Скопировать ссылку
Госуслуги, гибридные графики работы, массовые миграции в облака и «умные» устройства — цифровая трансформация проникает во все сферы нашей жизни. Государственные стратегические проекты, например «Экономика данных» (2025–2030), пришедший на смену «Цифровой экономике» (2017–2024), еще сильнее ускоряют этот процесс.
Но обратной стороной технологического «бума» становится увеличение поверхности атаки. И это вполне логично, ведь каждая новая технология, будь то облачный сервис или «умное» устройство, генерирует новые уязвимости и потенциальные векторы угроз. Добавьте к этому современную геополитическую обстановку, и Россию можно выводить в топ стран — мишеней для глобальных кибератак.
В таких условиях технологическая независимость и информационная безопасность перестают быть только технической задачей и становятся стратегическим приоритетом. А значит, важно понимать, какие тренды будут определять ландшафт киберугроз в 2026 году и какие практические шаги организациям стоит предпринять уже сегодня, чтобы цифровой периметр оставался безопасным.
Немного цифр и аналитики на старте
Прежде чем разбирать статистику за 2024–2025 годы, важно выстроить общий понятийный каркас. В отчетах крупных компаний в области кибербезопасности используются разные методологии, но базируются они на одних и тех же группах атак. Чтобы корректно читать цифры и видеть различия между источниками, необходимо понимать, что именно входит в каждую категорию.
Вредоносное ПО
Вредоносное ПО (malware) — любой код, который попадает в инфраструктуру неслучайно и действует против интересов организации. Это может быть простой троян, который тихо собирает учетные данные работников, или шифровальщик, блокирующий рабочие сервера.
В корпоративной практике все часто начинается с очень бытовой ситуации: работнику приходит «договор» от контрагента, он открывает вложение, и система заражается. Дальше — остановка внутренних сервисов, простой отделов, угрозы для данных и переговоры со злоумышленниками, если речь идет о вымогателях.
Социальная инженерия
Социальная инженерия, или, другими словами, атака, которая начинается с уязвимости в человеческом внимании. Злоумышленник имитирует привычную коммуникацию: письмо «от директора», сообщение «из банка», уточнение «от службы поддержки». Работник видит знакомый стиль или имя, переходит по ссылке, вводит код или подтверждает конечное действие.
Один из показательных примеров в корпоративной среде — подброшенная флешка. Она лежит на парковке, в переговорке, рядом с ресепшеном или у входа в офис. На корпусе может быть логотип партнера или пометка «финансовая отчетность». Работник, руководствуясь добрыми намерениями или любопытством, подключает ее к рабочему компьютеру, чтобы посмотреть содержимое или вернуть владельцу. В этот момент вредоносный код запускается автоматически, и злоумышленник получает первичный доступ к сети организации.
Эксплуатация уязвимостей
Эксплуатация уязвимостей — это использование ошибок или недоработок в программном обеспечении, которые появляются в процессе разработки, обновлений или интеграции новых сервисов. В корпоративных ИТ-ландшафтах уязвимости встречаются регулярно: компании используют десятки систем, сторонние компоненты, модули поставщиков, а часть критичных сервисов работает годами без обновлений.
Хороший пример — ситуация с устаревшим сервисом, который «не трогают» из-за нагрузки или риска остановить бизнес-процесс. Система выполняет важную функцию, работает стабильно, и ИТ-команда откладывает обновление до удобного момента. В итоге уязвимость остается открытой, и к ней рано или поздно появляется публичный эксплойт.
DDoS
DDoS — классика кибератак: перегрузка сервиса множеством запросов, из-за которой сайт или приложение перестают отвечать. Этот метод существует десятилетиями и эволюционировал вместе с интернетом, но смысл остается прежним.
В корпоративной практике DDoS чаще всего выглядит как внезапное «падение» публичных сервисов. Интернет-магазин теряет доступность во время акции, банк получает шквал обращений в колл-центр из-за недоступного мобильного приложения, сервис онлайн-записи простаивает в часы пик. Причина обычно одна: ботнет генерирует огромный поток запросов, а инфраструктура компании не успевает его обработать.
