В России всплеск DDoS-атак на телеком — есть риск ухудшения связи

Количество DDoS-атак на российских телеком-операторов в первом квартале 2026 года увеличилось на 25% по отношению к аналогичному периода 2025 года — до 212 тыс. алертов, сообщили SecPost в GlobalNet (магистральный оператор связи, который обеспечивает защиту от DDoS-атак для телеком-операторов, CDN и хостинг-провайдеров, в том числе Tele2, «Билайн», «Эр-Телеком», «Вива», «ЕТелеком» и др.). При этом суммарный объем атак и средняя мощность в сутки сократились на 24% (157 Тбит) и 26% (1,7 Тбит/сут) соответственно.

Вместе с тем, отмечают в GlobalNet, на 65% год к году увеличилась максимальная продолжительность атаки — до 17 дней — и на 26% увеличилась пиковая мощность, до 650 Гбит/с.

Ранее SecPost сообщал, что всего за первые три месяца 2026 года DDoS-атаки на отечественные компании увеличились на 33%, больше всего это коснулось отрасли «онлайн-ставок» — показатель DDoS-атак на них год к году увеличился на 152%. При этом ещё в октябре SecPost выяснил, что половина всех DDoS-атак в России приходится на телекоммуникационную отрасль.

В «Вымпелкоме» (бренд «Билайн») подтвердили SecPost, что в первом квартале был зафиксирован существенный рост DDoS-атак. По словам представителя компании, на инфраструктуру «Билайна» количество атак увеличилось на 146,4% по сравнению с первым кварталом 2025 года.

«Мы связываем эту тенденцию сразу с несколькими факторами: ростом общей активности злоумышленников, большей доступностью сервисов для организации DDoS-атак, а также повышением уровня автоматизации атакующих инструментов, включая использование ИИ для более быстрой настройки и адаптации сценариев», — подчеркнул представитель компании.

Представитель «Билайна» добавил, что целью подобных атак является нарушение доступности сервисов, однако приоритетом оператора становится обеспечение стабильной работы ресурсов компании. «Мы постоянно и последовательно повышаем устойчивость нашей инфраструктуры: увеличиваем емкость ЦОТ, внедряем передовые автоматизированные механизмы для сохранения его пропускной способности, а также продолжаем наращивать внутреннюю экспертизу», — заключил он.

В МТС, Tele2 и «МегаФоне» не смогли ответить на запрос SecPost.

По данным эксперта Kaspersky DDoS Protection Владислава Кириллова, количество DDoS-атак на телеком-операторов в первом квартале этого года увеличилось почти на треть. «Телеком-операторы остаются одной из ключевых целей для злоумышленников, поскольку обеспечивают работу широкого спектра цифровых сервисов», — говорит он, подчеркивая, что успешные атаки могут приводить к ухудшению качества связи, сбоям в работе онлайн-сервисов, финансовым потерям и репутационным рискам.

По данным руководителя направления сервисов сетевой безопасности компании RED Security Михаила Горшилина, количество DDoS-атак на операторов увеличилось на все 40%. «С учётом того, что и в 2025 году телеком стал одной из самых атакуемых отраслей, можно говорить о том, что мы имеем дело с долговременным трендом, который не сдаст позиций в ближайшее время», — предупреждает он. По словам Горшилина, компаниям из этой сферы необходимо активно инвестировать в защиту от DDoS, особенно это касается региональных операторов.

Геополитический контекст остается первостепенной причиной DDoS-атак на критическую инфраструктуру, к которой относятся, в частности, телекоммуникационные сети, поясняет инженер-аналитик компании «Газинформсервис» Ирина Дмитриева. «Атака на сетевую инфраструктуру ведет к деградации цифровой связности всех значимых сервисов, что повышает вероятность проведения параллельных атак». По ее словам, атаки усилились из-за роста количества IoT-устройств и более производительных ботнетов.

Летом 2025 года красноярский оператор «Орион Телеком» столкнулся с целенаправленной атакой на свою систему. Проукраинским хакерам удалось нанести ущерб на сумму в 66 млн руб. Подробнее об этом инциденте в интервью SecPost рассказал исполнительный директор «Орион Телеком» Денис Якунин.

Согласиться с ростом максимальной продолжительности атак в 65% довольно трудно, здесь, скорее, можно говорить о некотором постоянном фоне атак, который лишь меняет свой фокус направленности, рассказал SecPost директор департамента методологии информационной безопасности «Ростелекома» Михаил Савельев.

«Поэтому вряд ли стоит ждать изменения уровня инвестиций в ИБ после подобных заявлений в прессе. Что действительно меняется, так это точки приложения кибератак: злоумышленники пытаются перенести точку приложения атак с конкретного ресурса на элементы инфраструктуры операторов связи, обслуживающие эти ресурсы», — утверждает Савельев.