Транспорт под угрозой: зачем для отрасли хотят создать единый ИБ-центр
Создание единого центра ИБ-безопасности для транспортной отрасли поможет выработать общие стандарты и помочь компаниям с ограниченными ресурсами защититься от угроз. Однако важно исключить риски создания избыточной регуляторной нагрузки, считают эксперты. Несмотря на некоторое снижение доли в общем числе киберинцидентов, транспортная сфера остается одной из наиболее атакуемых, а ее защита осложняется территориально распределенной инфраструктурой и недопустимостью любых простоев.
Центр ИБ для транспортной отрасли: возможности и риски
В России планируют создать единый центр для обеспечения информационной безопасности транспортной системы. Это следует из текста законопроекта о транспортной политике. Функции центра будет выполнять подведомственное Минтрансу государственное учреждение, сообщает РИА «Новости».
В задачи новой структуры будет входить мониторинг и анализ угроз информационной безопасности и инцидентов с транспортом, участие в их расследовании и ликвидации последствий. Также центр займется обеспечением взаимодействия с национальными и международными организациями для обмена данными об угрозах. Кроме того, он возьмет на себя ведение отраслевого реестра инцидентов и сведений об уязвимостях объектов критической информационной инфраструктуры транспортной сферы.
Также в законопроекте выявлены ключевые направления кибербезопасности транспорта. В их числе выявление и нейтрализация компьютерных атак и других ИБ-угроз, обеспечение устойчивости объектов КИИ, правовое и методическое регулирование.
В октябре SecPost сообщал, что кибератаки на автомобили в РФ выросли год к году на 20-25%.
Представители транспортной сферы отмечают, что инициатива по созданию единого отраслевого ИБ-центра вызвала у них интерес. Они видят в ней как возможности, так и риски, рассказал SecPost директор по информационной безопасности сервиса «Грузовичкоф» Дмитрий Ляхов.
«Это выглядит логичным и своевременным шагом в условиях растущей цифровизации транспортной инфраструктуры. Централизация функций мониторинга, обмена данными об угрозах и координации реагирования способна существенно повысить общую устойчивости отрасли», — полагает Ляхов.
По мнению CISO транспортной компании, потенциальная польза центра может проявиться в консолидации экспертизы, выработке единых стандартов, оперативном доведении информации об актуальных угрозах до всех участников рынка, поддержке организаций с ограниченными ИБ-ресурсами через общие сервисы и методики.
При этом важно исключить два ключевых риска, подчеркивает Ляхов. Это дублирование уже существующих механизмов и создание избыточной регуляторной нагрузки. «Эффективность центра будет напрямую зависеть от прозрачности взаимодействия с бизнесом и практической ценности предоставляемых инструментов», — уточняет он.
Любые простои недопустимы
За последние годы заметно выросло как количество, так и сложность киберинцидентов в транспортной сфере, говорит эксперт. По его словам, это связано с увеличением доли цифровых сервисов, автоматизации процессов и интеграции с внешними IT-системами. Еще один фактор, усиливающий динамику угроз, — развитие технологий искусственного интеллекта.
«Дополнительное влияние оказывает геополитическая обстановка: транспортно-логистическая отрасль все чаще становится объектом целенаправленных атак, в том числе со стороны мотивированных группировок, для которых нарушение работы перевозчиков и логистических цепочек является самостоятельной целью», — добавил Ляхов.
В числе наиболее распространенных угроз для отрасли CISO «Грузовичкоф» назвал атаки с применением шифровальщиков; DDoS-атаки, направленные на нарушение работы КИИ и бизнес-процессов; атаки через цепочки поставок ПО, в том числе посредством компрометации доверенных поставщиков, обновлений и сторонних компонентов; фишинговые атаки и методы социальной инженерии для компрометации учетных записей сотрудников и получение доступа к инфраструктуре; утечки конфиденциальных данных и несанкционированный доступ к корпоративным информационным системам.
При этом не у всех компаний отрасли есть достаточные ресурсы для анализа угроз, а в случае необходимости – противодействия им, отмечает Ляхов. Крупные компании, как правило, располагают своими центрами мониторинга и реагирования, а у средних и мелких таких подразделений зачастую нет, а бюджет на эти цели ограничен.
При этом транспортная инфраструктура в целом обладает выраженной спецификой, которая существенно усложняет построение защиты, обращает внимание эксперт. Среди ее особенностей жесткие требования к отказоустойчивости и непрерывности технологических процессов, которые делают недопустимыми любые простои, географическое распределение с большим количеством точек входа, высокая плотность интеграций с подрядчиками, партнерами и внешними платформами.