Теперь, когда контур угроз понятен, к статистике можно относиться предметно. В аналитических отчетах Fortinet, VikingCloud и Positive Technologies четыре группы атак можно назвать основой годовых наблюдений — при условии, что акцент мы делаем на отчете от Positive Technologies, так как компания лучше понимает отечественный рынок кибербезопасности.
Если смотреть совокупно, то данные выглядят так:
Высокая доля атак с использованием вредоносного ПО объясняется тем, что они почти всегда начинаются с социальной инженерии. Человеческое внимание по-прежнему остается самой удобной точкой входа для злоумышленников, и именно здесь искусственный интеллект дал им (злоумышленникам) новые возможности. Генерация убедительных фишинговых писем, поддельные голосовые сообщения «от руководителя», дипфейки сотрудников государственных структур — все это повышает вероятность того, что «полезная» нагрузка успешно попадет в инфраструктуру.
Поэтому социальная инженерия в 2024–2025 годах становится основным способом доставки вредоносного кода. Международные оценки также сходятся: до 98% инцидентов так или иначе начинаются с взаимодействия человека с атакующим контентом. Классический пример в корпоративной практике — комбинированные сценарии: поддельные чат-коммуникации, запросы от «службы поддержки», звонки, сопровождающие письмо, чтобы ускорить реакцию работника.
Рост количества эксплуатаций уязвимостей связан с другой особенностью корпоративных ИТ — усложнением инфраструктур. В организациях одновременно работают десятки систем, облачные сервисы, сторонние модули и компоненты поставщиков. Держать их в актуальном состоянии все сложнее: обновления откладываются, критичные сервисы работают годами без патчей, а новые зависимости появляются быстрее, чем успевают пройти полную проверку. В таких условиях число успешных эксплуатаций не снижается — и предпосылок к снижению в 2026 году нет.
DDoS остается в статистике, но его роль меняется. По мере развития «защитных» технологий и перехода инфраструктур на распределенные архитектуры такие атаки становятся скорее инструментом давления или отвлечения внимания. Часто они совпадают с социально значимыми датами и событиями — праздниками, днями голосования, крупными информационными повестками. На фоне этой динамики DDoS постепенно уступает место более разрушительным инструментам, таким как шифровальщики, которые приводят к прямым операционным потерям.
Отдельного внимания требует рост числа атак на цепочки поставок. В 2024 году на них приходилось 2%, в 2025 — уже 4% (Positive Technologies). Этот вектор развивается быстрее, чем может показаться по цифрам: атака направлена не на саму компанию, а на поставщика, чье обновление или интеграционный модуль становится проводником вредоносного кода. С усложнением ИТ-экосистем подобные атаки будут появляться чаще.
Роль искусственного интеллекта усиливается во всех направлениях. По оценке Gartner, к 2027 году 17% атак будут включать генеративный ИИ, а 97% компаний уже сталкиваются с рисками, связанными с безопасностью используемых ИИ-сервисов. И эти риски становятся достаточно выраженными, чтобы формировать отдельный слой рекомендаций и требований — ориентиром здесь служит OWASP Top 10 for LLM.
По моему мнению, ИИ используется в каждой атаке, это может быть разработка плана атаки и эскалации привилегий, написание фишинговых писем, дипфейки, написание скриптов и вредоносного кода, автоматизация «рутины» злоумышленника. Также плодятся GPT-аналоги, заточенные под совершение деструктивных действий (FraudGPT, WormGPT и другие).
Совокупные данные аналитиков подтверждают: нагрузка на ИБ-подразделения в 2026 году продолжит расти. Positive Technologies сообщают, что на Россию приходится около 15% успешных атак в мире и около 70% в СНГ. При этом общее количество атак в 2026 году может увеличиться на 30–35%. Этому способствует увеличение числа уязвимостей, расширение арсенала атакующих и увеличение поверхности атаки за счет внедрения новых цифровых сервисов.
Эти факторы указывают на значимые качественные изменения в самой структуре киберугроз. Именно они и формируют ключевые тренды, которые будут определять ландшафт безопасности в 2026 году.
Тренды кибербезопасности 2026
Анализ, приведенный в предыдущем разделе, показывает не только количественный рост атак. Он фиксирует качественные сдвиги в ландшафте угроз, которые и формируют повестку 2026 года.
