Кибербезопасность в России в 2026-м: актуальные тренды, угрозы и методы защиты

От дипфейков до шпионажа: как ИИ ломает доверие внутри компаний

В 2026 году злоумышленники продолжат использовать искусственный интеллект для кибератак. Нейросети просты, не требуют спецподготовки и понятны даже тем, у кого нет технического бэкграунда. Параллельно технологии взрослеют и позволяют создавать всё более реалистичный и убедительный контент — в том числе в чужих, не самых честных интересах.

Директор по продуктам и технологиям компании по управлению цифровыми рисками BI.ZONE Муслим Меджлумов выделяет три направления по использованию ИИ для кибератак на бизнес:

1. Дипфейки. Мошенники подделывают голос и выдают себя за CEO крупной компании или создают видео со «знаменитостями», чтобы продать жертвам якобы надёжные инвестиционные проекты.
2. Фишинг. Фишинговые страницы, которые вчера легко распознавались по кривому языку и опечаткам, сегодня выглядят максимально правдоподобно.
3. Более сложные кибератаки. Например, создание программ-вымогателей, которые используют ИИ для генерации вредоносных скриптов.

Часто это работа в связке: боты автоматически собирают информацию о жертве из соцсетей, а затем ИИ на этой базе генерирует дипфейк или сообщение, которое помогает быстро войти в доверие и зайти куда не положено.

Эксперты разработчика в сфере кибербезопасности «Лаборатория Касперского» описывают такую схему: злоумышленники угоняют аккаунт в мессенджере, скачивают из переписок голосовые сообщения жертвы, на их основе генерируют новые аудио с тем же голосом — и рассылают их людям из списка контактов.

Сильнее всего от мошенничества с дипфейками страдают не отрасли, а частные пользователи. Системы противодействия мошенничеству BI.ZONE всё чаще фиксируют точечные атаки на топ-менеджеров и сотрудников финансовых и юридических подразделений — там выше лимиты и суммы, которые можно вытащить.

Адресные атаки с помощью дипфейков более выгодны злоумышленникам, чем массовые, потому что дают больший доход и повышают вероятность успеха. Но киберпреступники используют дипфейки не только ради денег.

Чтобы защитить бизнес от дипфейков, BI.ZONE советует:

• выделить бюджет на их выявление;
• пользоваться специальными защищёнными каналами для внутреннего обмена информацией;
• рассмотреть внедрение в ключевые процессы принципа второй руки — дополнительного подтверждения через назначенного доверенного сотрудника;
• повышать уровень цифровой грамотности сотрудников.

Чтобы оставаться киберустойчивыми, компаниям мало «догонять» хакеров — им самим нужен ИИ. Не только для быстрого выявления и приоритизации угроз, но и для глубокой аналитики: разбора массивов данных, проверки аудио- и видеоконтента, отсеивания подделок на лету.

По мнению руководителя направления аналитики и спецпроектов экспертно-аналитического центра InfoWatch Андрея Арсентьева, в первую очередь нужно протестировать контур безопасности. Далее следует внедрить многоуровневые системы защиты от кибератак на основе ИИ. Они включают:

• многоступенчатое сканирование вредоносного ПО для выявления созданных с помощью ИИ угроз;
• анализ всех входящих файлов в изолированной среде в сети;
• использование технологии реконструкции файлов для удаления из них потенциально опасного кода.

Не сервер, а сотрудник: фишинг и социнженерия становятся главными инструментами взлома

В 2026 году основным источником киберрисков для бизнеса будут не технологии, а люди, считает директор по безопасности виртуального пространства для решения повседневных задач «Яндекс 360» Игорь Вербицкий. Современные облачные и on-premises-решения уже не так просто проломить в лоб: периметры закрыты, системы обнаружения аномалий учатся быстрее, чем раньше, инфраструктуры крупных вендоров держат удары, которые пару лет назад считались критическими. Именно поэтому смещается прицел атакующих: если сложно взломать систему, проще зайти в неё с помощью человека.

Ключевая цель злоумышленников — добраться до данных через сотрудника. Поэтому всё, что касается коммуникаций, превращается в зону повышенного риска: фишинговые письма, спам, поддельные вложения, «невинные» приглашения на встречи — любой сценарий, который заставит человека сделать лишний клик.

С начала 2025 года почтовые серверы Яндекс 360 обработали более 69 млрд входящих писем. Из них 12,4 млрд — это спам-письма.

Расчёт на человеческий фактор не новая киберугроза, но в 2026 году она эволюционирует. Теперь злоумышленники работают как маркетологи: изучают поведение сотрудников, копируют корпоративный тон, моделируют привычное общение. Массовый спам уходит в прошлое — на смену ему приходит точечная, аккуратно выверенная социальная инженерия.

