Анатомия цифровых бурь: как превратить хаос в киберустойчивость

Уходящий 2025 год принес новые вызовы, которые оказали значительное влияние на ландшафт киберугроз. Крупные инциденты затронули организации из разных отраслей, а геополитическая напряженность превратила цифровой мир в арену противостояния, на которой одновременно действуют киберпреступники с разной мотивацией.

Арсенал техник атакующих значительно обогатился. DDoS-атаки уступают место многоступенчатым кампаниям, в которых эффективно используются как давно знакомые инструменты, такие как шифровальщики, так и новые приемы. Социальная инженерия вышла на новый уровень благодаря искусственному интеллекту, а утечки инструментов для взлома и сервисная модель на рынке киберпреступности сделали кибератаки на организации России доступными широкому кругу злоумышленников. Особую тревогу вызывает растущее число киберугроз в сфере безопасности критической информационной инфраструктуры.

Ускоренная цифровизация и импортозамещение создают новые задачи. Переход на отечественные решения требует повышенного внимания к архитектуре защиты. Промышленные системы и IoT-устройства становятся приоритетными целями атакующих, а цепочки поставок превращаются в опасные векторы проникновения. Ряд компаний пока продолжают использовать импортные технологические решения — это затрудняет построение комплексной системы защиты.

В этом обзоре эксперты Positive Technologies представляют эксклюзивный анализ главных угроз года и детальный прогноз на 2026-й. Ключевая тема — превращение цифрового хаоса в киберустойчивость.

В 2025 году кибербезопасность столкнулась с рядом заметных тенденций, которые существенно повлияли на бизнес, государство и общество. Участники отрасли по всему миру осознали новые риски и предприняли ответные шаги — от финансовых гарантий со стороны поставщиков ИБ до усиления государственных регуляторных мер. Ниже —основные итоги 2025 года и ожидаемые направления развития в 2026-м, которые, как мне кажется, являются определяющими для понимания будущего кибербезопасности в России.

Одна из ярких тенденций 2025 года — новый взгляд на финансовую ответственность поставщиков решений по кибербезопасности за результаты своей работы. Ведущие мировые компании отрасли стали предлагать клиентам гарантии от взлома — обещание компенсировать убытки, если их продукт или сервис не предотвратит атаку. Например, такие игроки, как CrowdStrike, SentinelOne и Arctic Wolf, предоставляют страховочные гарантии на сумму до 1–3 млн долларов, покрывая затраты в том случае, если их клиентов все-таки взломают (включая, например, расходы на расследование, восстановление данных, уведомление клиентов). Компания Rubrik пошла еще дальше, объявив о гарантийном фонде для восстановления данных при атаках шифровальщиков объемом до 10 млн долларов. Подобные программы — важный шаг навстречу заказчикам, привыкшим, что при сбое средств защиты убытки ложатся только на них.

Интересно, что тренд подхватывают не только западные, но и российские игроки. Крупные интеграторы и операторы, такие как «МТС» и «Билайн», а также банки (например, ТБанк) и компании в сфере ИБ начинают заявлять о готовности компенсировать клиентам потери, если инцидент произошел по вине их сервисов киберзащиты. Пока такие инициативы носят скорее пилотный характер, но в 2026 году можно ожидать их развития. Вероятно, финансовая ответственность станет одним из конкурентных преимуществ на рынке: клиенты будут больше доверять тем провайдерам ИБ, которые готовы ответственно гарантировать эффективность своих продуктов рублем. В то же время появление гарантий заставляет внимательнее относиться к формулировкам договоров и страховок: и вендоры, и заказчики учатся четко определять, какие случаи покрываются, а где есть исключения.

Год запомнился чередой киберинцидентов с рекордно высокими убытками, которые ощутили на себе крупные организации в разных отраслях по всему миру, включая и Россию. Существенно участились случаи, когда прямые и косвенные потери от атаки измеряются не просто миллионами — они достигают ощутимой доли годового оборота пострадавших компаний. Например, британский ритейлер Marks & Spencer весной 2025 года пережил масштабную атаку, парализовавшую онлайн-продажи на несколько недель. В итоге прибыль M&S за первое полугодие упала почти на 90% по сравнению с прошлым годом: фактически инцидент «съел» более половины запланированной годовой прибыли. Компания оценила совокупные потери от атаки примерно в 300 млн фунтов, что эквивалентно значимой доле ее годового оборота; хотя часть убытков удалось компенсировать страховыми выплатами.

Похожий пример — Asahi Group в Японии, производитель пива Super Dry. Осенью 2025 года Asahi столкнулась с разрушительной атакой шифровальщика, вынудившей остановить производство и сбыт продукции на внутреннем рынке. В первые недели после атаки продажи некоторых подразделений Asahi просели на 10–40%. Компания заявила о возможной утечке личных данных около 1,5 млн клиентов и была вынуждена перенести публикацию финансовой отчетности, так как устранение последствий заняло два месяца. Инцидент с Asahi стал одним из самых крупных в Азии, продемонстрировав уязвимость даже промышленного сектора перед современными киберугрозами.

Примеры M&S и Asahi показывают, что киберриски превратились в бизнес-риски стратегического уровня, способные за короткий срок свести на нет многолетние достижения компаний. И это только верхушка айсберга, продолжение тенденций прошлых лет. Предположу, что в следующем году ситуация станет только хуже и число компаний, столкнувшихся с недопустимыми событиями с катастрофическими последствиями, будет только расти.

Заметим, что увеличение убытков идет рука об руку с трудностями их подсчета. Расчет финансового ущерба от кибератаки — сложный и длительный процесс. Часто требуется несколько кварталов, чтобы полностью оценить прямые затраты (простой, восстановление работы систем, штрафы, уведомление клиентов) и косвенные эффекты (потерянные продажи, падение капитализации, отток клиентов). Так, американский страховой гигант UnitedHealth Group в 2025 году окончательно подвел итоги инцидента, случившегося еще в 2023-м: сумма совокупных потерь превысила 3 млрд долларов, а количество затронутых записей персональных данных достигло 190 миллионов. Первоначально ущерб оценивался гораздо скромнее (компания все-таки выплатила выкуп вымогателям в сумме 22 млн долларов), но по мере расследования цифры росли — иллюстрация того, что финансовые последствия кибератак часто оказываются больше и проявляются дольше, чем ожидалось изначально.

В 2026 году, вероятно, все больше компаний будут уделять внимание методам оценки своей реальной киберустойчивости и потенциального ущерба, закладывая такую оценку в финансовое планирование и страховые резервы. Одним из таких методов могут стать кибериспытания, которые направлены на выявление комплексных сценариев атак, ведущих к недопустимым для бизнеса последствиям — от шифрования данных до остановки критически значимых процессов. Если программы багбаунти помогают понять, какие уязвимости есть в инфраструктуре, то кибериспытания отвечают на вопросы «К каким последствиям это может привести? Каким образом? Сколько стоит меня взломать?». Они наглядно демонстрируют, могут ли злоумышленники в принципе реализовать опасный сценарий и что им для этого потребуется. Это возможность оценить реальный уровень защищенности компании и понять, в прокачку каких направлений стоит инвестировать, а чего не стоит делать, так как против организации просто не будет, например, действовать хакер соответствующей квалификации.

В 2025-м стало очевидно, что кибератака на одну крупную организацию может вызвать цепную реакцию проблем у ее партнеров и подрядчиков. Характерный кейс — атака на компанию Jaguar Land Rover (JLR), крупнейшего автопроизводителя Великобритании. В конце августа злоумышленники парализовали IT-системы JLR, что вынудило концерн остановить производство автомобилей на всех трех британских заводах. Простои продолжались около шести недель, за которые JLR не выпустила тысячи запланированных машин, понесла прямые убытки почти на 200 млн фунтов и нанесла ощутимый удар по всей отрасли. В октябре выпуск автомобилей в Великобритании просел на 24% в годовом сравнении именно вследствие простоя JLR; это беспрецедентный по масштабу последствий киберинцидент.

Особенно тяжелыми оказались последствия для множества мелких поставщиков JLR. В регионе Уэст-Мидлендс (автомобильное сердце Британии) более 70% предприятий-подрядчиков сообщили о негативном влиянии атаки на JLR. Согласно опросам, почти половина поставщиков столкнулись с серьезными финансовыми потерями из-за отмены заказов и срыва графиков поставок. Около трети компаний были вынуждены временно сократить рабочую неделю или отправить сотрудников в вынужденные отпуска, а каждая седьмая — прибегнуть к сокращениям персонала. Некоторые небольшие фирмы открыто заявляли, что находятся в шаге от банкротства, так как остановка конвейеров JLR оставила их без выручки на недели вперед. Британскому правительству даже пришлось рассматривать вопрос об экстренной поддержке пострадавших участников цепочки поставок, а самому JLR в итоге был предоставлен льготный заем на 1,5 млрд фунтов для восстановления деятельности. Этот инцидент ярко показал, как киберугрозы могут выйти за пределы IT-систем и ударить по реальной экономике: уязвимость одного узла приводит к каскадному сбою всей сети кооперации.

Подобный эффект домино наблюдался и в других случаях. Атаки на провайдеров IT-сервисов или ПО приводят к сбоям у тысяч клиентов по всему миру (достаточно вспомнить массированные инциденты прошлых лет с уязвимостями в цепочках поставок ПО). В 2025 году тревожным звоночком стали атаки на российских IT-подрядчиков: число таких инцидентов приблизилось к 100, что говорит о системной проблеме. В совокупности эти события меняют подход бизнеса к управлению цепочками: можно ожидать, что в 2026 году крупные компании будут строже проверять киберустойчивость своих поставщиков и закладывать планы на случай их простоя. Управление цифровым снабжением и партнерскими рисками выйдет на первый план. Также возрастет спрос на страхование перерывов в бизнесе из-за киберинцидентов, включая страхование от косвенных убытков в цепочке. Государство тоже обратит внимание на системные риски: ожидаемо появятся требования к субъектам критической инфраструктуры учитывать устойчивость всей экосистемы партнеров, чтобы снизить вероятность новых каскадных сбоев. Такие требования уже установлены для государственных организаций, схожие нормы планируется распространить и для субъектов КИИ.

В 2025 году по всему миру усилилась тенденция к государственному контролю над интернет-инфраструктурой, трафиком и контентом, мотивированному соображениями национальной безопасности и защиты пользователей, особенно детей. В России продолжилось расширение таких мер: Роскомнадзор последовательно блокировал инструменты обхода цензуры и анонимности. Под раздачу попали популярные VPN-сервисы и прокси: регулятор вносил их домены в реестр запрещенных, усложняя доступ граждан к нецензурируемому сегменту сети. Также усилено давление на мессенджеры и иностранные интернет-платформы: вводились требования о локализации данных, реагировании на запросы правоохранительных органов, удалении противоправного контента, а за неисполнение — замедление трафика или блокировка. Под ограничениями оказались некоторые зарубежные новостные ресурсы, инструменты шифрования трафика. В итоге российский сегмент интернета в 2025-м стал еще более изолированным; многие пользователи жаловались на снижение качества связи при попытках зайти на заблокированные ресурсы. В 2026 году, вероятно, эта линия продолжится: власти могут перейти от точечных блокировок к более тотальному инспектированию трафика, вплоть до применения технологий DPI на всем магистральном уровне, чтобы распознавать и ограничивать даже новые протоколы обхода блокировок.

