Киберугрозы из разряда фонового риска переходят в разряд стратегических
Российский киберландшафт за последние три‑четыре года изменился качественно, а не только количественно. Формально суммарное число киберинцидентов растет не столь стремительно, как можно было бы ожидать на фоне геополитической турбулентности. Однако структура атак и их мотивация трансформировались радикально. На первый план вышел хактивизм — идеологически и политически мотивированные атаки, которые затрагивают уже не только крупные госведомства и банки, но и региональный бизнес, образовательные и медицинские учреждения, муниципальные сервисы.
По данным «Лаборатории Касперского», в 2024 году в России было зафиксировано 1 811 562 707 атак, связанных с вредоносным ПО; при этом в эту статистику не входят DDoS‑атаки и фишинг, что подчеркивает реальный масштаб проблемы. Одновременно Национальный координационный центр по компьютерным инцидентам (НКЦКИ) зафиксировал более 2 тыс. уведомлений о компьютерных инцидентах и почти 10 тыс. уведомлений о компьютерных атаках — рост примерно в полтора раза к 2023 году.
На этом фоне 2026 год становится точкой, когда вопрос «подвергнемся ли мы атаке» окончательно сменяется на «когда и насколько болезненной она будет». И фактор хактивизма здесь уже ключевой, а не второстепенный.
Цифры 2024–2025 годов как фон для 2026‑го
Статистика за 2024–2025 годы задает контекст для оценки рисков 2026 года и демонстрирует несколько устойчивых тенденций.
В 2024 году общее число вредоносных инцидентов в России достигло рекордных 1,81 млрд, но при этом существенно изменилось их качество: число атак на мобильные устройства Android выросло на 12% по сравнению с 2023 годом, а за год зафиксировано более 500 тыс. атак с использованием программ‑вымогателей. НКЦКИ указывает на почти полуторакратный рост количества уведомлений о компьютерных атаках за 2024 год по сравнению с 2023‑м, что свидетельствует не только о росте числа атак, но и об их большей заметности и критичности.
Изменяется и отраслевой профиль целей. Исследование Threat Zone 2025 показывает, что в 2024 году больше всего атак пришлось на государственные организации (15% против 9% годом ранее), финансовую отрасль (13%) и транспорт с логистикой (11%). Ритейл, ранее лидировавший по числу атак, «просел» до 4% для офлайн‑торговли и 9% для электронной коммерции.
Ежегодный ущерб от киберпреступности для российской экономики оценивается сотнями миллиардов рублей; Генеральная прокуратура приводит ориентир порядка 150 млрд рублей в год. Однако не менее важно, что доля атак с сугубо финансовой мотивацией снижается, а доля политически и идеологически мотивированных инцидентов растет.
Хактивизм: от маргинального явления к драйверу киберконфликтов
Хактивизм — это использование инструментов взлома, DDoS‑атак, шифровальщиков, утечек данных и кибершпионажа для продвижения политических, идеологических или социальных целей. Если ранее подобные атаки были уделом относительно небольшой прослойки группировок, то после 2022 года хактивизм превратился в массовый феномен, тесно переплетаясь с классической киберпреступностью.
По данным исследования Threat Zone 2025, в России уже до 30% всех киберинцидентов так или иначе связано с действиями хактивистов. Одновременно доля атак с чисто финансовой мотивацией снизилась с 76% до 67%, тогда как число атак с целью шпионажа выросло с 15% до 21%. Геополитическая повестка стала полноценным драйвером угроз: атаки используются не только для хищения средств, но и для давления на оппонентов, дестабилизации инфраструктур, дискредитации институтов и компаний.
По оценке компании «Информзащита», за девять месяцев 2025 года 74% атак на российские организации были совершены хактивистами; годом ранее их доля составляла 46%. Исследователи связывают это с удешевлением и упрощением средств атаки (модель cybercrime‑as‑a‑service), а также с тем, что финансово мотивированные группы все чаще используют политическую риторику для прикрытия вымогательств.
Отчеты Positive Technologies показывают несколько более умеренную оценку доли хактивизма (порядка 24% успешных атак на организации стран СНГ во второй половине 2024 года и в 2025‑м), но тренд во всех исследованиях един: хактивизм устойчиво превращается в значимый сегмент кибератак. Различия в цифрах объясняются методиками и выборкой, а не отсутствием тренда.