По мнению Игоря Вербицкого из Яндекс 360, ставка злоумышленников на человеческий фактор — не случайность, а логичный результат сдвигов на технологическом, организационном и поведенческом направлениях:

1. Подтянулась защита. Современные фильтры, антифишинговые механизмы, поведенческая аналитика, использование нейросети для кибербезопасности делают прямые атаки на инфраструктуру дорогими и малоокупаемыми. Взламывать периметр сложно, поэтому проще искать вход через человека, который каждый день легально работает с системой.
2. Атакующие активно используют ИИ. Он помогает им быстро генерировать правдоподобные письма, подделывать визуальные элементы, копировать стиль внутренней переписки.
3. Меняется бизнес-среда. Становится больше коммуникаций и дистанционного взаимодействия. Сотрудник живёт сразу в нескольких устройствах и каналах связи. Поверхность атаки расширяется, и растёт число ситуаций, в которых человек может сделать лишнее действие: открыть не тот файл, перейти по ссылке, поделиться данными на автомате.

Злоумышленники используют недобросовестных или неосмотрительных сотрудников ещё и для повышения эффективности ransomware — это вредоносные программы-вымогатели, которые с помощью шифрования не позволяют пользователям получить доступ к своей системе или личным файлам.

По оценкам управляющего консалтинговой компанией в сфере кибербезопасности и ИТ-права RTM Group Евгения Царёва, количество таких атак в 2026 году вырастет как минимум на 20%.

Самые уязвимые к точечным и персонализированным атакам — малый и средний бизнес. Чаще всего его защита ограничивается базовыми инструментами, а главным инструментом противостояния киберугрозам остаётся внимательность сотрудников. Всё же защититься от всех угроз, связанных с человеческим фактором, можно только при комплексном подходе.

Поэтому, по мнению экспертов, критически важно прокачать людей и процессы. Потребуется регулярное обучение, разбор реальных сценариев, обновление внутренних регламентов, моделирование инцидентов.

Доля атак через подрядчиков удвоилась за год

Атаки через подрядчиков уже вошли в топ киберугроз для бизнеса в 2025 году и не уйдут с радаров в 2026-м. Команда реагирования на киберинциденты BI.ZONE DFIR сообщает: доля инцидентов с шифрованием или уничтожением инфраструктуры, связанных с атаками через подрядчиков, в 2025 году превысила 30%. Год назад этот показатель был в два раза меньше.

Для злоумышленников атаки через подрядчиков — один из самых простых и эффективных векторов: взломав небольшую компанию, которая обслуживает крупную и более защищённую организацию, они получают доступ к её данным и заходят в её инфраструктуру.

Директор по продуктам и технологиям BI.ZONE Муслим Меджлумов называет причины, почему так сложно предотвратить атаки через подрядчиков:

1. Компании чаще всего не контролируют безопасность подрядчиков напрямую, поэтому толком не видят, насколько те защищены и где у них дыры.
2. Подрядчики нередко получают привилегированный доступ к критической инфраструктуре клиента, и любая их компрометация автоматически превращается в высокорисковый инцидент.
3. Атаки сложно поймать на подлёте: злоумышленники заходят через доверенные каналы и легальные учётки, спокойно сидят внутри и остаются невидимыми до момента, когда переходят к активным действиям.

Последствия таких атак обычно максимально жёсткие: от полного шифрования или уничтожения инфраструктуры с остановкой бизнес-процессов до утечек конфиденциальных данных и тяжёлых репутационных потерь.

Хотя полностью исключить атаки через подрядчиков сложно, всё же можно значительно снизить риск. Муслим Меджлумов из BI.ZONE советует подходить к работе с подрядчиками комплексно:

1. Минимизировать привилегии. Давать подрядчикам только те права и доступы, которые реально нужны для их задач.
2. Постоянно мониторить. Отслеживать аномальную активность на серверах, куда заходят подрядчики, интегрировать события от кибербезопасности компьютеров и серверов в SIEM*SIEM — это система управления событиями безопасности, чтобы как можно раньше заметить подозрительное.
3. Имитировать хакерские атаки. Делать плановый пентест как одну из лучших профилактик.
4. Предпринимать технические меры. Использовать многофакторную аутентификацию и сетевую сегментацию.

Вирус по подписке: атаки на цепочки поставок станут самым быстрорастущим вектором 2026 года

Атаки на цепочки поставок отличаются от атак на подрядчиков. Там другая логика нападения: вредонос встраивают в легитимное ПО, которым потом пользуется уже целевая компания.

