Аналитическая справка по киберучениям

В исследовании представлен анализ российского и мирового рынка киберучений. Цель — оценить, насколько схожа динамика рынка киберучений в России и за рубежом, а также проследить, как изменилось отношение компаний к киберучениям за последние годы.

Представленные данные, выводы и прогнозы основаны на собственной экспертизе компании Positive Technologies, информации из авторитетных открытых источников, а также на результатах опроса, проведенного в I квартале 2026 года. В опросе приняли участие более 100 специалистов, деятельность которых связана с формированием стратегий, организацией процессов и принятием ключевых решений по обеспечению информационной безопасности в организации.

Большая часть респондентов — представители очень крупных¹ и крупных² организаций (61%), доля среднего³ бизнеса составила 39%.

В исследовании приняли участие представители разных отраслей экономики, включая финансовый сектор, промышленность, телекоммуникации, ИТ-компании, госучреждения, транспорт, образование, торговлю, сферу услуг, здравоохранение и другие организации. При этом распределение респондентов по отраслям было равномерным.

На основе анализа качественных и количественных данных были определены подходы к организации киберучений в России и за рубежом, рекомендуемая периодичность проведения тренировок в зависимости от уровня рисков и зрелости процессов кибербезопасности, примерные бюджеты на киберучения, форматы проведения тренировок, причины, побуждающие организации их проводить, а также основные барьеры и опасения, которые препятствуют распространению практики регулярных киберучений. Полученные выводы позволяют рассматривать киберучения не как разовое мероприятие, а как важный элемент стратегии ИБ в условиях постоянно меняющихся угроз.

• Почти половина организаций (48%) оценивают текущий уровень зрелости системы ИБ как «средний». Треть опрошенных считают, что процессы реализованы у них на высоком уровне.
• Только 12% компаний используют для оценки зрелости ИБ формализованные стандарты и метрики, а 75% респондентов заявили о намерении внедрить эту практику в будущем.
• В 14% организаций никогда ранее не проводили и не собираются проводить киберучения, 28% опрошенных планируют начать организовывать тренировки. Среди компаний, которые уже проводили киберучения или собираются их провести в будущем, 34% полагаются только на собственные ресурсы и специалистов, еще 32% рассчитывают на помощь внешних провайдеров услуг ИБ. При этом 53% таких организаций планируют привлечь к тренировкам весь ИТ-отдел, 35% рассматривают возможность участия в тренировках всех сотрудников компании.
• Среди организаций, которые уже проводили киберучения, 60% считают, что они были эффективными, 38% опрошенных оценивают результаты нейтрально. Только 2% участников опроса оценили итоги киберучений, которые ранее проводились у них в организации, крайне негативно.
• Больше половины участников опроса (60%) проводят киберучения для выявления и устранения технических уязвимостей в ИТ-инфраструктуре.
• Среди форматов киберучений, которые наиболее интересны российским организациям, лидируют (59%) командные тренировки (red team или purple team) и практические упражнения в виртуальной среде (47%).
• Меньше половины (41%) опрошенных считают оптимальным проводить киберучения два раза в год, 25% — раз в квартал, еще 24% — раз в год.
• Что касается средств, 28% организаций не имеют бюджета на киберучения, 62% респондентов готовы выделить на тренировки до 5 млн рублей.
• Чаще всего проведение киберучений затрудняют ограниченный бюджет (42%), отсутствие времени у ключевых сотрудников (42%), сложности с привлечением участников из разных подразделений (34%) и недостаток внутренней экспертизы (31%).
• У большинства (51%) опрошенных наибольшее беспокойство при планировании киберучений связано с возможными сбоями в работе ИТ-систем во время тренировок. Чуть меньше респондентов (42%) отталкивает высокая стоимость и сомнения в оправданности этих расходов. Еще 41% опасаются за безопасность и конфиденциальность данных при моделировании атак.

Увеличение числа и сложности атак

Простой фишинг с опечатками и подозрительными ссылками остался в прошлом: уже в 2024 году около 78% компаний столкнулись с целевыми и APT-атаками. Распространенность облачных сервисов, удаленной работы и интернета вещей расширила поверхность атак до такой степени, что традиционные методики обучения реагированию перестали покрывать актуальные сценарии инцидентов. По нашим данным, массовые атаки, поддерживаемые развитием искусственного интеллекта, тоже эволюционировали и стали более опасными.

Киберучения закрывают этот разрыв, позволяя воспроизводить разные векторы атак в контролируемой среде. Практическая польза регулярных тренировок подтверждается данными: организации, проводящие киберучения дважды в год, реагируют на инциденты на 35% быстрее тех, которые ограничиваются теоретической подготовкой.

Спрос на практико-ориентированное обучение навыкам ИБ

Организации стали чаще признавать неэффективность теоретического обучения: знание процедур не равно способности выполнить их в условиях стресса, дефицита информации и времени. В рамках киберучений команды могут отрабатывать обнаружение и реагирование на потенциальные угрозы без риска для систем организации. Такой способ подготовки формирует не знания, а умения. Киберучения также дают возможность непрерывно актуализировать уже полученные навыки, что особенно важно в условиях постоянно изменяющегося ландшафта угроз.

Усиление требований регуляторов ИБ и государственные инициативы

Правительства разных стран последовательно финансируют мероприятия по проведению киберучений, превращая их в обязательный элемент стратегии национальной безопасности. По данным Marketing Growth Reports, в Евросоюзе планируется выделить более 250 млн евро на развертывание платформ для киберучений в государственных организациях.

Государственные и оборонные ведомства используют киберучения для отработки тактик противодействия организованным атакам. Контракты, спонсируемые такими ведомствами, обычно предполагают долгосрочное сопровождение и регулярное проведение мероприятий, тем самым создавая устойчивый спрос на рынке киберучений.

Дефицит кадров в сфере кибербезопасности

В мире насчитывается 4,8 млн незакрытых вакансий в сфере кибербезопасности, что на 19% больше, чем годом ранее. Бюро статистики труда США⁴ прогнозирует 29-процентный рост спроса на рабочие места в этой сфере к 2034 году. На российском рынке ИБ к 2027 году дефицит кадров может увеличиться до 54–65 тысяч специалистов. При этом, по данным IBM, организациям, испытывающим серьезный дефицит кадров в ИБ, утечка данных обходится⁵ на 1,76 млн долларов дороже, чем организациям с полностью укомплектованным штатом. В таких условиях компании будут вынуждены инвестировать в повышение квалификации уже нанятых сотрудников, используя киберучения для развития узких профессиональных компетенций.

В зависимости от уровня сложности киберучения подходят как для дообучения новичков, так и для поддержки квалификации опытных специалистов. Образовательные учреждения наиболее активно реагируют на эту потребность рынка: более 420 университетов добавили киберучения в свои образовательные программы. Выпускники, получившие практический опыт, выходят на рынок труда с уже сформированными компетенциями, что снижает затраты работодателей на дообучение.

Несмотря на устойчивый спрос по всему миру, компании, решившиеся 
на проведение киберучений, сталкиваются с множеством ограничивающих факторов, которые создают разрыв между декларируемой необходимостью практической подготовки команд и реальной возможностью проведения полноценных киберучений.

