КИИ стала главной целью: 77% кибератак в России пришлись на критическую инфраструктуру

В первом квартале 2026 года доля кибератак на отрасли критической информационной инфраструктуры России достигла 77% от общего числа атак на российские организации. RED Security SOC зафиксировал более 9 тыс. таких атак за три месяца. Это на 10 процентных пунктов выше показателя 2025 года и на 13 пунктов выше уровня 2024-го. Самыми атакуемыми секторами стали телекоммуникации, финансы, здравоохранение и промышленность.

RED Security называет показатель рекордным за последние несколько лет. В компании отдельно выделяют рост доли высококритичных атак: в КИИ они составили 27% инцидентов, в других отраслях — около 20%. Речь идёт об атаках, которые могут привести к серьёзному ущербу: простоям, нарушению работы сервисов, потере данных или остановке отдельных процессов.

КИИ — это не абстрактный «важный сектор». Российский 187-ФЗ относит к критической информационной инфраструктуре информационные системы, сети связи и автоматизированные системы управления организаций из здравоохранения, науки, транспорта, связи, энергетики, финансового рынка, ТЭК, атомной отрасли, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности.

Главные цели в первом квартале — телекоммуникационные компании, финансовая отрасль, медицинские организации и промышленность. Логика атакующих здесь понятна без лишней драматизации: телеком держит связность цифровых сервисов, банки обслуживают платежи и клиентские данные, больницы зависят от доступности медицинских систем, а промышленность часто работает с АСУ ТП — автоматизированными системами управления технологическими процессами. Сбой в таких средах редко остаётся «просто ИТ-проблемой».

Отдельный риск — атаки через подрядчиков. RED Security отмечает, что крупные субъекты КИИ обычно выстраивают защиту собственного периметра по требованиям регуляторов, но поставщики ПО, интеграторы и ИТ-партнёры часто защищены слабее. Для атакующего это удобный путь: попасть не в «лоб» к крупной организации, а через сервисный доступ, обновление, учётную запись подрядчика или канал технической поддержки.

Solar JSOC в отчёте за 2025 год писал, что его аналитика охватывает около 300 организаций из ключевых отраслей — госсектора, финансов, нефтегаза, энергетики, телекома, транспорта, логистики и промышленности. В 2025 году центр выявил 1,16 млн событий ИБ после фильтрации ложных срабатываний, а число подтверждённых заказчиками инцидентов выросло до более чем 33 тыс. против 31,5 тыс. годом ранее.

В структуре подтверждённых инцидентов Solar JSOC за 2025 год первое место заняло вредоносное ПО — 36%. Несанкционированный доступ дал 23%, внутренние угрозы — 17%, сетевые атаки и разведка — 10%. Это хорошо стыкуется с картиной атак на КИИ: злоумышленникам нужны начальный доступ, закрепление, разведка, движение внутри сети и возможность быстро нанести ущерб, а не просто «положить сайт».

Positive Technologies в исследовании CODE RED 2026 указывала, что Россия остаётся одной из главных целей кибератак: за период с июля 2024 года по сентябрь 2025 года на неё приходилось 14–16% всех успешных атак в мире и 72% атак, зафиксированных в СНГ. Компания прогнозировала рост числа успешных атак в 2026 году ещё на 30–35%.

«Лаборатория Касперского» в свежей аналитике фиксировала другую важную тенденцию: почти каждый четвёртый инцидент высокой критичности в 2025 году относился к сложным целевым атакам, включая человекоуправляемые операции. Социальная инженерия затронула 18% предприятий, использующих Kaspersky MDR. Для КИИ это особенно опасно: одно письмо, звонок или поддельный запрос к подрядчику может стать стартом атаки на инфраструктуру, где цена ошибки заметно выше обычного офисного инцидента.

Рост атак на критическую инфраструктуру подтверждался и государственными оценками. В сентябре 2025 года на РИФ-2025 было заявлено о 63 тыс. атак на критическую инфраструктуру России за первое полугодие 2025 года, а ежегодный прирост таких атак оценивался примерно в 25–30%.

RED Security указывает на удешевление атак. Готовые инструменты, фишинговые наборы, вредоносные загрузчики, аренда инфраструктуры и модель «атака как услуга» снижают порог входа. Искусственный интеллект тоже добавляет масштаба: его используют для разведки, подготовки фишинговых сообщений и поиска уязвимостей.

Одного соответствия требованиям 187-ФЗ уже мало, если мониторинг не видит цепочку атаки целиком: внешний периметр, VPN-доступ, подрядчиков, почту, рабочие станции, серверы, облачные сервисы и промышленные сегменты. Самые неприятные инциденты редко начинаются с красивого «нулевого дня». Чаще всё проще: фишинг, учётка, забытый сервис, открытый RDP, старый VPN-шлюз, уязвимый подрядчик.

RED Security рекомендует субъектам КИИ усилить мониторинг событий ИБ, провести внеплановую оценку защищённости внешнего периметра и каналов работы с подрядчиками, а также регулярно обучать сотрудников распознавать современные методы социальной инженерии. Для отрасли это звучит как базовая гигиена, но именно она часто решает, останется атака событием в SOC или превратится в остановку сервиса.