Прогнозы на 2026 год: рост атак и усложнение сценариев
Крупнейшие игроки рынка ИБ ожидают качественного усложнения обстановки в 2026 году. В отчете «Актуальные киберугрозы для российских организаций» Positive Technologies оценивает возможный рост числа успешных атак в России на 20–45% в 2025 году и еще на 30–35% в 2026‑м. При этом под наибольшим давлением окажутся промышленность и промышленная критическая инфраструктура, государственные органы, а также IT‑ и телеком‑компании.
Российский рынок кибербезопасности при этом демонстрирует бурный рост: по данным TAdviser, в 2024 году он увеличился на 23%, достигнув объема 299 млрд рублей. Это отражает и усилившийся спрос на защитные решения, и осознание, что киберриски стали бизнес‑ и государственным риском первого уровня.
Таким образом, в 2026 году ожидается не просто увеличение количества атак, но и усложнение их сценариев: хактивизм все чаще будет комбинироваться с шифровальщиками, кражей данных, компрометацией цепочек поставок и атаками на промышленные системы.
Парадокс стабильной статистики: почему атак больше, а «фон» почти не растет
На первый взгляд, данные «Лаборатории Касперского» показывают, что суммарное количество зафиксированных атак в России в 2024 году лишь незначительно отличается от показателей 2023 года. Однако за этой относительной стабильностью скрывается изменение структуры угроз.
Во‑первых, происходит смещение фокуса с массовых на целевые атаки. Массовые кампании с использованием простых вредоносов уступают место более точечным операциям, направленным на конкретные отрасли и организации. Во‑вторых, растет доля атак с высокой критичностью: группа компаний «Солар» фиксирует двукратный рост числа высококритичных инцидентов кибератак на российские компании в 2024 году. И наконец, усложняется сама мотивация: атаки все чаще совмещают финансовую и идеологическую составляющие, когда вымогатели прикрываются политическими лозунгами, а хактивисты параллельно похищают данные для монетизации.
С точки зрения защиты это означает, что простое наращивание периметровой безопасности уже не работает. Требуется системная работа по повышению устойчивости инфраструктуры, подготовка к кризисным сценариям и постоянный мониторинг аномалий.
Под ударом все: отраслевой срез атак
Представление о том, что мишенью хактивистов являются в основном государственные структуры, уже не соответствует реальности. Отраслевой срез атак показывает широчайший фронт целей.
Государственный сектор традиционно остается приоритетной целью идеологически мотивированных атак. В 2024 году на долю госорганов и муниципальных структур пришлось 15% всех кибератак в России против 9% годом ранее. Атаки на госреестры, порталы госуслуг, региональные информационные системы используются как для давления, так и для создания резонансных информационных поводов.
Финансовая отрасль, по‑прежнему одна из наиболее защищенных, одновременно остается одной из самых атакуемых: в 2024 году на нее приходилось 13% всех атак. Для хактивистов атаки на финансовый сектор — способ нанести репутационный и экономический ущерб и одновременно профинансировать дальнейшую деятельность.
Транспорт и логистика становятся одним из ключевых полей киберконфликта: одиннадцать процентов кибератак в России в 2024 году пришлись именно на этот сегмент. Нарушение цепочек поставок и работы транспортных узлов способно создать значимый физический эффект в реальном мире.
Промышленность и ТЭК являются одним из главных фокусов прогноза Positive Technologies на 2025–2026 годы. Здесь хактивисты действуют на стыке с кибершпионажем и саботажем, стремясь нарушить технологические процессы, создать простои или даже спровоцировать аварийные ситуации.
IT‑ и телеком‑сектор — провайдеры, дата‑центры, облачные сервисы, разработчики ПО — представляют собой «точки концентрации» критичных данных и сервисов. Успешная атака на одного крупного провайдера может иметь каскадный эффект для множества клиентов.
Здравоохранение и образование выступают в роли «мягких целей». Здесь уровень зрелости процессов ИБ зачастую ниже, а общественный резонанс от утечки медицинских данных или компрометации университетских систем — высок. В результате именно здесь активно применяются шифровальщики и схемы вымогательства.
Наконец, малый и средний бизнес, в том числе региональный, стал полноценной частью «фронта» кибервойны. Благодаря доступности моделей DDoS‑as‑a‑service и malware‑as‑a‑service даже небольшие предприятия регулярно становятся объектами атак — как случайных, так и целенаправленных. Для них каждый простой или блокировка ИТ‑систем критичны.