Европа в 2025 году тоже активно обсуждала контроль над коммуникациями, хотя и в другом ключе. В Евросоюзе развернулись дебаты вокруг инициативы, известной как Chat Control, — предложения обязать провайдеров электронных сообщений (мессенджеров, почтовых сервисов) сканировать переписку пользователей на предмет запрещенного контента, в первую очередь материалов, связанных с сексуальным насилием над детьми. С одной стороны, это представлено как мера по защите детей и борьбе с распространением противоправного контента. С другой стороны, эксперты и правозащитники били тревогу: внедрение массового сканирования чатов фактически означает подрыв сквозного шифрования и приватности для всех граждан. Тем не менее в конце 2025 года европейские регуляторы склонялись к ужесточению контроля: обсуждаются технические решения, позволяющие проверять даже зашифрованные сообщения. Скорее всего, в 2026 году в ЕС продолжится поиск компромисса между безопасностью и приватностью, но тренд очевиден: государство хочет большего доступа к цифровой переписке населения.

Отдельного упоминания заслуживает новаторский опыт стран по введению возрастных ограничений в социальных сетях. Великобритания в 2025 году приняла ряд норм (в рамках масштабного Online Safety Act), обязывающих социальные платформы жестче проверять возраст пользователей. Формально целью было оградить детей от вредного контента: например, доступ к ряду онлайн-сервисов требует подтверждения, что пользователю больше 13 или 18 лет. Появились и инициативы по проверке возраста для порнографических сайтов: без загрузки документа или использования специального приложения теперь не зайти. Вслед за Британией правительство Австралии пошло еще дальше, фактически запретив детям младше 16 лет самостоятельно регистрироваться в социальных сетях. Принятый там закон обязывает с декабря 2025 года все соцплатформы блокировать аккаунты пользователей до 16 лет, если у них нет родительского разрешения и подтверждения возраста. Крупные компании (например, Meta, TikTok, Snapchat) сперва протестовали, указывая на сложность реализации и риски потери аудитории, но затем начали внедрять инструменты возрастного контроля — от анализа поведения до использования сторонних сервисов для проверки документов. Эти меры вызывают споры (как насчет приватности, так и насчет практичности), однако тенденция очевидна: все больше стран вводят законодательные барьеры для анонимного и неограниченного доступа молодежи к онлайн-платформам. В 2026 году можно ожидать, что пример Британии и Австралии изучат в других регионах — возможно, появятся аналогичные требования в странах ЕС (уже подготовлены соответствующие нормы), в Азии или на уровне международных рекомендаций.

Общий тренд таков, что эра «дикого» интернета постепенно сменяется эпохой регулирования и контроля. Правительства мотивируют это заботой о безопасности (национальной, детской, общественной), однако критики опасаются цензуры и чрезмерного вмешательства государства. Вероятно, баланс между свободой сети и ее регулированием будет одним из главных вопросов в 2026 году, и киберсообщество пристально следит, не приведут ли благие намерения к урезанию цифровых прав граждан.

Если раньше кибербезопасность считалась сугубо технической темой, то по итогам 2025 года можно уверенно говорить: для высшего руководства и советов директоров крупных компаний киберриски вышли на первый план. Исследования показывают резкий рост вовлеченности топ-менеджеров в обсуждение кибербезопасности. Согласно опросу Национальной ассоциации корпоративных директоров (NACD) в США, проведенному в 2025 году, 77% директоров публичных компаний заявили, что за последний год на заседаниях совета обсуждались материальные финансовые последствия потенциального киберинцидента. Для сравнения, двумя годами ранее таких было менее половины. Также около 72% членов советов директоров прошли в 2025-м хотя бы один специальный обучающий курс или семинар по киберрискам; ранее менеджеры такого уровня редко лично участвовали в подобных мероприятиях. Это свидетельствует о понимании, что угрозы типа ransomware, утечек данных, сбоев из-за атак могут поколебать позиции бизнеса не меньше, чем традиционные финансовые или операционные риски. Могу лично подтвердить данную тенденцию, так как в 2025 году меня стали гораздо чаще приглашать для проведения обучения топ-менеджеров российских компаний по вопросам кибербезопасности.

Не только директора, но и первые лица компаний (CEO, президенты) все чаще становятся драйверами изменений в сфере ИБ. Во многих организациях 2025 год ознаменовался тем, что CISO получил прямой доступ к совету директоров или подчиняется напрямую генеральному директору, тогда как раньше находился глубоко в IT-иерархии. Темы кибербезопасности регулярно появляются на планерках C-уровня: отчитываются не только о состоянии защиты, но и о готовности к кризисам, проводятся штабные киберучения для топ-менеджмента (разбор действий при условной хакерской атаке). В ряде компаний появились комитеты по киберрискам на уровне правления или ответственные члены совета, курирующие этот вопрос. Инвесторы тоже подталкивают к переменам: при оценке руководства теперь смотрят, насколько глубоко оно интегрировало кибербезопасность в стратегию и корпоративное управление.

Этот тренд связан не только с ростом числа атак, но и с регуляторными изменениями. Например, в США и Европе вступают в силу нормы, требующие от публичных компаний раскрывать информацию о киберинцидентах и мерах защиты, а от банков — иметь киберстратегию, утвержденную советом директоров. В 2026 году внимание CXO к ИБ продолжит усиливаться. Можно ожидать, что почти в каждой крупной корпорации появится высокопоставленный куратор кибербезопасности (хотя 250-й указ президента этого требует уже три года, не все следуют этому требованию, изложенному на бумаге), а KPI по устойчивости к кибератакам войдут в систему оценки топ-менеджмента. Также будет расти запрос на метрики и понятные показатели киберриска (недопустимые события) для совета директоров: если сегодня почти половина директоров все еще не удовлетворена качеством таких метрик, то завтра компании и консультанты придумают новые способы измерить «киберздоровье» организации и описать его языком бизнеса (в денежном эквиваленте риска, в рейтингах по аналогии с кредитными и т. п.). В целом 2025 год можно назвать переломным в осознании: кибербезопасность — это зона ответственности не только IT-отдела, но и всего руководства, вплоть до генерального директора и совета.

Что же касается метода измерения киберустойчивости, то в 2025 году я отмечаю рост интереса к кибериспытаниям, относительно новому методу оценки реальной безопасности компании в денежном эквиваленте, который становится понятен именно топ-менеджерам. В следующем году эта тенденция продолжится и, возможно, выйдет на уровень целых отраслей и даже всего государства.

Развитие систем искусственного интеллекта стремительно отражается и на ландшафте киберугроз; 2025 год ознаменовал собой переход от теоретических разговоров о «кибер-ИИ» к реальным примерам его боевого применения. С одной стороны, киберпреступники начали активно использовать генеративные модели и большие языковые модели (LLM) для усиления атак. Появились первые образцы вредоносного ПО, созданного (частично или полностью) с помощью ИИ. Так, специалисты обнаружили вредоносы нового типа, получившие названия PromptLock и LAMEHUG. PromptLock позиционируется как один из первых вымогателей, генерирующих вредоносные нагрузки на лету с помощью нейросети: это делает его более непредсказуемым для традиционных антивирусов, поскольку каждый экземпляр шифровальщика может отличаться. А вредонос LAMEHUG, согласно имеющимся данным, был замечен в арсенале известной хакерской группировки и представляет собой LLM-вирус, способный менять свой код и поведение в зависимости от окружающей среды, что затрудняет его обнаружение классическими сигнатурными методами. По сути, кибератаки вступают в фазу, когда ИИ применяется для обхода защитных механизмов: генерация фишинговых писем на безупречно грамотном языке, подделка голоса или изображения для социальной инженерии, автоматический подбор эксплойтов, оркестрация целой хакерской кампании — все это уже не фантастика, а повседневность. В дарквебе появляются ассистенты для хакеров — боты, которые могут написать скрипт или найти уязвимость по запросу. Примеры вроде PromptLock демонстрируют, что впереди эра самоприспосабливающегося вредоносного ПО, создаваемого не людьми, а алгоритмами.

С другой стороны, искусственный интеллект стал мощным инструментом и для защитников; 2025 год принес множество новинок на рынке кибербезопасности с приставкой «AI». Почти каждый производитель включил в свои продукты модули машинного обучения: от поведенческого анализа трафика до интеллектуальных помощников для аналитиков. Современные системы мониторинга (SIEM/SOC) теперь используют ИИ, чтобы обнаруживать аномалии в потоках событий, быстро выявляя подозрительные отклонения, которые раньше могли затеряться в шуме. Появились решения, где большая языковая модель встроена в инструментарий безопасности: она может автоматически расследовать инцидент, суммируя тысячи логов в человекопонятный отчет, или давать советы оператору, как реагировать на ту или иную угрозу. Например, некоторые компании представили ИИ-ассистентов для центров мониторинга, которые по запросу на естественном языке («Что произошло этой ночью в сети отдела разработки?») выдают сводку ключевых событий и потенциальных инцидентов. Это помогает ускорить реагирование и требует меньше ручного труда. Также ИИ используется для проактивной работы — автоматических пентестов и поиска уязвимостей (алгоритмы сами пытаются взломать систему, указывая на слабые места), для моделирования действий злоумышленника (так называемые атаки с помощью цифровых двойников) и даже для того, чтобы научить персонал распознавать фальшивые письма и звонки, сгенерированные нейросетью.

Однако важно отметить, что бурное внедрение ИИ в киберпространстве выявило и ряд ограничений и проблем. Во-первых, качество современных ИИ-моделей при всей их мощи далеко не безупречно: они склонны к ошибкам, могут галлюцинировать (генерировать правдоподобную, но ложную информацию) и их трудно полностью контролировать. Это создает риски при промышленном применении; например, алгоритм, помогающий фильтровать угрозы, может пропустить нестандартную атаку или наоборот выдать множество ложных срабатываний, если столкнется с ситуацией вне пределов обучающих данных. Во-вторых, широкое распространение ИИ-инструментов поставило вопрос регулирования на международном уровне. США в 2025 году ввели ряд запретов и ограничений на экспорт передовых ИИ-технологий и вычислительных чипов для них в ряд стран (в первую очередь в Китай и другие потенциально недружественные государства, включая и Россию). Под санкциями оказались высокопроизводительные графические процессоры и комплексы, необходимые для обучения больших моделей, а также сами алгоритмы, которые американские власти сочли критически важными. Эта политика технологического протекционизма направлена на то, чтобы не допустить попадания самых совершенных ИИ-разработок в руки противников, будь то иностранные армии или кибергруппировки. В результате глобально может возникнуть дисбаланс: у одних стран и компаний будет доступ к передовому ИИ для защиты, у других — нет, что потенциально повысит уязвимость менее развитых в цифровом плане государств. На прошедшей в ноябре конференции AI Journey была высказана мысль, что в России должен быть ограничен доступ к недоверенным (читай «зарубежным») моделям и обучающим выборкам ИИ, что может означать, что в 2026 году будет заблокирован доступ к Hugging Face, Kaggle и другим популярным ресурсам для ИИ-специалистов.

