Ключевые выводы
- Supply chain — главный вектор Q2 2026. Доля атак через поставщиков ПО выросла с 6% до 24% за год (Solar 4RAYS). IT-компании атакуются вдвое чаще — не как конечная цель, а как канал доступа к клиентам. 31% компаний в мире столкнулись с компрометацией через вендоров (Kaspersky).
- AI-атаки вышли из лабораторий в продакшн. CrowdStrike фиксирует +89% атак с применением AI и +550% упоминаний ChatGPT на криминальных форумах. Breakout time сократился до 27 секунд — человек не успевает реагировать.
- Malware-free атаки — новая норма. 82% обнаружений CrowdStrike не содержат вредоносного ПО: атакующие используют легитимные инструменты, украденные учётные данные и Living-off-the-Land техники.
- Число группировок в России удвоилось. Solar 4RAYS отслеживает 18 группировок (против 9 в 2024), из них 7 — ранее неизвестные. Мотивация сместилась: хактивизм снизился с 19% до 16%, шпионаж вырос до 60%.
- Промышленность сравнялась с госсектором. По данным Positive Technologies, доля промышленных предприятий среди жертв впервые достигла 15% — столько же, сколько у государственных организаций (+6 п.п. за год).
- Длительные атаки становятся стандартом. 22% инцидентов продолжаются от 6 до 12 месяцев (+13 п.п. за год, Solar 4RAYS). Атакующие делают ставку на тихое присутствие, а не на быстрый вывод данных.
- Shadow AI — новый фронт для CISO. Positive Technologies прогнозирует рост угроз от неконтролируемого использования AI-инструментов сотрудниками: утечки данных через промпты, генерация небезопасного кода (vibe-coding), обход корпоративных политик.
Что изменилось: Q1 → Q2
В январе 2026 года мы опубликовали первое аналитическое исследование кибербезопасности России 2026, основанное на данных ЦСР, TAdviser и Solar. За прошедшие три месяца вышли три ключевых отчёта: Positive Technologies «Тенденции атак 2026» (январь), CrowdStrike Global Threat Report 2026 (февраль) и Solar 4RAYS «Хроники расследований 2025» (март). Они существенно обновили картину.
| Метрика | Q1 (янв 2026) | Q2 (апр 2026) | Источник |
|---|---|---|---|
| Supply chain доля инцидентов | 6% | 24% (×4) | Solar 4RAYS |
| Breakout time (рекорд) | Нет данных | 27 секунд | CrowdStrike |
| AI-атаки YoY | Нет данных | +89% | CrowdStrike |
| Malware-free доля обнаружений | Нет данных | 82% | CrowdStrike |
| Группировки в РФ | 9 | 18 (7 новых) | Solar 4RAYS |
| Шпионаж / хактивизм | 58% / 19% | 60% / 16% | Solar 4RAYS |
| Промышленность среди жертв | ~9% | 15% (=госсектор) | Positive Technologies |
| Кража учётных данных | 11% | 19% (+8 п.п.) | Positive Technologies |
| Прогноз глобального ущерба | $10,5T | $11,9T | Positive Technologies / Cybersecurity Ventures |
| Длительные атаки (6-12 мес.) | 9% | 22% (+13 п.п.) | Solar 4RAYS |
Рыночные данные — объём 374 млрд ₽, прогноз 448 млрд на 2026, структура вендоров — остались без изменений. Новые отчёты сфокусированы на ландшафте угроз и тактиках атакующих, а не на рыночных оценках.
Supply chain ×4 — главный тренд Q2
Отчёт Solar 4RAYS «Хроники расследований 2025» (март 2026) зафиксировал четырёхкратный рост доли атак через цепочку поставщиков: с 6% в 2024 до 24% всех расследованных инцидентов в 2025 году. Это самый значительный структурный сдвиг в российском ландшафте угроз за последний год.
Механика: почему IT-компании — цель
IT-компании атакуются вдвое чаще, чем годом ранее. Причина не в их собственной ценности, а в доступе к инфраструктуре клиентов. Атакующий, скомпрометировавший подрядчика, получает легитимные каналы (VPN, RDP, агентские учётные записи) во внутренние сети десятков организаций. Solar 4RAYS зафиксировал 7 инцидентов с IT-компаниями — третье место после госсектора (21) и промышленности (9).
