Центр исследования киберугроз Solar 4RAYS в своем исследовании отмечает, что ландшафт киберугроз в России будет эволюционировать в 2026 году. Активность APT-группировок будет напрямую зависеть от геополитической обстановки. Усилится давление на критические отрасли: промышленность, ТЭК, логистику, госсектор и другие социально и экономически значимые отрасли. Хактивизм стал инструментом профессионалов, способных наносить реальный физический ущерб инфраструктуре. Кроме этого, атакующие активно маскируются под других, используя чужие инструменты и инфраструктуру, что затрудняет определение истинного виновника. В этом году трендом также станут атаки через подрядчиков (Trusted Relationship Attacks). Это один из основных путей проникновения в крупные компании, безопасность которых усилилась, говорится в отчете Solar.
В представленном отчете о ландшафте угроз в 2026 году руководитель направления аналитических исследований Positive Technologies Ирина Зиновкина отмечает, что основное влияние на ландшафт киберугроз для российских организаций в 2026 году с большой вероятностью будут оказывать два драйвера — темпы цифровизации и геополитическая обстановка. Новые технологии порождают новые уязвимости, которые сложно выявить на ранних этапах внедрения. При этом защита зачастую развивается медленнее, особенно в условиях нехватки квалифицированных специалистов и зрелых решений. Так, по мере цифровизации в зону риска попадут системы промышленной автоматизации и IoT-устройства. Их вывод из строя может привести к остановке производственных процессов и срыву операций на объектах критической информационной инфраструктуры.
По ее мнению, импортозамещение только усиливает риски: переход на отечественные ИТ -решения часто происходит в сжатые сроки, без должного внимания к их защищенности, что упрощает задачу злоумышленникам — особенно при наличии уязвимостей нулевого дня или утечек исходного кода. Новому отечественному ПО необходимо время для наращивания необходимой функциональности, а также избавления от «детских болезней», которые могут эксплуатировать киберпреступники. В целом российские компании ожидают смягчения требований по переходу на отечественные решения, а также предоставления дополнительного времени на такой переход. На данный момент процент применения зарубежного ПО в России остается высоким; помимо этого, пока что страна зависит от импорта аппаратных средств. Несмотря на активные государственные инвестиции в микроэлектронику, в ближайшие пять лет проблема не решится.
Геополитика уже играет и будет играть не менее важную роль. При снижении напряженности хактивисты будут атаковать реже, а основную угрозу начнут представлять киберпреступники, ориентированные на вымогательство и кражу данных. В случае же усугубления геополитической ситуации возрастет число целевых хактивистских атак на критическую информационную инфраструктуру.
Промышленность и госучреждения лидируют по количеству атак, и в 2026 году ситуация не изменится. Российские ИТ- и телеком-компании остаются не только одними из самых частых мишеней, но и наиболее уязвимыми к последствиям атак. Для ИТ-компаний особую опасность будут, в том числе, представлять атаки на цепочки поставок и доверительные отношения, про рост числа которых мы говорили ранее. В случае спада геополитической напряженности и восстановления международных деловых связей возникнут новые цепочки поставок и партнерства, в которых подрядчики могут стать «узловыми точками» с доступом к данным и системам сразу нескольких организаций. Важно отметить, что злоумышленники будут реже использовать этот доступ для немедленного разрушения ИТ-инфраструктуры. Вместо этого они смогут затаиться и готовить почву для будущих взломов, закладывая бэкдоры на случай обострения ситуации. В 2026 году интенсивность и характер атак на телеком также будут варьироваться в зависимости от геополитической обстановки. DDoS-атаки в 2026 году полностью не исчезнут: они останутся актуальным инструментом давления, но будут чаще использоваться с целью получения выкупа за их прекращение. При росте напряженности стоит ожидать как увеличения числа атак, так и их большей агрессивности. Прежде всего под удар будут попадать региональные провайдеры, не обладающие достаточными ресурсами для эффективной защиты.
