Кибершторм 2026. Почему ИТ-стратегию пора менять уже сейчас

В 2026 году киберугрозы для российского бизнеса перестали быть «фоновым риском». Речь уже не идет о каких-то локальных грозах. По всей стране бушует затяжной шторм, в котором компаниям приходится как-то выживать.

В 2025 году от 14 до 16% всех успешных атак по всему миру пришлись на Россию. Такие данные опубликовало Positive Technologies. Эксперты ожидают рост числа попыток взлома еще на 30–35% в 2026.

Эта статья написана для собственников и топ-менеджеров, которым важна не за «правильная настройка фаервола», а устойчивость бизнеса. Смотрите картину кибершторма 2026 года, забирайте практичный план действий, узнавайте, как перестроить ИТ-стратегию, чтобы не оказаться жертвой киберзлодеев.

Масштаб кибершторма: цифры, которые уже нельзя игнорировать

За последние три года киберугрозы для российских компаний выросли кратно.

• От 14 до 16% всех успешных кибератак в мире были осуществлены на российские компании.
• Количество атак в 2025 выросло на 20–45%, а в 2026-м ожидается новый скачок еще на 30–35%. То есть за два года количество взломов утроится!
• По оценкам Сбера, совокупный ущерб экономике России от кибератак только за первые восемь месяцев 2025 года составил около 1,5 трлн рублей.

Причем речь не только о крупном бизнесе.

• 82% российских компаний МСП столкнулись с киберинцидентами за последний год.
• Для малого бизнеса ущерб от серьезной атаки в мире оценивается в $120–180 тыс., но для российских компаний важнее другое: средний ущерб от одной утечки данных уже достигает 11,5 млн рублей, что сопоставимо с годовой прибылью небольшого бизнеса.

Масштаб финансовых потерь вырос кратно:

• Средняя сумма выкупа при атаке программ-вымогателей: 4–40 млн рублей для крупного и среднего бизнеса, максимум достиг 500 млн рублей в 2025 году.​
• Высококритичные инциденты (длительная остановка процессов или утечка данных) могут обойтись от 1 млн рублей и выше.​
• Реальный пример: одна крупная сеть потеряла 1,5 млрд рублей за полтора месяца простоя после атаки.​

Киберугроза перестала быть абстрактной. Это уже не «еще один риск в реестре», а фактор, который напрямую входит в P&L, влияет на устойчивость, стоимость компании и способность выполнять обязательства перед клиентами и государством.

Что подпитывает кибершторм: три ключевых драйвера

Рост атак — не случайность и не «временная турбулентность». За цифрами стоят три системных фактора, которые одновременно усиливают друг друга: ускоренная цифровизация, импортозамещение в режиме аврала и появление ИИ в арсенале злоумышленников.

Цифровизация в спешке

С 2025 года в России стартовал нацпроект по «Экономике данных и цифровой трансформации государства» — компании массово переводят процессы в цифру, внедряют новые платформы, интеграции, автоматизацию.

Но есть проблема: скорость внедрения технологий превышает скорость внедрения защиты. В реальности выглядит так:

• новые сервисы запускаются за месяцы;
• модель угроз и архитектура безопасности не успевают появиться даже в презентациях;
• проверки и пентесты делаются «когда будет время».

В итоге ИТ-ландшафт становится сложнее, а «дыр» — больше.

Импортозамещение: ажиотаж спал, но пришли штрафы

Государство сменило тактику: вместо «пожара» — системное давление рублем на владельцев критической инфраструктуры (КИИ).

На CNews FORUM в ноябре 2025 года глава Минцифры озвучил новые, жесткие правила:​

• Новый дедлайн для КИИ — 1 января 2028 года. За срыв сроков вводятся ежегодные оборотные штрафы.
• Конец «серой зоны». Списки критичных объектов теперь утверждает правительство. Спрятаться и сказать «у нас нет КИИ» больше не выйдет.

Причем здесь обычный бизнес (МСП)?

