«Информзащита»: в 75% компаний злоумышленники действуют внутри сети незаметно для ИБ-служб

Специалисты «Информзащита» выявили, что по меньшей мере 75% предприятий столкнулись с присутствием злоумышленников в своей ИТ-среде за последние 24 месяца, и в 2026 г. эта доля продолжила расти. По итогам первых месяцев 2026 г. количество подтвержденных инцидентов с несанкционированным доступом увеличилось на 14% по сравнению с аналогичным периодом 2025 г. Если учитывать организации, предпочитающие не раскрывать информацию о компрометации, верхняя граница оценки достигает 91%. Даже консервативный сценарий, при котором все «не ответившие» компании считаются не пострадавшими, фиксирует уровень в 75%, что говорит о системной, а не точечной проблеме.

На фоне этой статистики показательно другое: инвестиции в средства защиты продолжают расти. Крупный бизнес оперирует десятками защитных решений одновременно, и большинство компаний за последний год продолжали наращивать инструментарий. При этом 59% ИБ-команд фиксируют критический или значительный дефицит компетенций для работы с этим стеком. Однако увеличение плотности защитных решений не приводит к пропорциональному снижению рисков. Напротив, растет сложность управления, количество интеграций и объем телеметрии. В результате службы ИБ сталкиваются с лавинообразным ростом событий, среди которых трудно выделить действительно критичные сигналы. Формально уровень оснащенности повышается, но эффективность реагирования от этого только снижается.

Дополнительный фактор – трансформация ИТ-ландшафта. Массовый переход к облачным архитектурам, гибридным моделям, активное внедрение API и сервисов на базе ИИ расширяют поверхность атаки. 85% директоров по информационной безопасности признают, что технологии искусственного интеллекта уже влияют на стратегию консолидации их защитных стеков. По нашим наблюдениям, около половины CISO называют дефицит внутренней экспертизы ключевым барьером для защиты ИИ-контуров. Исследование ISC2 2025 г. подтверждает этот тренд: 41% специалистов считают компетенции в области ИИ наиболее востребованными и при этом дефицитными. На практике это означает, что инструменты появляются быстрее, чем команды успевают научиться ими управлять.

Анализ структуры инцидентов показывает типовую логику развития атак. В 58% случаев первоначальный доступ осуществляется через внешние веб-ресурсы, в 52% – через конечные устройства сотрудников. После закрепления злоумышленники переходят к эксплуатации учетных записей и механизмов управления доступом — такие компоненты затрагиваются в 49% инцидентов. Облачная инфраструктура и API фигурируют в 38% случаев, внутренние сети и серверы – в 47%. Это уже стадия латерального перемещения, а не единичного взлома. Бизнес-приложения становятся объектом воздействия в 30% атак, экосистемы ИИ – в 18%, IoT и OT-среды – в 13%. Данные цифры демонстрируют, что компрометация периметра редко остается изолированной: при отсутствии быстрого обнаружения атака развивается по всему жизненному циклу.

Отраслевой разрез подтверждает, что наибольшему риску подвержены сегменты с высокой цифровой зависимостью и распределенной инфраструктурой. Финансовый сектор формирует 22% всех зафиксированных случаев присутствия злоумышленников внутри среды. Промышленность и энергетика составляют 18%, ритейл и электронная коммерция 16%, телеком и ИТ-компании 14%, государственный сектор 12%. Оставшиеся 18% распределяются между транспортом, логистикой, здравоохранением и другими отраслями. В промышленности и энергетике особую роль играет интеграция ИТ- и OT-контуров, где традиционные средства сегментации часто не адаптированы под современные угрозы. В ритейле основной вектор связан с компрометацией веб-приложений и API, обеспечивающих онлайн-продажи.

По нашим оценкам, при сохранении текущих темпов цифровизации и дефицита кадров доля предприятий, сталкивающихся с внутренним присутствием злоумышленников, к концу 2026 г. может вырасти еще на 5-8%. Одновременно будет увеличиваться среднее время скрытого пребывания атакующих в инфраструктуре, если не изменится подход к управлению видимостью и корреляцией событий.

Снижение рисков требует не механического наращивания инструментов, а пересмотра архитектуры защиты. Практика показывает, что консолидация стеков и внедрение централизованных платформ управления уязвимостями и экспозицией дают более ощутимый эффект, чем точечные закупки новых продуктов. То же касается регулярной валидации периметра с использованием сценариев имитации атак и усиления контроля привилегированных учетных записей. Необходима системная работа с персоналом: развитие компетенций в области облачной безопасности и ИИ, формирование команд threat hunting, сокращение времени от обнаружения до реагирования. Предприятия, которые в 2026 г. перейдут от фрагментарной защиты к управлению рисками на основе сквозной видимости, смогут переломить тенденцию. Остальные продолжат фиксировать присутствие злоумышленников уже постфактум, когда последствия отражаются на бизнес-показателях и репутации.