В исследовании Positive Technologies говорится, что социальная инженерия и вредоносное ПО останутся ключевыми методами кибератак в 2026 году, однако их формы станут более сложными. По сравнению с 2023 годом и первой половиной 2024-го их распространенность заметно возросла: доля успешных атак на организации с применением ВПО увеличилась с 56% до 71%, а доля атак с использованием социальной инженерии — с 49% до 60%. Такой рост объясняется активной деятельностью финансово мотивированных и кибершпионских группировок, кампании которых, как правило, начинаются с фишинга и заражения систем жертв вредоносным ПО для дальнейшего развития атаки. Уже сегодня наблюдаются многоступенчатые фишинговые кампании, а в будущем злоумышленники все чаще будут использовать искусственный интеллект для создания персонализированных писем и дипфейков, усиливая эффект психологического давления. При этом кибератаки в 2026 году чаще будут приводить к комбинированным последствиям — одновременным утечкам данных и нарушениям бизнес-процессов. Это связано с тем, что злоумышленники не ограничиваются шифрованием информации, но также похищают ее для вымогательства или шантажа.
В 2026 году на первый план выйдет безопасность, ориентированная на человека, считает заместитель генерального директора по инновационной деятельности «СёрчИнформ» Алексей Парфентьев. «Поскольку большинство утечек по-прежнему происходят не из злого умысла, а из-за ошибок или незнания, ключевым станет проактивное обучение и интеграция ИБ в рабочий процесс. Системы будут не сторожами, а цифровыми ассистентами по безопасности», — сказал он.
Вторым ожидаемым трендом, по мнению Алексея Парфентьева, станет интеллектуальный анализ. После активного внедрения разнородных защитных средств бизнес столкнется со сложностью управления. Возникнет спрос на решения, которые могут агрегировать данные из всех источников, выстраивать единую картину угроз и автоматизированно рекомендовать действия. Да и нейросети уже вовсю применяются в разных задачах – например, в распознавании объектов на изображении, обработке аудио, понимании контекста инцидентов. Безусловно, в ближайшем будущем мы увидим еще большую интеграцию ИИ в ИБ.
«В качестве новой формирующейся тенденции я вижу смещение фокуса с защиты периметра на защиту данных и персонализацию. По мере размывания границ сети (удаленная работа, облака) критически важным станет понимание: кто, к каким данным получает доступ, с какого устройства и в каком контексте. Безопасность будет становиться все более персонализированной. Это естественное продолжение курса на системность и человеко-ориентированность», — рассказал «Телеспутнику» Алексей Парфентьев.
В ближайшем году бизнесу придется уделять куда больше внимания безопасности AI-сервисов: контролю данных, на которых обучаются модели, и созданию внутренних процессов, позволяющих без рисков включать такие технологии в корпоративную среду. Об этом «Телеспутнику» рассказал региональный представитель «Лаборатории Касперского» в СЗФО Сергей Булович. Он также отметил, что одновременно сохранится и давление со стороны угроз, направленных на подрядчиков. Это подтолкнет компании строже формировать и применять требования по информационной безопасности к партнерам — как поставщикам услуг, так и разработчикам программного обеспечения. Такой подход позволит оценивать их уровень защищенности еще до начала сотрудничества.
«Говоря об EDR-системах и песочницах, важно осознавать, что одной лишь защиты периметра уже недостаточно. Необходима эшелонированная многослойная защита, обеспечивающая прозрачность всей ИТ-инфраструктуры и позволяющая специалистам быстро выявлять и блокировать инциденты. Именно поэтому EDR и песочницы остаются ключевыми элементами современной обороны», — добавил Сергей Булович.
Перспективы использования ИИ в ИБ «Телеспутнику» прокомментировал руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин. «В части защиты мы тоже возлагаем надежды на ИИ, но вряд ли он станет абсолютным оружием. В лучшем случае случае он должен избавить экспертов от рутинных операций, но даже это даст возможность тратить больше ресурсов на задачи, где без человека не обойтись. При этом есть направления вроде SIEM, где уже сейчас понятно, что без внедрения ИИ не хватит ни людей, ни бюджетов, чтобы все это поддерживать. И еще одна тема, опять же в копилку ИИ, — это вирусы, которые самостоятельно себя модифицируют, и таким образом обходят классические EDR и XDR. Что с ними делать, пока непонятно, классические решения тут не подходят. Если решение не будет найдено, то придется пересматривать сами подходы к защите от вредоносного кода», — резюмировал эксперт.
