Что ждёт ИБ в 2026 году: прогнозы ведущих экспертов

Александр Осипов, генеральный директор компании RED Security:

• В 2026 году вырастет спрос на услуги в области реагирования, а не только мониторинга событий информационной структуры, поскольку в момент атаки самостоятельно реализовать эффективное реагирование могут единицы. Это связано с тем, что в большинстве компаний соответствующие процессы не выстроены, либо же штатные специалисты просто не знают, как решить проблему. При этом объём и сложность атак продолжают расти, как следствие, в 2026 году круг заказчиков услуг и сервисов ИБ расширится.
• В целом продолжит развитие платформенный подход к кибербезопасности. Заказчики будут отдавать предпочтение набору интегрированных решений вместо атомарной закупки продуктов каждого отдельного класса.
• Проблема нехватки кадров в кибербезопасности останется актуальной. Демографический спад и рост спроса усугубляют кризис. Крупные компании вынуждены развивать собственные кадры, средние — полагаться на сервис-провайдеров. Носители нишевой экспертизы — методологи, специалисты по безопасной разработке, аналитики и инженеры SOC — станут ещё более недоступными даже для крупного бизнеса.
• С внедрением LLM в операционные процессы станут актуальными вопросы защиты ИИ. Уже сейчас очевиден запрос на контроль данных, которые сотрудники отдают модели. Но это лишь первые шаги. Чем больше будет зависимость процессов компании от ИИ, тем больше появится нишевых решений для защиты от связанных с ИИ угроз.
• Политически мотивированные хакерские группировки всё чаще будут объединяться для организации масштабных кибератак. В этом году мы видели целый ряд кейсов, а в следующем тренд усилится, и можно ждать новых масштабных взломов.
• Также сохранится тренд на рост количества целевых DDoS-атак с повышенной мощностью в гигабитах и в пакетах в секунду.

Семён Рогачев, руководитель отдела реагирования на инциденты «Бастион»:

• Основной и главный тренд — массовое использование больших языковых моделей. В последнее время выходили разные статьи и исследования, демонстрирующие применимость LLM в области кибербезопасности, однако в основном со стороны проведения атак.
• Бум языковых моделей позволяет удешевить производство инструментария атакующего: генерацию реалистичных фишинговых писем, написание различных скриптов для автоматизации, например, сканирования инфраструктуры, помощь при написании вредоносного ПО. Со всем этим языковые модели справляются. При этом их применение для защиты требует глубокого погружения, более сложной интеграции и процесса внедрения. Предполагается, что атакующие будут массово использовать возможности LLM.
• Генерация кода через LLM может содержать в себе различные уязвимости, атакующие точно будут этим пользоваться. Так что ещё одна тенденция — рост уязвимостей в ПО, написанном с применением LLM без дополнительной валидации.
• Острая проблема — недостаток квалифицированных кадров. В России уже несколько лет наблюдается рост корпоративного образования, и мы ожидаем, что в дальнейшем он ещё больше затронет сферу ИБ.
• Предполагаем, что в 2026 году продолжится активное импортозамещение, а в рамках ужесточения требований регуляторов продолжится рост интереса к различным сервисам, например, SOC-as-a-Service, MDR и т.д.

Иван Костыря, руководитель L1 SOC UserGate uFactor:

• Атаки автоматизируются и персонализируются через специализированные злонамеренные ИИ. Генерация правдоподобных писем, фото, видео и аудио для вхождения в доверие становится доступна в виде сервисов. Уже сейчас можно наблюдать подобные услуги: «Фишинг-как-сервис», «Шифровальщик-как-сервис», «Стилер-как-сервис», позволяющие купить инструменты для кибератак.
• Тренд на применение ИИ приведёт к появлению новых угроз. Сами модели и данные для их обучения становятся целью злоумышленников — от подмены тренировочных данных до извлечения конфиденциальной информации. Голоса и видео становятся правдоподобными благодаря дипфейкам. Злоумышленники могут выдавать себя за владельцев бизнеса, клиентов и партнёров, чтобы украсть деньги или получить несанкционированный доступ. Такие ИИ-модели, как, например, Sora 2, открывают новые возможности социального инжиниринга. Запись «кружочков» от друзей с просьбой занять денег, телефонные звонки от родственников с просьбами перевести средства — всё это создаётся автоматически.
• Тренд на использование облачной инфраструктуры увеличивает возможность атак. Бизнес всё больше применяет API для управления в облаке. Неправильные настройки, уязвимости в API и открытые хранилища дают быстрый доступ к данным.
• Атаки с применением шифровальщиков эволюционируют в многоуровневое вымогательство. Выкачивание данных из компаний, шантаж клиентов, DDoS-атака параллельно основной атаке — всё для увеличения давления на жертву.
• Тренд на использование открытых библиотек создаёт риски для цепочек поставок. Компрометация ПО на любом уровне распространяется на всех пользователей. Если одна из компаний окажется под ударом, то будет скомпрометирована вся цепочка.
• Ещё один вектор — переход от паролей к другим методам аутентификации порождает новые векторы атак. Push bombing, перехват сессий, эксплуатация ошибок SSO становятся актуальными угрозами.
• Рост числа IoT-устройств расширяет поверхность атак. Сенсоры, камеры, домашние роутеры и смарт-устройства слабо защищены. Домашние сети используются для майнинга криптовалюты и участия в распределённых атаках.
• Политически мотивированный хактивизм остаётся устойчивым трендом. Группы используют DDoS и атаки на сайты с целью слива данных и дефейса для репутационных потерь.
• Параллельно цифровизации развиваются и нетиповые способы мошенничества. Злонамеренные QR-наклейки в публичных местах ведут на фальшивые страницы. Заражение через публичные USB-зарядки происходит при подключении. Поддельные captive portal показывают формы с просьбой ввести данные карты. Продажа устройств с предустановленным ПО-шпионом даёт доступ к аккаунтам.

Пресс-служба ГК «Солар»:

• В 2025 году на рынке сформировался выраженный тренд — управление доступом из узкого направления кибербезопасности становится актуальной задачей для бизнеса. И это не случайно — так, ещё в 2024 году около 40% кибератак совершалось с помощью скомпрометированных учётных записей, которые за относительно небольшие деньги продаются на чёрном рынке.
• Сохраняются риски и со стороны подрядчиков. Так, за первые девять месяцев 2025 года 27% проникновений в инфраструктуру компаний происходило из-за человеческого фактора на стороне партнёров крупного бизнеса. При этом, как показало исследование «Солара» в 2024 году, около 50% компаний не использовало автоматизированные системы управления доступом, а около 40% — не блокировало учётные записи уволившихся сотрудников.
• Эти факторы, а также риски оборотных штрафов за утечки данных постепенно формируют спрос на решения по управлению доступом в компаниях различного масштаба. Мировой тренд на внедрение IdM-систем и систем управления привилегированным доступом (РАМ) подтверждают аналитики Verified Market Reports: объём мирового рынка IdM в 2024 году оценивался в $15,5 млрд, к 2033 году ожидается прирост до $30 млрд. В России, согласно выводам экспертов «Б1», в 2024 году доля решений по управлению доступом составляла 8% от рынка продуктовой разработки в ИБ и оценивалась в 16,8 млрд рублей. При этом рост сегмента оценивается на 10% год к году на горизонте до 2030 года. Тренд на решения управления доступом задают компании, которые оперируют большими объёмами персональных данных, конфиденциальной информации, авторскими разработками.
• Ранее основными клиентами IDM-платформ выступали только крупные организации — промышленность, финансовый сектор, страхование. Сейчас в их внедрении заинтересованы компании малого и среднего бизнеса (МСБ), которым также важны качественные и стабильные технологии по предотвращению киберугроз. Совокупная стоимость владения (ТСО), гибкость предлагаемых решений — это ещё одни критерии выбора для бизнеса любого масштаба. Этот тренд будет актуальным и в 2026 году.
• Информационная безопасность давно перестала быть привилегией только больших компаний: вендоры и сервис-провайдеры адаптируют продуктовый и сервисный портфель под задачи малого и среднего бизнеса. Этот сегмент становится всё более значимым для российской экономики с суммарной выручкой по итогам 2024 года в объеме 2,5 трлн рублей. Данные исследований «Солара» демонстрируют, что эти компании при меньших возможностях инвестиций в кибербезопасность регулярно сталкиваются с такими же типами угроз, как и крупные компании. Поэтому технологии управления доступом объективно будут востребованы в доступных, надёжных и простых в использовании форматах — от сервисной модели по подписке до компактных on-premise-решений.