Высокая стоимость проведения киберучений

На начальном этапе развертывание платформы для киберучений требует значительных финансовых вложений, которые могут превышать 500 000 долларов. При этом ежегодные расходы на поддержку необходимой инфраструктуры могут достигать 120 000 долларов на один киберполигон. В частности, развертывание локального (on-premise) решения требует значительных инвестиций в оборудование и системы хранения данных. По данным Национального института стандартов и технологий США⁶, внедрение и поддержка киберполигона, построенного на собственной ИТ-инфраструктуре организации, могут быть дорогостоящими; при этом его может быть сложно масштабировать и совмещать с устаревшими программами и оборудованием. Такие условия создают непреодолимое препятствие для небольших компаний с ограниченным бюджетом на кибербезопасность, а также ограничивают распространение киберучений в регионах с развивающейся экономикой, таких как Африка и Юго-Восточная Азия. Облачные решения предлагают более доступную альтернативу, однако их распространение сдерживают опасения относительно конфиденциальности данных и других рисков безопасности.

Компаниям сложно измерить отдачу от вложений в киберучения

Руководителям служб ИБ сложно доказать руководству, что отсутствие 
инцидента — это результат проведенных тренировок и повышения квалификации сотрудников, а не просто везение или эффективность технических средств защиты. В свою очередь, результат киберучений имеет качественный, а не количественный характер, и его сложно конвертировать в понятные бизнесу метрики. Кроме того, организациям, проводящим киберучения, часто сложно оценить, насколько улучшились навыки команды, какие именно процессы требуют доработки и как эти изменения отразятся на реальной готовности к атакам. Эти факторы затрудняют обоснование инвестиций в это направление перед руководством, особенно если бюджет на кибербезопасность ограничен, и снижает вероятность проведения повторных учений.

Нехватка квалифицированных специалистов

Результаты исследования Global Growth Insights показали, что при внедрении киберполигонов около 59% организаций испытывают сложности, связанные с необходимостью выделить специалистов, которые будут заниматься его настройкой, обновлением, эксплуатацией, а также проведением учений. Еще 44% компаний сообщают о неполном использовании расширенного функционала уже приобретенных решений из-за недостатка внутренней экспертизы и опыта. Кроме того, киберпреступники постоянно разрабатывают новые методы обхода мер безопасности, что требует постоянного обновления моделируемых сценариев атак и еще больше затрудняет поддержу киберполигонов в актуальном состоянии.

Сложности взаимной интеграции и совместимости

На сегодняшний день на глобальном рынке представлены решения более 130 вендоров. Такое разнообразие создает проблемы совместимости при попытке интеграции с центрами мониторинга. Основная сложность здесь часто заключается в том, что киберполигоны используют эмулированные данные, которые трудно сопоставить с потоками информации из систем мониторинга (SIEM или SOAR) без потери производительности или создания «шума». Это мешает отрабатывать навыки в условиях, максимально приближенных к реальным атакам. По результатам опроса 2023 года, около 47% компаний отметили, что они сталкивались с такой проблемой. Кроме того, многие компании до сих пор используют устаревшие ИТ-системы, несовместимые с современными платформами, и их взаимная интеграция может быть сложной и ресурсоемкой задачей. В некоторых случаях для этого может потребоваться полная перестройка текущей сетевой конфигурации, что приведет к значительным затратам и сбоям в работе оборудования.

Отсутствие стандартизации методологий

На рынке нет единых требований к платформам для киберучений или утвержденных методик их проведения, которые бы позволили объективно сравнить разные решения и оценить их эффективность. Каждый вендор предлагает свой подход, метрики оценки эффективности и форматы проведения тренировок, что затрудняет выбор оптимального решения под конкретные задачи. Компаниям приходится разбираться во всем этом методом проб и ошибок, запускать «пилоты», сравнивать впечатления. Между тем потраченные время и ресурсы могли бы пойти на подготовку команды. Кроме того, качество обучения также будет зависеть от платформы и компании, которая будет проводить учения.

В мире регулярные «репетиции» инцидентов, максимально похожих на реальные кибератаки, постепенно становятся стандартной практикой. По разным данным⁷, объем глобального рынка киберучений, зафиксированный на отметке 2,54 млрд долларов в 2025 году, достигнет 2,82 млрд долларов по итогам 2026 года и, согласно консенсус-прогнозам, вырастет до 7,28 млрд долларов к 2035 году. Совокупный среднегодовой темп роста⁸ за период с 2026 по 2035 год оценивается в 11,1%.

Ключевым трендом 2025 года стало переосмысление роли киберучений в стратегии противостояния угрозам. По результатам опроса Proofpoint, 76% CISO ожидают серьезный инцидент, но 58% из них признают, что их команды не готовы или не полностью готовы к реагированию на сложные кибератаки. Результаты исследования⁹ Hack The Box показали, что 74% CISO собираются увеличить ежегодные бюджеты на проведение киберучений. При этом 77% опрошенных заявили, что они готовы еще больше их увеличить, при условии, что тренировки станут максимально приближенными к реальным условиям, и их можно будет легко интегрировать в рабочие процессы. Кроме того, 73% опрошенных назвали практико-ориентированное обучение с вовлечением как технических, так и нетехнических команд своим главным приоритетом в стратегии ИБ на 2025 год. Эксперты пришли к выводу, что основная причина этой тенденции — резкий рост количества кибератак в 2024 году, которые затронули крупные компании по всему миру. Именно это отметили 31% опрошенных; среди других опасений были названы отсутствие стратегии быстрого реагирования на инциденты (20%) и недостаток учений, которые не просто имитируют атаку, а предельно точно воссоздают условия реального инцидента (19%). Опрос также показал, что компании готовы перераспределить до 16% бюджета, выделенного на кибербезопасность, в пользу программ активной тренировки «боевых» навыков команды.

Киберучения постепенно становятся частью стратегии ИБ независимо от масштаба бизнеса. Однако структура спроса среди крупных предприятий и в сегменте малого и среднего бизнеса имеет существенные различия, обусловленные финансовыми возможностями и спецификой актуальных киберугроз.

Крупный бизнес, обладающий значительными ресурсами и сложной ИТ-инфраструктурой, является основным потребителем технологий и услуг на рынке киберучений. Именно на него приходится 70% глобального спроса, что в денежном выражении составило около 1,78 млрд долларов в 2025 году. По данным Marketing Growth Reports, в 2023 году 63% компаний из списка Fortune 1000¹⁰ проводили ежемесячные киберучения в формате противостояния красной и синей команд с участием более чем 500 сотрудников. Эта тенденция сохраняется до сих пор: только финансовые организации в прошлом году в рамках тренировок отработали более 15 000 сценариев нарушения безопасности. При выборе платформ для киберучений крупные заказчики отдают предпочтение локальным или гибридным решениям, которые полностью интегрируются в ИТ-инфраструктуру компании и поддерживают возможность масштабирования тренировок за ее пределы. Ожидается, что в период с 2026 по 2035 год среднегодовой темп роста этого сегмента рынка киберучений составит 11,7%, опережая рост всего рынка за счет потребности в непрерывных тренировках и усложнения киберугроз.