Кроме того, применению ИИ в кибербезопасности мешает и дефицит данных: для обучения эффективных моделей нужны огромные массивы актуальной информации об атаках, которые не всегда доступны (компании не спешат делиться инцидентами) либо очень быстро устаревают из-за постоянной эволюции тактик хакеров. Наконец, возникает этическая дилемма: как отличить «хороший» ИИ от «плохого»? Ведь та же модель, которая помогает ловить злоумышленников, может быть перепрофилирована ими для атаки. В 2026 году эта гонка искусственных интеллектов по обе стороны баррикад лишь ускорится. Вероятно, появятся первые нормативные акты, пытающиеся ограничить вооружение ИИ (например, запретят открыто публиковать исходные коды продвинутых киберинструментов на основе ИИ). Крупные IT-корпорации будут совершенствовать средства обнаружения ИИ-угроз (например, инструменты для выявления текста или кода, сгенерированного машиной). Вместе с тем можно ожидать и новых прорывных атак, где автономные агенты-хакеры под управлением нейросети будут противостоять автономным же охранникам-алгоритмам. Мир кибербезопасности вступает в эпоху, когда скорость и интеллект машин станут решающим фактором, а человеку отводится роль стратега и судьи, направляющего ИИ в нужное русло.

В 2025 году в России наметился явный курс на централизацию государственного управления информационной безопасностью в руках силовых структур, прежде всего ФСБ. Ее значение в сфере кибербезопасности и защиты критической инфраструктуры значительно возросло, что проявилось в нескольких аспектах. Во-первых, множество новых требований и нормативных актов по линии кибербезопасности стали выходить под эгидой ФСБ — либо непосредственно утверждаться этой службой, либо разрабатываться при ее ключевом участии. Например, в марте 2025 года ФСБ утвердила новые требования к защите информации в государственных системах, расширив сферу регулирования на различные ведомственные ресурсы. Также именно через ФСБ (в лице НКЦКИ) проходила координация усилий по отражению кибератак на критическую инфраструктуру, особенно на фоне повышенной активности хакеров из-за геополитической обстановки. Таким образом, ФСБ фактически консолидирует функции центра киберзащиты страны, усиливая контроль над госорганами и стратегическими предприятиями в вопросах ИБ.

Во-вторых, заметной стала тенденция к засекречиванию значительной части новых правил и требований по информационной безопасности. Речь о том, что документы, регламентирующие меры защиты для критически важных систем, зачастую публикуются в режиме «для служебного пользования» или под грифом секретности, что затрудняет доступ к ним для широкого круга организаций. Например, ряд приказов и методик ФСТЭК и ФСБ, выпущенных в 2025 году касательно безопасности критической информационной инфраструктуры, не были выложены в открытый доступ: ознакомиться с ними могли лишь специалисты компаний-лицензиатов. Тем не менее тренд на более закрытое киберрегулирование налицо и, вероятно, продолжится в 2026 году — особенно в сферах, связанных с обороной, связью и госуправлением.

Наконец, 2025-й обострил вопрос о распределении полномочий между основными игроками российского кибернадзора — ФСБ и ФСТЭК. Исторически информационная безопасность в России курируется сразу тремя ведомствами — ФСБ, ФСТЭК и Минцифры (плюсБанк России для финсектора), у каждого из которых свои зоны ответственности. ФСТЭК традиционно отвечает за технические стандарты защиты, сертификацию средств ИБ, контроль за соблюдением требований на объектах КИИ. ФСБ курирует вопросы шифрования, гостайны, а через НКЦКИ — мониторинг и реагирование на атаки. Минцифры формирует общую политику и законы в IT-сфере. Но отсутствие единого центра часто приводило к дублированию функций и к разным подходам. ФСТЭК пыталась усилить свое влияние: объявляла о новых проверках субъектов КИИ, внедряла обновленные требования к программному обеспечению и безопасности цепочек поставок (например, обязательства для подрядчиков критической инфраструктуры с 2026 года). ФСБ же через Совет Безопасности и свой НКЦКИ продвигала инициативы единого центра реагирования, настаивая на первоочередности своих данных разведки о киберугрозах. На профильных конференциях и форумах представители обоих ведомств публично акцентировали разные аспекты: ФСТЭК — наказание нарушителей и тотальный контроль исполнения норм, ФСБ — скорость реагирования и координацию усилий в масштабе государства.

Такие идеи высказывались экспертами: нужен единый орган для стратегического планирования и выработки унифицированных требований, вместо нынешнего разделения на три головы. Какой бы путь ни был выбран, бизнесу важно следить за этим «перетягиванием каната». Ведь для компаний сейчас сфера ИБ означает лавину требований от разных органов — ФСБ, ФСТЭК, Банка России, Минцифры, Роскомнадзора, — порой противоречивых. Централизация могла бы упростить исполнение требований, но если она пройдет в закрытом режиме, с акцентом лишь на силовые методы, то это может увеличить нагрузку и риски для рынка. В любом случае можно прогнозировать, что 2026 год принесет дальнейшие реформы в госуправлении кибербезопасностью в России, и роль ФСБ в них останется ключевой, она будет задавать тон и скорость изменений.

Подведем итог: 2025 год стал временем серьезных испытаний и перемен в кибербезопасности. Бизнес осознал цену кибератак и начал требовать гарантий и ответственности, государство усилило контроль за цифровым пространством, а технологии (в частности, ИИ) изменили правила игры в самой сути атак и защиты. В 2026 году эти тенденции, скорее всего, получат дальнейшее развитие. Мир движется к тому, что кибербезопасность перестает быть узкой технической темой — она влияет на финансовые показатели, на устойчивость экономики и на общество в целом. Соответственно, внимание к ней со стороны руководителей, регуляторов и общественности будет только расти. Новые вызовы, будь то автономные ИИ-угрозы или геополитическое противостояние в киберпространстве, потребуют от всех участников скоординированных и инновационных подходов. Главное, что мы вынесли из 2025 года: кибербезопасность — не роскошь и не формальность, а неотъемлемое условие развития и стабильности в цифровую эпоху. Далее, в 2026-м, нас ждет развитие этой новой реальности, где устойчивость к киберрискам станет одним из определяющих факторов успеха на всех уровнях.

На протяжении многих лет Россия входит в число наиболее приоритетных целей киберпреступников. По нашим данным, в период с июля 2024-го по сентябрь 2025 года на Россию пришлось от 14% до 16% всех успешных кибератак в мире. Мы прогнозируем, что по итогам 2025 года общее количество успешных кибератак вырастет на 20–45% по сравнению с предыдущим годом, в котором их число достигло практически 500, а в 2026-м может увеличиться еще на 30–35%. Рост количества нападений касается не только крупных предприятий и организаций, но и малого и среднего бизнеса, которые все чаще становятся жертвами. Стоит также отметить, что ожидается рост числа атак на цепочки поставок: через подрядчиков и поставщиков услуг злоумышленники могут проникать в бизнес-системы, что в ряде случаев будет приводить к наиболее масштабным последствиям.

Основное влияние на ландшафт киберугроз для российских организаций в 2026 году с большой вероятностью будут оказывать два драйвера — темпы цифровизации и геополитическая обстановка. Новые технологии порождают новые уязвимости, которые сложно выявить на ранних этапах внедрения. При этом защита зачастую развивается медленнее, особенно в условиях нехватки квалифицированных специалистов и зрелых решений. Так, по мере цифровизации в зону риска попадут системы промышленной автоматизации и IoT-устройства. Их вывод из строя может привести к остановке производственных процессов и срыву операций на объектах критической информационной инфраструктуры.

Импортозамещение, однако, только усиливает риски: переход на отечественные IT-решения часто происходит в сжатые сроки, без должного внимания к их защищенности, что упрощает задачу злоумышленникам — особенно при наличии уязвимостей нулевого дня или утечек исходного кода. Новому отечественному ПО необходимо время для наращивания необходимой функциональности, а также избавления от «детских болезней», которые могут эксплуатировать киберпреступники. В целом российские компании ожидают смягчения требований по переходу на отечественные решения, а также предоставления дополнительного времени на такой переход. На данный момент процент применения зарубежного ПО в России остается высоким; помимо этого, пока что страна зависит от импорта аппаратных средств. Несмотря на активные государственные инвестиции в микроэлектронику, в ближайшие пять лет проблема не решится.

Геополитика уже играет и будет играть не менее важную роль. При снижении напряженности хактивисты будут атаковать реже, а основную угрозу начнут представлять киберпреступники, ориентированные на вымогательство и кражу данных. В случае же усугубления геополитической ситуации возрастет число целевых хактивистских атак на критическую информационную инфраструктуру. Методы такого деструктивного воздействия меняются. Несмотря на то что организации в отдельных регионах и отраслях России продолжают регулярно сталкиваться с DDoS-атаками, они перестали преобладать в хактивистских кампаниях. На первый план вышли деструктивные атаки с использованием шифровальщиков и вайперов¹. Большинство хактивистов используют общедоступные инструменты и ВПО, распространяемое по модели malware as a service. Однако в арсенале некоторых группировок все чаще стали появляться собственные разработки, что ранее в атаках хактивистов отмечалось крайне редко.

Промышленность и госучреждения лидируют по количеству атак, и в 2026 году ситуация не изменится. Высокая интенсивность кибернападений на эти отрасли сохранится даже в случае урегулирования острых геополитических вопросов. Доступ к информации госучреждений и промышленных предприятий по-прежнему будет рассматриваться как важный инструмент политического и экономического влияния. В ближайшие годы активная цифровизация, внедрение IoT и систем на базе ИИ, а также переход на решения российских разработчиков будут расширять поверхность атак на промышленность и госсектор.

Российские IT- и телеком-компании остаются не только одними из самых частых мишеней, но и наиболее уязвимыми к последствиям атак. Для IT-компаний особую опасность будут, в том числе, представлять атаки на цепочки поставок и доверительные отношения, про рост числа которых мы говорили ранее. В случае спада геополитической напряженности и восстановления международных деловых связей возникнут новые цепочки поставок и партнерства, в которых подрядчики могут стать «узловыми точками» с доступом к данным и системам сразу нескольких организаций. Важно отметить, что злоумышленники будут реже использовать этот доступ для немедленного разрушения IT-инфраструктуры. Вместо этого они смогут затаиться и готовить почву для будущих взломов, закладывая бэкдоры на случай обострения ситуации. В 2026 году интенсивность и характер атак на телеком также будут варьироваться в зависимости от геополитической обстановки. DDoS-атаки в 2026 году полностью не исчезнут: они останутся актуальным инструментом давления, но будут чаще использоваться с целью получения выкупа за их прекращение. При росте напряженности стоит ожидать как увеличения числа атак, так и их большей агрессивности. Прежде всего под удар будут попадать региональные провайдеры, не обладающие достаточными ресурсами для эффективной защиты.