Максим Федосенко, инженер-аналитик Аналитического центра кибербезопасности компании «Газинформсервис»:

• Первый тренд связан с применением искусственного интеллекта в кибербезопасности. ИИ обрабатывает большие объёмы событий, автоматизирует процессы и предугадывает инциденты. Особое значение это имеет для систем поведенческой аналитики UBA/UEBA.
• Другой тренд касается автоматизации обнаружения угроз и реагирования на них. Автоматизация мониторинга позволяет обрабатывать больше данных и сокращать время обнаружения угроз. CI/CD-автоматизация ускоряет развёртывание компонентов систем защиты. ИИ и модели принятия решений играют большую роль в этом процессе.
• Ещё одно направление — развитие постквантовой криптографии. Возрастающие объёмы данных требуют новых методов шифрования. Квантовые вычисления позволяют создавать устойчивые шифры, но также ускоряют взлом существующих алгоритмов методами перебора и поиска коллизий.
• Будет развиваться и противодействие использованию ИИ в атаках. Злоумышленники находят способы обхода защиты ИИ-агентов. Запрос на создание учебного примера фишинга может выдать реальный фишинг на конкретную компанию.
• Усилится защита моделей принятия решений и автономных ИИ-агентов. Актуальным остаётся внедрение безопасности в структуру ИИ-агентов и повышение устойчивости к нарушению границ работы и этических норм.
• Отдельного внимания потребуют обнаружение и противодействие дипфейкам. Инструменты для создания дипфейков становятся доступнее и проще. Пока системы обнаружения подделок отстают от них.
• Одно из ключевых направлений — защита конфиденциальных данных. Цели атак сменились на кражу чувствительной информации. Данные от магазинов и сервисов доставки свободно распространяются в интернете.
• Будет расти противодействие социальной инженерии. Человеческий фактор остаётся самым уязвимым местом. Повышение осведомлённости пользователей и обучение цифровой гигиене минимизируют риски.
• Важной остаётся защита IoT и облачных компонентов интернета вещей. Устройства передают по открытым каналам критичные данные. Кража информации приводит к финансовым убыткам и краже личности.
• Ещё один тренд — атаки на цепочки поставок. Злоумышленники атакуют отдельные компоненты системы на этапе построения. Фрагменты кода и обновления ПО представляют лазейки для хакеров и требуют особого внимания специалистов.

Никита Новиков, эксперт по кибербезопасности Angara Security:

• Основным направлением становится ужесточение регуляторики в России. Введение оборотных штрафов за утечки персональных данных потребует усиления контроля. Новая редакция Федерального закона № 187-ФЗ вводит новые критерии категорирования критической информационной инфраструктуры. С 1 марта 2026 года вступит в силу приказ № 117 ФСТЭК России, который изменит подход к защите государственных информационных систем.
• Становится заметным рост угроз с использованием искусственного интеллекта. ИИ применяется для автоматизации кибератак. Увеличивается число мошенничеств с дипфейками и синтетическими личностями. Фишинговые атаки усиливаются возможностями ИИ.
• Растёт число и разнообразие атак на компании. В 48% компаний атаки достигают финальной фазы в первые две недели. Средний срок скрытого пребывания в сети сократился до 3-4 дней. Атакующие чаще используют украденные учётные данные, что составляет 33% инцидентов. Взлом через подрядчиков делает безопасность поставок уязвимым местом. Программы-вымогатели остаются прибыльными для киберпреступников.
• Нарушения базовой гигиены безопасности продолжают быть основной причиной успешных атак. Утечки учётных данных, слабые пароли и открытые порты остаются актуальными проблемами.
• Ожидается сохранение высокого уровня кибершпионажа со стороны государств и масштабных целевых атак хакерских группировок.
• Растёт риск квантовых угроз. Злоумышленники воруют зашифрованные данные в расчёте на будущую расшифровку с помощью квантовых компьютеров.
• Социальная инженерия остаётся главной угрозой для физических лиц. Обладание цифровой грамотностью является базовым минимумом для жизни в цифровой среде.