На малый и средний бизнес пришлось только 30% рынка киберучений (в денежном выражении — 760 млн долларов) в 2025 году. Для небольших компаний, которые тоже подвергаются кибератакам, определяющим критерием становится экономическая доступность облачных сервисов, позволяющих повышать квалификацию специалистов без значительных финансовых вложений. По состоянию на 2024 год, около 21 000 компаний малого и среднего бизнеса в Европе и Северной Америке использовали базовые конфигурации киберполигонов (преимущественно облачных или гибридных решений). Причем 72% из них были ориентированы на отработку сценариев, моделирующих атаки программ-вымогателей, которые считаются одной из наиболее вероятных и разрушительных угроз для таких компаний. Значимую роль в стимулировании спроса на киберучения среди небольших компаний имеют государственные меры финансовой поддержки. Например, в Великобритании и Германии существуют субсидии для малого и среднего бизнеса, которые покрывают существенную часть расходов на кибербезопасность, включая проведение киберучений и внедрение киберполигонов. Прогнозируемый среднегодовой темп роста этого сегмента рынка составляет 10,8% за период с 2026 по 2035 годы. Этот показатель подтверждает, что облачные решения значительно снижают порог входа и делают киберучения более доступными даже для компаний с минимальными бюджетами на кибербезопасность.

Глобальный рынок киберучений развивается неравномерно: в то время как одни регионы определяют тренды благодаря зрелым процессам кибербезопасности и поддержке государства, другие только начинают формировать практику киберучений. География спроса складывается под воздействием уникальных комбинаций геополитических факторов, регуляторного давления, национальных приоритетов и общего уровня зрелости процессов кибербезопасности.

Северная Америка

Североамериканский регион — лидер по объему глобального рынка киберучений, на который пришлось 42% (или 1,18 млрд долларов) от общемирового спроса в 2025 году. По данным Marketing Growth Reports, только в США функционирует более 300 крупных киберполигонов. При этом более 200 американских компаний из списка Fortune 500¹¹ проводят ежеквартальные киберучения, используя эти платформы. Наиболее активными заказчиками киберучений в регионе являются отрасли с повышенными требованиями к защите конфиденциальных данных и непрерывности бизнеса — здравоохранение, финансовый сектор и оборонно-промышленный комплекс.

В этом регионе укоренилась системная практика проведения киберучений: 74% крупных организаций используют киберполигоны для непрерывной подготовки персонала, 67% операторов критической информационной инфраструктуры тестируют на этих платформах процедуры реагирования на инциденты. При этом роль государства остается определяющей: государственные программы киберучений повлияли на 62% решений о внедрении регулярной практики тренировок в организации. Важный технологический тренд в Северной Америке — активная миграция киберучений в облако. 59% американских организаций выбирают облачные платформы из-за неограниченной возможности масштабирования и поддержки распределенной работы.

Отдельного внимания заслуживает практика регулярных киберучений, проводимых на государственном уровне. Она формирует устойчивый спрос на специализированные платформы и задает стандарты для индустрии. Регулярность и масштаб этих мероприятий делает их одним из наиболее значимых драйверов роста рынка киберучений в регионе. Так, учения Cyber Storm, проводимые Агентством по кибербезопасности и защите инфраструктуры США¹² раз в два года, остаются крупнейшим общенациональным мероприятием для отработки межведомственного взаимодействия. В апреле 2024 года в рамках Cyber Storm IX приняли участие более 2200 специалистов из госсектора и частных компаний. Участники отрабатывали действия в случае атак на облачные ресурсы и объекты критической инфраструктуры.

Параллельно Киберкомандование США¹³ проводит мероприятие Cyber Guard — ежегодные тактические киберучения по защите критической инфраструктуры США. Основная цель мероприятия — отработка взаимодействия между государственными структурами, военными ведомствами и частным сектором. Киберучения Cyber Guard 25-1 (март 2025 года) официально были названы крупнейшими в истории серии Cyber Guard за все время проведения. Cyber Flag — еще одни международные киберучения, проводимые USCYBERCOM. В августе 2024 года учения Cyber Flag 24-2 впервые включали отработку наступательных операций в киберпространстве совместно со странами — партнерами по альянсу «Пять глаз». В Cyber Flag 26 принимали участие не только профессионалы, но и студенческие команды, такие как клуб PJSEC.

Самое массовое мероприятие в США — ежегодные киберучения Cyber Shield, проводимые Национальной гвардией с 2013 года. В учениях задействовано 800–1000 человек, включая военнослужащих, гражданских специалистов из госучреждений и более 50 компаний-партнеров из частного сектора. В мае — июне 2025 года мероприятие собрало около 900 специалистов из 42 штатов и 15 стран.

Европа

Рынок киберучений здесь растет в значительной степени благодаря жесткому европейскому законодательству. Принятие директив NIS2, DORA и стандартов в рамках EU Cybersecurity Act вынудило организации ускоренными темпами переходить от формального соблюдения требований к отработке практических навыков реагирования на инциденты. По данным Marketing Growth Reports, в 2024 году в Германии, Франции и Великобритании было создано более 150 платформ для киберучений. При этом только в Германии 85 научных организаций и федеральных органов власти уже используют киберполигоны, а более 500 компаний по всей Европе используют их для обучения сотрудников в рамках требований стандарта DGPR. В начале 2025 года стало известно, что Европейский центр компетенций в области кибербезопасности¹⁴ в рамках программы «Цифровая Европа» (Digital Europe Programme) собирается выделить 390 миллионов евро на проекты в области кибербезопасности, включая развитие и масштабирование программ обучения и тренировок.

Доля Европейского региона в глобальном рынке киберучений оценивается в 28% (или 790 млн долларов) в 2025 году. Значительный вклад в региональный сегмент рынка вносит спрос со стороны госсектора: 52% государственных организаций эксплуатируют киберполигоны и проводят учения. По данным Global Growth Insights, 69% европейских компаний дополняют ими программы практической подготовки сотрудников. Около 58% случаев проведения таких мероприятий обусловлено требованиями регуляторов и необходимостью проводить регуляторные тренировки.

Азиатско-Тихоокеанский регион

В этом регионе наблюдается наиболее активное расширение рынка киберучений: в период с 2022 по 2024 годы его рост составил 32%. По последним данным, доля региона в объеме мирового рынка составила 22% (или около 620 млн долларов) в 2025 году. Рост рынка киберучений обеспечивается ускоренной цифровизацией экономики в регионе и повышением осведомленности организаций об актуальных киберугрозах. По данным Global Growth Insights, 63% предприятий отмечают повышение приоритета инвестиций в киберучения, 56% считают, что такие мероприятия сокращают время реагирования на инциденты. При этом наибольший интерес к киберучениям проявляют страны, активно инвестирующие в кибербезопасность, среди которых Индия, Китай и Япония.

В Китае рынок киберучений развивается в рамках национальной стратегии киберсуверенитета, в которой они рассматриваются как ключевой этап системы подготовки специалистов для защиты критической информационной инфраструктуры. Автоматизированные рабочие места на полигонах оснащаются заданиями, разработанными на основе уязвимостей, выявленных в действующих объектах КИИ. Особое направление — киберполигоны «умных городов», позволяющие создавать «цифровые двойники»¹⁵ городской инфраструктуры любого масштаба. На сегодняшний день такие полигоны построены в 19 из 22 провинциях Китая. Примером служит полигон в Чэнду, на котором ежегодно проводится конкурс Peak Geek. В рамках мероприятия команды высококвалифицированных специалистов со всей страны соревнуются в анализе трафика, поиске уязвимостей, противодействии DDoS-атакам и отработке методов защиты систем управления технологическими объектами. Другой значимый объект — Национальный киберполигон больших данных в Гуйяне, на котором для имитации наступательных и оборонительных киберопераций используются технологии ИИ. Научно-исследовательские лаборатории тоже вносят существенный вклад в развитие киберучений в стране. Лаборатория Чжэцзян — совместный проект правительства провинции, Чжэцзянского университета и Alibaba Group — специализируется на исследовании атак на промышленные системы управления и разработке тренировочных сценариев на базе ИИ и машинного обучения. Лаборатория Пенгченг проводит совместные учения с Национальным университетом оборонных технологий НОАК и другими ведущими вузами, отрабатывая защиту государственных объектов с использованием ИИ-платформ. Отдельно стоит выделить киберполигон Китайской корпорации аэрокосмической науки и промышленности¹⁶, на котором военные и гражданские специалисты совместно тренируются в перехвате каналов управления спутниковыми системами, блокировке телеметрии и оценке рисков дестабилизации космической инфраструктуры. Кроме того, китайские команды регулярно становятся участниками международной кибербитвы Standoff.