Если говорить про методы, то социальная инженерия и вредоносное ПО останутся ключевыми методами кибератак в 2026 году, однако их формы станут более сложными. По сравнению с 2023 годом и первой половиной 2024-го их распространенность заметно возросла: доля успешных атак на организации с применением ВПО увеличилась с 56 до 71%, а доля атак с использованием социальной инженерии — с 49 до 60%. Такой рост объясняется активной деятельностью финансово мотивированных и кибершпионских группировок, кампании которых, как правило, начинаются с фишинга и заражения систем жертв вредоносным ПО для дальнейшего развития атаки. Уже сегодня наблюдаются многоступенчатые фишинговые кампании, а в будущем злоумышленники все чаще будут использовать искусственный интеллект для создания персонализированных писем и дипфейков, усиливая эффект психологического давления. При этом кибератаки в 2026 году чаще будут приводить к комбинированным последствиям — одновременным утечкам данных и нарушениям бизнес-процессов. Это связано с тем, что злоумышленники не ограничиваются шифрованием информации, но также похищают ее для вымогательства или шантажа.

Отдельное внимание хочется уделить рынку киберпреступности, который оказывает непосредственное влияние на ландшафт киберугроз для российских организаций. Данные из дарквеба показывают, что успешные операции многократно окупаются; при этом ущерб для жертв не ограничивается выкупом и включает дорогостоящие простои и нарушения процессов. Кроме того, дарквеб превратился в полноценный рынок киберуслуг, где сервисная модель и утечки инструментов резко снижают порог входа и затрудняют атрибуцию инцидентов. Наиболее заметные тренды на рынке киберпреступности на данный момент это смещение фокуса на обход средств защиты, постоянная адаптация вредоносного ПО под изменения в браузерах и ОС, а также постепенная интеграция модулей ИИ. При этом усиливается экосистемность: например, в панели управления ВПО встраиваются магазины логов, появляются собственные криптомонеты и т. д.

В 2022 году государственный сектор был объектом почти каждой шестой успешной кибератаки¹: было зафиксировано 403 инцидента², на четверть больше, чем годом ранее. Около половины нападений были направлены на официальные веб-ресурсы органов власти. В последующие годы атаки на этот сектор приобрели яркий хактивистский характер. Хактивисты, имевшие до этого низкий экспертный уровень, развили свои навыки. Если раньше они взламывали госструктуры ради политического манифеста, стремясь подорвать доверие граждан и привлечь внимание общественности к своей акции, то в 2025 году, наряду с традиционными целями, они преследуют финансовую выгоду и совершают более серьезные киберпреступления. Все меньше хактивистов делают громкие заявления об успешных взломах. Проникнув в госинфраструктуры, часть групп занимается шантажом и вымогательством, угрожая ведомствам обнародовать похищенные персональные данные, что чревато для них крупными штрафами — до 500 млн рублей с 30 мая 2025 года.

Еще один сценарий, — свойственный проправительственным хактивистам, — сначала незаметно собрать ценные сведения для передачи (или продажи) иностранным спецслужбам, а затем дестабилизировать работу госучреждения либо оказать деструктивное воздействие на захваченную критически важную инфраструктуру, вплоть до ее необратимого повреждения.

В 2025 году приказ ФСТЭК от 11.04.2025 № 117 значительно расширил меры по защите информации: впервые появились регуляторные требования к безопасности работы с поставщиками ПО, а также с технологиями искусственного интеллекта, если в государственные IT-системы внедряются решения на его основе. Различные ведомства планомерно встраивают ИИ в системы государственного планирования и управления, в системы управления финансами и бюджетной политикой. Лица, ответственные в госструктурах за исполнение таких проектов, обращаются за консультациями к ведущим игрокам отечественного рынка ИБ. В частности, их интересуют такие темы, как защищенное и конфиденциальное использование общедоступных больших языковых моделей и их интеграция в корпоративные системы кибербезопасности.

В 117-м приказе впервые закреплены комплексные требования к безопасному использованию ИИ в государственных и ведомственных информационных системах: документ обязывает операторов обеспечивать защиту данных, моделей и процессов обучения ИИ, применять только доверенные технологии, исключать передачу информации ограниченного доступа разработчикам моделей, а также контролировать корректность запросов и ответов ИИ, включая выявление недостоверных результатов. Эти нормы фактически формируют новую регуляторную рамку, в которой государственные структуры должны использовать ИИ осознанно, прозрачно и под управлением, исключая риски искажения решений, утечки данных и неконтролируемого влияния алгоритмов на критически важные функции.

Positive Technologies активно участвует в формировании национальных требований по безопасному использованию искусственного интеллекта: наша компания входит в Консорциум исследований безопасности технологий ИИ и принимает непосредственное участие в разработке нормативной базы и методик тестирования доверенных технологий. Мы поддерживаем позицию государства: уже в ближайшее время все ИИ-сервисы и средства защиты с ИИ, применяемые в государственных системах и на объектах КИИ, де-факто должны будут соответствовать как стандарту безопасной разработки ИИ, так и разрабатываемому ГОСТу по безопасности ИИ в КИИ, а также полностью выполнять требования вышеназванного приказа ФСТЭК — от использования доверенных технологий и запрета обучения на служебных данных до контроля достоверности ответов и документирования угроз ИИ. Positive Technologies полностью разделяет этот подход и обеспечивает соответствие своих решений новым регуляторным рамкам.

Федеральный закон от 07.04.2025 № 58-ФЗ³ вводит новую обязанность для субъектов КИИ: теперь они должны информировать НКЦКИ не только о зафиксированных инцидентах⁴, но и о компьютерных атаках⁵. Для значимых объектов время уведомления об атаке составляет до трех часов, для прочих объектов — до 24 часов. Таким образом, предоставление отчетности в НКЦКИ носит уже не чисто формальный, а практический характер, отражающий реальное состояние защищенности объектов и их готовность отразить угрозы. Чтобы объекты КИИ соответствовали новым требованиям, на них должны быть установлены корректно работающие средства защиты, налажены процессы ИБ, а контролировать выполнение задач должна команда подготовленных специалистов по киберзащите.

В ближайшее время также будут определены и утверждены перечни типовых отраслевых объектов КИИ с подробным описанием их инфраструктуры и особенностей ее категорирования. Организации, чьи объекты информационной инфраструктуры соответствуют обозначенным характеристикам, автоматически будут внесены в список для прохождения обязательной процедуры категорирования.

Стало известно, что готовится нормативно-правовой акт об аккредитации центров ГосСОПКА. Напомним, до сих пор участники рынка кибербезопасности строили центры мониторинга ИБ и реагирования на инциденты (security operations centers), которые выполняли роль ГосСОПКА. Обязательное условие при этом — заключение соглашения о сотрудничестве с НКЦКИ. Однако сейчас контролирующие органы и главы ряда отраслевых министерств выдвинули инициативу по созданию в каждом секторе экономики отраслевых центров ГосСОПКА, что коррелирует с положениями Федерального закона № 58-ФЗ, предусматривающего разработку отраслевых стандартов в системах государственной службы. Закон не формализовал институт отраслевого центра ГосСОПКА с отдельным статусом, но создал правовую базу, на основе которой отраслевые регуляторы или ведомства могут получить определенные роли (смогут определять перечни, взаимодействовать с ГосСОПКА, информируя не только об инцидентах, но и о компьютерных атаках, а также задавать отраслевые правила). В практической имплементации это может означать появление отраслевых центров (например, в сфере энергетики, связи, финансов) — но пока без закрепленных норм, которые ожидаются в будущем. Новый подход призван повысить общий уровень киберустойчивости ведомств.

Кроме того, некоторые ФОИВ прорабатывают концепции создания отраслевых центров компетенций по кибербезопасности, которые одновременно будут являться и отраслевыми центрами ГосСОПКА.

Уровень импортозамещения решений для кибербезопасности в госсекторе достиг 95–98%, такие данные приводит ФСТЭК. Практически повсеместно применяются системы отечественных разработчиков. В частности, российские NGFW успешно прошли пилотные тесты и уже находятся на стадии активного внедрения либо в эксплуатации. Однако основной проблемой на объектах КИИ и в госучреждениях остается нехватка квалифицированных кадров в области ИБ, способных обслуживать, настраивать высокотехнологичное ПО и работать с ним.

Госорганы (и, частично, бизнес) следуют курсу импортозамещения, вследствие чего российские ОС и ПО постоянно находятся в фокусе внимания атакующих, причем эта тенденция сохраняется с 2022 года. По нашим прогнозам, в 2026 году злоумышленники будут еще активнее искать слабые места в них и как можно незаметнее эксплуатировать уязвимости нулевого дня. Помимо этого, мы ждем роста количества специализированных хакерских инструментов, нацеленных на опенсорсные Linux-системы и отечественные платформы на их базе. Эффективным способом укрепления защиты софта, по нашему мнению, является выход российских вендоров, подрядчиков и IT-партнеров на кибериспытания, которые проводятся на багбаунти-платформах. Эта мера в числе прочего позволит государственным организациям, равно как и другими участникам рынка, регулярно оценивать киберустойчивость инфраструктур самих разработчиков, а значит, и надежность работы с ними.

Российский государственный сектор сегодня испытывает выраженный дефицит кадров в области кибербезопасности: по данным отраслевых исследований, на рынке не хватает около 50 тысяч специалистов, тогда как образовательная система ежегодно готовит лишь 8–10 тысяч профильных выпускников, и до 46% вакансий в госсекторе остаются незакрытыми месяцами. Официальные лица — как регуляторы, так и представители органов государственной власти — подтверждают масштаб проблемы: в стране ощущается системная нехватка квалифицированных кадров в области ИТ и ИБ, особенно значимая для госорганизаций и объектов КИИ. На этом фоне становится очевидной необходимость комплексных мер — от отраслевых центров компетенций до новых федеральных программ подготовки специалистов.

От недостатка квалифицированных специалистов по кибербезопасности особенно страдают регионы: привлекаемые высокими зарплатами выпускники профильных вузов, как правило, переезжают в Москву и Санкт-Петербург. Чтобы улучшить ситуацию, региональные ведомства совместно с крупными вендорами, такими как Positive Technologies, запускают образовательные программы, просветительские проекты и другие инициативы, а также открывают филиалы информационно-аналитических центров, чтобы популяризировать на своих территориях направление ИБ, заинтересовать престижной работой и удержать как можно больше местных специалистов.

Еще одним возможным вариантом преодоления кадрового дефицита в сфере ИБ может стать использование MSSP-сервисов; в некоторых регионах госорганизации уже отдали им предпочтение. Однако, несмотря на привлекательность подобной модели, она имеет ряд существенных недостатков именно для владельцев государственных сервисов и субъектов КИИ. Например, крайне сложно, используя такой сервис, соблюдать комплаенс, то есть поддерживать необходимые стандарты безопасности.

В некоторой степени разрешить дилемму может автоматизация. Разумеется, полностью заменить экспертов автоматизированными СЗИ невозможно, однако сочетание мер, включающих подготовку собственных специалистов, применение аутсорсинга там, где это целесообразно, и автоматизацию ежедневных типовых операций служб ИБ — уже сейчас дает хороший результат. Разработчики широко применяют методы и модели машинного обучения, и современные решения для ИБ теперь взяли на себя максимум рутинных задач сотрудников первой и второй линии SOC, передавая экспертам третьей линии детальные отчеты для более глубокого анализа и принятия решений.