Инструменты хактивистов: от массовых DDoS к атакам на промышленные системы
Арсенал хактивистов постоянно расширяется и усложняется. Исследование «Информзащиты» показывает, что более 70% инцидентов, связанных с хактивизмом, составляют DDoS‑атаки. Они относительно дешевы, легко масштабируются и дают быстрый видимый эффект в виде недоступности сервисов. Однако роль DDoS постепенно дополняется целым спектром других техник.
Ключевые инструменты включают DDoS‑атаки нового поколения с использованием ботнетов из IoT‑устройств, зашифрованного трафика и имитации легитимной активности; взлом и дефейс веб‑ресурсов с публикацией пропагандистских материалов; утечки данных и «сливы» внутренних документов; использование программ‑вымогателей с политическим нарративом и намеренным нарушением «криминальной этики», когда данные не расшифровываются даже после выплаты выкупа.
Особую опасность представляют атаки на промышленные и SCADA‑системы, где хактивизм пересекается с кибершпионажем и саботажем. Компрометация контроллеров, нарушение технологических процессов, вывод из строя датчиков и исполнительных механизмов могут иметь прямые физические последствия. Нарастает и угроза через цепочки поставок: внедрение вредоносного кода в обновления ПО или атаки на подрядчиков и партнеров.
С точки зрения защиты хактивисты должны рассматриваться как противник, не менее опасный, чем профессиональные киберпреступники. Их готовность жертвовать устойчивостью своей инфраструктуры и анонимностью ради максимального ущерба делает традиционные модели оценки рисков недостаточными.
Российский регуляторный и технологический контекст
Российская система регулирования ИБ за последние годы стала значительно более зрелой. Ужесточаются требования к защите критической информационной инфраструктуры, персональных данных и государственных ИТ‑систем, усиливается роль ФСТЭК и ФСБ как регуляторов и кураторов отрасли.
Знаковым событием конца 2025 года стало появление в банке данных угроз ФСТЭК России отдельного блока, посвященного угрозам для систем искусственного интеллекта. Это отражает понимание того, что ИИ‑решения становятся как целью атак, так и инструментом их проведения: от автоматизированного подбора целей до генерации фишинговых сообщений и разработки обходных методов для средств защиты.
Государство наращивает координационную роль через НКЦКИ, обеспечивая обмен информацией об актуальных кибератаках и кампаниях. Но эффективность этой системы во многом зависит от вовлеченности самих организаций: от их готовности передавать данные об инцидентах, внедрять рекомендованные меры и выстраивать процессы реагирования.
Курс на импортозамещение и бурный рост российского рынка ИБ‑решений создают как новые возможности, так и дополнительные риски. От качества архитектурных решений, грамотной интеграции и эксплуатации отечественных средств защиты напрямую зависит их реальная эффективность.
Региональное измерение: почему «периферия» стала передовой
Опыт экспертов ИЦ «Региональные системы», работающих с организациями в регионах, показывает: один из наиболее недооцененных аспектов текущей киберреальности — уязвимость региональной инфраструктуры. В регионах сосредоточено огромное количество критически важных объектов: предприятия ТЭК и промышленности, транспортные узлы, медучреждения, образовательные организации, органы местного самоуправления.
При этом зрелость процессов ИБ на таких объектах часто ниже, чем в столичных и федеральных структурах. Причины понятны: дефицит квалифицированных кадров, ограниченные бюджеты, фрагментарное внедрение средств защиты, устаревшая ИТ‑инфраструктура. Для хактивистов региональные цели воспринимаются как «мягкие», но атаки на них могут иметь значимые социально‑экономические последствия.
На практике это проявляется в отсутствии формализованных моделей угроз и перечней недопустимых событий, слабой сегментации сетей, низкой защищенности публичных веб‑ресурсов, дефиците мониторинга и журналирования, редком использовании тестирования на проникновение и киберучений. В условиях роста хактивизма региональные организации становятся одновременно и уязвимым звеном, и ключевым элементом национальной киберустойчивости.
Практические выводы и рекомендации экспертов ИЦ «Региональные системы»
На фоне описанных трендов ключевой задачей российских организаций к 2026 году становится не столько попытка «избежать атаки», сколько минимизация ее последствий и повышение устойчивости.