В Индии интерес к киберучениям в значительной степени поддерживается благодаря государственным программам, таким как «Цифровая Индия». Так, в стране насчитывается более 90 учебных центров, оснащенных современными киберполигонами. Около 100 университетов и частных организаций используют киберучения для отработки навыков реагирования на инциденты, что позволяет формировать кадровый резерв для растущего ИТ-сектора. Развивается и международное сотрудничество: в 2023 году в Дакке (Бангладеш) прошло мероприятие Cyber-Maitree 2023, в рамках которого эксперты из Индии и Бангладеш подчеркнули необходимость усиления подготовки специалистов по кибербезопасности и расширения обмена знаниями в области киберучений, оценки уязвимостей сетей и управления киберрисками.

В 2023 году полиция Токио совместно со 130 ведущими японскими компаниями провела масштабные учения, направленные на отработку навыков противодействия кибератакам. В том же году в Японии были введены в эксплуатацию 62 киберполигона, включая совместные проекты Toshiba и NIST.

Ближний Восток и Африка

В этом регионе рынок киберучений все еще находится на ранней стадии развития, однако местные организации демонстрируют устойчивый интерес к ним. Доля региона в глобальном рынке составила 8% (или 230 млн долларов) в 2025 году. Основной драйвер роста рынка киберучений на Ближнем Востоке и в Африке — государственные инициативы, связанные с защитой критической инфраструктуры: большую часть (61%) регионального спроса формируют государственные и оборонные программы. При этом, по данным Global Growth Insights, около 49% компаний в регионе инвестируют в киберучения для закрытия потребностей в квалифицированных кадрах. Другие 42% компаний используют киберучения для оценки рисков кибербезопасности.

В 2024 году 18 государственных учреждений в ОАЭ провели киберучения при поддержке израильских ИТ-компаний. При этом в стране регулярно проводят масштабные учения: в 2025 году международные киберучения ITU Global Cyberdrill объединили участников из более чем 130 стран. Это мероприятие было признано Книгой рекордов Гиннесса самыми масштабными очными киберучениями из когда-либо проводившихся.

Саудовская Аравия выделила более 80 млн долларов на национальные программы обучения кибербезопасности, в рамках которых было запущено как минимум 12 киберполигонов. В Катаре были впервые проведены трансграничные киберучения Arab Cyber Exercise 2025, в которых приняли участие представители 21 арабской страны и Генерального секретариата Совета арабских министров кибербезопасности.

В ЮАР зафиксировано увеличение (на 26%) количества университетских программ по кибербезопасности, включающих тренировки на облачных киберполигонах. В стране также активно развиваются программы международного сотрудничества, участие в которых позволяет студентам работать над реальными задачами кибербезопасности в процессе обучения.

Организации меняют подход к распределению бюджетов на кибербезопасность: средства все чаще уходят на предупреждение инцидентов, а не на ликвидацию их последствий. При этом в мире расходы на кибербезопасность продолжают расти опережающими темпами. По прогнозам Gartner, в 2026 году затраты на это направление достигнут отметки в 240 млрд долларов, что на 12,5% больше показателей предыдущего года. Структурно эти расходы распределены неравномерно: до 62% бюджета теперь направляется на обучение, моделирование возможных угроз и отработку действий в случае инцидента. Ожидается, что в 2026 году расходы, связанные с обучением персонала, станут второй по размеру категорией затрат на кибербезопасность.

Только в 2023 году на программы киберучений во всем мире суммарно было выделено более 2,8 млрд долларов, что на 35% больше, чем годом ранее. Государственное финансирование выступает ключевым источником капитала для рынка киберучений: оно составляет более половины (по разным данным¹⁷, от 55% до 62%) всех инвестиций. Масштабные государственные инициативы оказывают положительное влияние на весь рынок киберучений:

• НАТО выделило 150 млн долларов на расширение киберучений в странах альянса, запланировав отработку более 400 сценариев атак.
• В 2024 году Министерство образования США запустило грантовую программу на 100 млн долларов для добавления киберучений в программы STEM¹⁸.
• Министерство электроники и информационных технологий Индии совместно с 15 университетами создало фонд в 25 млн долларов на создание и развитие лаборатории для проведения киберучений.
• Программа ЕС Horizon Europe зарезервировала 120 млн евро на развитие навыков кибербезопасности.

Бизнес наращивает инвестиции в практико-ориентированные тренировки параллельно с госсектором: 58% крупных компаний планируют расширять инфраструктуру для проведения учений. В 2024 году транснациональные технологические корпорации направили почти 600 млн долларов на разработку собственных киберполигонов.

Существенная часть спроса формируется операторами критической информационной инфраструктуры, которые сталкиваются с самыми жесткими нормативными требованиями. Такие организации стабильно обеспечивают отрасль кибербезопасности крупными многолетними контрактами, в среднем превышающими 4 млн долларов, и около 44% из них активно инвестируют в киберучения. В 2024 году более 80 ведомств в сферах водоснабжения, энергетики и транспорта запросили проведение учений для отработки отраслевых сценариев угроз.

Рынок развития практических навыков в России в сфере ИБ, неотъемлемой частью которого являются киберучения, в 2024 году достиг 3,07 млрд рублей, увеличившись на 10% за год. Это часть глобального тренда на практико-ориентированную подготовку: компании переходят от формального обучения к «боевой» подготовке команд. По прогнозам, к 2026 году объем российского рынка может увеличиться до 3,38 млрд рублей со среднегодовым темпом роста около 8%. В краткосрочной перспективе ожидается, что этот рост продолжится за счет интереса компаний к длительным проектам по созданию собственных киберполигонов. Эксперты прогнозируют, что в 2026 году благодаря крупным контрактам он выйдет на пик своего развития.

Участникам опроса было предложено оценить текущий уровень зрелости системы ИБ в их организации. Почти половина (48%) респондентов указали, что у них реализованы базовые планы и стандарты; 33% отметили высокий уровень формализации процессов и регулярную проверку их эффективности; 8% считают, что у них в организации процессы реализованы на очень высоком уровне, предусмотрен их регулярный аудит, непрерывное улучшение и сертификация; 9% сообщили о низком уровне зрелости процессов ИБ, включающих некоторые меры защиты без стратегического планирования; только 2% опрошенных рассказали, что эти процессы в их организации не формализованы.

В некоторых организациях для оценки уровня зрелости системы ИБ используются формальные стандарты или метрики. Они вводят измеримые показатели, позволяющие сопоставлять текущее состояние процессов кибербезопасности с целевыми ориентирами и отслеживать динамику их развития. Так, 12% участников опроса поделились, что у них в организации используется как минимум один такой стандарт или метрика. При этом 75% организаций, не применяющих формальные стандарты оценки зрелости на текущий момент, указали на планы по их внедрению в ближайшем будущем. Такая тенденция чаще всего обусловлена внутренним запросом на систематизацию процессов управления кибербезопасностью.