Эти сдвиги определяются несколькими ключевыми драйверами: активным внедрением ИИ в инструментарий атак, постоянным усложнением ИТ-инфраструктур и растущим вниманием государств к вопросам киберустойчивости.
Кибератаки с помощью ИИ
Агенты с искусственным интеллектом представляют собой грозное оружие в арсенале злоумышленников. Они способны действовать автономно и взаимодействовать с внешними сервисами, что делает их опасными для организаций. С их помощью хакеры могут проводить более сложные атаки, находить уязвимые места в защите и использовать новые методы социальной инженерии.
Однако, с другой стороны, эти же технологии открывают перед специалистами по безопасности новые горизонты, например, могут использоваться для автономного обнаружения кибератак и быстрого реагирования. Вполне вероятно, что в 2026 году мы станем свидетелями нового этапа «гонки вооружений» в области кибербезопасности, где ставки будут одинаково высоки как для злоумышленников, так и для компаний.
Дипфейки и кибератаки
Технологии подделки аудио- и видеосигналов дают злоумышленникам возможность убедительно имитировать руководителей, партнеров или сотрудников государственных структур. Уже фиксировались случаи, когда работники компаний переводили крупные суммы, получив «звонок руководителя», являющийся дипфейком. По мере усложнения моделей и снижения стоимости их использования такие инциденты ожидаемо будут расти.
Эволюция программ-вымогателей
Первый ключевой сдвиг — резкое снижение порога входа для операторов программ-вымогателей. С развитием генеративного ИИ на теневом рынке появились инструменты, позволяющие собирать или модифицировать вредоносный код без глубоких навыков программирования.
Это означает, что запускать сложные атаки с шифрованием критичных данных теперь могут злоумышленники без высокой технической квалификации. Сам процесс дополнительно упрощается за счет развития технологии дипфейков для обхода систем контроля и анонимных криптовалют для легализации выкупа.
В 2026 году этот вектор будет расти именно из-за снижения барьеров для входа.
Укрепление слабого звена
Как известно, люди часто являются самым слабым звеном в системе безопасности. Злоумышленники нередко выбирают тактику обмана, подкупа или шантажа, чтобы заставить людей раскрыть свои учетные данные для доступа. В ответ на это организации готовы вкладывать больше средств в обучение своих работников распознаванию угроз, в проведение имитационных атак с использованием методов социальной инженерии и в формирование культуры безопасности в организациях.
Пример: в рамках недавней проверки, согласованной с заказчиком, наши специалисты провели целевую фишинговую кампанию с использованием ИИ-инструментов. Они развернули точную копию внутреннего веб-портала компании и разослали фишинговые письма 500 работникам.
В результате 15 работников выполнили указанные в письмах действия, что привело к компрометации их корпоративных учетных данных. В условиях реальной атаки эти доступы стали бы плацдармом для шифрования данных, кражи клиентской информации или ее продажи на теневых платформах, а зачастую и все вместе.
Работа с персоналом становится ключевым элементом защиты, сопоставимым по важности с техническими мерами. Регулярные тренировки, повышение осведомленности и проверка готовности к целевым сценариям — необходимые шаги для снижения риска человеческого фактора.
Квантовая безопасность
Еще одним значимым вектором становится угроза, связанная с развитием квантовых вычислений. Квантовые компьютеры, способные решать задачи, недоступные самым мощным современным системам, ставят под сомнение надежность всех существующих алгоритмов шифрования.
Это формирует специфический тип атаки, известный как «Harvest Now, Decrypt Later» (HNDL). Злоумышленники уже сегодня массово собирают и хранят зашифрованные конфиденциальные данные (переписку, государственные и коммерческие тайны). Они ожидают появления достаточно мощного квантового компьютера, который сможет взломать эту информацию в будущем.
С учетом этого в 2026 году аналитики ожидают роста инвестиций и начала практических шагов по миграции на постквантовую криптографию — разработку и внедрение новых алгоритмов шифрования, устойчивых к квантовым атакам.
В конечном итоге тренды, описанные выше, показывают общую картину: атаки становятся доступнее, методы разнообразнее, а точки входа шире. ИИ снижает порог для злоумышленников, дипфейки усложняют проверку подлинности коммуникаций, шифровальщики превращаются в массовый инструмент, а уязвимости и человеческий фактор по-прежнему дают реальный шанс попасть внутрь инфраструктуры.
