Кибербезопасность России: от разовых проектов к системному управлению рисками

4 часа назад

© Сгенерировано ИИ

Рынок информационной безопасности (ИБ) России в 2025 году превысил 400 млрд рублей, что на 20-25% больше показателя 2024 года (337 млрд рублей). Средний годовой бюджет компаний на ИБ вырос на 29% до 294 млн рублей, что связано с переходом от разовых проектов к системному управлению рисками. Прогноз Центра стратегических разработок (ЦСР) указывает, что российский рынок ИБ к 2030 году может вырасти до 968 млрд рублей при среднегодовом темпе роста в 21% и сокращении доли импортных решений до 4%.

Текст: Биктимир Абдрашитов, Антон Шаулов

Материал подготовлен при участии экспертов компаний InfoWatch ARMA, «Аладдин», Softlogic, АО «Инфорус», Positive Technologies

Регуляторный контекст

В 2025 году требования к субъектам критической информационной инфраструктуры (КИИ) стали строже и системнее за счет детализации процедур взаимодействия с ФСБ, НКЦКИ и инфраструктурой ГосСОПКА, которые ранее были обозначены лишь в общих чертах.  

В рамках реализации федерального закона №187-ФЗ «О безопасности КИИ» субъекты критической информационной инфраструктуры завершили первые полные циклы категорирования своих объектов. Компании теперь обязаны сегментировать промышленные сети (АСУ ТП), разделять технологические и офисные контуры, а также внедрять строгий контроль доступа в производственные сегменты, в том числе для подрядчиков и удаленных пользователей.

Приказ ФСТЭК №177 от 29 октября 2025 г. существенно обновил требования по защите государственных информационных систем (ГИС) и объектов КИИ. Акцент был сделан на обеспечении доверенной ИТ-инфраструктуры, обязательной двухфакторной аутентификации и шифровании данных, что стимулировало спрос на соответствующие решения.

Федеральный закон №568-ФЗ от 29 декабря 2025 г. внес изменения в базовый закон «Об информации, ИТ и о защите информации» (№149-ФЗ). С 1 сентября 2026 года ГИС будут разделены на федеральные и региональные, а операторы ГИС и иных ИС будут обязаны взаимодействовать с системой ГосСОПКА. Кроме того, закон официально разрешил использование облачных сервисов для создания и эксплуатации ГИС, что открывает новые возможности для развития отечественного облачного рынка.

Начиная с 30 января 2026 года вступили в силу приказы ФСБ №539, 554. Они ввели обязательное информирование о кибератаках в течение 24 часов даже для объектов КИИ без категории, а также обязали субъекты КИИ получать информацию о средствах атак и методах их предотвращения в срок до 30 рабочих дней.

В законопроекте №1110676-8 предлагается комплекс мер против кибермошенничества: регулирование сим-боксов и ВАТС (виртуальная АТС), а также ограничение в 10 номеров на одно физлицо, создание единой базы IMEI (International Mobile Equipment Identity — уникальный 15-значный международный идентификатор мобильного оборудования, прим.ред.).

Вендоры рынка информационной безопасности России

Объем российского рынка ИБ в 2025 году превысил 400 млрд рублей, что соответствует росту на 20–25% относительно 2024 года, когда рынок оценивался в 337 млрд рублей. Средний годовой бюджет компании на ИБ в 2025 году достиг 294 млн рублей и, по оценкам специалистов, увеличился на 29% по сравнению с предыдущим годом.

По данным TAdviser Security 100 и ЦСР, российские вендоры контролируют 70–80% рынка (~280–320 млрд руб.), причём компании в топ-5 генерируют 45–55% выручки («Лаборатория Касперского» ~18–20%, Positive Technologies ~12–14%, ГК «Солар» ~8–10%, «Код Безопасности» и UserGate по 4–6%). Доля решений распределяется по ключевым сегментам: EPP/EDR («Касперский», Solar Dozor) — 15–20%, NGFW («UserGate», «Континент», «Код Безопасности») — 10–12%, SIEM (RuSIEM, R-Vision) — 8–10%, DLP (SearchInform, InfoWatch) — 6–8%; биометрия (VisionLabs, NtechLab) и MDR (BI.ZONE, RED Security) — по 3–5%.

Зарубежные решения сократились до 5–7%, а услуги интеграторов (Softline, ГИС) занимают 25–30%; импортозамещение усиливает нишевые продукты вроде Xello или CyberCodeReview в DevSecOps (~2–3%).

Платформенные решения

«Лаборатория Касперского» — лидер российского рынка. Компания предлагает комплексные платформы для защиты конечных точек, инфраструктуры и облачных сред, включая Kaspersky Anti-Virus, Kaspersky EDR и Kaspersky OS. Positive Technologies специализируется на защите инфраструктуры, приложений и сетевой безопасности, развивает экосистему продуктов MaxPatrol, PT AF и PT NAD. У UserGate фокус на NGFW и сетевой безопасности, компания предлагает решения для сегментации сетей и защиты периметра. ИнфоТеКС — поставщик решений «Континент» для защиты сетей и VPN, работает с госсектором и КИИ.