В рамках исследования оценка текущего состояния кибербезопасности в организации учитывает два параметра: численность персонала, ответственного за защиту информации, и модель организации мониторинга инцидентов. Эти характеристики определяют операционные возможности компании и ее способность реагировать на угрозы в сжатые сроки. Среди респондентов 35% указали, что функции обеспечения ИБ выполняют 1–2 специалиста или группа до 5 человек. В основном такое встречается в среднем бизнесе. Треть компаний (33%) работают с отделами численностью от 6 до 20 сотрудников, что позволяет распределить обязанности между аналитиками, администраторами средств защиты и специалистами по реагированию на инциденты. Крупные организации чаще формируют отдельные департаменты ИБ: 25% опрошенных сообщили о командах, включающих более 20 специалистов.

Параллельно с формированием команд организации решают вопрос построения центра мониторинга безопасности¹⁹. Полностью собственный SOC с выделенной инфраструктурой и штатом аналитиков функционирует в 39% организаций. Второй по распространенности вариант — полный аутсорсинг функций SOC. Так, 32% опрошенных полагаются на услуги сторонних поставщиков, включая MSSP²⁰-провайдеров, которые предоставляют комплексные услуги по обеспечению ИБ. А 24% участников опроса сообщили, что у них нет выделенного SOC.

Отношение российских компаний к киберучениям за последние несколько лет претерпело значительные изменения. Если раньше подобные мероприятия воспринимались многими руководителями как избыточная нагрузка на ИТ-отдел или формальный способ отчитаться перед регуляторами, то сегодня киберучения становятся полноценным инструментом управления рисками. Бизнес все чаще осознает, что стоимость простоя систем в случае реальной атаки многократно превышает затраты на подготовку и проведение тренировок. Впервые рост спроса российских компаний на такие услуги был зафиксирован в 2023 году. По информации «Инфосистемы Джет», среди 350 крупных клиентов число заказов на киберучения выросло с 60 в 2022 году до 130 в 2023 году, удвоившись за год.

В 2024 году эксперты также отметили, что спрос на симуляторы и киберполигоны вырос в два раза, по другим оценкам — на 25% по сравнению с 2023 годом; при этом также увеличилось количество тренировок в год. Опрос Positive Technologies показал, что только 35% крупных компаний проводили киберучения, обычно — те, у кого есть штатный SOC и выстроены зрелые процессы кибербезопасности. Однако большинство организаций традиционно полагается на базовые методы оценки защищенности (тестирования на проникновение — 58% компаний, автоматизированные сканеры защищенности — 47% компаний), и только в ограниченном числе случаев проводятся комплексные сценарные учения.

Результаты опроса показали, что практики проведения киберучений в российских организациях находятся на разных стадиях зрелости. Больше половины опрошенных заявили, что они уже имеют опыт проведения киберучений. Среди них 13% проводят тренировки регулярно по утвержденному графику, 28% проводят их эпизодически и еще 17% провели учения один раз и пока не планируют их повторять. Оставшиеся 42% респондентов признались, что их компании пока не проводили киберучения. При этом опрос выявил значительный потенциал роста: 28% организаций, которые ранее не проводили киберучения, планируют их организовать.

Среди компаний, которые уже проводили тренировки или только планируют запуск киберучений, распределение предпочтений по модели организации выглядит следующим образом: полностью своими силами — 34%; с привлечением внешних подрядчиков — 32%; гибридная модель, позволяющая объединить усилия внутренней команды с внешней поддержкой, — 34%.

Еще один важный вопрос — состав участников тренировок. Здесь мнения респондентов разделились. Более половины (53%) опрошенных планируют привлечь команды ИТ и ИБ к учениям. Такой формат позволяет отработать взаимодействие между теми, кто должен обнаружить угрозу, и теми, кто будет восстанавливать инфраструктуру. Чуть больше трети (35%) участников опроса рассматривают возможность проведения тренировок на уровне всей компании, включая руководство, бизнес-подразделения и рядовых сотрудников. Только 12% респондентов отметили, что для проведения учений достаточно только сотрудников, отвечающих за ИБ. Такой подход часто преобладает на начальном этапе внедрения практик киберучений и используется для пилотных запусков и проверки инструментов.

Отраслевые киберучения

Отраслевые различия сильно влияют на то, как компании проводят киберучения. Лучше всего ситуация обстоит в банковском секторе. С 2020 года Банк России регулярно проводит киберучения для финансовых организаций. Масштаб тренировок увеличивается с каждым годом: за последние три года в киберучениях приняли участие 987 финансовых организаций, было отработано более 30 уникальных сценариев, а в рамках тренировок было направлено более 30 тысяч фишинговых писем для проверки бдительности персонала. В последних учениях приняли участие более 320 организаций, что на 10% превышает показатели предыдущего года. При этом только в 6,5% компаний сотрудники были условно скомпрометированы в ходе тренировочных фишинговых атак, а за все время проведения киберучений условно скомпрометированными оказались 25 сотрудников в 21 финансовой организации. В 2026 году планируется расширение географии киберучений, а также отработка дополнительных сценариев. Кроме того, для более эффективного противодействия глобальным киберугрозам Банк России планирует продолжить сотрудничество с регуляторами из стран Евразийского экономического союза и других заинтересованных государств.

Практика проведения регулярных киберучений, успешно зарекомендовавшая себя в банковском секторе, постепенно распространяется на другие отрасли. В первую очередь это касается промышленных предприятий и топливно-энергетического комплекса, кибератаки на которые могут привести к реальному ущербу для жизни и здоровья людей. Представители отрасли отмечают, что хотя киберучения — новая для них практика, они намерены проводить их регулярно. Также ожидается, что в ближайшем будущем тренировочные сценарии станут частью операционной деятельности промышленных предприятий. Импульсом для повсеместного распространения киберучений в этой отрасли может стать обновленная стратегия цифровой трансформации ТЭК, согласно которой масштабные киберучения для 100 организаций начнутся уже во II квартале 2026 года. К 2036 году эти мероприятия планируется распространить на 500 организаций ТЭК. Для предприятий в этой отрасли уже начинают появляться узкоспециализированные полигоны, способные моделировать атаки на промышленные системы.

Насколько эффективны киберучения

Вопрос оценки эффективности киберучений остается одним из наиболее дискуссионных в профессиональном сообществе. Компании осознают необходимость тренировок, но затрудняются перевести их результат в измеримые показатели.

Среди организаций, которые способны оценить эффективность проведенных тренировок, 16% считают киберучения высокоэффективным инструментом, еще 38% оценивают их полезность нейтрально и лишь 2% полагают, что затраты на тренировки оказались неоправданными. Суммарно большинство (60%) участников опроса считают киберучения важной частью стратегии ИБ, которая при правильном подходе к их организации может принести ощутимую пользу. При этом около 71% из тех, кто дал позитивную оценку, проводят тренировки регулярно (не реже двух раз в год).