Программы обучения сотрудников госучреждений станут регулярными, это важный тренд, укрепление которого мы прогнозируем в ближайшие годы. Предусматривается, что повышать уровень киберграмотности будут не только рядовые госслужащие, но и ИТ-специалисты. В обучении первой группы больший акцент будет сделан на инструктаж о том, как распознать фишинговые письма мошенников и иные попытки атак, проводимых с помощью методов социальной инженерии.

Цифровизация ведомств и государственных организаций подразумевает радикальное укрепление их киберзащиты и готовности противостоять нападениям любой сложности. Выбор методов оценки проведенной работы зависит от многих факторов, в том числе от внутренних регламентов со стороны государства. Positive Technologies, со своей стороны, предлагает практический механизм проверки работоспособности внедренных СЗИ в случае хакерских атак — закрытые кибериспытания с четко прописанными заданиями по реализации недопустимых событий для конкретного органа власти (например, сбой в предоставлении услуг населению, небезопасная обработка персональных данных или их утечка). В соответствии со строгими правилами кибериспытаний приглашенные исследователи безопасности остановятся в шаге до завершения неприемлемого сценария, чего достаточно для подтверждения возможности его выполнения. Предлагаемый нами подход позволяет выяснить, гарантирует ли выстроенная система кибербезопасности раннее обнаружение атак и эффективное противодействие злоумышленникам, защищает ли она самые важные и ценные для организации активы. Другими словами, выход на закрытые кибериспытания дает ответ на вопросы о том, были ли закуплены нужные СЗИ, сфокусированы ли они на защите целевых и ключевых систем, взлом которых может поставить под угрозу работу учреждения и привести к необратимым последствиям. Кроме того, этот механизм через призму конечного результата защищенности дает реальную оценку рациональности вложенных в проект бюджетных средств.

В 2025 году измеримая кибербезопасность с гарантированным результатом стала актуальна для компаний любого масштаба и уровня зрелости процессов ИБ. Руководители хотят не просто тратить средства на защиту, а быть уверенными в ее эффективности. Этот фокус отражается и в повестке регуляторов. Резонансные инциденты 2025 года показали: большой бюджет и серьезные усилия еще не гарантируют киберустойчивость. Рынку нужны новые подходы к оценке результатов, способные обеспечить уверенность, причем ежедневную, в результативности средств и мер безопасности.

Positive Technologies помогает выстраивать результативную кибербезопасность компаниям и госучреждениям, которые при постановке целей, планировании затрат на ИБ и выборе средств защиты фокусируются на предотвращении событий, способных нанести их деятельности необратимый ущерб. Убедиться в защищенности от неприемлемых событий — объективно, на практике и с понятным результатом, — как и получить уверенность в киберустойчивости в целом, можно лишь выйдя на кибериспытания.

Наряду с сервисом PT X, новым направлением развития результативной кибербезопасности стал и PT Boost — набор услуг, продуктов и сервисов, суть которого — построение ядра кибербезопасности или внутреннего MSSP. Ясно понимая, от какого типа злоумышленников защищена компания в данный момент, организация будет сознательно развивать свою защищенность. Услуга предусматривает четко обозначенную ответственность за результат. Навыки команд SOC будут постоянно совершенствоваться, чтобы специалисты могли противостоять непрерывно меняющимся киберугрозам.

В 2025 году стартовал уникальный в индустрии проект, в рамках которого лидеры рынка в течение трех лет будут совместно выстраивать киберустойчивость «Почты России». Positive Technologies стала партнером по внедрению результативной ИБ в корпоративном сегменте. Наша задача — сделать так, чтобы злоумышленники не могли реализовать три из пяти стратегических рисков компании. Отличительная черта проекта — результат каждого из трех этапов подтверждается на киберучениях, в ходе которых независимые команды белых хакеров оценят реальную способность выстроенной комплексной системы кибербезопасности отражать сложные атаки. Мы рассчитываем, что полученный в ходе проекта опыт мы сможем масштабировать на другие системно значимые компании. Результативная ИБ содействует кооперации отечественных игроков кибербезопасности. Сотрудничая друг с другом, мы вместе начинаем мыслить в терминах измеримой защиты, конкретных и честных итогов выполненной работы и будем в силах не только качественно повысить защищенность отдельных компаний и отраслей, но и усилить национальную киберустойчивость.

За 2025 год платформа Standoff 365 продемонстрировала значительный рост и развитие, укрепив свои позиции как ключевой инструмент для повышения киберустойчивости бизнеса и государственного сектора. Продуктовая линейка платформы была существенно расширена и дополнена новыми возможностями, охватывающими все аспекты кибербезопасности: от практики и тестирования до поиска и устранения уязвимостей.

Один из векторов развития платформы Standoff 365 был направлен на создание комплексной экосистемы для непрерывного повышения квалификации и тестирования защищенности:

• Standoff Cyberbones. Онлайн-тренажер, отметивший год с момента запуска, был включен в реестр отечественного ПО, что открывает новые возможности для его применения в государственных и критически важных инфраструктурах. За такой короткий период Standoff Cyberbones уже доказал свою эффективность, предоставляя возможность на практике изучить тактики сильнейших белых хакеров. Помимо этого, мы добавили менторскую поддержку и сформировали гибкую тарифную сетку, сделав практическую подготовку более доступной и персонализированной.
• Standoff Defend — обновленный онлайн-полигон для защитников с годовой подпиской.
• Standoff Hackbase, обновленный в сентябре 2025 года онлайн-полигон для атакующих, предоставляющий этичным хакерам новые возможности для отработки навыков.

Количество программ, запускаемых на площадке Standoff Bug Bounty, продолжает кратно возрастать, что подтверждает их эффективность как наиболее честный и результативный способ проверки защищенности:

• выплаты специалистам по поиску уязвимостей в рамках программ багбаунти превысили 142 млн рублей, что составляет 229% роста по сравнению с аналогичным периодом 2024 года;
• увеличение числа контрактов с компаниями, заказывающими багбаунти, составило 66% по сравнению с 2024 годом;
• в сентябре 2025-го прошел шестой международный ивент Standoff Hacks, который стал единой площадкой для обмена опытом между ведущими исследователями.

Кибербитва Standoff как флагманское событие нашей платформы вышла на новый уровень международного признания. В 2025 году состоялось четыре масштабных кибербитвы в различных форматах, что подчеркивает растущий интерес к российским практикам кибербезопасности.

Впервые на Standoff 16 команды защиты получили возможность использовать в режиме мониторинга и реагирования продукты не только Positive Technologies, но и других вендоров. Это важный шаг в развитии кибербитвы — переход к модели, где команды могут отрабатывать навыки работы с различными средствами защиты информации и программным обеспечением в условиях, максимально приближенных к реальным.

Дополнительно в рамках развития международного направления Standoff мы провели три крупных мастер-класса по кибербезопасности для представителей Египта, Омана и Марокко, что способствует экспорту российских компетенций в сфере киберзащиты.

На фоне геополитической напряженности и возрастающего числа кибератак спрос на инструменты повышения киберустойчивости в ближайшие годы будет только расти.

• Багбаунти: ожидается, что в ближайшие годы рынок багбаунти в России продолжит экспоненциальный рост. Увеличение числа контрактов на две трети (66%) за год является прямым свидетельством того, что компании окончательно осознали ценность оплаты за результат. Мы прогнозируем, что объем выплат багхантерам удвоится в течение следующих двух лет, а багбаунти станет стандартной практикой для всех организаций, работающих с критически важными данными.
• Международное сотрудничество: успех международных кибербитв и мастер-классов закладывает основу для расширения географии присутствия Standoff 365 в странах Ближнего Востока, Африки и Азии, превращая платформу в глобальный стандарт киберучений.

Киберполигоны сегодня — это уже не просто площадки для учений или демонстрации технологий, а фундамент будущего отрасли. Мы движемся к тому, чтобы киберпространство стало управляемым, предсказуемым и безопасным. Сейчас у каждого полигона свой формат и цель, но со временем рынок придет к единым стандартам. Это движение к зрелости — к моменту, когда полигон станет не отдельной инициативой, а частью отраслевой инфраструктуры. Вся отрасль ИБ будет измерять уровень киберустойчивости в соответствии с новыми, общими для всех подходами.

То же самое касается багбаунти: сегодня это не просто инструмент проверки безопасности, а шаг к культуре открытой и ответственной разработки. Через несколько лет проверка продукта с помощью багбаунти станет естественным элементом процесса — таким же обязательным, как тестирование или аудит кода. Это новый уровень доверия и прозрачности, который мы в индустрии все вместе сейчас создаем.

Спрос на проекты по расследованию инцидентов и ретроспективному анализу атак остается стабильно высоким, однако изменилась его структура. Если количество запросов на расследование снизилось на 8%, то интерес к ретроспективному анализу вырос в два раза. Наибольшее количество обращений поступило от ИТ-компаний и государственных организаций: на их долю пришлось по 24% атак. Всего за период с IV квартала 2024-го по III квартал 2025 года специалисты департамента комплексного реагирования на киберугрозы экспертного центра безопасности (PT ESC IR) реализовали более 100 проектов.

Медианное время от начала инцидента до его обнаружения сократилось до 9 дней. Это на 8 дней меньше, чем годом ранее. Самая продолжительная кибератака длилась 3,5 года, а самая короткая — всего сутки.

В 43% компаний была выявлена деятельность известных APT-группировок, а более половины изученных инцидентов (55%) привели к реальному нарушению бизнес-процессов. Анализ векторов проникновения показал, что в 36% случаев исходной точкой являлась компрометация бизнес-приложений на периметре организации, при этом доля атак через доверительные отношения с подрядчиком увеличилась до 28%. Основными причинами успешных проникновений стали недостаточная сегментация сети (24%), использование устаревшего ПО (23%) и отсутствие двухфакторной аутентификации (21%).

В рамках исследований и киберразведки специалисты TI-департамента PT ESC в 2025 году отправили компаниям почти в четыре раза больше уведомлений о том, что они могли стать целью киберпреступников, чем годом ранее. И если в 2024 году атаки были сконцентрированы в основном на оборонном секторе и госуправлении, то теперь под удар попали практически все отрасли.

Наибольший рост угроз зафиксирован в ИТ и промышленности. Также существенно увеличилось давление на ритейл, транспорт, на госкомпании и оборонный сектор. Выбор этих целей не случаен: в условиях напряженной геополитической обстановки злоумышленники целенаправленно нападают на критически важные отрасли.

Рост числа уведомлений среди прочего связан с переходом хакеров к массовым атакам на различные отрасли российской экономики и с появлением новых агрессивных группировок. Наибольшую активность проявляли злоумышленники из Thor, PhantomCore, Fluffy Wolf и Cloud Atlas; эти группировки в основном нацелены на кражу или уничтожение данных.

Кроме того, продолжился рост числа целевых атак. При этом после нескольких лет затишья, атакующие вновь начали использовать уязвимости нулевого дня в атаках против российских компаний. Группировка Team46 применила многоступенчатую¹ уязвимость в браузере Google Chrome, а злоумышленники из GOFFEE эксплуатировали баг в архиваторе WinRAR. Отдельно можно выделить появление нового типа кейлоггера — программы, перехватывающей учетные данные при входе на серверы Microsoft Exchange.

