В первом квартале 2026 года на объекты критической информационной инфраструктуры (КИИ) пришлось 77% всех кибератак на российские организации. В материале эксперт Infosecurity объясняет, почему КИИ становится главной целью злоумышленников и что мешает компаниям перейти от формального выполнения требований к реальной киберустойчивости.
ОГЛАВЛЕНИЕ
- Почему злоумышленники делают ставку на критическую инфраструктуру
- Геополитика и хактивизм как драйвер роста атак
- Как ИИ и автоматизация изменили экономику кибератак
- Цепочки поставок как новый путь компрометации КИИ
- Рост атак — не только следствие расширения перечня КИИ
- Главная проблема — разрыв между соответствием и реальной защитой
- Типовые уязвимости: от устаревшего ПО до слабого контроля подрядчиков
- Почему формального выполнения требований уже недостаточно
- На чем должна строиться киберустойчивость КИИ
- Почему бизнес переходит к SOC- и MDR-моделям
Почему злоумышленники делают ставку на критическую инфраструктуру
Первый квартал 2026 года стал для российского рынка кибербезопасности важным индикатором: атака на критическую информационную инфраструктуру перестала быть отдельным направлением угроз и фактически превратилась в основной вектор давления на бизнес и государственный сектор. Если годом ранее на КИИ приходилось 67% атак, а двумя годами ранее – 64%, то сейчас показатель достиг 77%.
Причина не только в росте общего числа инцидентов. Меняется сама логика атак. Злоумышленники все чаще выбирают цели, где даже кратковременный сбой может иметь каскадный эффект: нарушить работу сервисов, остановить производственный процесс, повлиять на клиентов, партнеров или граждан. Поэтому энергетика, связь, транспорт, финансы, промышленность и другие критически значимые отрасли сегодня находятся в зоне особого риска.
Причина не только в росте общего числа инцидентов. Меняется сама логика атак. Злоумышленники все чаще выбирают цели, где даже кратковременный сбой может иметь каскадный эффект: нарушить работу сервисов, остановить производственный процесс, повлиять на клиентов, партнеров или граждан. Поэтому энергетика, связь, транспорт, финансы, промышленность и другие критически значимые отрасли сегодня находятся в зоне особого риска.
Геополитика как драйвер роста атак
Один из ключевых факторов – геополитика. Для финансово мотивированных группировок КИИ остается привлекательной целью из-за высокой цены простоя и потенциального ущерба. Для хактивистов такие объекты важны по другой причине: атака на критическую инфраструктуру дает максимальный публичный эффект. В этом смысле КИИ становится не просто технологической, а символической целью.
Как ИИ и автоматизация изменили экономику кибератак
Второй фактор – резкое удешевление и масштабирование кибератак. Искусственный интеллект и автоматизация снизили порог входа для злоумышленников. Сегодня ИИ помогает быстрее искать уязвимости, собирать информацию о целях, готовить персонализированные фишинговые письма, имитировать деловую переписку и создавать дипфейки для социальной инженерии. В результате атаки на КИИ становятся более точными, быстрыми и массовыми, а защищающимся приходится реагировать на гораздо больший объем событий.
Цепочка поставок как новый путь компрометации КИИ
Отдельную угрозу представляют атаки через цепочки поставок. Вместо прямого взлома защищенного периметра злоумышленники все чаще ищут обходные маршруты: подрядчиков, интеграторов, обновления легитимного ПО, сторонние библиотеки, открытый код, сервисные учетные записи. Это особенно опасно для КИИ, где инфраструктура часто сложная, распределенная и исторически собранная из разных технологических слоев.
Рост атак — не только следствие расширения перечня КИИ
При этом объяснять рост атак только расширением перечня объектов КИИ было бы неверно. Регуляторная логика сегодня движется скорее в сторону уточнения и стандартизации. Правительство утвердило единый перечень типовых отраслевых объектов КИИ, который должен привести практику категорирования к более понятной и сопоставимой модели. То есть речь идет не о хаотичном появлении новых объектов, а о наведении порядка в уже существующем контуре.
Главная проблема — разрыв между соответствием и реальной защитой
Гораздо тревожнее другое: фактический уровень защищенности многих объектов остается недостаточным. По данным ФСТЭК, по итогам проверок более 700 значимых объектов КИИ было выявлено свыше 1,2 тыс. нарушений, а минимальный уровень киберзащиты достигнут только у 36% организаций. Это означает, что значительная часть субъектов КИИ все еще находится в зоне повышенного риска – не из-за отсутствия документов, а из-за разрыва между формальным соответствием требованиям и реальной защитой.
Типовые уязвимости: от устаревшего ПО до слабого контроля подрядчиков
На практике этот разрыв проявляется в типовых проблемах: неполном учете ИТ-активов, устаревшем и неподдерживаемом программном обеспечении, часто это касается АСУ ТП, недостаточной вовлеченности ИБ-специалистов в бизнес-процессы, слабом контроле подрядчиков и отсутствии непрерывного мониторинга. Организация может пройти категорирование, назначить ответственных, подготовить регламентные документы, но при этом оставаться уязвимой для вполне практических атак.
Почему формального выполнения требований уже недостаточно
С одной стороны, атаки становятся технологичнее, дешевле и сложнее для обнаружения. С другой – защита на многих объектах КИИ по-прежнему строится вокруг процедур, а не вокруг инженерной устойчивости. В таких условиях выполнение обязательных требований – необходимое, но уже недостаточное условие безопасности.
На чем должна строиться киберустойчивость КИИ
Киберустойчивость КИИ сегодня должна опираться на несколько базовых принципов. Первый – регулярная инвентаризация информационных активов: нельзя защищать то, что не учтено. Второй – своевременное обновление и контроль уязвимостей, особенно в старом программном обеспечении и промышленном контуре. Третий – проверка и контроль подрядчиков и цепочек поставок. Четвертый – постоянный мониторинг событий безопасности, потому что значительная часть современных атак развивается постепенно и может быть обнаружена только при системной корреляции данных.
Почему бизнес переходит к SOC- и MDR-моделям
Именно поэтому в 2026 году будет расти спрос на внешние центры мониторинга и реагирования, SOC- и MDR-модели, особенно со стороны субъектов КИИ. Далеко не каждая организация может самостоятельно содержать круглосуточную команду специалистов, выстраивать процессы реагирования, поддерживать экспертизу по новым техникам атак и постоянно развивать инструменты обнаружения. Для многих компаний привлечение внешней компетенции становится не вопросом удобства, а способом обеспечить непрерывный контроль безопасности.
Нужна помощь в обеспечении комплексной безопасности КИИ?
Узнать про услуги подробнее >>>