Отдельного внимания заслуживает вопрос эффективности киберучений в контексте защиты от целевых атак — наиболее сложных и опасных угроз, при которых злоумышленники тщательно изучают организацию, подбирают индивидуальные векторы и действуют точечно. Большинство экспертов сходятся во мнении, что киберучения не являются универсальным средством защиты против целевых атак, но при правильной организации они способны существенно снизить связанные с ними риски. Важное условие — релевантность сценариев: тренировки должны моделировать именно те тактики и техники, которые актуальны в конкретной отрасли или организации. Когда сценарий построен на свежих данных об угрозах — индикаторах компрометации, тактиках известных группировок, специфике конкретного технологического стека, — команда получает опыт, который можно применить в реальном инциденте. Именно поэтому «универсальные» сценарии в борьбе с целевыми атаками малоэффективны. С точки зрения форматов, киберучения ценны даже в виде «настольных» тренировок (tabletop exercises), которые помогают отработать сам процесс реагирования на инциденты.

Еще один важный аспект — осведомленность персонала. Эксперты отмечают, что успех в предотвращении целевых атак наполовину зависит от того, насколько сотрудники понимают, как реагировать на подозрительные события. Киберучения, включающие элементы концепции Security Awareness (например, целевые фишинговые рассылки с последующим разбором), позволяют сформировать «иммунитет» к методам социальной инженерии, которые часто становятся точкой входа для сложных атак. При этом обучение персонала не заменяет технические средства защиты, а только дополняет их.

При этом часть экспертов высказала скептическое мнение: если атакующие учитывают специфику отрасли и адаптируют инструментарий под конкретную организацию, стандартные учения не будут отражать реальный уровень сложности угрозы. Ответ на этот вызов — кастомизация сценариев и привлечение экспертов, способных смоделировать действия продвинутых группировок.

Чтобы иметь возможность отслеживать динамику развития компетенций персонала, оценивать эффективность принятых мер и своевременно выявлять новые уязвимости, киберучения необходимо проводить регулярно. Оптимальная периодичность их проведения, как считают эксперты, зависит не только от размера организации, но и от сложности ее информационных систем, а также актуальных угроз. Так, в крупных компаниях и организациях с высоким уровнем риска киберучения целесообразно проводить не реже одного раза в квартал — это позволит оперативно реагировать на изменения в ландшафте угроз и поддерживать навыки персонала в актуальном состоянии. Для компаний средней величины и организаций со средним уровнем риска рекомендуемая периодичность составляет не реже одного раза в полугодие, тогда как малым предприятиям и компаниям с низким уровнем риска может быть достаточно проведения учений один раз в год.

Желаемая периодичность киберучений тоже остается высокой: большинство (около 71%) опрошенных считают нужным проводить учения не реже двух раз в год (45% — как минимум раз в квартал, еще 26% — раз в полгода). Только около 13% опрошенных считают, что достаточно проводить учения раз в год или реже. Это согласуется с рекомендациями экспертов: квартальные или полугодовые учения позволяют отслеживать динамику защищенности и выстраивать тренинг по результатам предыдущих учений.

Однако на практике желаемая периодичность часто разбивается о реальность бюджетов и загрузку команд. Идеальный сценарий, предполагающий проведение учений раз в квартал, реализовывают только 11% опрошенных. Реальный сценарий — крупные комплексные учения, которые требуют продолжительной подготовки, проводятся 1–2 раза в год. При этом «микроучения» (например, имитация фишинга) могут проводиться ежемесячно или даже чаще в автоматизированном режиме.

Последний опрос показал, что для большинства (41%) респондентов желаемый формат — полугодовые киберучения, проводимые два раза в год. Четверть (25%) опрошенных считают ежеквартальные киберучения наиболее оптимальным форматом для своей организации; еще 24% участников опроса отметили, что им достаточно проведения таких мероприятий один раз в год. Самый непопулярный (8%) формат — ежемесячные учения или еще более частые тренировки, проводимые на постоянной основе.

Кроме того, регулярные киберучения являются обязательными для некоторых организаций, и их периодичность определяется нормативными требованиями. В первую очередь это относится к субъектам КИИ. Так, субъекты, имеющие значимые объекты КИИ, обязаны проводить тренировки по отработке плана реагирования на киберинциденты не реже одного раза в год. (Приказ ФСБ России от 19.06.2019 № 282). Субъекты КИИ также должны проводить организационные мероприятия, направленные на повышение уровня знаний работников, не реже одного раза в год (Приказ ФСТЭК России от 21.12.2017 № 235). При этом все специалисты, обеспечивающие информационную безопасность значимых объектов КИИ, обязаны повышать свою квалификацию каждые три года (Приказ ФСТЭК России от 20.04.2023 № 69). В банковской сфере действуют еще более строгие требования, дополняющиеся стандартами Банка России.

Примерные расходы на киберучения как на отдельную услугу оценить сложно: обычно они «зашиты» в общий бюджет на обучение и развитие у специалистов навыков по кибербезопасности. Если оценивать бюджеты на киберучения в процентах от выручки организации:

• Крупные компании с выручкой от 5 до 80 млрд рублей направляют на все образование персонала в ИБ около 0,13% от выручки, а крупнейшие корпорации с выручкой, превышающей 80 млрд рублей, — около 0,05%. Может показаться, что такой небольшой процент — это экономия на кибербезопасности, однако в абсолютных значениях речь идет о существенных суммах. Так, к 2025 году крупные российские компании в среднем инвестировали более 294 млн рублей в ИБ ежегодно.
• Для сравнения: малый и средний бизнес в среднем тратит 100–500 тыс. рублей на обеспечение ИБ ежегодно, и только 4% небольших компаний готовы выделить на это направление больше 5 млн рублей. В таких условиях киберучения для малого и среднего бизнеса часто становятся «роскошью», которую они вынуждены откладывать до лучших времен.

Бюджеты на ИБ растут примерно на 30% в год, и можно предположить, что внутри этой категории затрат доля на практические форматы обучения увеличивается. Компании постепенно смещают фокус с лекций и сертификаций на полигоны, симуляции и командные учения, на которых специалисты получают реальный опыт, а не просто слушают теорию.

По результатам опроса, у 28% организаций в принципе нет бюджета, выделенного на киберучения. Большинство (42%) опрошенных могут выделить на тренировки не более 3 млн рублей. Бюджеты 28% респондентов позволяют увеличить эти расходы до 10 млн рублей. Сумму, превышающую 10 млн рублей, на проведение учений готовы выделить только 2% опрошенных.

Существует два основных подхода проведения киберучений.

Штабные (или тактические) киберучения

Этот формат предполагает отработку действий в условиях теоретического моделирования киберинцидентов. Они прежде всего ориентированы на стратегическое планирование и принятие управленческих решений без непосредственного взаимодействия с реальной инфраструктурой.

Ключевые характеристики:

• Фокус на организационных мерах: отработка алгоритмов взаимодействия между подразделениями, принятия решений, а также процедур реагирования на инциденты.
• Прикладной компонент: несмотря на теоретический формат, лучшие практики проведения штабных киберучений часто включают внедрение элементов геймификации для повышения вовлеченности и эффективности обучения, а также практические кейсы.
• Целевая аудитория: руководители, аналитики, специалисты по ИБ, представители бизнес-подразделений.

Практические киберучения

Формат киберучений, при котором участники отрабатывают навыки обнаружения, расследования и нейтрализации кибератак на воссозданной или изолированной ИТ-инфраструктуре в условиях, максимально приближенных к реальным. Практические киберучения предназначены только для технических специалистов и направлены на оценку компетенций команды ИБ при отражении кибератак в условиях ограниченного количества времени.