В 2026 гожу мы прогнозируем рост числа случаев эксплуатации ранее неизвестных уязвимостей, поскольку для киберпреступников она остается практически единственным способом проникнуть в хорошо защищенные корпоративные инфраструктуры.

В экосистеме PyPI — основной платформы для распространения библиотек на языке программирования Python — в 2025 году зафиксирован значительный рост активности злоумышленников. Количество вредоносных пакетов увеличилось на 54% (514 против 333 в 2024 году).

Среди ключевых трендов — активное использование автоматизации для публикации пакетов, преобладание тайпсквоттинга, а также разработка вредоносного ПО с помощью языковых моделей. Основными целями злоумышленников остаются кража криптовалюты, переменных окружения, браузерных паролей и системных данных.

В NPM — главном репозитории пакетов для JavaScript — в 2025 году количество вредоносных пакетов снизилось почти в 5 раз по сравнению с предыдущим годом. Такой спад объясняется крупной кампанией вредоносов, прошедшей в мае–июне 2024 года. При этом среднее время обнаружения угроз значительно уменьшилось: с 81 дня в 2024 году до 18 дней в 2025-м.

Главной целью злоумышленников остается кража информации, причем особый упор делается на криптовалюту: атаки либо отслеживают буфер обмена для подмены кошельков (clipboard hijacking), либо маскируются под клиентские библиотеки для работы с хранилищами (vault). Как и в PyPI, продолжают распространяться стандартные стилеры, нацеленные на переменные окружения и другие конфиденциальные данные.

Отдельной проблемой остается фишинг, в 2025 году эксперты зафиксировали две крупные кампании. Первую обнаружили в июне: злоумышленники получили доступ к учетным записям разработчиков и внедрили вредоносный код в несколько популярных пакетов NPM, включая библиотеки семейства eslint-*, для распространения стилера Scavenger. Вторая прошла в сентябре: массовый фишинг привел к компрометации пакетов debug, chalk и 16 других библиотек с распространением clipboard hijacker — вредоносной программы, которая подменяет криптовалютные адреса в буфере обмена и перенаправляет платежи на кошельки злоумышленников.

Количество фишинговых доменов за год выросло с 156 тысяч до 318 тысяч. Эта тенденция коррелирует с общим ростом числа атак, однако не все домены были использованы напрямую. Часть из них была делегирована еще до начала атак, а некоторые вообще не использовались. Вероятно, злоумышленники таким образом пытаются обойти логику систем защиты, которые отслеживают новые зарегистрированные домены.

В 2025 году компания оказала более 800 услуг по тестированию на проникновение, анализу защищенности и расследованию инцидентов, что на 85% превышает показатель 2024 года. Увеличение спроса на профессиональные сервисы информационной безопасности отражает общую тенденцию усиления киберугроз и повышения осознанности организаций в вопросах защиты цифровых активов.

Наиболее существенный рост в 2025 году продемонстрировали следующие направления:

• Ретроспективный анализ (включая retro light и гигиену киберзащищенности) показал взрывной рост — количество проектов увеличилось с 20 до 169, что составляет прирост в 745%. Основной всплеск спроса пришелся на август–сентябрь. На фоне новостей о резонансных кибератаках клиенты активно проверяли свою инфраструктуру на факты компрометации и возможное ранее не замеченное нахождение злоумышленников в ней, стремясь минимизировать риски наступления инцидентов ИБ и повысить степень готовности противостоять потенциальным кибератакам.
• PT X — облачное решение для мониторинга безопасности и реагирования на кибератаки, анонсированное в этом году. Рынок крайне позитивно отреагировал на появление PT X как более доступной альтернативы mSOC и SOC, что уже сейчас подтверждается более чем 160 запросами коммерческих предложений.
• ХардкорИТ — направление, предлагаемое клиентам Positive Technologies как альтернатива классическим пентестам. Подход ХардкорИТ заключается в том, чтобы замедлить атаку злоумышленников (time to attack, TTA) и предоставить команде по защите от киберинцидентов больше времени на реагирование и локализацию (time to contain, TTC). Количество таких проектов в этом году возросло до 40.
• Сервис стратегической аналитики внешней цифровой среды — услуга, запущенная в 2025 году, быстро завоевала доверие рынка: уже проведено 20 внедрений. Сервис помогает организациям увидеть, от каких компаний, сервисов и цифровых компонентов зависит работа их бизнеса и как эти элементы выглядят глазами злоумышленника. Мы переводим открытые данные и экспертный анализ в наглядные бизнес-карты и практические рекомендации, помогающие выявить наиболее чувствительные узлы экосистемы и усилить устойчивость ключевых процессов и цепочек взаимодействий.
• PT Surveying — еще одна новая услуга от Positive Technologies, по которой уже было реализовано 17 проектов. Сервис позволяет определить уровень устойчивости компаний, в том числе дочерних организаций, подрядчиков или партнеров, к будущим кибератакам, а также вероятность уже произошедшего взлома.
• Услуги PT Expert Security Center, PT ESC (ретроспективный анализ, проводимый на продуктах Positive Technologies силами заказчика, но с привлечением специалистов Positive Technologies, разработка правил корреляции и проч.) показали рост с 3 до 13 проектов.
• Инструментальный анализ — число таких проектов увеличилось с 15 до 28 (87%).

Классические направления услуг сохранили стабильный рост: спрос на пентест вырос на 7% (с 87 до 93 проектов), тестирование веб-приложений — на 8% (с 105 до 113 проектов), спрос на расследования силами PT Expert Security Center — на 13% (с 40 до 45 проектов), тестирование мобильных приложений — на 17% (с 30 до 35 проектов).

Важным трендом 2025 года стало увеличение сложности и длительности проектов. Средняя длительность пентеста возросла на две недели — с 34 до 44 рабочих дней. Средняя длительность работы red team увеличилась на месяц (20 рабочих дней). Это свидетельствует о росте сложности инфраструктур клиентов и повышении требований к глубине анализа защищенности

Использование технологий AI и ML в средствах защиты является ключевым трендом 2025 года. Цель — повысить качество ключевых функций продуктов (детектирования угроз, выявления наиболее слабых мест инфраструктуры), снизить количество рутинных операций, сократить время реакции на инциденты. Помимо этого, большие языковые модели (LLM), например, могут собирать дополнительный контекст, позволяющий сократить время анализа инцидентов ИБ.

При этом важно понимать, что есть разные пути внедрения технологий, но независимо от их выбора они должны быть безопасными. Например, использование коммерческих LLM с передачей телеметрии на заграничные серверы — это серьезная угроза безопасности. А API для взаимодействия с моделями должен быть обязательно защищенным, чтобы исключить возможность отправления данных и получения доступа к ним третьими лицами.

В качестве примера можно привести AI/ML модуль MaxPatrol BAD, интегрированный с системой мониторинга событий ИБ MaxPatrol SIEM: модуль решает задачи детектирования, выявляет аномалии и приоритизирует наиболее значимые срабатывания правил в SIEM-системе, подсвечивая оператору действительно важные инциденты. Аналогичным образом работают модули в PT NAD и PT Sandbox. В случае с PT Sandbox в модуль поведенческого анализа встроена модель машинного обучения, анализирующая HTTP-трафик, записанный после запуска вредоносного образца в песочнице. Модель успешно выявляет новые семейства вредоносного ПО, которые не покрываются другими модулями PT Sandbox. В PT NAD, в свою очередь, реализован механизм пользовательских правил профилирования, который заточен на гибкий поиск аномалий в сетевом трафике. В частности, с помощью этого механизма PT NAD успешно обнаруживает попытки эксфильтрации данных и горизонтального перемещения, а также другие подозрительные нетипичные активности.

Если говорить о принципиально ином подходе к обнаружению угроз, важно не только приоритизировать инциденты, но и автоматически собирать контекст, связывать его с другими срабатываниями, обогащая данными threat intelligence, и формировать развернутый отчет, как это делают аналитики security operations center (SOC). Такую задачу решает MaxPatrol O2 с облачными модулями, использующими конвейер из ML-моделей и LLM. Это позволяет говорить не просто об использовании ML-помощников, а о выстраивании полноценной защиты под ключ — и за таким подходом будущее.

После 2022 года многие компании стали ярыми противниками «облаков». На фоне санкционной политики зарубежные вендоры в моменте отозвали лицензии, из-за чего «окирпичились» продукты, имеющие связь с западными «облаками». Кроме того, они прекратили обновлять экспертизу в продуктах (сигнатуры и патчи безопасности), что привело к потенциальной уязвимости этих средств защиты информации.

В 2024 год тренд на использование «облаков» начал разворачиваться, а в 2025-м усиливаться. Одновременно с этим растет доверие к российским облачным сервисам, а на фоне дефицита серверов и оборудования они иногда являются единственным решением для бизнеса.

Вендоры в сфере кибербезопасности также используют облачные платформы для оказания дополнительных услуг клиентам — будь то расширенные данные threat intelligence, позволяющие обогатить срабатывания средств защиты, или применение AI- и ML-технологий, требующих высокопроизводительных серверов, которые не всегда есть на стороне клиента. MDR-, MSS-провайдеры тоже являются частью тренда: компании строят кибербезопасность под ключ из «облака», передавая провайдерам данные с сенсоров SOC (из решений классов EDR, SIEM, NTA/NDR). Уверен, что тренд сохранится в ближайшие годы и направление, связанное с облачными технологиями, будет развиваться быстрее других в сфере ИТ и ИБ.

На фоне громких кибератак последних лет и 2025 года в частности у многих компаний возник запрос на то, чтобы регулярно получать объективное понимание своей защищенности и измерять результат применения той или иной технологии или функции в целом. Этот запрос может включать:

• требование гарантий от сервис-провайдеров (например, выполняющих функции SOC);
• проведение пентеста или проектов red team для оценки защищенности и проверки эффективности собственного SOC;
• выход на площадку багбаунти, где у компании есть возможность протестировать защищенность IT-инфраструктуры или ее отдельных элементов в разных форматах: экспресс-багбаунти, классическая программа поиска уязвимостей или кибериспытания;
• привлечение вендорского надзора за тем, как интегратор внедряет технологии;
• проведение хэлсчека и других проверок атомарных функций продуктов.

Все вышеперечисленное свидетельствует о повышении уровня зрелости компаний и о продолжающемся переходе от бумажной безопасности к практико-ориентированной. Тенденция будет усиливаться в ближайшие годы, потому что это единственный путь к пониманию собственной защищенности на фоне возрастающего количества и сложности кибератак.

Осознавая потребность компаний, мы предлагаем несколько решений:

• В рамках решения PT X мы гарантируем защиту с покрытием финансовых рисков за наш счет: помогаем выйти на кибериспытания и, при выполнении компаниями «киберминимума¹», выплачиваем вознаграждения исследователям в случае взлома, возмещаем убытки от успешных атак злоумышленников.
• В 2025 году мы сфокусировались на том, чтобы раскрыть потенциал продуктов Positive Technologies — показать и доказать, как их нужно использовать, чтобы они работали на результат. Внутри это направление мы называем «трек результативных продуктов», который включает в себя комплекс материалов, обучающих курсов, проверок и автоматизаций как для клиентов, так и для партнеров. Он распространяется бесплатно и определяет тот конечный результат, который мы как вендор закладывали в продукты. С помощью этого комплекса компания любого размера может решать задачи информационной безопасности максимально эффективно.