Даже если вы не завод и не банк, эта волна накроет вас рикошетом:

• Дефицит ресурсов. Рынок кадров в сфере ИБ уже перегрет (нехватка 52%). Крупные игроки, спасаясь от оборотных штрафов, заберут всех доступных интеграторов и безопасников до 2028 года. Малому бизнесу будет сложно найти подрядчика даже за большие деньги.​
• Требования по цепочке. Атаки через подрядчиков выросли вдвое. Чтобы защитить свой периметр, крупные заказчики (субъекты КИИ) начнут требовать от своих поставщиков такой же «чистоты» ПО и сертификации.​

В итоге: ажиотаж стих, но гайки закрутили. Для КИИ это вопрос штрафов, для малого и среднего бизнеса — вопрос выживания в условиях кадрового голода.

Искусственный интеллект в руках атакующих

ИИ стал не только инструментом защиты, но и оружием злоумышленников.

• Персонализированный фишинг: нейросети генерируют письма, имитирующие стиль конкретных сотрудников и деловую лексику, что сильно повышает вероятность клика.
• Дипфейки: поддельные аудио и видео используются для социальной инженерии — от «звонка от директора» до фейкового созвона с партнером. Доля таких атак уже выросла до 60%, и ИИ станет главным драйвером ее дальнейшего роста.
• Многоступенчатые кампании: сначала отправляется «безобидный» файл для завоевания доверия, затем — вредоносный код. В одном из кейсов злоумышленники зарегистрировали домен, похожий на домен ФСТЭК, за две недели до атаки.

Резюме: атаки становятся умнее, точнее и дешевле в исполнении. А вот защита во многих компаниях осталась в 2020 году.

Цена ошибки: сколько стоит один успешный инцидент

Для управленца важно не только понимать, «что страшно» (хакеры, взломы), но и четко видеть, «во сколько это обойдется» в рублях. В 2026 году киберинцидент перестает быть просто ИТ-проблемой и превращается в полноценную финансовую дыру.

Расходы при атаке — это не только оплата работы специалистов по восстановлению. Это слоеный пирог из прямых потерь, упущенной выгоды и регуляторных штрафов, где «подводная часть» часто в разы больше видимой. Разберем структуру этих убытков детально.

Структура убытков

Ущерб от атаки — это не только «сколько украли». В 2025 году основные потери бизнеса сместились с выплаты выкупов на покрытие убытков от простоя.

По данным глобальных и российских исследований 2025 года (RED Security, Illumio, DeepStrike), можно условно поделить «чек» за инцидент на такие доли (порядок величин):

Малый бизнес: риск потери годовой прибыли

Малый бизнес особо уязвим. Средний ущерб от одной утечки данных для российской компании составляет 11,5 млн рублей. Если добавить к этому простой и штрафы, то один инцидент может «съесть» всю чистую прибыль бизнеса за год.​

При этом 82% компаний МСП уже находятся под атакой, и для них это не «неприятный случай», а риск кассового разрыва и потери бизнеса.

Почему старые методы не работают

Многие компании до сих пор живут в логике:

«У нас есть админ, стоит какой-то антивирус, значит, мы защищены».

Цифры показывают обратное.

Результаты пентестов: 89% успешных проникновений

По результатам проектов PT SWARM:

• при внешних тестах на проникновение получить доступ к внутренней сети удалось в 89% компаний;
• при внутренних пентестах во всех (100%) случаях специалисты смогли получить максимальные привилегии в домене.

Причины банальны:

1. слабые и словарные пароли;
2. отсутствие многофакторной аутентификации;
3. устаревшее ПО с известными уязвимостями;
4. ошибки в разграничении прав доступа;
5. отсутствие обучения сотрудников против фишинга.

То есть проблема не в нехватке «супердорогих коробок», а в базовой ИТ-гигиене и управлении рисками.

«Админ на полставки» против профессионалов атакующей стороны

Перекос особенно заметен в малом и среднем бизнесе. Затраты средней компании на информационную безопасность составляют около 5 тысяч рублей в малом бизнесе и 25 тысяч рублей в среднем. Это за месяц.

Зарплата безопасника начинается от 60 тысяч рублей за молодого специалиста. Чуть более опытные стоят дороже, выводя среднюю по отрасли на 99 тысяч. При этом бизнес готов платить и больше, цифры в ИБ растут быстрее, чем по ИТ в целом.

Фактически малый бизнес пытается противостоять глобальному криминалитету с бюджетом уровня «один админ и условно бесплатный антивирус». В таких условиях вопрос не в том, взломают или нет, а в том, когда это случится и насколько вы к этому готовы.