Типичный пример такой атаки приводит Евгений Царёв, управляющий консалтинговой компанией в сфере кибербезопасности и ИТ-права RTM Group: преступники встраивают вредоносный код в стороннюю библиотеку кода или сервис обновлений, а затем он распространяется среди всех клиентов этого поставщика в виде легитимного обновления. Так атака становится массовой.

Евгений Царёв считает, что уже сейчас атаки через цепочки поставок — одна из основных киберугроз. Она будет самым динамичным и развивающимся вектором кибератак в 2026 году.

По мнению Муслима Меджлумова из BI.ZONE, атаки на системы поставок встречаются реже атак через подрядчиков по ряду причин.

Такие атаки сложно поймать на старте: они идут из-под легитимных учёток и через стандартные админские утилиты. Для технических средств защиты это выглядит как обычная работа, поэтому «в лоб» такие действия не блокируются. Михаил Климов, руководитель команды SOC*SOC — это структурное подразделение организации, которое отвечает за оперативный мониторинг ИТ-среды и за реагирование на киберинциденты. в ИБ-компании RED Security, в обзоре рынка кибербезопасности поясняет: чтобы увидеть атаку, нужны ИБ-аналитики, которые умеют вычленять аномалии в поведении пользователей, а не только смотреть на срабатывания систем.

Готовиться к таким инцидентам нужно до того, как они случатся: заложить риски в модель, отработать сценарии восстановления и сделать кибербезопасность частью операционки, а не разовой задачей «на потом».

ChatGPT и личная почта: теневая инфраструктура ломает корпоративную безопасность

Одной из основных угроз кибербезопасности в 2026 году управляющий RTM Group Евгений Царёв называет теневую инфраструктуру — Shadow IT. Это всё, что сотрудники подключают и устанавливают без ведома ИТ и безопасности: неучтённые устройства, стороннее ПО и сервисы, личные почты, файлообменники, ИИ-инструменты вроде ChatGPT. Это слепые зоны: корпоративные системы безопасности их не мониторят, не обновляют и не прикрывают. В итоге такой зоопарк из устройств и сервисов легко превращается в точку входа для злоумышленников или канал утечки данных.

Евгений Царёв прогнозирует рост инцидентов, связанных с теневой инфраструктурой, не менее чем на 40% в 2026 году по сравнению с предыдущим годом. Среди причин он называет следующее:

• нехватку специалистов по информационной безопасности и ИТ;
• гибридный формат работы;
• взрывной рост использования ИИ;
• массовый переход на отечественное ПО, которое бывает незрелым и недостаточным по функционалу. Это вынуждает персонал самостоятельно искать замену.

Наличие теневых ИТ бьёт по всем — от микробизнеса до корпораций, но особенно опасно для крупных компаний: преступникам выгоднее охотиться там, где больше денег и доступов. Тем не менее малому бизнесу не стоит расслабляться.

Чтобы снизить риск наличия теневых инфраструктур для кибербезопасности бизнеса, нужно:

• провести инвентаризацию и понять, какими сервисами и программами пользуются сотрудники;
• составить список разрешённых сервисов — почта, облачные сервисы, ИИ-инструменты;
• ввести правила для сотрудников. Например, запретить им выгружать рабочие файлы в личные облака или разрешить использовать новые приложения для работы только после их согласования;
• предоставлять людям официальные инструменты для работы;
• обучать сотрудников.

Три главных тренда кибербезопасности 2026 года

В 2026 году в кибербезопасности бизнеса на первый план выйдет сразу несколько ключевых трендов. По словам Игоря Вербицкого из Яндекс 360, все они про одно: граница между внешними и внутренними угрозами почти сотрётся:

1. Стремительный рост атак с ИИ в основе. Ожидается ещё более убедительный, тонко персонализированный фишинг под конкретных сотрудников и полностью автоматизированные цепочки атак, где ИИ не просто генерирует письмо, а управляет всей логикой проникновения.
2. Переход от реактивной защиты к предиктивной. Задача больше не в том, чтобы «ждать выстрела и закрывать дыру», а в том, чтобы предсказывать инцидент до первого шага злоумышленника: по моделям поведения, аномалиям в коммуникациях и совокупности мелких сигналов.
3. Смещение фокуса на защиту рабочего окружения сотрудников. Компании всё лучше понимают: главная зона риска — уже не периметр, а повседневные коммуникации: почта, мессенджеры, совместная работа с документами. В 2026 году спрос будет расти именно на защиту этих каналов, потому что большинство атак стартует с обычного рабочего взаимодействия.