Критически важно перейти от точечной закупки отдельных средств защиты к полноценному управлению киберрисками. Для этого необходимо формализовать модели угроз и перечни недопустимых событий, чтобы инвестиции в ИБ были напрямую связаны с реальными рисками конкретной организации. Для промышленного предприятия приоритетом будет защита технологической сети и недопущение простоя производственных линий, для вуза — защита персональных данных и непрерывность доступности образовательных сервисов.
С учетом того, что более 70% инцидентов хактивизма связаны с DDoS‑атаками, защита от отказа в обслуживании и внедрение Web Application Firewall для публичных ресурсов должны стать обязательной нормой. Не менее важно выстроить взаимодействие с провайдерами связи и облачной инфраструктуры для противодействия масштабным атакам.
Сегментация сетей, защита критичных сегментов, внедрение межсетевых экранов с анализом приложений и жесткий контроль межсегментных коммуникаций — необходимые условия сдерживания распространения атак, особенно в случае компрометации учетных записей.
Развитие систем мониторинга и реагирования (SOC, SIEM, MDR‑модели) становится фундаментом киберустойчивости. Для многих региональных организаций переход к сервисной модели (SOC‑as‑a‑Service, MDR) позволяет получить доступ к высокому уровню экспертизы и технологий без раздувания штата.
Регулярные киберучения, в том числе по сценариям хактивистских кампаний (массовый DDoS, дефейс, утечка данных, шифровальщик), необходимы для проверки работоспособности регламентов и выявления слабых мест во взаимодействии служб и подразделений.
Работа с человеческим фактором — еще один ключевой элемент. Социальная инженерия остается одним из основных методов атак на организации и граждан. Обучение сотрудников, проведение фишинг‑симуляций, четкие инструкции по работе с подозрительными письмами и файлами существенно снижают риск успешных атак.
Отдельного внимания заслуживает защита мобильных устройств и мессенджеров. Рост количества атак на Android‑устройства на 12% за 2024 год и активное распространение вредоносов через популярные мессенджеры делают мобильную безопасность критически важным направлением. Организациям необходимо внедрять системы управления мобильными устройствами (MDM), ограничивать установку ПО из непроверенных источников и использовать специализированные решения для защиты мобильных платформ.
Наконец, резервирование и планы обеспечения непрерывности (BCP/DRP) должны стать не формальностью, а реально работающим механизмом. Шифровальщики и деструктивные атаки требуют не только наличия резервных копий, но и регулярной проверки сценариев восстановления критических систем в сжатые сроки, хранения бэкапов в изолированной среде и отработанных процедур переключения на резервные контуры.
Роль системных интеграторов и специалистов по ИБ
Усложнение угроз, особенно со стороны хактивистских групп, делает неэффективной ставку исключительно на внутренние ИТ‑ресурсы. Системные интеграторы и специализированные компании в сфере ИБ становятся ключевыми партнерами бизнеса и органов власти. Их задачи — провести комплексный аудит защищенности, сформировать актуальную модель угроз, спроектировать и внедрить архитектуру защиты с учетом российского регуляторного поля, запустить мониторинг и реагирование, сопровождать внедрение и эксплуатацию отечественных средств защиты.
Для региональных компаний и организаций государственного сектора такое партнерство часто является единственным реалистичным способом быстро поднять уровень киберустойчивости до приемлемого с точки зрения регуляторов и реальных угроз.
Вместо эпилога: хактивизм как «новая норма» киберреальности
К 2026 году хактивизм в России перестает быть редким и экзотическим явлением. Статистика крупнейших игроков рынка ИБ и отраслевые исследования свидетельствуют о росте доли политически и идеологически мотивированных атак и усложнении их инструментов. При этом под их ударом оказываются практически все сферы — от госуправления и банков до университетов, больниц и регионального бизнеса.
В этих условиях устойчивость киберинфраструктуры становится критическим фактором национальной и экономической безопасности. Для организаций это означает переход от реактивного подхода («установили антивирус и межсетевой экран») к проактивному управлению рисками, выстраиванию системы мониторинга и реагирования, регулярным учениям и системной работе с человеческим фактором.
Неизбежность атак не должна означать неизбежность катастрофы. Совместные усилия государства, бизнеса и экспертного сообщества способны превратить хактивизм из фактора стратегической уязвимости в управляемый риск, заложив основу для устойчивого развития цифровой экономики России в условиях постоянно усложняющегося киберконфликта.