Цифровая системная архитектура

© Алексей Аменицкий, 2026

ISBN 978-5-0069-2819-0

Создано в интеллектуальной издательской системе Ridero

ЦИФРОВАЯ СИСТЕМНАЯ АРХИТЕКТУРА

– Прогнозирование тенденций кибербезопасности на 2026 год: вызовы искусственного интеллекта, квантовых угроз и эволюция модели угроз для критической инфраструктуры

Глава посвящена анализу и систематизации ключевых тенденций в области кибербезопасности, прогнозируемых экспертами на 2026 год. На основе синтеза более чем 140 экспертных прогнозов от ведущих мировых специалистов выделены пять доминирующих макротрендов: (1) формирование новой атакующей поверхности на базе агентного ИИ и МСР (Model Context Protocol); (2) рост угроз, связанных с «теневым» и неуправляемым ИИ (shadow AI); (3) переход киберпреступности к атакам на цепочки поставок услуг и SaaS-экосистему; (4) ускорение «квантового перехода» в криптографии и необходимость гибридных PQC-стратегий; (5) эскалация рисков в сегменте операционных технологий (OT/ICS) и критической инфраструктуры под влиянием гибридных конфликтов. Особое внимание уделено специфическим аспектам для российского сегмента: слабой зрелости OT-безопасности, дефициту квалифицированных кадров, регуляторным пробелам в области ИИ и дисбалансу IT/OT-политик. Представлены рекомендации по построению устойчивой архитектуры безопасности в условиях гиперавтоматизации.

Введение

Современная информационная безопасность находится в условиях беспрецедентного технологического сдвига, обусловленного широкомасштабной интеграцией генеративного и агентного искусственного интеллекта (ИИ), ускоренной цифровизацией критической инфраструктуры и приближением квантовой угрозы к практической реализации. По оценкам Gartner, к концу 2026 года до 40% корпоративных приложений будут содержать встроенные ИИ-агенты, способные принимать автономные решения в рамках предопределённых сценариев [1]. Одновременно NIST прогнозирует, что к 2026 году количество новых уязвимостей в программном обеспечении превысит 50 000 ежегодно, что делает традиционные методы приоритизации рисков несостоятельными [2].

В российском контексте данные тенденции усугубляются спецификой нормативного регулирования (ФЗ-152, ФЗ-187, ГОСТ Р ИСО/МЭК 27001—2022), недостаточной зрелостью систем защиты промышленных систем управления технологическими процессами (АСУ ТП) и растущей зависимостью ключевых отраслей (энергетика, транспорт, ЖКХ) от иностранных облачных и SaaS-решений. В этих условиях необходима системная научная оценка прогнозируемых угроз и векторов развития защитных мер.

Целью настоящей работы является обобщение и критический анализ прогнозов ведущих мировых экспертов по кибербезопасности на 2026 год с акцентом на их применимость в условиях российской критической инфраструктуры.

1. Агентный ИИ как новая атакующая поверхность

1.1. Протоколы типа MCP и расширение attack surface

Одной из наиболее консенсусных тенденций является формирование новой атакующей поверхности на стыке ИИ и API-инфраструктуры. По мнению М. Аджейи (Illumio) и П. Салливана (Akamai), ключевую роль будет играть Model Context Protocol (MCP) и иные протоколы, обеспечивающие взаимодействие ИИ-агентов с корпоративными системами [3, 4]. В отличие от традиционных REST/gRPC-API, MCP оптимизирован для динамического связывания агентов и часто развёртывается без базовых механизмов аутентификации и контроля доступа. Уже в 2025 году зафиксированы случаи утечек данных через неавторизованные подключения к векторным базам и административным API [5].

Прогноз на 2026 г.: первая крупномасштабная утечка, инициированная компрометацией MCP-канала (S. Man, Backslash Security) [6].