SIEM / SOAR

Security Vision, R-Vision, RuSIEM («Ростелеком-Солар») и Positive Technologies представляют сегмент анализа событий. Решения обеспечивают сбор, корреляцию и автоматизированное реагирование на инциденты, интегрируются с отечественными СЗИ и поддерживают требования ФСТЭК/ФСБ.

DLP / Защита данных

InfoWatch, SearchInform, Solar Dozor — основные игроки рынка защиты от утечек. Платформы контролируют каналы передачи данных, анализируют контент и обеспечивают соответствие 152-ФЗ и отраслевым стандартам.

NGFW / Сетевая защита

UserGate, Ideco, «Континент» (ИнфоТеКС»), «Код Безопасности», InfoWatch ARMA, Positive Technologies предлагают межсетевые экраны нового поколения с функциями IPS, SSL-инспекции и приложениями контроля. Решения включены в реестр отечественного ПО и сертифицированы ФСТЭК.

MDR / SOC-as-a-Service

RED Security, Solar MSS, BI.ZONE MDR предоставляют управляемые сервисы мониторинга и реагирования. Модели MSSP/MDR востребованы в условиях дефицита кадров и роста деструктивных атак.

DevSecOps

Security Vision, Xello, CyberCodeReview, SourceCraft (Yandex) разрабатывают инструменты безопасной разработки: анализ кода, сканирование уязвимостей, Policy-as-Code. Решения интегрируются в CI/CD-конвейеры и поддерживают SSDLC-подход.

Биометрия / Аутентификация

«Аладдин», BioLink, VisionLabs, NtechLab разрабатывают решения для идентификации по отпечатку, лицу и голосу. Продукты применяются в СКУД, мобильной аутентификации и ЕСИА.

Основные киберугрозы

Деструктивные атаки как новая норма. В топе угроз, приведших к остановке бизнеса, — вирусы-шифровальщики (44%, включая LockBit, Babyk) и вайперы (32%), полностью уничтожающие инфраструктуру. Тактика «выжженной земли» сменила DDoS и дефейсы.

Компрометация подрядчиков как главный вектор. Атаки через доверенные отношения с ИТ-сервисными провайдерами стали ключевым вектором проникновения в крупные компании. Взлом подрядчика дает злоумышленникам «ключи от всех дверей» его клиентов.

Базовые уязвимости внешнего периметра. 65% инцидентов связаны с проблемами в трех компонентах: OpenSSH, Nginx и Apache HTTP Server. Критически устаревшее ПО (например, OpenSSH версии 2016 года) формирует легкую для эксплуатации поверхность атаки. У 53% критических уязвимостей уже есть публичный эксплойт.

Профессионализация фишинга. У 40% фишинговых доменов в 2025 году была настроена собственная почтовая инфраструктура (MX-запись), что повышает доверие к рассылкам и усложняет обнаружение.

Маскировка под легитимную активность (LOTL). Атакующие массово используют встроенные в ОС утилиты (PowerShell, WMI), чтобы сливаться с фоном легитимных действий администраторов.

Тренды 

Компании все чаще оценивают эффективность кибербезопасности по скорости восстановления после инцидента и минимизации ущерба. Поэтому главный тренд — переход к стратегии, направленной на предотвращение атак,  за  счет обеспечения киберустойчивости систем на стороне заказчика.

Искусственный интеллект как двойной мультипликатор. ИИ стал центральным элементом как атакующих, так и защитных стратегий. Злоумышленники активно используют генеративные модели для автоматизации фишинга, создания правдоподобных дипфейков и разработки вредоносного кода. По оценкам Servicepipe, порядка 30% всех DDoS-атак в 2025 году было проведено с применением ИИ, а к 2026 году их доля может вырасти минимум вдвое. В ответ вендоры интегрируют ИИ-возможности во все классы решений — от DLP для анализа изображений и неструктурированного контента до SIEM/XDR для выявления аномалий и корреляции событий. Однако эксперты подчеркивают: ИИ — это усилитель экспертизы, а не ее замена.  

Моделирование поведения. Так называемый Threat Profiling конкретных противников и их TTPs (тактик, техник и процедур). Основной вопрос: «Какие методы используют те, кто охотится на наш сектор, и готовы ли мы реагировать на них?». На первый план выйдет практическое использование фреймворка MITRE ATT&CK.

Вырастут бюджеты на кризис-менеджмент и симуляцию угроз. После громких инцидентов компании будут активнее вкладываться в проверку кризисного реагирования через настольные и штабные учения, вовлекая топ-менеджмент.

Threat-led пентестинг. Тестирования на проникновение для проверки катастрофических сценариев: возможность уничтожения резервных копий, вывод из строя ключевых систем, демонстрация массовых утечек

Быстрые аудиты критичных зон (внешний периметр, готовность к фишингу, работоспособность резервных копий) для получения краткого списка приоритетных действий, а не объемного отчета.