За последние несколько лет количество компаний, создавших у себя подразделение ИБ, возросло многократно. Их число увеличилось среди прочего за счет небольших организаций, ранее не задумывавшихся о вопросе кибербезопасности.

Вместе с тем дефицит кадров только усиливается — это неизбежно приводит к тому, что порог входа в сферу ИБ снижается, а значит, вендорам необходимо адаптировать свои продукты и под новых, менее подготовленных специалистов.
Внедрение ассистентов, автоматизация рутинных операций, переход к визуализации аномалий и срабатываний средств защиты, упрощение работы с логами — все это определяет, кто выиграет в гонке вендоров в сфере информационной безопасности.

Более того, во многих странах, с которыми Россия активно сотрудничает в различных сферах экономики, есть аналогичный запрос к решениям для ИБ. Так что вендор, который вложится в это направление, не только укрепит лидерские позиции внутри страны, но и получит огромное преимущество на международном рынке.

В течение этого года мы сохраняли фокус на развитии технологий машинного обучения в наших продуктах. ML берет на себя часть задач по мониторингу вредоносной активности и реагированию на инциденты, снижая нагрузку на сотрудников SOC.

Например, ML-модуль поведенческого анализа Behavioral Anomaly Detection (MaxPatrol BAD) в этом году получил новые ML-модели, обученные на основе экспертизы Positive Technologies в расследовании инцидентов. Интеграция с модулем расширяет возможности системы мониторинга событий ИБ MaxPatrol SIEM за счет поведенческого анализа и сокращает длительность расследований с часов до минут. Обновленный MaxPatrol BAD уже доказал свою эффективность на международной кибербитве Standoff 16. Кроме того, благодаря использованию больших языковых моделей (LLM) нам удалось значительно ускорить наполнение MaxPatrol SIEM экспертизой.

Среди других новшеств — первый proof of concept детекта, позволяющего системе поведенческого анализа сетевого трафика PT Network Attack Discovery (PT NAD) c помощью технологий машинного обучения обнаруживать атаки с использованием VPN на потоке.

Машинное обучение активно используется и в сетевой песочнице PT Sandbox. С помощью новой ML-модели продукт непрерывно выявляет неизвестное и скрытое ВПО по трафику поведенческого анализа, позволяя распознавать вредоносные программы в среднем на две недели раньше, чем они появляются в общедоступных базах. Мы также активно разрабатываем нашу новую технологию статического анализа ВПО на основе нейросетей.

AI-модуль, определяющий сенситивность¹ информации, — уникальная особенность единого решения для защиты данных PT Data Security, коммерческий релиз которого состоялся осенью этого года. За счет обучения на боевых, а не на синтетических данных была достигнута высокая точность ML-алгоритма. Она позволяет PT Data Security находить любые типы данных, в том числе с высокой энтропией (например, Ф. И. О., название компании, номер телефона), а также фиксировать их расположение в документе. AI-модель показывает 92-процентную точность, что является лучшим результатом среди ведущих решений для бизнеса.

Мы переосмыслили архитектуру автопилота для результативной кибербезопасности MaxPatrol О2, перенеся его ядро в «облако» и внедрив AI-агенты на базе развернутой на наших мощностях LLM.

Если раньше выявлять массовые атаки удавалось по простым сигнатурам и известным уязвимостям, то современные техники злоумышленников позволяют избегать привычных методов обнаружения, маскировать активность под легитимную и быстро увеличивать площадь атаки. Чтобы обеспечить безопасность бизнеса, мы будем и дальше развивать продукты для защиты конечных устройств, внедряя в них среди прочего технологии машинного обучения.

По нашим прогнозам, в 2026 году число успешных кибератак на Россию может вырасти на 30–35% по сравнению с 2025-м. Чтобы компании, в том числе недавно ставшие жертвой кибератаки, могли оперативно укрепить свою защиту без новых продуктов для ИБ и расширения штата, мы продолжим развивать облачное решение для мониторинга безопасности и реагирования на кибератаки РТ Х.

В планах также представить больше ML-решений для сотрудников, чтобы каждый специалист мог получить доступ к продвинутой LLM внутри корпоративного контура Positive Technologies, а все данные оставались под надежной защитой. В рамках пилотных проектов уже тестируются AI-ассистенты по продуктовой документации и практике.

Летом 2025 года Positive Technologies объявила о создании антивирусной лаборатории на базе экспертного центра безопасности (PT Expert Security Center, PT ESC). Она объединила опыт, технологии и знания трех продуктовых экспертных команд по противодействию вредоносному ПО — отделов сетевой экспертизы, песочницы и защиты конечных устройств. За прошедшие шесть месяцев в антивирусной лаборатории сформирован также отдел антивирусной экспертизы, который расширил имеющиеся компетенции по обнаружению ВПО. Помимо поведенческой, сетевой и YARA-экспертизы¹ освоен новый подход по обнаружению зловредного поведения программ на основе уникальной технологии эмуляции.

Инструментарий, приобретенный у компании «ВИРУСБЛОКАДА», мы применяем одновременно с внедрением разработанных нами инновационных решений, а также используем другие возможности для развития: присутствие Positive Technologies на международном рынке, большой входной поток исследуемого ВПО из различных регионов и участие в международных инициативах. Так, специалисты лаборатории дополнили и усилили модуль антивирусного ядра, который ориентирован на повышение защиты Unix-подобных систем, что особенно важно в контексте импортозамещения, повсеместного перехода на отечественные ОС.

Кроме того, чтобы понимать актуальное состояние экспертизы, мы внедрили и тестируем внутренний сервис непрерывного перерасчета уровня обнаружения на больших коллекциях вредоносного ПО, расположенных в нашем data lakehouse. В настоящее время проблема обеспечения защиты от вредоносного ПО — это проблема анализа больших данных. Совместное с департаментом киберразведки (threat intelligence) PT ESC использование высоконагруженных систем распределенной обработки файлов позволяет антивирусной лаборатории обрабатывать входной поток вредоносных образцов. Применение аналитических инструментов в работе с большими данными позволило, образно говоря, подняться над пестрым океаном вредоносных файлов и увидеть картину целиком. Это дало возможность сформировать приоритеты развития экспертизы по всем направлениям.

Среди основных технологических достижений лаборатории за полгода можно выделить следующие:

• увеличение в 4 раза объема и скорости обработки семплов для генерации антивирусных записей;
• увеличение количества записей в антивирусной базе на 25%;
• организацию собственного процесса обновления антивирусной базы и повышение в 2 раза частоты ее публикации;
• проведение аудита безопасности модуля самозащиты агента MaxPatrol EDR, которое позволило в последнем релизе продукта устранить 27 сценариев компрометации системы защиты;
• расширение сетевой экспертизы коллекцией сигнатур для обнаружения майнеров;
• внедрение (совместно с ML-командой) в PT Sandbox новой модели машинного обучения, предназначенной для выявления трафика вредоносного ПО и уже подтвердившей способность выявлять ранее не встречавшиеся угрозы, для которых еще не написаны классические сетевые правила;
• внедрение системы автоматизации анализа сработок сетевых сигнатур для пользователей, использующих преимущества облачного подхода (это позволило свести к минимуму время реагирования на ложные срабатывания в обновлениях экспертизы);
• внедрение бета-версии подсистемы поведенческого анализа Android-приложений в PT Sandbox.

Такая модернизация средств обнаружения и внедрение сервисов автоматизации позволяют повысить качество идентификации ВПО нашими продуктами, несмотря на усложнение нежелательных файлов и постоянно увеличивающиеся масштабы актуальных угроз в киберпространстве.

Что касается разнородной экспертизы, с момента открытия лаборатории прирост количества поведенческих правил MaxPatrol EDR составил 9%, сетевых сигнатур (как в контексте PT NAD, так и PT Sandbox) — 40%, YARA-правил — 4%, а поведенческих правил PT Sandbox — 7%. Такой рост объема экспертизы вызван новыми возможностями, связанными с ее централизацией в лаборатории и применением систем автоматизации анализа больших данных. Кроме того, он связан с необходимостью гарантировать защиту от постоянно появляющихся новых угроз, непрерывным их изучением и добавлением в наши продукты экспертизы для обнаружения по характерным признакам. Например, за полгода антивирусная лаборатория обеспечила покрытие нового хакерского инструментария, фигурировавшего в 39% исследований целевых атак департамента киберразведки PT ESC.

В следующем году нашей приоритетной задачей станет развитие методов обнаружения и блокировки ВПО в продукте класса EPP (платформе для защиты конечных устройств от массовых атак), продажи которого уже начались. Мы также намерены планомерно развивать и масштабировать экспертизу в уже существующих продуктах Positive Technologies.

В 2025 году в мире безопасности операционных систем продолжалось противостояние меча и щита — атакующих и защитников — и произошел ряд интересных событий.

Разработчики как открытых, так и проприетарных ОС все больше применяют осознанный подход при проектировании средств безопасности, который базируется на модели угроз информационной системы. Хаотичная разработка разрозненных механизмов защиты, плохо связанных между собой, постепенно уходит в прошлое. Начинает преобладать комплексный подход, что явно усложняет жизнь атакующим.

Ярким примером является новая классификация средств защиты от аппаратных уязвимостей CPU в ядре Linux. Теперь эти решения распределены по векторам атак и настраиваются единообразно, для чего была проведена большая системная работа. Другой пример — применение технологии ARM Memory Tagging Extension в iOS. Оно потребовало от корпорации Apple больших доработок как в ОС, так и в их чипах.

При этом разработчики ОС стараются не только выявлять уязвимости в коде, но и устранять публично известные методы их эксплуатации (так называемые эксплойт-примитивы). Это особенно характерно для Linux: корпорация Google продолжает проводить соревнование KernelCTF, результаты которого дают огромное количество ценных знаний для сообщества разработчиков ядра.

Исследования в области наступательной кибербезопасности тоже не стоят на месте. И этичные хакеры, и разработчики вредоносного ПО ищут пути наименьшего сопротивления для атак на операционные системы. В 2025 году было реализовано множество атак на мобильные ОС через логические ошибки в драйверах GPU. Все чаще компрометация ОС проводится с использованием baseband-процессора и сопроцессоров на SoC, прошивки которых имеют меньше средств защиты по сравнению с основной ОС. Мы считаем, что этот тренд дополнительно усилится в следующем году.

Очень интересен вопрос применения ИИ в области безопасности системного ПО. И защитники, и атакующие пытаются использовать большие языковые модели (LLM) для поиска уязвимостей в ОС. Однако получается пока сравнительно плохо. Дело в том, что операционные системы — это один из самых сложных видов ПО из-за специфики работы с аппаратным обеспечением. Поэтому исследователи вынуждены аккуратно направлять процесс «размышления» LLM, и им приходится отсеивать огромное количество ошибочных результатов.

По нашему мнению, 2026 год покажет, что использование ИИ в области безопасности операционных систем безусловно перспективно. Однако, как и фаззинг (автоматизированное тестирование ПО с помощью случайных входных данных), этот подход требует инженерной и исследовательской работы и не решает все проблемы волшебным образом.