Kaspersky подтверждает масштаб проблемы глобально: 31% компаний в мире столкнулись с компрометацией через поставщиков программного обеспечения за последний год.
Изменение атакуемых секторов
Количество атакуемых секторов сузилось с 19 до 10 (Solar 4RAYS). Атакующие стали более избирательными. Распределение инцидентов по секторам:
| Сектор | Инциденты 2025 | Комментарий |
|---|---|---|
| Госсектор | 21 | По-прежнему лидер |
| Промышленность | 9 | Рост, совпадает с данными PT |
| IT-компании | 7 | ×2 — supply chain вектор |
| Здравоохранение | 5 | Впервые в топ-5 |
| Энергетика | 4 | Впервые в топ-5 |
Энергетика и здравоохранение впервые вошли в топ-5 атакуемых секторов. Это коррелирует с данными Q1 о двадцатикратном росте атак на ТЭК.
Группировки: 18 вместо 9
Solar 4RAYS отслеживает 18 активных группировок в России (против 9 годом ранее), из них 7 — ранее неизвестные. Структура мотивации:
- Шпионаж: 60% инцидентов (+2 п.п.) — долгосрочное присутствие, тихий сбор данных
- Хактивизм: 16% (снижение с 19%) — доля проукраинских групп сократилась с 70% до 24,5%
- RaaS (Ransomware-as-a-Service): рост LokiLocker/BlackBit и ELPACO-team
Снижение хактивизма не означает снижение угроз — оно означает профессионализацию. Место политически мотивированных атак занимают организованные группы с финансовыми и разведывательными целями.
AI как оружие: breakout 27 секунд и malware-free 82%
CrowdStrike Global Threat Report 2026 документирует качественный скачок в скорости и методах атак, который невозможно объяснить без учёта AI-инструментов.
Скорость: у защитника нет времени
Breakout time — время от первичного доступа до латерального перемещения — достиг нового рекорда: 27 секунд для eCrime-группировок. Средний показатель: 29 минут, что на 65% быстрее год к году. Это означает, что традиционные SOC-процессы с ручным триажем инцидентов становятся физически неэффективными.
AI-инструменты атакующих
CrowdStrike фиксирует +89% атак с использованием AI-инструментов и +550% упоминаний ChatGPT на криминальных форумах. Более 90 организаций подверглись атакам через эксплуатацию легитимных AI-сервисов. AI применяется для:
- Генерации фишинговых писем — персонализированных, без типичных маркеров спама
- Автоматизации разведки — сканирование и анализ инфраструктуры за минуты вместо часов
- Создания вредоносного кода — LLM-powered malware, адаптирующийся к среде
- Deepfake-фишинга — голосовые и видео-подделки для BEC-атак (Business Email Compromise)
Malware-free: 82% обнаружений без вредоносного ПО
Четыре из пяти обнаружений CrowdStrike не содержат традиционного вредоносного ПО. Атакующие используют:
- Украденные учётные данные (19% — рост на 8 п.п. по данным PT)
- Living-off-the-Land — легитимные системные утилиты (PowerShell, WMI, certutil)
- Легитимные RMM-инструменты (AnyDesk, TeamViewer) как канал удалённого доступа
- Облачные сервисы — cloud-conscious вторжения выросли на 266% для государственных акторов
Это делает бесполезными классические антивирусы, работающие по сигнатурам. Необходимы EDR/XDR с поведенческим анализом и AI-детектированием.
Zero-day и крипто-кражи
Эксплуатация zero-day уязвимостей выросла на 42% (CrowdStrike). Рекордная единичная крипто-кража — $1,46 млрд в рамках одного инцидента — демонстрирует масштаб финансовой мотивации.
Ландшафт угроз: Positive Technologies и Kaspersky
Отчёт Positive Technologies «Тенденции атак 2026» (январь 2026) даёт макроперспективу, а данные Kaspersky дополняют картину новыми группировками и защитными продуктами.