1.2. «Теневой ИИ» и эрозия контроля

«Shadow AI» – несанкционированное использование сотрудниками облачных LLM (например, Copilot, Claude, Gemini) – признан серьёзной внутренней угрозой рядом экспертов (L. Belkind, R. Degges, M. Hillary) [3, 7, 8]. В отличие от классического «теневого ИТ», ИИ-агенты обладают автономностью и могут создавать и исполнять код, обрабатывать PII и корпоративные секреты без логирования. В РФ данная угроза усугубляется отсутствием в ФЗ-152 чётких требований к обработке данных в LLM и отсутствием отечественных аналогов, соответствующих уровню безопасности ГИС класса К1—К2.

1.3. «Наивный ИИ» и возврат старых уязвимостей

Термин vibe coding (кодирование по ощущениям) описывает практику, при которой пользователи формулируют задачи для ИИ без понимания безопасности (Y. Gurt, Reflectiz) [9]. Как следствие, ИИ-генерируемый код часто содержит уязвимости, устранённые в индустрии ещё в 2010-х гг. (например, SQL-инъекции, XSS в динамически формируемых шаблонах) [9]. Особенно актуально это для промышленных предприятий, где код разрабатывается силами инженеров-не-программистов.

2. Эволюция цепочек поставок и SaaS как основной вектор атаки

Эксперты единодушны: в 2026 г. основной фокус атакующих сместится с программного обеспечения на услуги и SaaS-интеграции (M. Adjei, J. Bee, M. Britton) [3, 10, 11]. Причины:

– высокая степень доверия к SaaS-провайдерам (OAuth, SSO);

– широкие полномочия при интеграции (например, full_access к почте и CRM);

– отсутствие базового уровня безопасности (MFA, аудит логов) у многих провайдеров в сегменте SMB.

В условиях российского рынка, где доминируют иностранные SaaS-решения (Microsoft 365, Salesforce, Zoom), данная угроза приобретает характер системной уязвимости национальной ИК-инфраструктуры, особенно в свете требований ФЗ-187 о локализации КИИ.

Прогноз на 2026 г.: первая атака уровня «SolarWinds для SaaS», где компрометация одного провайдера затронет тысячи организаций (M. Britton) [11].

3. Квантовые угрозы: переход от теории – к практическим действиям

Хотя криптографически релевантные квантовые компьютеры (CRQC) в 2026 г. маловероятны, угроза Harvest Now, Decrypt Later уже реализуется (M. Carroll, A. Schulze Dias) [12, 13]. Согласно отчётам Mandiant, в 2024—2025 гг. зафиксированы кампании с целевой кражей зашифрованных данных, срок жизни которых превышает 10 лет (патенты, ДСП, ГТП), – именно такие данные станут приоритетной целью для расшифровки в постквантовую эпоху.

В РФ разработаны национальные стандарты постквантовой криптографии (ГОСТ Р 34.10—2023, ГОСТ Р 34.12—2023), однако их внедрение в промышленные системы (SCADA, АСУ ТП) остаётся на уровне пилотных проектов. Критически важным становится:

– создание криптографического инвентаря (как предписывает NIST SP 1800—38) [14];

– переход к гибридным схемам (классические алгоритмы + PQC);

– использование QKD (квантовое распределение ключей) в сегментах, требующих максимальной защиты (ядерная энергетика, ВПК).

4. OT/ICS-безопасность: от теоретической угрозы – к физическим последствиям

Эволюция угроз для операционных технологий признана ключевым трендом 2026 года (S. Boyer, Bitsight; F. Dankaart, NCC Group) [2, 15]. Отмечается переход от классического шифрования данных к операционному саботажу:

– атаки на ICS-контроллеры (PLC, RTU);

– нарушение работы систем безопасности (SIS);

– целенаправленное создание аварийных ситуаций (например, отключение систем охлаждения, повышение давления в трубопроводах).