Антивирус «для галочки» и мертвые лицензии

Отдельная проблема — иностранное ПО безопасности, которое многие продолжают использовать по инерции. Распространенный сценарий:

• решения закуплены до 2022 года и больше не получают обновлений из‑за санкций и серых схем поставки;
• критические патчи безопасности не устанавливаются месяцами;
• вендор в любой момент может окончательно отозвать лицензию или заблокировать продукт.​

Формально «антивирус установлен», отчеты красивые. Фактически защита превращается в иллюзию: уязвимости копятся, а окно для атаки только расширяется.

Кто в эпицентре: отрасли и МСП

По данным отчета CODE RED 2026 и независимой аналитики, больше всего достается следующим отраслям:

• промышленность — 17% всех атак (рост на 6 п. п. к 2023-му);
• госучреждения — 11%;
• ИТ-компании — 9%;
• телеком-операторы — 7%;
• финансовый сектор стабильно остается среди приоритетных целей.

Эти цифры важны не только для игроков из списка. Даже если вы не завод и не банк, вы, скорее всего, либо поставляете им услуги, либо зависите от их устойчивости.

При этом МСП играет роль «слабого звена в цепочке»:

• небольшие подрядчики, интеграторы, логистические компании часто становятся точкой входа в крупный бизнес;
• атака на одного поставщика может парализовать сразу несколько корпораций — классический сценарий цепочки поставок.

Следствие для топ-менеджмента: «мы маленькие, нас не тронут» — больше не работает. Малый и средний бизнес сейчас — один из самых удобных инструментов для атакующих.

Как должна выглядеть ИТ-стратегия в условиях кибершторма

Переход от тактики «латать дыры по факту» к стратегии «управлять рисками и устойчивостью» неизбежен. Ниже — практический каркас, который можно использовать как чек-лист.

Шаг 1. Комплексный аудит инфраструктуры

Цель — получить честную картину того, где компания реально уязвима.

Что должно войти минимум:

1. Инвентаризация средств защиты
   Какие решения используются, где истекают лицензии, какие компоненты иностранные и подлежат замене до конца 2026 года.
2. Внешний и внутренний пентест
   Проверка на возможность проникновения извне и горизонтального/вертикального перемещения внутри сети, моделирование сценариев «недопустимых событий» (остановка производства, утечка критичных данных).
3. Анализ готовности к импортозамещению
   Карта: какое иностранное ПО есть в ИБ-контуре и инфраструктуре, какие есть российские аналоги, какова сложность миграции и риски.

Результат аудита должен быть не в виде «толстой презентации», а в формате карты рисков с приоритизацией: что критично закрыть за 3 месяца, 6 месяцев, год.

Для МСП один такой аудит можно сделать вместе с внешним партнером — компанией, которая умеет не только «рисовать схемы», но и потом сама поддерживает инфраструктуру по SLA.

Шаг 2. Планируемое, а не паническое импортозамещение

Импортозамещение нужно превратить из «аврала к дедлайну» в управляемый проект:

• разумеется, с поэтапным выводом старых систем;
• пилотами на непрофильных контурах;
• обязательным тестированием безопасности новых решений до ввода в промышленную эксплуатацию.

Важный момент: миграция сама по себе не повышает безопасность. Новая система без настройки и встроенных контролей будет такой же дырявой, как старая.

Шаг 3. vCIO / виртуальный ИТ-директор

Многие компании МСП объективно не могут позволить себе штатного CIO/CISO с опытом построения комплексной защиты, SOC, импортозамещения.

Выход — формат vCIO (virtual CIO):

внешняя команда или эксперт, который берет на себя:

• разработку ИТ- и ИБ-стратегии;
• приоритизацию инициатив по уровню риска;
• координацию подрядчиков (инфраструктура, безопасность, разработка);
• регулярные ревью статуса рисков и проектов.

По факту это возможность «арендовать ИТ-директора» за долю от стоимости найма сильного инхаус-специалиста — для МСП это зачастую единственный реалистичный путь.

Когда вы доходите до идеи «нужен внешний партнер или vCIO», возникает еще один практический вопрос: как отличить тех, кто действительно готов отвечать за устойчивость, от тех, кто просто продает «закрытие тикетов» и зеленые отчеты при все тех же рисках. На рынке много предложений, но далеко не все компании дозрели до партнерского подхода.