Три кита защиты будущего
В текущих реалиях традиционные методы защиты становятся недостаточными. Так, например, зарубежная страховая компания Canopius провела исследование, оценивающее эффективность базовых мер защиты (2019–2023). К стандартным мерам в рамках исследования относились:
- резервное копирование и безопасное хранение резервных копий (Backups);
- многофакторная аутентификация для удаленного доступа (MFA);
- управление привилегированными учетными записями (PAM);
- обнаружение и реагирование на конечных устройствах (EDR);
- тренинги по повышению осведомленности (Security Awareness Trainings);
- фильтрация почтового трафика (Email Security Filtering).
Заключение по результатам исследования следующее: базовые меры защиты стали вдвое менее эффективными, чем пять лет назад (от показателя эффективности в 80% к показателю эффективности 40%).
Показательный пример: во время одного из проектов наша команда обнаружила у заказчика масштабное расхождение между фактическими и заявленными данными об инфраструктуре. Часть сервисов не учитывалась, системы работали с заводскими настройками, а патчи на ключевые компоненты отсутствовали. В реальной атаке это дало бы злоумышленникам возможность быстро закрепиться и получить доступ к конфиденциальной информации. Клиенту рекомендовали регулярную инвентаризацию активов, автоматизацию контроля конфигураций и обновлений, аудит сторонними экспертами и периодические киберучения с персоналом.
В связи со снижением эффективности базовых мер защиты, а также с учетом появления новых технологий организации обязаны повышать уровень зрелости кибербезопасности и киберкультуры. Ниже расскажем о перспективных направлениях, которые позволят перейти компаниям на новый «грейд».
Искусственный интеллект, архитектура Zero Trust и современные подходы к обучению персонала — три ключевых направления, формирующие основу кибербезопасности будущего. Они позволяют организациям эффективно выявлять угрозы, строго контролировать доступ и превращать работников в активную часть системы защиты.
Искусственный интеллект и большие языковые модели открывают новые возможности для автоматизации всевозможных процессов. В этой связи защищающаяся сторона обязана применять ИИ-технологии, перспективными направлениями являются автоматизация первого уровня аналитики SOC, анализ пользовательского поведения и трафика, совершенствование систем поддержки принятия решений при выявлении, реагировании и расследовании инцидентов информационной безопасности.
Переход концепции Zero Trust из теоретической плоскости в практическую. Архитектура «нулевого доверия» предусматривает реализацию политики доступа, основанной на анализе контекста, включая такие параметры, как должность пользователя, его геолокацию, используемое устройство и тип запрашиваемых данных. Такой подход обеспечивает предотвращение несанкционированного доступа к корпоративным ресурсам. Модель Zero Trust предназначена для защиты современных цифровых сред и поддержки цифровой трансформации организации за счет внедрения надежных методов аутентификации, сегментации сети, блокировки горизонтальных перемещений и реализации принципа минимально необходимого доступа.
Помимо этого, важно отметить, традиционный подход к обучению работников, например раздача инструкций и проведение формальных тренингов, уже не обеспечивает достаточной защиты.
Хотя именно работники часто становятся первой линией обороны, способной вовремя заметить подозрительные действия, фишинговые письма или попытки социальной инженерии.
Опыт показывает, что инвестиции в качественное обучение персонала приносят гораздо больший эффект, чем затраты на устранение последствий инцидентов, таких как утечка данных или выкуп. Поэтому тренд в области кибербезопасности смещается в сторону более эффективных и вовлекающих форматов обучения. Вместо скучных лекций и сухих инструкций организации все чаще используют интерактивные тренинги, симуляции реальных атак и элементы геймификации. Такие методы позволяют работникам не просто запомнить правила, а учиться мыслить как злоумышленники, анализировать сценарии атак, принимать решения в условиях неопределенности и быстро реагировать на угрозы.
Практический чек-лист: с чего начать защиту в 2026 году уже сегодня
На основании совокупности всего вышеперечисленного предлагаем следующие шаги, которые позволят организациям перейти на новый уровень кибербезопасности и киберкультуры.
1. Инвентаризация ИТ-активов
- Провести полный учет всех устройств, серверов, программного обеспечения, облачных сервисов и данных, используемых в организации.