Российские АСУ ТП особенно уязвимы ввиду:

– значительной доли устаревшего оборудования без поддержки современных протоколов шифрования (Modbus/TCP без TLS, DNP3 без аутентификации);

– слабой зрелости практик мониторинга и сегментации сети (microsegmentation);

– отсутствия сертифицированных специалистов по OT-безопасности (в 2025 г. вакансий «инженер по безопасности АСУ ТП» в РФ – менее 20, при сотнях КИИ).

Прогноз на 2026 г.: первые подтверждённые инциденты с локальными физическими последствиями (отключение электроснабжения района, авария на производственной линии) [2].

5. Регуляторная динамика: от compliance – к resilience

В 2026 г. ожидается переход от формального соответствия требованиям (compliance) к подтверждаемой устойчивости (resilience) (S. Boyer, S. Tufts) [2, 16]. Ключевые факторы:

– вступление в силу Цифрового акта операционной устойчивости (DORA) в ЕС с 2025 г. и его глобальное влияние;

– Киберустойчивостый акт ЕС (CRA), вступающий в силу в 2027 г., но требующий подготовки уже в 2026 г. (SBOM, управление уязвимостями «by design») [17];

– давление регуляторов на раскрытие информации об инцидентах в режиме реального времени (CIRCIA в США).

Для РФ актуальной задачей остаётся гармонизация требований ФСТЭК (Методические рекомендации по защите КИИ) и Банка России (Указание №5546-У) с международными стандартами (ISO/IEC 27001:2022, ISO/IEC 27005:2022), особенно в части управления поставщиками и third-party risk.

6. Эмпирические данные по эволюции угроз в 2025 г. и прогнозы на 2026 г.: результаты глобальных исследований Akamai и RSA Conference

6.1. Ключевые тенденции 2025 года: рост сложности атак при доминировании «базовых» векторов

Согласно ежегодному отчёту Akamai State of the Internet / Security (SOTI) за 2025 г., наблюдается парадоксальная дихотомия в современном киберландшафте: несмотря на рост сложности атакующих инструментов и широкое внедрение ИИ, наибольшее число инцидентов по-прежнему связано с фундаментальными уязвимостями – отсутствием многофакторной аутентификации (MFA), несвоевременным патчингом и социальной инженерией [1]. В частности, Akamai отмечает, что «…the more complex the threats are, the more important the basics are» [33, p. 3], что подтверждается статистикой: до 60% инцидентов в 2025 г. были возможны исключительно из-за пренебрежения базовыми мерами гигиены безопасности.

Одновременно с этим зафиксирован беспрецедентный рост Distributed Denial-of-Service (DDoS) -атак объёмом свыше 1 Тбит/с – такие атаки перешли из категории «теоретической угрозы» в разряд регулярных событий. При этом, как отмечают эксперты Akamai, современные инфраструктурные платформы (включая CDN-сети и облачные сервисы) способны оперативно нейтрализовать такие атаки при условии их централизованной обработки и поддержки квалифицированным персоналом [33]. Однако повышается доля гибридных атак, сочетающих DDoS с эксплуатацией уязвимостей прикладного уровня (L7), а также нацеленных на нарушение бизнес-процессов через обходные векторы, например – компрометацию служб поддержки клиентов для сброса учётных данных [33].

Критически важным наблюдением Akamai стало возрождение и эволюция ботнета Mirai, в том числе появление новых, более мощных его вариантов, способных использовать не только IoT-устройства, но и корпоративные серверы и edge-ноды [33]. Это указывает на расширение атакующей поверхности и подтверждает необходимость микросегментации и строгого контроля за «умными» устройствами в OT/ICS-сегментах.