Ключевые характеристики:

• Фокус на отработке технических навыков: предполагается прямое взаимодействие с ИТ-инфраструктурой, системами защиты и средствами мониторинга.
• Соревновательный элемент: почти всегда включают игровые и конкурсные механики (например, формат «красная команда против синей команды»).
• Два основных формата проведения: синтетические (заранее прописанные сценарии заданной сложности и времени срабатывания) или «живые» атаки, организованные высококвалифицированными исследователями безопасности.
• Масштаб проведения: могут быть корпоративными, отраслевыми, межотраслевыми, национальными или международными.
• Длительность: краткосрочные (1–2 дня) и продолжительные, позволяющие оттачивать и совершенствовать навыки в постоянном режиме.

Большинство участников опроса предпочитают практический формат киберучений. Они могут проводиться в виде эмуляции атак (59%) или упражнений в виртуальной среде (47%). Примечательно, что 31% респондентов выбирают штабные киберучения. Еще 31% опрошенных интересуют геймифицированные тренировки, которые могут проводиться в виде онлайн-игр или соревнований CTF²².

Компании решаются на киберучения по разным причинам. Обычно за этой необходимостью стоит комбинация внешних обстоятельств и внутренних потребностей бизнеса. Причем набор этих причин сильно зависит от отрасли, размера компании и зрелости процессов кибербезопасности.

Ключевыми внешними причинами организации киберучений становятся:

• Ужесточение угроз. Участившиеся и усложнившиеся кибератаки заставляют бизнес искать объективную проверку защищенности и готовности к инцидентам. Интеграторы отмечают, что рост интенсивности атак (особенно при нынешней геополитике) стал главной причиной роста спроса на киберучения.
• Требования регуляторов и изменения в законодательстве. Крупные оборотные штрафы за утечку персональных данных, требования Банка России, приказы ФСТЭК и ФСБ стимулируют организации проводить учения для минимизации рисков и соответствия стандартам.
• Инциденты ИБ у партнеров или в смежных отраслях. Когда взламывают конкурента, поставщика или компанию из смежного сектора, это заставляет другие компании задуматься о возможности атаки на собственную инфраструктуру. В таком случае киберучения позволяют быстро обнаружить уязвимости и закрыть их до того, как ими успеют воспользоваться злоумышленники.

Внутренние причины для проведения киберучений, как правило, связаны с необходимостью оценки эффективности принятых мер защиты или реакцией на уже произошедшие инциденты:

• Тренировка персонала. Сотрудников нужно учить замечать и отражать реальные атаки, а не просто рассказывать им о правилах безопасности на лекциях. Тренировки позволяют отработать конкретные четкие действия. Регулярное проведение киберучений способствует формированию устойчивых компетенций и снижению времени реакции команды на нештатные ситуации.
• Изменения в ИТ-инфраструктуре и внедрение новых технологий. Когда компания внедряет новую систему или переходит в «облако», даже тщательно спланированная миграция не гарантирует отсутствия слепых зон в защите. Киберучения в такой ситуации работают как стресс-тест: они позволяют заранее проверить, как новые компоненты будут выдерживать атаку, и отработать реакцию команды на инциденты в изменившейся среде, не дожидаясь реального взлома.
• Значимые кадровые изменения в службах ИТ и ИБ. Реорганизация службы ИБ, назначение новых руководителей, ротация ключевых специалистов или расширение команды могут временно снизить слаженность взаимодействия. В такие периоды киберучения выполняют функцию адаптационного механизма: они помогают новым сотрудникам погрузиться в специфику инфраструктуры, проверяют актуальность документации и обеспечивают преемственность практик ИБ в организации. Если в ходе тренировки обнаружатся пробелы в знаниях или координации, их можно устранить до того, как они станут причиной реального инцидента.
• Инициатива CISO или бизнеса. После внутреннего аудита, тестирования на проникновение или тем более реального инцидента руководство может потребовать учения для проверки устойчивости. Многие компании включают киберучения в программы обеспечения непрерывности бизнеса и повышения квалификации. Тренировки помогают продемонстрировать прогресс в реализации стратегии ИБ и закрепить уроки, извлеченные из произошедшего инцидента.

Результаты опроса показали, что организация редко имеет только одну причину для проведения учений: часто она стремится достичь сразу нескольких целей. В основном организации (60% респондентов) проводят учения для поиска и устранения уязвимостей в ИТ-инфраструктуре. 48% опрошенных используют киберучения для оценки навыков команды и выявления тех, кому нужно дообучение. В 37% организаций проводятся тренировки для отработки взаимодействия между ИБ, ИТ и бизнесом. Среди других важных целей проведения киберучений респонденты отметили проверку плана реагирования на инциденты (32%), улучшение управления рисками (30%) и выполнение регуляторных требований (25%). Наконец, 21% опрошенных использовали результаты тренировок для демонстрации реального состояния кибербезопасности руководству. Киберучения позволяют перевести абстрактные риски в наглядные события, что часто помогает более предметно обосновать приоритет инвестиций в кибербезопасность и получить финансирование на проекты, которые ранее откладывались.

Что мешает компаниям проводить киберучения

Несмотря на растущее понимание ценности киберучений, их внедрение в практику российских организаций встречает существенные препятствия, которые могут быть вызваны как объективными факторами, так и гипотетическими рисками. Наиболее значимые из них:

• Нехватка времени из-за высокой операционной нагрузки. Именно этот фактор является одним из основных, по мнению участников опроса. Его отметили 42% респондентов. Команды ИТ и ИБ часто перегружены текущими и запланированными задачами. В таких условиях выделить даже 2–3 дня на подготовку и проведение киберучений становится сложной задачей, ставящей под угрозу стабильность и непрерывность бизнес-процессов. В результате организации, осознающие важность киберучений, вынуждены откладывать их проведение, отдавая приоритет более срочным задачам. Еще одна сопутствующая причина, отмеченная 34% респондентов, связана со сложностью вовлечения в процесс тренировок участников из разных подразделений организации.
• Высокая стоимость. Также 42% опрошенных отметили этот фактор как один из самых значимых. Разработка качественных сценариев под индивидуальные требования, привлечение внешних экспертов для формирования красной команды, развертывание специализированных платформ и технической инфраструктуры требует значительных финансовых вложений. Крупные организации могут закладывать эти затраты в бюджет, выделенный на кибербезопасность. Однако для малого и среднего бизнеса соотношение цены и ценности проводимых мероприятий часто становится неочевидным. При этом попытка экономить на качестве (например, использование только типовых сценариев атак или отказ от привлечения высококвалифицированных экспертов) снижает практическую ценность проводимых учений.
• Страх перед возможным негативным влиянием на непрерывность бизнеса. Особенно если организация рассматривает возможность проведения киберучений на собственной инфраструктуре. Большинство (51%) респондентов указали, что именно эта причина взывает у них наибольшее беспокойство при планировании киберучений. Она в первую очередь актуальна для промышленных предприятий, финансовых организаций и телекоммуникационных компаний, для которых даже непродолжительный по времени простой означает значительные финансовые потери. В результате организации вынуждены ограничиваться штабными киберучениями или киберполигонами, на которых развертывается типовая ИТ-инфраструктура, не учитывающая особенностей собственной инфраструктуры. Еще одна причина для беспокойства связана с возможными нарушениями конфиденциальности данных при моделировании атаки — ее отметили 41% участников опроса.

Среди других ограничивающих факторов, препятствующих распространению практики киберучений, участники опроса отметили недостаток внутренний экспертизы (31%), часто связанный с нехваткой квалифицированных специалистов, и низкую заинтересованность со стороны руководства (26%).