Positive Technologies: +6% инцидентов, но меняется структура
Общее число инцидентов в 2025 году выросло на 6% к 2024 и на 37% к 2022 году. За плавным ростом скрываются существенные структурные сдвиги:
| Метрика | 2024 | 2025 | Дельта |
|---|---|---|---|
| Нарушение деятельности | 31% | 47% | +16 п.п. |
| Утечки данных | 53% | 64% | +11 п.п. |
| Кража учётных данных | 11% | 19% | +8 п.п. |
| Использование ВПО | — | 71% | — |
| Социальная инженерия | — | 51% | — |
| Шифровальщики (от всех ВПО) | — | 50% | — |
| RAT (от всех ВПО) | — | 32% | — |
Рост нарушения деятельности с 31% до 47% — тревожный индикатор. Атакующие всё чаще нацелены не на кражу данных, а на остановку бизнес-процессов. Фишинг остаётся основным каналом: email — 86% фишинговых атак, фишинговые наборы используются в 60-70% случаев (PT).
Россия vs мир: мотивация атакующих
В России только 33% атак финансово мотивированы — против 55% глобально (Positive Technologies). Это подтверждает данные Solar о доминировании шпионажа (60%). Глобальный прогноз ущерба от киберпреступности на 2026 год — $11,9 трлн.
Промышленность впервые сравнялась с госсектором
Доля промышленных предприятий среди жертв достигла 15% — столько же, сколько и государственных организаций. За год рост составил +6 п.п. На третьем месте — IT-компании (7%) и сфера услуг (7%). Промышленность становится целью и как объект шпионажа, и как элемент supply chain.
Kaspersky: новые группировки и защитные продукты
Kaspersky зафиксировал активность ранее неизвестных группировок: Toy Ghouls, Silver Fox, обновлённые тактики Cloud Atlas. Выручка Kaspersky в России и СНГ выросла на 23%.
На продуктовой стороне: Kaspersky DDoS Prevention+ получил сертификат ФСТЭК уровня 4 — это важно для субъектов КИИ, которые обязаны использовать сертифицированные решения.
Тренды 2026 по Positive Technologies
Positive Technologies выделяет шесть ключевых трендов на 2026 год:
- Shadow AI — неконтролируемое использование AI-инструментов сотрудниками: утечки через промпты, генерация небезопасного кода
- Vibe-coding — генерация кода через AI без проверки безопасности, создающая уязвимости в продакшн-коде
- Supply chain атаки — продолжение четырёхкратного роста, зафиксированного Solar
- LLM-powered malware — вредоносное ПО, использующее языковые модели для адаптации к среде
- Атаки на macOS, Linux и гипервизоры — расширение поверхности атаки за пределы Windows
- Deepfake-фишинг — использование генеративного AI для создания убедительных голосовых и видео-подделок
Рекомендации для CISO
На основе данных Q2 2026 — что конкретно менять в стратегии защиты.
1. Supply chain: аудит поставщиков — обязательная практика
При 24% инцидентов через цепочку поставщиков (Solar 4RAYS) аудит ИБ-зрелости подрядчиков из рекомендации становится необходимостью. Минимальный набор: SLA на уведомление об инцидентах, ограничение привилегий подрядчиков (least privilege), сегментация сети для доступа третьих сторон, мониторинг аномалий в подрядных VPN-туннелях.
2. Время реакции: автоматизация или проигрыш
Breakout time 27 секунд (CrowdStrike) означает, что ручной триаж неэффективен. Приоритет: EDR/XDR с автоматическим блокированием, SOAR-сценарии для типовых инцидентов, 24/7 мониторинг (собственный SOC или MSSP). Для российского рынка: MaxPatrol SIEM + PT Sandbox (Positive Technologies), KUMA + KATA (Kaspersky).
3. Malware-free: поведенческая аналитика вместо сигнатур
82% атак без вредоносного ПО (CrowdStrike) делают сигнатурные антивирусы бесполезными. Переход на EDR с поведенческим анализом — обязательный, а не желательный. Дополнительно: контроль запуска приложений (application allowlisting), мониторинг использования легитимных RMM-инструментов, защита учётных данных (PAM, MFA на критичных системах).