6.2. ИИ как двойной меч: ускорение как атак, так и защиты

В 2025 г. произошёл качественный переход от экспериментального использования ИИ к его практической интеграции в циклы кибератак. В отчёте Akamai подчёркивается: «AI is powering successful attacks and posing challenges for conventional defenses… attacks are harder to detect, have more impact, and achieve their objectives faster» [33, p. 2]. Особенно тревожным является факт, что ИИ снижает барьеры входа для атакующих: «Threat actors no longer need to be skilled coders; they can use AI to verbally build and mount an attack» [33, p. 1]. Это ведёт к демократизации киберпреступности – в 2026 г., по прогнозам Akamai, ожидается полная «демократизация ransomware» за счёт комбинации RaaS и ИИ-ассистированного «vibe-hacking» [33, p. 3].

Однако ИИ активно используется и в защитных целях. Отмечается рост внедрения внутренних AI-ассистентов в SOC-команды для передачи экспертизы менее опытным сотрудникам, а также применения ИИ для выявления аномалий в поведенческих паттернах, незаметных для традиционных средств [33]. Важно, что победа в ИИ-гонке определяется не наличием модели, а уровнем грамотности в её применении – отсюда вытекает необходимость введения обязательной ИИ-грамотности в корпоративные стандарты обучения персонала по ИБ [33].

6.3. API и LLM как доминирующие векторы атак в 2026 г.

По прогнозу Akamai, в 2026 г. API-интерфейсы станут основным источником утечек данных на прикладном уровне, превысив по доле инцидентов фишинг, веб-эксплуатацию и другие традиционные векторы [33]. В регионе АТР уже 65% организаций не могут идентифицировать, какие из их API обрабатывают конфиденциальные данные, а 94% – сообщают об инцидентах, связанных с API, за последний год [33].

Особую тревогу вызывает тенденция к так называемому «vibe-coding» – использованию генеративного ИИ (GenAI) для быстрого создания API без формального Threat Modeling и аудита безопасности. Это ведёт к росту числа:

– неправильно настроенных CORS-политик;

– отсутствующей авторизации в эндпоинтах;

– утечек через незащищённые LLM-прокси.

В этих условиях API-безопасность становится критически важным элементом защиты LLM. Как констатирует Akamai: «Typically an LLM will need to transit an API at some point, making API protection critical… [it] can be used to identify critical traffic, such as determining whether it’s an LLM or a human trying to access something» [33, p. 2]. Таким образом, мониторинг и инвентаризация API-трафика становятся де-факто стандартом для выявления несанкционированного использования ИИ внутри организации – так называемого shadow AI.

6.4. Регуляторный и технологический контекст: квантовая угроза и IoT-резилиентность

Отчёты Akamai подчёркивают, что постквантовая криптография (PQC) переходит из стадии исследований в фазу практического развертывания. В 2025 г. начали появляться первые сертификаты, совместимые со стандартами NIST (например, CRYSTALS-Kyber), однако ключевой проблемой остаётся неоднородность клиентских платформ: значительная доля пользователей по-прежнему использует браузеры и ОС, не поддерживающие PQC-алгоритмы [33].

Ожидается, что в 2026 г. этот вопрос будет решаться через:

– постепенный переход на гибридные схемы (RSA + PQC);

– стимулирование обновления клиентского ПО (в т.ч. через требования к совместимости в госзакупках);

– внедрение квантово-устойчивых протоколов в защищённые сегменты (например, КИИ класса 1 и 2 по ФЗ-187).

Особое внимание уделяется регуляторным инициативам в области IoT-безопасности. В частности, Cyber Resilience Act (CRA) ЕС, вступивший в силу в 2024—2025 гг., вводит единые требования к безопасности устройств «от фабрики до утилизации». Это включает:

– обязательное наличие SBOM;

– поддержку безопасного обновления прошивок (FOTA);

– криптографическую аутентификацию устройств в сети.

Как отмечает Akamai, «CRA provides a harmonized approach… designed to simplify compliance and avoid overlapping regulations» [33, p. 2], что снижает барьеры для международных вендоров, но одновременно повышает требования к российским производителям, ориентированным на экспорт.