- Определить, где хранятся критически важные данные и как они используются.
- Вести актуальный реестр устройств и учет их статуса (активен/неактивен, где находится, кто отвечает).
- Регулярно обновлять данные (ежеквартально или при появлении новых активов).
2. Аудит безопасности
- Провести комплексный аудит текущей ИТ-инфраструктуры и политик безопасности.
- Оценить соответствие требованиям законодательства и отраслевых стандартов (например, GDPR, ФЗ-152, ISO 27001).
- Проверить настройки доступа, права пользователей, наличие уязвимостей и слабых мест.
- Оценить эффективность действующих средств защиты (антивирусы, фаерволы, системы обнаружения вторжений).
- Проанализировать логи инцидентов и результаты предыдущих проверок.
3. Повышение осведомленности пользователей
- Разработать и внедрить программу регулярного обучения работников по вопросам кибербезопасности.
- Организовать интерактивные тренинги, симуляции фишинговых атак, кейсы и игровые сценарии.
- Обеспечить доступ к актуальным материалам (инструкции, видео, FAQ) для самостоятельного изучения.
- Ввести регулярные напоминания и обновления о новых угрозах и лучших практиках.
- Оценить уровень знаний работников с помощью тестирования и корректировать программу обучения по результатам.
4. Внедрение принципа Zero Trust
- Пересмотреть политику доступа: реализовать строгую аутентификацию, контроль доступа на основе ролей и контекста.
- Разделить сеть на изолированные сегменты, ограничивая горизонтальные перемещения злоумышленника.
- Внедрить минимально необходимый доступ (least privilege).
5. Управление уязвимостями и обновлениями
- Внедрить процессы регулярного обновления программного обеспечения и патчинга для всех устройств и сервисов.
- Автоматизировать процессы обновления там, где это возможно.
- Вести учет и мониторинг уязвимостей, приоритизировать их устранение.
6. Резервное копирование и план реагирования
- Настроить регулярное резервное копирование данных с тестированием восстановления.
- Разработать и утвердить план реагирования на инциденты, провести обучение команды реагирования.
- Провести учения по реагированию на инциденты.
7. Мониторинг и анализ
- Внедрить системы мониторинга и анализа событий безопасности (SIEM, SOAR).
- Настроить оповещения о подозрительных действиях и инцидентах.
- Регулярно анализировать логи и инциденты для выявления новых угроз.
8. Партнерская и внешняя экспертиза
- Регулярно привлекать внешних специалистов для оценки эффективности мер защиты.
- Следить за изменениями в законодательстве и отраслевых требованиях.
- Вести диалог с поставщиками ПО и облачных сервисов по вопросам безопасности.
9. Защита цепочки поставок
- Оценить риски атак на цепочку поставок (поставщики, подрядчики, сторонние сервисы).
- Внедрить политики и процедуры оценки и мониторинга безопасности поставщиков.
- Провести аудит безопасности ключевых поставщиков и подрядчиков.
Важно отметить, что пункты 1–3, 6 и 8 в настоящее время являются «золотым сечением» кибербезопасности, внедрение остальных пунктов целесообразно после внедрения «стандартных» мер и процедур.
Заключение: будущее наступает сегодня
В условиях ускоряющейся цифровизации и роста киберугроз информационная безопасность приобретает стратегическое значение для любой организации. В 2026 году злоумышленники продолжат активно использовать вредоносное программное обеспечение, социальную инженерию, эксплуатацию уязвимостей, DDoS-атаки, дополнительно высок риск возрастания количества атак на цепочки поставок. Влияние ИИ на «темной» стороне будет только усиливаться.
Для эффективной защиты необходимо внедрять комплексный подход: применять автоматизацию, уменьшать человеческий фактор, переходить к архитектуре Zero Trust, повышать осведомленность работников с помощью актуальных способов обучения. Ключевые шаги — инвентаризация ИТ-активов, аудит безопасности, управление уязвимостями, резервное копирование, разработка планов реагирования и мониторинг событий. Для «продвинутых» особое внимание следует уделить безопасности поставщиков и взаимодействию с внешними экспертами.
Но лучше всего начать с оценки текущего состояния ИТ-инфраструктуры, выявления уязвимостей и подготовки персонала, затем последовательно внедрять дополнительные меры.
