Хакеры объявили войну инфраструктуре России и уже выбили 9000 атак за квартал

В I квартале 2026 года объекты критической информационной инфраструктуры стали главной целью хакеров в России. По данным RED Security SOC, на отрасли КИИ пришлось более 9000 атак или 77% всех инцидентов против российских компаний. Доля подобных атак выросла на 10 процентных пунктов к 2025 году и на 13 процентных пунктов к 2024 году, а высококритичные инциденты в этом сегменте достигли 27%.

Фокус злоумышленников заметно смещается туда, где сбой ударяет не по одной компании, а по целой отрасли. КИИ охватывает системы с высокой ответственностью перед обществом и экономикой страны:

• государственные сервисы и порталы;
• промышленные предприятия и заводы;
• операторы связи и интернет-провайдеры;
• объекты энергетики и сетевой инфраструктуры;
• транспортные системы и логистические узлы.

Атака на подобный объект приносит преступникам куда больше эффекта, чем взлом обычной коммерческой организации.

В RED Security SOC сообщили, что за первые три месяца 2026 года количество атак на отрасли КИИ превысило 9000. По сравнению с 2025 годом показатель вырос на 10 процентных пунктов, а с 2024 годом разница составила уже 13 процентных пунктов. Подобная динамика говорит о быстром переносе интереса атакующих к самым чувствительным секторам.

Особенно тревожно выглядит доля высококритичных атак. В отраслях КИИ она добралась до 27%, при среднем показателе по России около 20%. Атаки на критическую инфраструктуру не просто происходят чаще, но и заметно опаснее по последствиям.

Интересно, что почти каждая третья атака на критическую инфраструктуру имеет высокий уровень критичности, тогда как в обычном бизнесе этот показатель в полтора раза ниже.

Руководитель департамента оценки защищённости «Кросс технолоджис» Анастасия Мельникова согласилась с общей оценкой роста. По данным Анастасии Мельниковой, в I квартале 2026 года около 70% всех атак приходилось на КИИ, что на 8–10 процентных пунктов больше прошлогоднего показателя. Цифры немного отличаются от данных RED Security SOC, но общий тренд совпадает.

Аналитик исследовательской группы Positive Technologies Валерия Беседина приводит более умеренную оценку роста на 2 процентных пункта. Валерия Беседина объясняет интерес хакеров несколькими факторами:

• высокая ценность данных для разведки и шантажа;
• возможность политического давления через сбои сервисов;
• риск цепной реакции между связанными отраслями;
• шанс вызвать общественный резонанс;
• статусность мишени и публичный эффект атаки.

Эксперты RED Security SOC связывают рост атак на КИИ с усилением активности группировок в интересах правительств отдельных стран и хактивистов. Атака на значимый объект создаёт эффект давления, привлекает внимание и показывает способность влиять на процессы для большого числа людей.

Отдельная проблема связана с подрядчиками. Злоумышленники не идут напрямую в хорошо защищённую инфраструктуру крупной организации, а ищут вход через менее защищённые компании с доступом к внутренним системам заказчика. Подрядчик становится слабой дверью в сильный периметр.

Хакеры также активнее применяют искусственный интеллект. ИИ помогает масштабировать операции и одновременно вести кампании против большого числа целей. Применение нейросетей идёт сразу по нескольким направлениям:

• подготовка фишинговых писем под конкретные отрасли;
• анализ открытых данных о потенциальных жертвах;
• подбор тем для социальной инженерии;
• автоматизация разведки и сбора информации;
• ускорение отдельных этапов атаки.

Картина хорошо совпадает с другими данными по рынку. Ранее сообщалось, что в 2025 году ИТ-компании впервые вошли в тройку самых атакуемых отраслей, потеснив финансовый сектор. По отчёту «Анатомия ландшафта киберугроз» от «Лаборатории Касперского», госсектор и промышленность удержали первые позиции. На государственные структуры пришлось 19% инцидентов высокой критичности, причём каждый третий такой случай был сложной целевой атакой.

Социальная инженерия остаётся серьёзным фактором. В отчёте «Лаборатории Касперского» на неё пришлось 19% инцидентов. Сотрудники, подрядчики и внешние партнёры продолжают быть удобной точкой давления для атакующих.

Эксперты отмечают, что хакеры уже не обязаны ломать систему сами, достаточно убедить одного сотрудника открыть файл или поделиться доступом по корпоративной почте.

В ту же линию укладывается активность HeartlessSoul. Ранее «Лаборатория Касперского» сообщала об атаках этой группы на российские организации в охоте за геоинформационными данными. Среди целей назывались государственные структуры, промышленные предприятия, авиационные компании и частные пользователи.

Интерес HeartlessSoul к данным о дорогах, инженерных сетях и объектах показывает причину притяжения КИИ для атакующих. Подобные сведения помогают лучше понимать устройство инфраструктуры, связи между объектами, маршруты и потенциальные точки давления.

Для компаний из сегмента КИИ главный риск сейчас связан не только с ростом атак, но и с усложнением цепочек проникновения. Атакующие могут начинать с подрядчика, затем переходить к связанным системам, использовать легитимные инструменты администрирования, красть учётные записи и долго оставаться незамеченными внутри сети.

Редакция CISOCLUB убеждена, что рост доли атак на КИИ до 77% превратил критическую инфраструктуру в центральную арену цифрового противостояния. По мнению редакции, бизнесу и государству давно недостаточно защищать только собственный периметр. Контроль над подрядчиками, регулярный пересмотр доверенных доступов, защита геоинформационных и инфраструктурных данных, усиление мониторинга аномалий и подготовка планов реакции на цепные атаки превращаются в обязательную программу. CISOCLUB убеждена, что уязвимое звено внутри отрасли при текущей динамике рискует обернуться сбоем в смежных секторах, поэтому работать на опережение придётся не только лидерам рынка, но и всем участникам инфраструктурных цепочек.