительным фактором роста сервисной модели стала необходимость сокращать капитальные затраты: компании предпочитают переходить от дорогостоящего внедрения собственных систем к модели «кибербезопасность как сервис», включая облачные решения.
Давление на бюджеты становится одним из главных факторов трансформации рынка. На фоне высокой ключевой ставки компании все чаще отказываются от масштабных проектов «на вырост» и концентрируются на минимально необходимом наборе средств защиты. В типичный базовый стек сегодня входят межсетевые экраны нового поколения, средства защиты конечных точек и SIEM-системы. Одновременно растет интерес к решениям с открытым исходным кодом, которые позволяют сократить расходы на 30-60%, хотя и требуют более высокой внутренней экспертизы.
При этом главным драйвером спроса на ИБ по-прежнему остается регуляторное давление. С 1 января 2025 года вступил в силу запрет на использование иностранных решений на значимых объектах КИИ, а также была введена персональная ответственность руководителей за обеспечение киберустойчивости. По оценкам участников рынка, именно ужесточение требований со стороны ФСТЭК, ФСБ и Банка России продолжает стимулировать инвестиции в информационную безопасность даже в условиях ограниченных бюджетов.
На какие технологии делает ставку рынок кибербезопасности
На фоне роста числа кибератак российские компании и госсектор постепенно формируют базовый технологический стек, который становится стандартом для обеспечения информационной безопасности. В его основе — решения для защиты сетевого периметра, мониторинга событий безопасности и предотвращения утечек данных. При этом рынок все активнее переходит на отечественные продукты, а роль искусственного интеллекта в системах защиты продолжает быстро расти.
Одним из ключевых элементов современной ИБ-инфраструктуры остаются межсетевые экраны нового поколения (NGFW). Сегодня их используют более половины организаций, причем значительная часть компаний уже перешла на российские решения или планирует сделать это в ближайшее время. Именно NGFW становятся базовым инструментом защиты сетевого периметра и фильтрации сложного трафика.
Не менее важную роль играют SIEM-системы, которые используются для мониторинга и корреляции событий безопасности в режиме реального времени. Фактически именно они становятся центром управления ИБ, позволяя выявлять подозрительную активность и оперативно реагировать на инциденты. На фоне резкого роста числа веб-атак растет спрос и на WAF-решения для защиты веб-приложений. По оценкам экспертов, за 2025 год количество веб-атак увеличилось почти вдвое и превысило 3 млрд событий, что делает защиту внешних сервисов одной из ключевых задач бизнеса.
Отдельным направлением остаются DLP-системы для предотвращения утечек данных. Российские решения в этом сегменте считаются одними из наиболее зрелых на рынке и во многом превосходят зарубежные аналоги благодаря адаптации под требования локального законодательства и специфику корпоративного документооборота. Дополняют базовый стек средства защиты конечных устройств — антивирусные платформы, песочницы и системы поведенческого анализа, способные выявлять сложное вредоносное ПО и подозрительную активность на рабочих станциях.
Одновременно рынок переживает резкий рост интереса к использованию искусственного интеллекта в кибербезопасности. ИИ сегодня становится инструментом не только атакующих, но и защитников. Современные системы уже способны автоматически обнаруживать ранее неизвестное вредоносное ПО, включая вредоносные скрипты, созданные с помощью нейросетей, без участия оператора. Искусственный интеллект также применяется для выявления фишинговых писем, анализа контекста корпоративной переписки и поиска аномалий внутри сети, которые могут свидетельствовать о скрытом присутствии злоумышленников.
Особенно заметна роль ИИ в защите от сложных многовекторных атак. Алгоритмы машинного обучения позволяют автоматически адаптировать механизмы фильтрации DDoS-трафика на разных уровнях сети, а также выявлять нетипичное поведение пользователей и инфраструктуры на ранних стадиях APT-атак. Кроме того, ИИ все чаще используется и для обучения сотрудников: компании запускают имитационные фишинговые кампании с адаптивными сценариями, которые подстраиваются под профиль конкретного сотрудника и помогают оценивать устойчивость персонала к социальной инженерии.
В результате искусственный интеллект постепенно превращается в один из ключевых факторов развития всей отрасли кибербезопасности.
Насколько российский рынок ИБ готов к полной автономности
Российский рынок информационной безопасности за последние несколько лет практически завершил этап экстренного импортозамещения и сформировал собственную экосистему решений для защиты бизнеса и госсектора. По разным оценкам, доля отечественных продуктов в корпоративном сегменте уже составляет от 52% до 60%, а в государственных структурах достигает 95-98%.
Наиболее заметно процесс импортозамещения продвинулся в сегменте сетевой безопасности и мониторинга ИБ. Российские разработчики смогли закрыть критические пробелы и сегодня способны обеспечивать защиту высоконагруженных инфраструктур, включая сети операторов связи и объекты критической информационной инфраструктуры. В качестве примера можно привести решения UDV SIEM для сбора и корреляции событий безопасности, UDV SOAR для оркестрации средств защиты и автоматизации реагирования на инциденты, а также UDV NTA для анализа сетевого трафика и обнаружения кибератак. В результате рынок постепенно приходит к модели, при которой отечественный стек ИБ способен покрывать не только базовые, но и значительную часть продвинутых потребностей бизнеса и государства.
Однако участники рынка признают, что количественное импортозамещение пока не означает полного технологического паритета с зарубежными решениями. Несмотря на высокую степень зрелости отдельных сегментов, российским продуктам по-прежнему не всегда хватает глубины интеграции, стабильности и совместимости в сложных инфраструктурах. Одной из главных проблем становится необходимость обеспечивать бесшовное взаимодействие решений из разных экосистем, особенно в крупных распределенных ИТ-средах.
Дополнительным вызовом остается рост числа уязвимостей в отечественном программном обеспечении. По данным аналитиков РТ в прошлом году было обнаружено около 450 уязвимостей нулевого дня — в четыре раза больше, чем годом ранее. При этом около 30% всех выявленных уязвимостей пришлось именно на российское ПО, а почти каждая десятая из них относилась к категории критических. Особенно чувствительной остается ситуация в сегменте АСУ ТП, на который пришлось более двух третей критических уязвимостей.
На этом фоне ключевой задачей для российского рынка ИБ становится уже не столько увеличение доли отечественных решений, сколько повышение качества разработки и зрелости процессов безопасного создания ПО. Кроме того, сохраняется потребность в развитии специализированных решений для защиты промышленных систем и объектов критической инфраструктуры, где требования к надежности и отказоустойчивости остаются максимально высокими.
Выбор редакции
Публикации, которые получают больше внимания и попадают в Сюжеты РБК
Рекомендации партнеров: