«Защита промышленности — это всегда компромисс»: ИБ-эксперты — о росте кибератак и специфике защиты заводов в 2026 году

«Хакерским группировкам стало намного проще совершать атаки»

Промышленность стабильно была лакомой целью для цифровых злоумышленников — как отмечает руководитель департамента по защите КИИ «Бастион» Виктор Шавернев, тенденция роста кибератак на предприятия наблюдается последние пять лет. Шавернев предполагает, что если исходить из этой динамики, то можно прийти к выводу, что в 2026 году количество кибератак на промышленность только увеличится. Шавернев указывает на то, что сама отрасль в курсе сложившейся ситуации: «Промышленные предприятия готовятся к этим вызовам и подходят вполне ответственно к выполнению требований регулятора, а также направляют свои силы на практическую безопасность для того, чтобы предотвратить возможные компрометации», — отмечает эксперт.

С Шаверневым соглашается директор направления ИБ «Рексофт» Сергей Бабкин. По его мнению, промышленность всегда была объектом интереса злоумышленников, но в последние годы многие инциденты стали публичным достоянием.

«Я не считаю, что вектор атак сместился. Скорее мы увидели в паблике ряд громких инцидентов в 2025 году. В 2026 году промышленный комплекс будет продолжать представлять интерес для различных групп злоумышленников», — полагает Бабкин.

Специалист отдела исследовательских разработок ИБ-компании «Стахановец» Алексей Миронов подчеркивает, что смещение фокуса АРТ-атак (Advanced Persistent Threats) на госсектор и промышленность в 2025 году связано со стратегической ценностью этих целей. Промышленность обеспечивает важнейший сектор экономики, госсектор контролирует ключевые процессы управления.

«Злоумышленники понимают, что остановка производства или сбой в системах управления имеют мультипликативный эффект на всю цепочку поставок, вызывая каскадные сбои. В 2026 году ожидать снижения интереса к этим секторам не стоит», — подчеркивает Миронов.

Важное обстоятельство, которое необходимо учитывать при подсчете числа атак на промышленность, заключается в том, что количество атак растет в целом во всех отраслях, подчеркивает руководитель отдела по развитию бизнеса в «Индид» Игорь Тюкачев. Просто инциденты в критически важных сферах сейчас стали особенно заметны. Интерес хакеров к промышленности Тюкачев объясняет изменением мотивации взломщиков — раньше это был финансовый мотив, а теперь деструктивная составляющая.

«Это особенно характерно для хактивистских APT-группировок, которые используют кибератаки для дестабилизации государственных, экономических и стратегических объектов с целью продвижения политических или социальных идей», — говорит Тюкачев.

С Тюкачевым соглашается Игорь Сухарев, директор «Межсетевого экрана ИКС». По его мнению, большая часть атак на промышленность «носит политический и репутационный характер».

Атаки на промышленность и госсектор дают сильный резонанс, и речь не только о финансовых потерях — но и об утечках данных, рисках остановки производства, экологических инцидентах, социальном напряжении и серьезном репутационном ущербе. Эффект от таких атак, говорит Ткачев, куда более шире, нежели чем от простого ИТ-сбоя.

Руководитель направления ИБ ГК «Корус Консалтинг» Олег Андреев также обращает внимание и на специфику отрасли. В течение многих лет информационной безопасности в промышленном секторе не уделялось должного внимания, отсутствовали необходимые инвестиции, считает Андреев.

«Помимо этого, промышленность использовала (и зачастую в том или ином объеме продолжает использовать) зарубежное ПО и оборудование, но необходимые обновления для закрытия выявленных уязвимостей сегодня недоступны. Соответственно, хакерским группировкам стало намного проще совершать атаки», — отмечает Андреев.

«Легкая мишень для известных эксплойтов»

Сухарев из «Межсетевого экрана ИКС» и Андреев из ГК «Корус Консалтинг» сходятся во мнении касательно наиболее популярного способа атак на промышленность. Лучше всего для атак на заводы подходят фишинговые рассылки — по словам Сухарева, это самый удобный и распространенный способ проникновения во внутреннюю сеть. Андреев же подчеркивает, что в промышленности в основном используются закрытые системы, и фишинг оказывается наиболее действенным способом проникновения.

«Предварительный анализ профиля сотрудника позволяет злоумышленникам создать то самое письмо, мимо которого не сможет пройти выбранный пользователь. Помимо этого, при атаках на промышленность проникновение и перемещение внутри периметра сети происходит планомерно, имитируя естественные административные ИТ-процессы», — поясняет Сухарев.

Но, как говорит Андреев, могут быть атаки и на оборудование — если в защищенном контуре удается выявить узкие места. Поскольку не все ПО имеет актуальные обновления в части ИБ, в дальнейшем при атаках могут быть использованы как стандартные средства администрирования, так и вредоносное ПО. Есть и своя специфика в части целей атак, отмечает Бабкин из «Рексофт» — как правило, это отказ в обслуживании, шифрование инфраструктуры, остановка процессов.