6.5. Данные опроса RSA Conference 2025: смещение фокуса с предотвращения – к восстановлению

Согласно отчёту Cybersecurity Pulse Report: RSAC 2025 (опубликовано ISMG), на крупнейшей в мире конференции по кибербезопасности произошёл концептуальный сдвиг в стратегическом мышлении: более 78% респондентов (CISO и руководителей SOC) заявили, что их организация официально перешла от парадигмы «предотвратить проникновение» к парадигме «предположить компрометацию» (assume breach) [34, p. 5].

Ключевые метрики резилиентности, по данным опроса, теперь включают:

– время восстановления (RTO) критических сервисов – не более 4 часов для 61% организаций;

– наличие изолированных «кибер-хранилищ» (air-gapped backups) – 85% респондентов;

– внедрение механизмов integrity validation при восстановлении – 67%.

Особую тревогу вызывает дефицит кадров в OT-сегменте: 92% респондентов из энергетики, транспорта и промышленности сообщили о нехватке специалистов, обладающих компетенциями как в информационных, так и в операционных технологиях. Лишь 18% организаций используют специализированные инструменты для мониторинга промышленных протоколов (Modbus, DNP3, Profinet), что создаёт критические слепые зоны в обнаружении атак на физические процессы [34, p. 8].

Наконец, отчёт констатирует рост числа внутренних инцидентов, связанных с недобросовестным использованием ИИ сотрудниками. 43% организаций зафиксировали утечки данных через несанкционированные LLM (например, Copilot, Gemini), при этом 29% инцидентов произошли в организациях, официально запретивших использование внешних ИИ-сервисов – что указывает на неэффективность запретительных политик без комплексного подхода к управлению рисками [34, p. 12].

Эмпирические данные 2025 г. подтверждают гипотезу о структурной трансформации модели угроз под влиянием генеративного и агентного ИИ: рост скорости атак (time-to-exploit сокращается с недель до часов), смещение фокуса на цепочки поставок и API, повышение роли человеческого фактора в условиях автоматизации. При этом наиболее уязвимыми остаются организации, которые:

– недооценивают базовые меры защиты (MFA, патчинг, сегментация);

– не ведут инвентаризацию API и AI-ресурсов;

– игнорируют риски, связанные с OT/ICS-интеграцией;

– применяют запретительные, а не риск-ориентированные подходы к использованию ИИ.

Эти выводы актуализируют необходимость перехода от формального соответствия требованиям к доказуемой резилиентности, основанной на регулярных учениях, кибер-дайджестах и квантифицированном управлении рисками.

7. Прогнозируемые киберугрозы 2026 года и контрмеры

Таблица 1

«Прогнозируемые киберугрозы 2026 года и контрмеры»

Заключение

2026 год станет переломным в области кибербезопасности: переход от реактивной защиты к проактивной устойчивости, от человеческого фактора к гибридному «человек + агент», от изолированных систем к экосистемной безопасности. Для российских организаций, эксплуатирующих АСУ ТП и КИИ, это требует:

– Срочного аудита ИИ-использования, включая выявление «теневых ИИ-агентов» и введение корпоративных гвардрейлов;

– Приоритизации PQC-миграции для данных с длительным сроком жизни, с опорой на национальные стандарты;

– Создания OT-SEC команд с гибридной экспертизой (IT + автоматизация + ИБ);

– Перехода к риск-ориентированному подходу, основанному на атакующих путях (attack path modelling) и динамической оценке экспозиции.

Игнорирование этих вызовов с высокой вероятностью приведёт к инцидентам с тяжёлыми операционными, репутационными и регуляторными последствиями.