Цели атак и сложности защиты
Транспортно-логистическая отрасль устойчиво входит в топ наиболее атакуемых секторов российской экономики, говорит руководитель группы анализа вредоносного ПО центра исследования киберугроз Solar 4RAYS ГК «Солар» Станислав Пыжов. По данным Solar JSOC, в 2024 году эта сфера занимала третье место по среднему числу атак на организацию с долей 16%.
«В 2025 году отраслевая картина несколько изменилась – на первое место вышла промышленность. Однако транспортно-логистическая отрасль по-прежнему остается среди наиболее атакуемых с долей 10%», — сообщил Пыжов.
При этом качественно угрозы становятся более серьезными, добавил эксперт. К ноябрю прошлого года в расследованных Solar 4RAYS инцидентах доля атак с участием профессиональных хакерских группировок выросла до 35%, на 10 процентных пунктов за год. За десять месяцев было обнаружено 18 таких объединений, в том числе семь новых.
В части ключевых угроз транспортная отрасль укладывается в общие ИБ-тренды, отмечает Пыжов. На долю вредоносного ПО в 2025 году пришлось 36% всех инцидентов, на втором месте – попытки несанкционированного доступа (23%), при этом хакеры активно используют брутфорс (метод взлома, при котором злоумышленник или тестировщик последовательно перебирает все возможные комбинации символов, логинов, паролей, ключей шифрования или других данных, прим ред), эксплуатацию уязвимостей, атаки на веб-приложения и системы аутентификации.
«Цели злоумышленников можно разделить на три основные группы. Это шпионаж и кража данных для их продажи или публикации с целью создания публичного резонанса; нарушение работоспособности, включая остановку диспетчерских систем, систем управления движением, бронирования билетов; вымогательство», — рассказал Пыжов.
Уязвимости IT-инфраструктуры транспортной отрасли обусловлены несколькими факторами, отмечает представитель Solar. Во-первых, системы класса АСУ ТП проектировались в эпоху, когда изолированность от внешних сетей считалась достаточной мерой защиты, а ИБ не закладывалась в архитектуру изначально. Это сегодня приводит к проблеме обновления таких систем: любое вмешательство грозит остановкой критического процесса.
«Второй фактор – разнородность инфраструктуры. Это тысячи территориально распределенных объектов, каждый из которых является отдельной точкой потенциального проникновения. В-третьих, злоумышленники все активнее эксплуатируют цепочки поставок: компрометация одного подрядчика открывает доступ сразу к нескольким транспортным операторам», — объяснил Пыжов.
Главная ценность создания центра информационной безопасности транспортной сферы, по мнению эксперта, — возможность создать единую картину угроз для отрасли, которой сейчас критически не хватает. «Каждая компания видит атаки лишь в рамках собственного периметра и не имеет доступа к отраслевым данным. Центр мог бы агрегировать информацию об инцидентах, выявлять системные уязвимости и заблаговременно предупреждать участников рынка о новых векторах атак», — полагает Пыжов.
Автопром под угрозой
За последние три года более чем вдвое выросло количество киберинцидентов в автотранспортной отрасли, говорит руководитель отдела киберустойчивости Infosecurity (ГК Softline) Павел Косяков. Хакеры перешли от единичных взломов отдельных автомобилей через Bluetooth, Wi-Fi или бесключевой доступ к масштабным атакам на производителей и цепочки поставок, например, через уязвимости в API, вымогатели и компрометацию систем телематики. «Главные тренды – рост атак на облачные платформы автопроизводителей и увеличение инцидентов с использованием программ-вымогателей, блокирующих заводские линии», — уточнил Косяков.
Любые специализированные устройства кибербезопасности, в частности, шлюзы или системы обнаружения вторжений, вклиниваются в цепи управления автомобилем, поэтому перед их интеграцией обязательно требуются совместная оценка угроз и анализ функциональной безопасности, продолжил эксперт Softline. «Рынок таких устройств в стадии активного развития: одновременно с появлением новых программно-аппаратных средств защиты растет число центров мониторинга ИБ автотранспорта, которые удаленно отслеживают аномалии в телематике и контроллерах», — рассказал Косяков.
Первый квартал 2026 года показал снижения числа атак на транспортную отрасль до 13% с 23% в аналогичные месяцы 2025-го, сообщил руководитель BI.ZONE Threat Intelligence Олег Скулкин. «Мы связываем эту тенденцию, в частности, со снижением активности кластеров хактивистской направленности, нацеленных, в том числе на эту отрасль», — отметил он.
В глобальном ландшафте киберугроз встречаются достаточно оригинальные атаки, рассказал Скулкин. Например, в рамках одной из кампаний злоумышленники получали доступ к системам логистических организаций, чтобы перенаправить физический груз, а затем его украсть.