В этом году исследователи безопасности Positive Technologies обнаружили около 450 уязвимостей нулевого дня (большая часть устранена) в оборудовании и ПО отечественных и зарубежных поставщиков, включая глобальных мировых лидеров. Это значение вчетверо превышает показатель прошлого года (114 недостатков). Такой разрыв объясняется не только ростом числа уязвимостей, но и смещением исследовательского фокуса на еще более активный поиск уязвимостей.

Отношение вендоров к вопросам устранения уязвимостей продолжает меняться в лучшую сторону. Мы отметили положительную динамику реагирования вендоров на оповещения об обнаруженных уязвимостях. Скорость реагирования разработчиков на первое уведомление об уязвимости увеличилась в этом году на 10%. Число уязвимостей, которые были полностью исправлены в течение 30 дней, увеличилось на 15%, а доля тех, для устранения которых требовалось до 60 дней, сократилась на 20%.

Десятая часть (9%) найденных экспертами Positive Technologies дефектов защиты имела критически высокий уровень опасности. При этом прослеживается любопытная тенденция: две трети из них (67%) содержались в промышленных системах и устройствах (АСУ ТП). Чаще всего встречались уязвимости следующих классов:

• загрузка кода без проверки целостности (CWE-494). Уязвимость в ПО, при которой приложение загружает код (например, скрипты, плагины или библиотеки) без верификации его подлинности и целостности, например, с помощью криптографических хешей или цифровых подписей. В результате злоумышленник может заменить легитимный код на вредоносный, что приведет к выполнению несанкционированных операций, утечке конфиденциальной информации или компрометации системы;
• некорректное назначение прав доступа к критически важным ресурсам (CWE-732). Уязвимость в ПО, при которой приложение неправильно устанавливает разрешения для важных ресурсов (например, файлов, каталогов или системных объектов), предоставляя излишние права неавторизованным пользователям или процессам. В результате злоумышленник может получить доступ к конфиденциальным данным, изменить или удалить критически значимые компоненты системы, что приведет к утечке информации, нарушению целостности данных или компрометации системы;
• использование хеша пароля вместо пароля для аутентификации (CWE-836). Уязвимость в ПО, при которой приложение неправильно обрабатывает процесс аутентификации, принимая хеш пароля как действительные учетные данные (например, сохраняя его в сессии или используя напрямую для проверки вместо сравнения с эталонным хешем). В результате злоумышленник, получивший доступ к хешу (например, через утечку данных), может обойти аутентификацию, не зная оригинального пароля, что приведет к несанкционированному доступу к учетным записям, компрометации пользовательских данных и потере контроля над системой.

Среди классов наиболее опасных недостатков безопасности, выявленных нами в других продуктах и устройствах (не АСУ ТП), лидировали:

• неправильный контроль генерации кода (внедрение кода) (CWE-94). Уязвимость в ПО, при которой приложение динамически формирует исполняемый код, используя недоверенные входные данные пользователя без санитизации¹. В результате злоумышленник может внедрить и выполнить произвольный код, что приведет к компрометации системы, утечке конфиденциальной информации или полной потере контроля над сервером;
• десериализация ненадежных данных (CWE-502). Уязвимость, возникающая, когда приложение десериализует (преобразует) данные из ненадежного источника без надлежащей проверки. Это может позволить злоумышленнику манипулировать данными, чтобы вызвать сбой, получить несанкционированные привилегии или даже выполнить произвольный код в скомпрометированной системе;
• некорректная нейтрализация специальных элементов, используемых в командах операционной системы (внедрение команд ОС) (CWE-78). Уязвимость в ПО, при которой приложение включает недоверенные данные от пользователя в системные команды без экранирования специальных символов, интерпретируемых оболочкой ОС. В результате злоумышленник может внедрить и выполнить произвольные команды, что приведет к компрометации системы, утечке конфиденциальной информации или полной потере контроля над сервером.

Число слабых мест в российских решениях выросло почти втрое по сравнению с прошлым годом, составив примерно 30% от общей суммы зафиксированных. Так, например, эксперты Positive Technologies помогли исправить критически опасные недостатки в контроллерах Fastwel (PT-2025-40 257–PT-2025-40 265²), в системах бронирования для офисных пространств Booco (PT-2025-35 786) и других.

В связи с тем, что вырос исследовательский интерес к продуктам с открытым исходным кодом, мы наблюдаем увеличение количества найденных пробелов в их безопасности почти в семь раз относительно показателя 2024 года.

Мы прогнозируем дальнейший рост количества уязвимостей в отечественном ПО. Это связано с тем, что отечественный рынок продолжает переходить на российские продукты, а в коммуникации с зарубежными вендорами по-прежнему есть некоторые трудности.

Периодические задержки в обновлении общеизвестных баз уязвимостей (National Vulnerability Database, Common Vulnerabilities and Exposures корпорации MITRE), как и проблемы с их финансированием, могут стать серьезным препятствием для процессов управления уязвимостями, поскольку уменьшится доступность информации о старых, но все еще актуальных дефектах. В этих условиях формированию более полной картины угроз будет способствовать активное развитие и наполнение региональных (национальных) баз данных уязвимостей, например БДУ ФСТЭК России, China National Vulnerability Database (CNNVD), а также запуск глобальных платформ, таких как портал dbugs, где в любой момент можно узнать детали о новых и уже известных недостатках в программном обеспечении и оборудовании производителей со всего мира.

Всего за 11 месяцев 2025 года эксперты Positive Technologies отнесли к трендовым 63 уязвимости. Они были обнаружены в операционных системах, прикладном программном обеспечении, почтовых серверах, сетевых устройствах и других продуктах.

Для 47 из 63 трендовых уязвимостей есть зафиксированные признаки эксплуатации в атаках, для 12 — публичные эксплойты, но нет признаков эксплуатации. На основе анализа информации об аналогичных трендовых уязвимостях мы отнесли к таким еще четыре, для которых пока нет признаков эксплуатации и публичных эксплойтов.

Большинство трендовых уязвимостей было связано с выполнением произвольного кода (30) и с повышением привилегий (19).

Компания Microsoft остается стабильным «поставщиком» трендовых уязвимостей. В этом году продукты вендора содержали 30 таких брешей, что составило 47% от общего количества.

В прошлом году мы прогнозировали увеличение количества трендовых уязвимостей в отечественных продуктах. Если в 2024-м в них не было уязвимостей, отнесенных к трендовым, то в этом году мы отнесли к таким четыре недостатка безопасности: возможность выполнения произвольного кода в почтовом сервере CommuniGate Pro (PT-2024-41 036¹, BDU: 2025-01 331) и цепочку уязвимостей в сервере видео-конференц-связи TrueConf Server, состоящую из PT-2025-36 231 (BDU: 2025-10 114), PT-2025-36 232 (BDU: 2025-10 115), PT-2025-36 233 (BDU: 2025-10 116). До их устранения злоумышленник, предварительно скомпрометировавший публично доступные из интернета серверы, получал возможность развить атаку внутри корпоративной сети организации. Тенденция к росту количества трендовых уязвимостей в отечественных продуктах объясняется продолжением импортозамещения в российских компаниях. Объемы используемого отечественного ПО увеличиваются, оно становится значимой частью инфраструктуры. Это стимулирует интерес к обнаружению уязвимостей в нем как со стороны исследователей, так и со стороны злоумышленников. Кроме того, растет зрелость вендоров российского ПО — они выделяют больше ресурсов на определение уязвимостей в ПО, их устранение и регистрацию в базах уязвимостей (прежде всего БДУ ФСТЭК).

Для того чтобы защититься от подобных угроз, необходимо знать инфраструктуру организации, а также использовать решения, которые помогают вовремя устранять недостатки безопасности. Реальность заставляет не просто управлять уязвимостями, но и переходить на следующий уровень — моделировать атаки и управлять киберугрозами. Чтобы защититься от современных атак, компаниям нужно видеть всю площадь атаки, понимать связи между активами, уязвимостями, ошибками конфигурации, правами пользователей, а также оценивать, как по этим маршрутам реально может пройти злоумышленник. Моделирование потенциальных путей атак позволяет выявить наиболее серьезные источники угроз для инфраструктуры, устранить их, максимально снизить риски и повысить киберустойчивость без необоснованного перерасхода ресурсов.

Уходящий год показал, что человечество все больше использует подключенные устройства в совершенно разных областях. Современные автомобили, умные дома и светофоры, индустриальные устройства, носимые датчики — все они имеют подключение к облачной инфраструктуре. И при ее компрометации сценарии угроз могут быть совершенно разные — от блокировки отдельных функций до заражения устройств и создания ботнетов. Еще одна опасность — это неправильная архитектура, подразумевающая «привилегированность» устройства. Если злоумышленнику удастся его скомпрометировать, он может получить дополнительную точку входа для атак на инфраструктуру.

Для защиты своих устройств производители активно применяют технологии доверенных сред выполнения (trusted execution environment, TEE), secure boot (технологию, помогающую предотвратить запуск неавторизованной прошивки), encrypted boot (технологию, позволяющую хранить прошивку в зашифрованном виде и расшифровывать ее непосредственно перед запуском) и др. Стоимость проведения анализа защищенности в последнее время существенно растет, но и атакующие тоже не стоят на месте и осваивают новые подходы, ранее доступные лишь очень узкому кругу исследовательских лабораторий. Среди них — fault injection (метод тестирования, позволяющий путем создания искусственных сбоев находить в системе слабые места) и side-channel analysis (анализ побочных каналов, в рамках которого используются не уязвимости, а информация о физических свойствах и процессах устройства, например о потребляемой мощности, электромагнитном излучении или времени выполнения им операций). Подчеркну, что даже среди исследовательских лабораторий использовать эти техники в качестве рабочего инструмента могут лишь единицы. Именно поэтому подход многих вендоров «безопасность через неведение¹» пока еще работает, хоть и приводит зачастую к серьезным проблемам безопасности в случае успешной компрометации.

Последний год был отмечен выпуском нескольких отечественных микроконтроллеров на архитектуре RISC-V. В 2026-м, вероятно, появятся как устройства на их основе, так и новые отечественные микроконтроллеры и даже процессоры. Однако ускорение разработки не должно достигаться за счет снижения уровня защищенности продукта. Мы уже наблюдали подобные ошибки у китайских вендоров, вышедших на рынок в середине 2010-х годов. Их продукты неоднократно содержали уязвимости, которые ранее уже выявлялись у более опытных производителей. Единственный вариант избежать этого — при разработке новых чипов сразу применять подход secure by design. Это приведет к тому, что технологии защиты на уровне железа, такие как аппаратные корни доверия, будут распространяться во все более младшие модели чипов.

Исследование современных устройств становится все более высокотехнологичным процессом Проводить анализ защищенности смогут только лаборатории, обладающие значительным набором специализированного и дорогого оборудования, в которых есть эксперты, способные не только работать на нем, но и разрабатывать новые инструменты. Полу- и инвазивные методы анализа, включая чтение памяти с помощью сканирующего электронного микроскопа, остаются сегодня передовым направлением и одновременно необходимым стандартом для качественного исследования устройств. Именно такую лабораторию мы создали в составе Positive Labs в 2025-м и планируем развивать в ближайшие годы.