Кибербезопасность Q3 2025: ФЗ-187 вступает в силу и рынок 350 млрд ₽

ФЗ-187: поправки вступают в силу

Первого сентября 2025 года вступают в силу поправки к Федеральному закону № 187-ФЗ «О безопасности критической информационной инфраструктуры». Это событие определяет контекст третьего квартала для всей отрасли информационной безопасности.

Ключевые изменения, которые начинают действовать:

• Расширение перечня субъектов КИИ — под действие закона попадают компании, ранее не считавшиеся критической инфраструктурой (крупные e-commerce-платформы, логистические операторы, EdTech)
• Ужесточение требований к мониторингу — субъекты КИИ обязаны обеспечить непрерывный мониторинг ИБ-событий и подключение к ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак)
• Персональная ответственность — руководители компаний-субъектов КИИ несут личную ответственность за невыполнение требований
• Импортозамещение ИБ-средств — ускоренный переход на сертифицированные отечественные средства защиты

Для рынка это означает всплеск спроса на ИБ-решения и специалистов. По оценкам интеграторов, 60–70% компаний, попавших под расширенный перечень КИИ, не полностью готовы к выполнению новых требований. Это создаёт окно возможностей для вендоров и консалтинговых компаний — но также риск формального compliance без реальной безопасности.

Рынок 350 млрд ₽: структура и драйверы

Объём российского рынка кибербезопасности в 2025 году оценивается в 350 млрд ₽. Для сравнения: в 2023 году рынок составлял около 250 млрд ₽. Рост на 40% за два года — это быстрее, чем IT-рынок в целом, и отражает приоритизацию безопасности на уровне государства и бизнеса.

Структура рынка по сегментам:

Самый быстрорастущий сегмент — SOC/мониторинг (+35% YoY). Требования ФЗ-187 к непрерывному мониторингу и подключению к ГосСОПКА делают SOC не опцией, а обязательством. Solar Security (дочерняя компания «Ростелекома») наращивает клиентскую базу быстрее всех — их cloud SOC-сервис позволяет компаниям среднего размера выполнить требования без создания собственного центра мониторинга.

Positive Technologies (PT) демонстрирует устойчивый рост выручки — по прогнозам аналитиков, компания может достичь 30 млрд ₽ выручки по итогам 2025 года. PT MaxPatrol SIEM и PT Application Firewall стали де-факто стандартом для крупных субъектов КИИ.

Ландшафт угроз: данные Verizon DBIR 2025

В июне 2025 года Verizon опубликовал ежегодный Data Breach Investigations Report (DBIR) — один из наиболее авторитетных отчётов по инцидентам информационной безопасности в мире. Хотя отчёт основан преимущественно на данных международных компаний, ключевые тренды применимы и к российскому рынку.

Главные выводы DBIR 2025:

• 68% инцидентов связаны с использованием похищенных или скомпрометированных учётных данных — это абсолютный рекорд за историю отчёта
• Ransomware остаётся доминирующим вектором — 24% всех инцидентов связаны с программами-вымогателями, при этом средний размер выкупа вырос до $250 тыс.
• Фишинг через мессенджеры — быстрорастущий канал атак, особенно через корпоративные Slack и Teams
• Время от компрометации до обнаружения — медиана составляет 14 дней, что лучше показателя 2024 года (21 день), но по-прежнему критически много

В российском контексте ландшафт угроз имеет свои особенности. По данным Solar SOC, в первом полугодии 2025 года количество атак на российские компании выросло на 30% YoY. Основные векторы — целевой фишинг (45% инцидентов), эксплуатация уязвимостей в необновлённом ПО (25%) и атаки через подрядчиков и цепочку поставок (15%).

Отдельный тренд — рост атак на компании, использующие самописное или слабо поддерживаемое ПО. Импортозамещение создало парадокс: компании перешли на отечественные решения, но часть этих решений менее зрелая с точки зрения безопасности, чем замещённые продукты. «Безопаснее» в геополитическом смысле не означает «безопаснее» в техническом.

Ransomware в России: специфика 2025 года

Программы-вымогатели (ransomware) остаются главной головной болью руководителей ИБ-подразделений. В 2025 году российские компании столкнулись с несколькими особенностями:

Таргетирование средних компаний. Если в 2022–2023 годах основными целями были крупные корпорации и госструктуры, то в 2025 году атаки сместились на средний бизнес — компании с оборотом 500 млн — 5 млрд ₽. Причина проста: у них есть чем платить, но нет выделенной ИБ-команды.