@@@@@@@@@@@@@@@@@@@@@@@@@@@

– Многоступенчатый процесс создания Архитектуры кибербезопасности

Архитектура кибербезопасности определяет, какие средства контроля требуются для защиты критически важной информации и приемлемого уровня риска. Архитектор кибербезопасности может предоставить ответы на проблемы безопасности компании. Архитектура кибербезопасности включает в себя управление рисками, защиту от вредоносных программ, сеансы информирования и настройку безопасности. Кибербезопасность относится к проектированию и обслуживанию устройств в сетях для их защиты от вредоносных атак или несанкционированного доступа. Она предотвращает несанкционированный доступ к людям, процессам и технологиям посредством многих видов атак. Проектирование систем, в которых могут успешно протекать эти процессы, тоже относится к архитектуре безопасности.

Цель архитектуры кибербезопасности

Архитектура кибербезопасности теперь обязательна для организаций. Рассмотрим, каковы цели архитектуры кибербезопасности. Малые и крупные предприятия должны внедрить объединенную архитектуру кибербезопасности для защиты своих наиболее важных активов от передовых кибератак. Организации могут устранить пробелы в безопасности, снизить риски и повысить операционную эффективность, применяя целостный подход к построению архитектуры кибербезопасности. Консолидированная архитектура безопасности – это многоуровневый целостный подход к кибербезопасности. Она обеспечивает наглядное представление об угрозах организации при снижении общей стоимости владения и повышении операционной эффективности.

Минимизировать, смягчать скрытые или динамические кибератаки

Для обеспечения того, чтобы поверхности кибератак были небольшими и хранились в тайне, они могли незаметно перемещаться к целям угрозы, и их было трудно обнаружить и проникнуть с помощью киберугроз -убедитесь, что все ваши конфиденциальные данные надежно зашифрованы и передаются с использованием сквозных методов шифрования. Контрмеры, такие как средства защиты от движущихся целей, используются для активного обнаружения, смягчения последствий и противодействия всем кибератакам (MTD).

Особенности архитектуры кибербезопасности

Основой защиты организации от кибератак является ее архитектура кибербезопасности, которая гарантирует защиту всех компонентов ее ИТ-инфраструктуры. Сила структуры безопасности организации имеет решающее значение для ее успеха. Надежный корпоративный план, эффективная рабочая сила и ответственные руководители с опытом ведения бизнеса – все это необходимо. Последовательность и преданность делу всех вышеперечисленных сотрудников – это то, что создает мощную команду, и создание надежной архитектуры кибербезопасности не является исключением. Это демонстрирует, насколько важно, чтобы архитектура кибербезопасности вашей организации была безупречной, чтобы защитить ее от внешних атак. Киберугрозы и нарушения кибербезопасности бывают самых разных форм и размеров, и они постоянно меняются. В результате крайне важно, чтобы компания поддерживала высокий уровень осведомленности о безопасности и была осведомлена о процедурах и стратегиях, которые могут быть использованы для борьбы с потенциальными угрозами. что такое архитектура кибербезопасностиЗдесь, в этом посте, давайте углубимся в нюансы того, что такое архитектура кибербезопасности и важнейшие особенности архитектуры кибербезопасности.

Архитектура кибербезопасности, которая также известна как «архитектура сетевой безопасности», представляет собой структуру, которая определяет организационную структуру компьютерной сети, стандарты, политики и функциональное поведение, включая как аспекты безопасности, так и сетевые аспекты. Способ организации, синхронизации и подключения различных внутренних модулей вашей кибернетической или компьютерной системы часто называют архитектурой кибербезопасности. Архитектурная основа кибербезопасности является частью общей архитектуры системы. Она создается для содействия общему дизайну продукта или системы. Архитектура безопасности помогает определить расположение средств контроля безопасности и противодействия взлому, а также то, как они соотносятся с более широкой системной структурой вашей компании. Основная цель этих средств контроля – поддерживать качественные характеристики вашей основной системы, такие как конфиденциальность, целостность и доступность. Это также сотрудничество специалистов в области оборудования и программного обеспечения с талантами программистов, исследовательскими способностями и разработкой политики. Чтобы иметь более четкое представление о том, что такое архитектура кибербезопасности, давайте углубимся в компонент, имеющий решающее значение для архитектуры безопасности.