«Также имеет место специфичный класс уязвимостей технологического оборудования, которые могут быть использованы для достижения целей. Чаще всего атаки проходят через промышленные протоколы взаимодействия устройств, промышленный софт и прочее», — отмечает Бабкин из «Рексофт».

Миронов из «Стахановца» также отмечает, что злоумышленники, получив учетные данные, могут латерально перемещается к системам SCADA/PLC через уязвимые инженерные станции или незащищенные каналы связи. Мотивация злоумышленников на уничтожение цифровой инфраструктуры сказывается и на выборе инструментария. Из-за длительного жизненного цикла оборудования, которое может составлять 10-20 лет.

«Это делает его легкой мишенью для известных эксплойтов типа WannaCry или NotPetya, которые до сих пор актуальны из-за отсутствия патчей. В отличие от корпоративного сектора, где доминируют ransomware, в промышленности чаще встречаются атаки на разрушение (wiper malware) и шпионаж, поскольку цель — не выкуп, а парализация производства или утечка технологических секретов», — подчеркивает Миронов.

«Кибербезопасность воспринимается как помеха производству»

Два ключевых препятствия на пути совершенствования ИБ-систем в промышленности заключаются в разнообразии ПО и дороговизне внедрений. Как отмечает Сухарев из «Межсетевого экрана ИКС», продуктовый портфель в промышленности гораздо шире, чем в других сферах бизнеса, и включает специфическое ПО. С учетом этого средства обеспечения безопасности оказываются куда дороже обычных аналогов.

«Industrial solutions существенно дороже, чем классические средства защиты, так как они более сложны, например, умеют читать технологические протоколы, распознавать технологические команды и многое другое, что обычным пользователям не нужно», — отмечает Бабкин из «Рексофт».

А когда на эти нюансы накладывается технологическая неоднородность, ситуация оказывается еще острее. По словам Миронова из «Стахановца», промышленные комплексы часто представляют собой «лоскутное одеяло» из оборудования разных эпох и вендоров, где современные серверы соседствуют с контроллерами 90-х годов без поддержки обновлений. На это же обращает внимание и Андреев из «Корус Консалтинг».

«Основная проблема в том, что до настоящего времени на многих промышленных предприятиях используется устаревшая ИТ-инфраструктура. Также играет роль затрудненный доступ к обновлениям зарубежного ПО – это приводит к тому, что уязвимостей в зарубежном софте сейчас становится больше, чем в отечественном», — отмечает Андреев.

Другая проблема — конфликт интересов между бизнесом и безопасностью на предприятиях.

«Кибербезопасность воспринимается как помеха производству: остановка линии ради патчинга или сегментации сети недопустима по технологическому регламенту. Отсутствие квалифицированных OT-специалистов, привыкших работать по принципу „не трогай — работает“, усугубляет ситуацию, создавая идеальные условия для атак типа Stuxnet, где простая USB-флешка становится точкой входа», — отмечает Миронов.

Тюкачев из «Индид» обращает внимание на сложное устройство промышленных сетей: если в обычных корпоративных сетях можно относительно без особых проблем установить дополнительные средства защиты, то в промышленности всё иначе. Многие системы работают в режиме реального времени — и любая задержка может повлиять на процесс.

«Сбой в промышленности — это уже не просто „упала почта“, а остановка производства или риск аварии. Поэтому исторически такие системы защищали через физическую изоляцию — так называемый „воздушный зазор“», — подчеркивает Тюкачев.

Производственный контур на предприятиях просто отделяли от корпоративной сети и интернета, чтобы повысить защищенность. Но, как отмечает Тюкачев, полной изоляции на практике не бывает: данные неизбежно необходимо выгружать, оборудование обновлять, подрядчиков подключают для обслуживания, сотрудники работают с системами. Все эти точки доступа оказываются потенциальными способами для злоумышленников попасть внутрь системы.

«В итоге защита промышленности — это всегда компромисс между безопасностью и непрерывностью производства. И этот баланс найти значительно сложнее, чем в обычной офисной инфраструктуре», — считает Тюкачев.

«Промышленникам требуется кардинальная смена парадигмы»

Опрошенные SecPost эксперты отмечают, что для сокращения ущерба промышленности из-за ИБ-инцидентов необходимы усилия не только самих владельцев производств, но и регуляторов.

По словам Бабкина из «Рексофт», борьбе с атаками на промышленность помогло бы увеличение количества аккредитованных организаций, уполномоченных в области сертификации в отношении процессов безопасной разработки программного обеспечения средств защиты информации. Пока же их всего три: ФАУ «ГНИИИ ПТЗИ ФСТЭК России», АО «Центр „Атомзащитаинформ“» и ИСП РАН. Причем с коммерческими работает только последняя, и очередь на её услуги расписана на год вперед.

