КИИ под прицелом: почему 77% кибератак приходится на критическую инфраструктуру
Изображение: recraft
В первом квартале 2026 года на объекты критической информационной инфраструктуры пришлось 77% всех кибератак на российские организации. По данным RED Security SOC, количество таких атак превысило 9000, а их доля за год выросла на 10 п.п. Анатолий Сазонов, руководитель департамента соответствия требованиям по информационной безопасности компании Infosecurity, входящей в «Софтлайн Решения» (ГК Softline), объясняет, почему КИИ становится главной целью злоумышленников и что мешает компаниям перейти от формального выполнения требований к реальной киберустойчивости.
Первый квартал 2026 года стал для российского рынка кибербезопасности важным индикатором: атаки на критическую информационную инфраструктуру перестали быть отдельным направлением угроз и фактически превратились в основной вектор давления на бизнес и государственный сектор. Если годом ранее на КИИ приходилось 67% атак, а двумя годами ранее – 64%, то сейчас показатель достиг 77%.
Причина не только в росте общего числа инцидентов. Меняется сама логика атак. Злоумышленники все чаще выбирают цели, где даже кратковременный сбой может иметь каскадный эффект: нарушить работу сервисов, остановить производственный процесс, повлиять на клиентов, партнеров или граждан. Поэтому энергетика, связь, транспорт, финансы, промышленность и другие критически значимые отрасли сегодня находятся в зоне особого риска.
Один из ключевых факторов – геополитика. Для финансово мотивированных группировок КИИ остается привлекательной целью из-за высокой цены простоя и потенциального ущерба. Для хактивистов такие объекты важны по другой причине: атака на критическую инфраструктуру дает максимальный публичный эффект. В этом смысле КИИ становится не просто технологической, а символической целью.
Второй фактор – резкое удешевление и масштабирование кибератак. Искусственный интеллект и автоматизация снизили порог входа для злоумышленников. Сегодня ИИ помогает быстрее искать уязвимости, собирать информацию о целях, готовить персонализированные фишинговые письма, имитировать деловую переписку и создавать дипфейки для социальной инженерии. В результате атаки становятся более точными, быстрыми и массовыми, а защищающимся приходится реагировать на гораздо больший объем событий.
Отдельную угрозу представляют атаки через цепочки поставок. Вместо прямого взлома защищенного периметра злоумышленники все чаще ищут обходные маршруты: подрядчиков, интеграторов, обновления легитимного ПО, сторонние библиотеки, открытый код, сервисные учетные записи. Это особенно опасно для КИИ, где инфраструктура часто сложная, распределенная и исторически собранная из разных технологических слоев.
При этом объяснять рост атак только расширением перечня объектов КИИ было бы неверно. Регуляторная логика сегодня движется скорее в сторону уточнения и стандартизации. Правительство утвердило единый перечень типовых отраслевых объектов КИИ, который должен привести практику категорирования к более понятной и сопоставимой модели. То есть речь идет не о хаотичном появлении новых объектов, а о наведении порядка в уже существующем контуре.
Гораздо тревожнее другое: фактический уровень защищенности многих объектов остается недостаточным. По данным ФСТЭК, по итогам проверок более 700 значимых объектов КИИ было выявлено свыше 1,2 тыс. нарушений, а минимальный уровень киберзащиты достигнут только у 36% организаций. Это означает, что значительная часть субъектов КИИ все еще находится в зоне повышенного риска – не из-за отсутствия документов, а из-за разрыва между формальным соответствием требованиям и реальной защитой.
На практике этот разрыв проявляется в типовых проблемах: неполном учете ИТ-активов, устаревшем и неподдерживаемом программном обеспечении, часто это касается АСУ ТП, недостаточной вовлеченности ИБ-специалистов в бизнес-процессы, слабом контроле подрядчиков и отсутствии непрерывного мониторинга. Организация может пройти категорирование, назначить ответственных, подготовить регламентные документы, но при этом оставаться уязвимой для вполне практических атак.
С одной стороны, атаки становятся технологичнее, дешевле и сложнее для обнаружения. С другой – защита на многих объектах КИИ по-прежнему строится вокруг процедур, а не вокруг инженерной устойчивости. В таких условиях выполнение обязательных требований – необходимое, но уже недостаточное условие безопасности.
Киберустойчивость КИИ сегодня должна опираться на несколько базовых принципов. Первый – регулярная инвентаризация информационных активов: нельзя защищать то, что не учтено. Второй – своевременное обновление и контроль уязвимостей, особенно в старом программном обеспечении и промышленном контуре. Третий – проверка и контроль подрядчиков и цепочек поставок. Четвертый – постоянный мониторинг событий безопасности, потому что значительная часть современных атак развивается постепенно и может быть обнаружена только при системной корреляции данных.
Именно поэтому в 2026 году будет расти спрос на внешние центры мониторинга и реагирования, SOC- и MDR-модели, особенно со стороны субъектов КИИ. Далеко не каждая организация может самостоятельно содержать круглосуточную команду специалистов, выстраивать процессы реагирования, поддерживать экспертизу по новым техникам атак и постоянно развивать инструменты обнаружения. Для многих компаний привлечение внешней компетенции становится не вопросом удобства, а способом обеспечить непрерывный контроль безопасности.
