Кибератаки на КИИ России достигли рекордных 77% в I квартале 2026 года

В первом квартале 2026 года ландшафт угроз в российском сегменте изменился: внимание атакующих сместилось в сторону объектов критической информационной инфраструктуры (КИИ). Согласно статистике, собранной аналитиками Red Security SOC, доля инцидентов, направленных на эти сектора, достигла 77%.

Статистика и динамика атак на КИИ

За отчетный период было зафиксировано более 9 тысяч инцидентов, затрагивающих субъекты КИИ. Для сравнения, в 2025 году этот показатель был ниже на 10 процентных пунктов, а в 2024-м — на 13. Примечательно, что качественный состав угроз также изменился: в критически важных отраслях доля высококритичных атак составила 27%, в то время как для других сегментов бизнеса этот параметр не превышает 20%. Если коротко, злоумышленники стали не только чаще целиться в критическую инфраструктуру, но и выбирать более опасные сценарии воздействия.

Факторы роста активности

Аналитики Red Security выделяют несколько ключевых причин смены векторов атак. В первую очередь это активность проправительственных группировок и хактивистов, для которых масштаб ущерба и общественный резонанс являются приоритетными метриками успеха. Геополитическая обстановка сохраняет высокую мотивацию атакующих, а технический порог вхождения в «индустрию» кибератак снижается благодаря развитию модели «атака как услуга» (AaaS — Attack as a Service).Немалую роль играет и прагматичное использование инструментов на базе ИИ. Проще говоря, нейросети позволяют хакерам автоматизировать этапы разведки, находить уязвимости в коде и создавать убедительные фишинговые рассылки в промышленных масштабах. Это существенно упрощает ведение распределенных атак на крупные цели.

Цепочки поставок как «черный ход»

Отдельного внимания заслуживает вектор атаки через цепочки поставок (Supply Chain attacks). Крупные игроки в секторе КИИ зачастую следуют жестким регуляторным требованиям и обладают защищенным периметром. Однако их ИТ-партнеры и подрядчики часто имеют более слабый уровень ИБ. Злоумышленники используют этих контрагентов как «точку входа» для проникновения в целевую инфраструктуру. По сути, игнорирование безопасности подрядчиков нивелирует инвестиции в эшелонированную защиту периметра самой организации.

Приоритетные цели злоумышленников

Телекоммуникационный сектор, финансовая сфера, промышленность и здравоохранение оказались наиболее востребованными целями в первом квартале 2026 года. Выбор отраслей наглядно демонстрирует политический подтекст: атаки на телеком-операторов направлены на нарушение связности цифровых сервисов, а воздействие на промышленность и медицину преследует цель вызвать дестабилизацию и общественное недовольство. Финансовый сектор остается классической целью как для деструктивных атак, так и для прямого извлечения прибыли.В сложившихся условиях эксперты призывают инфраструктурные компании пересмотреть подход к мониторингу, провести внеплановую ревизию каналов передачи данных с подрядчиками и сфокусироваться на обучении персонала актуальным приемам социальной инженерии, эффективность которых кратно возрастает при использовании ИИ-инструментов.