4. Shadow AI: политика до инцидента
Positive Technologies выделяет Shadow AI как тренд 2026. Рекомендации: корпоративная политика использования AI-инструментов (что можно, что нельзя загружать в промпты), DLP-правила для обнаружения отправки конфиденциальных данных в AI-сервисы, обучение сотрудников рискам vibe-coding.
5. Кадры: MSSP как альтернатива найму
При кадровом голоде (69% организаций называют его барьером №1, Q1 данные) и 18 активных группировках — рассмотреть управляемые услуги безопасности (MSSP/MDR) как дополнение к собственной команде. Solar MSS, Kaspersky MDR, BI.ZONE SOC — зрелые предложения на российском рынке.
FAQ о кибербезопасности России Q2 2026
Почему supply chain атаки выросли в 4 раза?
По данным Solar 4RAYS, доля supply chain атак выросла с 6% до 24% за год. Причина — импортозамещение создало множество новых интеграций с отечественными подрядчиками, у которых уровень ИБ-зрелости ниже, чем у крупных международных вендоров. Атакующие используют IT-компании как точку входа в инфраструктуру их клиентов. Kaspersky подтверждает: 31% компаний в мире столкнулись с компрометацией через поставщиков ПО.
Что означает breakout time 27 секунд для SOC?
Breakout time — время от первичного доступа до латерального перемещения. Рекорд 27 секунд (CrowdStrike GTR 2026) означает, что ручной триаж инцидентов в SOC неэффективен для быстрых eCrime-атак. Средний показатель — 29 минут — тоже на 65% быстрее прошлого года. Необходима автоматизация: EDR с автоблокированием, SOAR для типовых сценариев, или переход на управляемый SOC (MSSP/MDR).
Как защититься от AI-атак?
AI-атаки выросли на 89% (CrowdStrike). Три направления защиты: (1) EDR/XDR с ML-моделями для обнаружения malware-free атак (82% обнаружений — без вредоносного ПО); (2) обучение сотрудников распознаванию deepfake-фишинга — AI генерирует персонализированные фишинговые письма без типичных маркеров; (3) корпоративная политика использования AI-инструментов для предотвращения Shadow AI (утечки через промпты, небезопасный vibe-coding).
Какие группировки наиболее активны в России в 2026 году?
Solar 4RAYS отслеживает 18 группировок (9 в 2024), из которых 7 — ранее неизвестные. 60% инцидентов связаны со шпионажем, 16% — хактивизм (снижение). Kaspersky зафиксировал активность Toy Ghouls, Silver Fox и обновлённых тактик Cloud Atlas. Среди RaaS-групп растут LokiLocker/BlackBit и ELPACO-team. Доля проукраинских групп сократилась с 70% до 24,5% — на их место приходят профессиональные группы с разведывательными и финансовыми целями.
Какие данные изменились с Q1 2026?
Рыночные данные (374 млрд ₽, прогноз 448 млрд, структура вендоров) остались без изменений. Новые данные касаются ландшафта угроз: ×4 рост supply chain (Solar 4RAYS), breakout 27 сек и +89% AI-атак (CrowdStrike), промышленность = госсектор по числу жертв, 18 группировок, 47% атак нацелены на нарушение деятельности (Positive Technologies). Полную таблицу сравнения Q1 и Q2 смотрите в разделе «Что изменилось».
Данные в этом исследовании основаны на отчётах Positive Technologies «Тенденции атак 2026» (январь 2026), CrowdStrike Global Threat Report 2026 (февраль 2026), Solar 4RAYS «Хроники расследований 2025» (март 2026), Kaspersky (2025-2026). Глобальные данные CrowdStrike приведены для контекста и могут не полностью отражать российскую специфику. IT Institute не несёт ответственности за инвестиционные или закупочные решения, принятые на основе этих данных.
Если вы планируете пересмотр стратегии ИБ с учётом данных Q2 2026 — запишитесь на консультацию с аналитиками IT Institute. Разберём ваш текущий стек защиты и определим приоритеты на ближайший квартал.