Сервисные модели будут дополнены страхованием. Спрос на управляемые сервисы безопасности (MSSP/MDR) и аутсорсинг SOC растет темпами, опережающими рынок продуктов. На этом фоне набирает популярность киберстрахования: страховщики все чаще требуют от клиентов реализации конкретного набора мер защиты, прохождения ИБ-аудита и пентеста, что повышает вовлеченность бизнеса в вопросы безопасности и формирует новый рынок услуг.

Новинки вендоров кибербезопасности 2025 года 

Компания Security Vision (ГК «Интеллектуальная безопасность») представила первую в России отечественную платформу безопасной разработки Security Vision ASOC. Решение объединяет разрозненные DevSecOps-инструменты в единый управляемый конвейер на всех этапах жизненного цикла ПО (SSDLC), реализуя подход Policy-as-Code. 

Проект «РТК-Феникс», запущенный «Ростелекомом» в январе 2025 года, создал первый в России внутренний репозиторий с десятками тысяч верифицированных компонентов, свободных от недекларированных возможностей и уязвимостей. Это прямой ответ на главную угрозу 2025 года — атаки на цепочки поставок.

Для автоматизации анализа кода появились специализированные инструменты. CyberCodeReview, созданный с фокусом на раннее выявление классических уязвимостей (SQLi, XSS), бесшовно интегрируется в рабочий процесс через GitHub и GitLab. Более продвинутая платформа SourceCraft от Yandex B2B Tech поддерживает анализ кода на 30+ языках с использованием ИИ для контекстного анализа, что сделало ее популярной в крупных корпорациях.

В области runtime-защиты (технология кибербезопасности, встроенная непосредственно в приложение или среду его исполнения, прим.ред.)  первым отечественным решением стал Runtime Radar — инструмент для мониторинга безопасности в Kubernetes. Он использует технологии eBPF и Tetragon для обнаружения аномалий в реальном времени без нагрузки на систему, что особенно важно для облачных и микросервисных архитектур.

ФГБУ «ЦЭКИ» (Федеральное государственное бюджетное учреждение «Центр экспертизы и координации информатизации»)  масштабировал сервис «Госключ» — массовую мобильную электронную подпись. К концу 2025 года количество устройств с установленным мобильным СКЗИ (средства криптографической защиты информации) превысило 19,2 млн (+121% к 2024 году). В 2026 году запланирован запуск версии для ПК (Windows 10, Astra Linux, Debian), также будет подключена дистанционная идентификация ЮЛ/ИП по биометрии или действующему сертификату с поддержкой подписания документов в офисных форматах (.doc, .xlsx и др.).

Мнение рынка

Антон Соложенко, директор по развитию бизнеса InfoWatch ARMA:

Вырос спрос на решения для обеспечения информационной безопасности. С другой стороны, жесткость денежно-кредитной политики также повлияла на отрасль: многие компании в силу экономической ситуации не могут или не готовы инвестировать в безопасность столько, сколько требует ситуация, поэтому согласование расходов на ИБ внутри компаний проходит сложнее. Общий результат этих тенденций — емкость рынка сохранилась примерно на том же уровне.

Сергей Груздев, генеральный директор компании «Аладдин»:

В 2025 году пришло понимание, что источником многих проблем с безопасностью (взломы, утечки и пр.) является неправильная, слабая подсистема идентификации и аутентификации пользователей. Компании осознали, что эпоха паролей прошла, от них надо окончательно отказаться и перейти на новые технологии, в том числе с использованием биометрии по отпечаткам пальцев.  Проиграют те, кто продолжит бороться с последствиями, а не устранять причины инцидентов ИБ.

Дарья Волкова, руководитель отдела маркетинга Softlogic:

Искать пути развития только в рамках своей ниши в нынешних реалиях — непростительная ошибка. Поэтому одним из трендов стало  заимствование подходов и технологий из смежных сфер. Например, уже привычное для сегмента B2C взаимодействие с голосовым помощником можно адаптировать и для более прикладных промышленных задач с учетом технологических требований и специфики отрасли.  

Андрей Масалович, генеральный директор АО «Инфорус»:

Три главных стратегических возможности для бизнеса, с моей точки зрения, сегодня лежат в сферах импортозамещения, цифровой инфраструктуры и развития регионов. Ощутимых среднесрочных трендов более десятка, основные, пожалуй, это развитие аналитики больших данных, взросление в практической работе с ИИ и борьба/взаимодействие с законодателями в сфере построения доверенной среды использования ИИ.

Андрей Кузнецов, ML-директор Positive Technologies

Если раньше выявлять массовые атаки удавалось по простым сигнатурам и известным уязвимостям, то современные техники злоумышленников позволяют избегать привычных методов обнаружения, маскировать активность под легитимную и быстро увеличивать площадь атаки. Чтобы обеспечить безопасность бизнеса, мы будем и дальше развивать продукты для защиты конечных устройств, внедряя в них среди прочего технологии машинного обучения.