Чтобы упростить этот выбор, мы собрали чек‑лист ключевых критериев, по которым имеет смысл отбирать ИТ‑подрядчика в 2026 году. Это не теория, а рабочий фильтр: по нему быстро видно, кто правда готов работать проактивно, а кто продолжит жить в логике «подлатали и забыли».

Шаг 4. Базовый минимум, который нужно внедрить «вчера»

Независимо от масштаба компании, есть набор мер, который уже нельзя откладывать:

• Многофакторная аутентификация (MFA) для всех критичных систем.
• Сегментация сети: разделение пользовательских, серверных и технологических сегментов, особенно в производстве.
• Управление уязвимостями и обновлениями: регламент, ответственные, регулярные отчеты.
• Обучение сотрудников: живой тренинг по фишингу и базовой кибергигиене хотя бы раз в год; затраты в размере 10–30 тыс.рублей на сотрудника, что в сумме составляет доли процента от ФОТ, но позволяет резко снизить вероятность успешного фишинга и «человеческих» инцидентов.
• План реагирования на инциденты: кто что делает, кого будят в 3 часа ночи, какие системы отключаются, какие включаются, кого уведомляем.

Как донести это до совета директоров

Для собственников и директоров важно говорить не языком «портов и протоколов», а языком риска, денег и устойчивости.

Можно использовать следующую формулу разговора:

1. Масштаб:
   «Россия — до 16% всех кибератак в мире, а в 2026 году их число может вырасти еще на треть. Мы уже в эпицентре шторма».
2. Финансы:
   По оценке Сбера, только за первые восемь месяцев 2025 года кибератаки могли стоить российской экономике около 1,5 трлн рублей. Для отдельной компании это выливается в десятки миллионов потерь за один серьезный инцидент.
3. Уязвимость:
   «По данным пентестов, в 89% компаний можно войти извне и в 100% — получить максимальные права внутри. Мы вряд ли исключение».
4. Регуляторика:
   Для российских объектов КИИ запрет на использование иностранного ПО и средств защиты действует с 1 января 2025 года, а в 2025‑м Минцифры установило финальный срок полного перехода на российские решения — 1 января 2028 года с ежегодными оборотными штрафами за срыв.
5. План:
   «Нужен комплексный аудит, план импортозамещения и управляемая ИТ-стратегия (через vCIO или усиление собственной функции) — это дешевле, чем один большой инцидент».

Что сделать уже на следующей неделе

Чтобы разговор не остался на уровне «надо бы», можно начать с трех конкретных шагов:

1. Созвать стратегическую встречу
   Участники: собственник/гендиректор, финансовый директор, руководитель ИТ/безопасности, ключевой бизнес-юнит.
   Цель: ответить честно на три вопроса:
   • знаем ли мы свои критичные активы и ИТ-риски;
   • понимаем ли, где используем иностранное ПО, подлежащее замене;
   • есть ли у нас план на случай инцидента.
2. Заказать экспресс-аудит
   Минимум: инвентаризация ИБ-средств, поверхностный пентест, обзор рисков импортозамещения. Это даст карту «красных зон», без которой любые дальнейшие действия будут стрелять вслепую.
3. Определиться с форматом управления
   Ответить на вопрос: мы усиливаем внутреннюю функцию (нанимаем CIO/CISO, строим команду) или используем формат vCIO/аутсорсинга с четкими метриками и ответственностью.

Вместо эпилога: шторм не кончится, но к нему можно подготовиться

Количество атак растет, их качество улучшается, цена ошибки увеличивается.

Старый подход «постоянно догонять угрозы точечными покупками лицензий и железа» больше не работает. Нужна осознанная ИТ-стратегия, в которой:

• риски кибербезопасности рассматриваются на уровне совета директоров;
• импортозамещение — управляемый проект, а не паническая гонка;
• ИТ-функция отвечает не только за «поднимать серверы», но и за устойчивость и управляемость бизнеса.

Начать можно очень приземленно: с честного аудита и разговора о том, какие потери компания готова терпеть, а какие — нет.

Когда в прогнозе шторм на +35% к прошлому году, лучшая стратегия — не надеяться, что «пронесет», а строить прочный дом.