В числе причин, вызывающих особое беспокойство при планировании киберучений, респонденты также указали низкую вовлеченность со стороны сотрудников (29%) и недостаточную готовность команды к предстоящим тренировкам (24%).

Отрасль киберучений реагирует на запросы клиентов и тренды отрасли: инвестиции в разработку новых решений и программ растут, продукты становятся доступнее, а масштаб распространения рынка — шире. В ближайшей перспективе ожидается, что популяризация киберучений усилится, а технологические тренды в сфере кибербезопасности будут влиять на формат тренировок в будущем.

Переход киберучений в облако

Облачные решения, уже доминирующие на мировом рынке, перестали быть альтернативой — они постепенно становятся стандартом. По данным Global Growth Insights, около 58% новых решений на рынке киберучений полностью построены на облачной архитектуре. Это дает два ключевых преимущества: время развертывания сокращается примерно на 41%, а модель оплаты из крупных единовременных затрат становится подпиской. Для заказчика это означает, что можно начать работу без закупки дополнительных серверов и расширения ИТ-инфраструктуры. Еще одно преимущество заключается в том, что вендоры могут быстро развертывать обновления и добавлять новые сценарии, гарантируя, что пользователи всегда будут отрабатывать действия против актуальных угроз. Кроме того, облачные киберполигоны значительно упрощают проведение дистанционных тренировок и масштабных киберучений, при которых команды из разных стран могут работать в одной среде без сложной настройки удаленного доступа.

Повышение эффективности учений с помощью геймификации

Игровые механики в киберучениях — ответ на проблему низкой вовлеченности и «академического выгорания». По данным Marketing Growth Reports, в 2023–2024 годах было выпушено более 90 решений, в которых особое внимание уделялось игровым механикам и адаптивному обучению. Около 39% новых решений на рынке киберучений включают элементы геймификации (лидерборды, рейтинговые системы, соревновательные тренировки), что, по данным вендоров, повышает вовлеченность участников до 29%. Здесь важно не перепутать форму и содержание: геймификация работает только тогда, когда она усиливает учебный процесс, а не подменяет его. При правильной реализации такие тренировки имеют мощный мотивационный эффект, способствуя здоровому соперничеству, командной работе и постоянному совершенствованию навыков. Другой положительный эффект — персонализация обучения, которая позволяет точнее оценивать уровень компетенций и адаптировать последующие тренировки под прогресс конкретного участника. Ожидается, что популярность геймифицированных киберучений увеличится не только в коммерческом, но и в государственном и образовательном секторах.

Практико-ориентированная подготовка будущих специалистов

Университеты, колледжи и центры переподготовки все чаще включают тренировки в учебные программы. Причина простая: теория без практики не готовит к реальным инцидентам. Киберучения позволяют студентам отработать перечень наиболее важных действий до выхода на работу, а работодателям — получить кандидатов с уже сформированными навыками реагирования на инциденты. Как в мире, так и в России в системе подготовки кадров для ИБ будут появляться специализированные образовательные программы, объединяющие теоретическое обучение с практическими киберучениями.

Расширение целевой аудитории

Если раньше к киберучениям привлекали преимущественно сотрудников служб ИТ и ИБ, то в ближайшем будущем такие мероприятия будут охватывать больше сотрудников из разных подразделений. В программы киберучений будут активно включать топ-менеджеров, сотрудников юридических и финансовых подразделений, кадровой службы, маркетинга и других. Это связано с осознанием роли человеческого фактора в структуре угроз: кибербезопасность становится ответственностью каждого сотрудника организации, а не только профильных специалистов.

Интеграция ИИ-технологий в киберучения

Интеграция технологий искусственного интеллекта уже позволила повысить разнообразие моделируемых сценариев почти на 49% и сократить трудозатраты на их ручную настройку на 34%. В будущем алгоритмы, использующие актуальные данные об угрозах, смогут генерировать сценарии, которые подстраиваются под уровень участника и автоматически адаптируются к его действиям в реальном времени. Это существенно повысит эффективность усвоения навыков и снизит риск «натаскивания» на шаблонные сценарии.

В России рынок киберучений развивается быстрее, чем в среднем по миру, но во многом догоняющими темпами: если для зарубежных компаний тренировки давно стали рутинной частью стратегии ИБ, то в России многие компании только переходят от формального соблюдения требований к осознанной отработке практических навыков. При этом геополитическая обстановка и рост количества атак на российские организации создали уникальный контекст, в котором спрос на учения формируется не только регуляторным давлением, но и реальной необходимостью проверять готовность к инцидентам.

Анализ результатов опроса и данных из открытых источников позволил определить качественное изменение отношения к киберучениям. На сегодняшний день большинство организаций рассматривают их как инструмент, позволяющий проверить реальную киберустойчивость. При этом уровень зрелости таких тренировок остается неравномерным: в регулируемых отраслях и крупных компаниях они обычно систематизированы и основаны на формальных стандартах и требованиях, тогда как в малых и средних организациях проводятся эпизодически или пока рассматривается только в перспективе.

Частота проведения учений зависит от конкретной организации. Для крупных компаний оптимальным считается проводить тренировки не реже раза в квартал, для среднего бизнеса — раз в полгода, для малых компаний — ежегодно. Однако этот график обязательно должен корректироваться при внедрении новых технологий, изменениях в ИТ-инфраструктуре или обновлении регуляторных требований. Среди основных факторов, затрудняющих проведение киберучений, респонденты назвали отсутствие времени у ключевых сотрудников, ограниченный бюджет на кибербезопасность и сложности, связанные с привлечением сотрудников из разных подразделений.

В вопросе выделения конкретного бюджета на проведение киберучений организации вынуждены искать баланс между ресурсами и результатами. Крупный бизнес стремится к системному планированию с выделением отдельных статей расходов в бюджете на кибербезопасность, тогда как средние организации вынуждены комбинировать доступные инструменты и услуги внешних экспертов. Результаты опроса показали, что крупные и очень крупные компании в среднем могут выделить на тренировки до 5 млн рублей, средний бизнес — до 3 млн рублей. Более крупные бюджеты, превышающие 5 млн рублей, готовы выделить только 10% опрошенных. При этом прямая корреляция между размером выделенных средств и качеством тренировок не подтверждается: даже при ограниченном бюджете можно добиться желаемых целей за счет фокуса на релевантных сценариях и глубокой проработке результатов.

Наиболее востребованными среди российских организаций оказались практические форматы учений: от фишинговых симуляций и проверки осведомленности персонала до сложных сценариев с «цифровыми двойниками» инфраструктуры, отрабатываемых на киберполигонах, и командных учений в формате red team или purple team. При этом интерес к штабным киберучениям также остается высоким. Относительно новый тренд в России — популяризация подходов, основанных на игровых сценариях и принципах геймификации.

Анализ ответов респондентов на вопрос, касающийся мотивации к проведению киберучений, показал, что решения о запуске тренировок редко принимаются по единственной причине — чаще за ними стоит комбинация внешних обстоятельств и внутренних задач. Среди наиболее актуальных целей проведения тренировок участники опроса отметили выявление и устранение технических уязвимостей в ИТ-инфраструктуре, повышение осведомленности и готовности сотрудников к кибератакам, а также проверку взаимодействия между бизнес-подразделениями и службами ИТ и ИБ. Отдельного внимания заслуживает проактивная мотивация: 32% респондентов сообщили, что они проводят учения для проверки и отладки плана реагирования на инциденты.