«Регулятору необходимо утвердить обязательные минимальные стандарты кибергигиены для критической инфраструктуры и создать реестр уязвимого оборудования с принудительными графиками обновлений, — подчеркивает Миронов из «Стахановца». — Промышленникам требуется кардинальная смена парадигмы: кибербезопасность должна стать частью технологического проекта на этапе проектирования, а не „дописываться“ постфактум».

Тюкачев из «Индид», напротив, обращает внимание на то, что со стороны государства уже сделано достаточно много — есть регулирование в сфере КИИ, в рамках 187-ФЗ компании обязаны выстраивать процессы защиты, проводить категорирование объектов, внедрять меры безопасности. Все это Тюкачев называет «важным фундаментом», несоблюдение норм которого может привести к серьезным последствиям для организаций, вплоть до уголовной ответственности.

«В то же время, если говорить про наиболее распространенные меры — штрафные санкции, то здесь регуляторная роль государства может усиливаться по аналогии с оборотными штрафами за утечки персональных данных. Когда финансовые последствия инцидента становятся сопоставимыми с потенциальным ущербом, отношение к инвестициям в безопасность меняется», — говорит Тюкачев.

Но и одними штрафами не стоит ограничиваться: как считает Сухарев из «Межсетевого экрана ИКС», было бы полезно разработать минимальный чек-лист проверки безопасности предприятий. Но не для того, чтобы использовать его для получения штрафов, подчеркивает эксперт, а в качестве первой ступени в разборе реальной картины ИБ.

«Понять, где слабые места или чему вообще не уделяется пока внимание. Только комплексная работа регулятора и промышленников позволит уменьшить количество успешных атак», — считает Сухарев.

Как отмечает Сухарев, внимание к информационной безопасности со стороны промышленников растет — но формально. На практике решения часто откладываются из-за высокой стоимости проектов, сложной экономической ситуации и давления на маржинальность бизнеса. В то же время масштаб возможных последствий от инцидента нередко недооценивается.

«Главный шаг со стороны промышленности — воспринимать информационную безопасность не как вспомогательную статью расходов, а как элемент производственной устойчивости и управления рисками. В текущих условиях это уже не вопрос выбора, а вопрос долгосрочной стабильности бизнеса», — подчеркивает эксперт.

Нехватка средств и специалистов нередко приводит к тому, что защита предприятий делается «для галочки», отмечает Бабкин из «Рексофт». Исправить ситуацию может системный подход: ИБ-департаментам нужно оценивать ущерб от потенциальных инцидентов в денежном эквиваленте, считать стоимость простоев, соотносить их с суммами инвестиций — и именно с этими данными защищать перед руководством бюджет безопасности в промышленности.

Эксперты предлагают различные варианты по минимизации ущерба от атак. Как считает Миронов из «Стахановца», промышленности поможет принцип «защиты в глубину» — сегментация сети IT/OT, постоянный мониторинг трафика на аномалии (включая системы DLP для контроля утечек технологической документации) и внедрение систем резервного управления для обеспечения непрерывности производства.

Руководитель отдела консалтинга по информационной безопасности AKTIV.CONSULTING Ольга Копейкина также рекомендует внедрение корректной сетевой сегментации и построение систем обеспечения информационной безопасности (СОИБ), а также демилитаризованных зон (ДМЗ), которые не будут влиять на непрерывность работы АСУ ТП (автоматизированная система управления технологическим процессом).

«От профильных специалистов промышленных организаций, занимающихся эксплуатацией АСУ ТП, требуется более глубокое погружение в ИТ-процессы для эффективной интеграции мер ИБ. От регулятора — гибкий подход к требованиям в части промышленных систем: многие стандартные процессы избыточны для типовых АСУ ТП и нуждаются в адаптации под специфику отрасли», — считает Копейкина.

Андреев из «Корус Консалтинга» настаивает на необходимости ускоренного перехода на отечественное ПО — бэкдоры в зарубежных программах, уже не получающих обновления, негативно сказываются на защищенности. Эксперт также говорит о необходимости увеличения объема инвестиций (в том числе за счет возможных субсидий от государства) в развитие собственного ИБ-контура — к этому же можно отнести внедрение и развитие культуры кибербезопасности на предприятиях.

По словам Шавернева из «Бастиона», промышленность обеспокоена числом атак — по данным компании, из-за роста атак предприятия стали чаще обращаться за ИБ-услугами.

«Представители КИИ понимают, что систему безопасности недостаточно построить — ее необходимо поддерживать в актуальном состоянии на всем жизненном цикле», — подчеркивает Шавернев.