Двойное вымогательство (double extortion). Злоумышленники не только шифруют данные, но и угрожают публикацией. Для российских компаний, с учётом ужесточения законодательства о персональных данных (ФЗ-152), утечка данных клиентов может стоить дороже, чем сам выкуп.

Атаки через подрядчиков. Компрометация IT-подрядчика с доступом к инфраструктуре заказчика — один из самых эффективных векторов. В первом полугодии 2025 года Solar SOC зафиксировал рост таких атак на 40%.

Кадры в ИБ: дефицит обостряется

Дефицит специалистов по информационной безопасности — хроническая проблема, которая усугубляется новыми требованиями ФЗ-187. По оценкам (ISC)², глобальный дефицит ИБ-специалистов составляет 3,4 млн человек. В России — порядка 50–70 тыс.

Зарплаты в ИБ растут быстрее среднего по IT:

• SOC-аналитик L1 — 100–140 тыс. ₽ (рост +20% YoY)
• Pentester / Red Team — 250–350 тыс. ₽ (рост +18%)
• CISO / руководитель ИБ — 400–600 тыс. ₽ (рост +15%)
• Инженер ИБ (средства защиты) — 200–300 тыс. ₽ (рост +22%)

Особенно остро стоит проблема CISO-уровня. Поправки к ФЗ-187 вводят персональную ответственность руководителей за ИБ — это повышает требования к квалификации и, соответственно, зарплатные ожидания. Квалифицированный CISO с опытом в КИИ — один из самых дефицитных специалистов на рынке.

Zero Trust: от концепции к внедрению

Концепция Zero Trust — «не доверяй, проверяй» — перестаёт быть маркетинговым термином и становится практическим подходом для российских компаний. В Q3 2025 ряд крупных организаций начал системное внедрение Zero Trust-архитектуры.

Ключевые компоненты Zero Trust, которые внедряются в России:

• Микросегментация сети — разделение корпоративной сети на изолированные зоны, где каждый сегмент защищён отдельно. Особенно актуально для компаний с гибридной инфраструктурой (on-premise + облако)
• Многофакторная аутентификация (MFA) — по данным отраслевых опросов, MFA внедрена только у 45% российских компаний. Verizon DBIR 2025 показывает, что 68% инцидентов связаны с похищенными учётными данными — MFA могла бы предотвратить большинство из них
• Continuous verification — проверка не только при входе в систему, но и в процессе работы. Поведенческая аналитика (UEBA) позволяет выявлять аномалии в реальном времени
• Least privilege access — минимально необходимые права доступа. Практика, которая хорошо описана в теории, но сложна в реализации: 70% компаний признают, что у части сотрудников избыточные права

Барьеры внедрения Zero Trust — сложность интеграции с легаси-системами, дефицит специалистов и сопротивление пользователей (MFA воспринимается как «лишний шаг»). Тем не менее тренд очевиден: компании, пережившие серьёзные инциденты, переходят на Zero Trust в первую очередь.

Безопасность облаков: новый фронт

Миграция в облака создаёт новый фронт для кибербезопасности. По мере роста Yandex Cloud, VK Cloud и других российских облачных платформ, растут и специфические угрозы:

• Misconfiguration — неправильная настройка облачных ресурсов (открытые S3-бакеты, публичные базы данных) остаётся причиной 15% инцидентов в облаке
• Identity & access management — управление доступом в облаке сложнее, чем on-premise: больше сервисов, больше API-ключей, больше точек интеграции
• Supply chain — контейнерные образы из публичных реестров могут содержать уязвимости или бэкдоры

Российские облачные провайдеры инвестируют в безопасность: Yandex Cloud получил сертификат ГОСТ Р 57580 (для финансовых организаций), VK Cloud развивает WAF и DDoS-защиту. Однако ответственность за безопасность в облаке — разделённая (shared responsibility model): провайдер отвечает за инфраструктуру, клиент — за конфигурацию и данные. Не все клиенты это понимают.

Сегмент CSPM (Cloud Security Posture Management) — один из самых быстрорастущих в ИБ. Продукты этого класса автоматически выявляют ошибки конфигурации и нарушения политик безопасности в облачных средах. Российские вендоры начинают разрабатывать собственные CSPM-решения, хотя пока уступают мировым аналогам (Wiz, Prisma Cloud) по зрелости.

FAQ о кибербезопасности Q3 2025