Защита АСУ ТП: как промышленным предприятиям противостоять кибератакам

Промышленные предприятия всё чаще становятся мишенью кибератак, при этом классические методы защиты в АСУ ТП часто оказываются неэффективными. Эксперты выделили ключевые вызовы и предложили практические рекомендации по построению системы безопасности.

 

 

 

 

 

 

1. 1. Введение
2. 2. Ландшафт угроз для промышленных предприятий в 2026 году
   
   1. 2.1. Каналы проникновения в промышленные инфраструктуры
3. 3. Как импортозамещение влияет на безопасность промышленных предприятий?
4. 4. Технологии защиты: что работает на практике
   
   1. 4.1. Реагирование на инцидент: что можно и что нельзя делать
5. 5. Прогнозы: что изменится в ближайшие 2–3 года
6. 6. Выводы

Введение

Кибербезопасность промышленных предприятий перестала быть исключительно технической задачей специалистов по ИБ или АСУ ТП. Сегодня это вопрос непрерывности бизнеса, экономической устойчивости и, в ряде случаев, выживаемости компаний.

Ведущие эксперты отрасли обсудили ключевые вызовы защиты автоматизированных систем управления технологическими процессами (АСУ ТП), развенчали мифы об изолированности промышленных сетей, проанализировали проблемы импортозамещения и представили практические рекомендации по построению эффективной системы защиты.

 

Рисунок 1. Эксперты в студии AM Live

 

Участники эфира:

• Владимир Дащенко, ведущий эксперт по исследованиям угроз информационной безопасности, «Лаборатория Касперского».
• Михаил Яблоков, руководитель отдела развития продуктов InfoWatch ARMA, InfoWatch.
• Антон Кутепов, руководитель центра промышленной экспертизы, Positive Technologies.
• Марина Сорокина, руководитель направления отдела развития продуктов, ИнфоТеКС.
• Денис Назаренко, руководитель отдела технической поддержки продаж, UDV Group.
• Виктор Шавернев, руководитель департамента по защите КИИ, «Бастион».

Ведущий и модератор эфира — Игорь Бирюков, генеральный директор, INFERA Security.

 

 

Ландшафт угроз для промышленных предприятий в 2026 году

Виктор Шавернев отметил, что ландшафт угроз в 2026 году претерпевает глобальные изменения. Основное — геополитическая обстановка. Сейчас атаки более целенаправленно направлены на промышленные предприятия, на парализацию технологических процессов, а также на кражу данных и технологий.

Марина Сорокина считает, что ландшафт угроз не поменялся за последние три года. Скорее нужно говорить про изменение масштаба, скорости и организационной составляющей. Продукты для обхода EDR-систем, такие как Cobalt Strike, доступны по подписке — это ускоряет процесс воздействия на промышленные предприятия.

Развитие генеративного ИИ — это глобальная автоматизация разведки и написания скриптов по эксплуатации уязвимостей. Кроме того, развиваются атаки на цепочку поставок — внедрившись в элемент поставки, злоумышленник может атаковать сразу несколько компаний.

 

Марина Сорокина, руководитель направления отдела развития продуктов ИнфоТеКС

 

Антон Кутепов подтвердил, что промышленность действительно является целью номер один, о чём говорят исследования его компании. Это обусловлено геополитическим контекстом. Сейчас в среднем по России атак на цепочку поставок в два раза больше, чем в среднем по миру. Мировые аналитические отчёты — это скорее общий фон, необходимо учитывать российскую специфику.

Владимир Дащенко подтвердил статистику: вопреки устоявшемуся мифу об изолированности промышленных сетей, значительная доля атак приходит из интернета. Угрозы проникают через подрядчиков и цепочки поставок. Не стоит сбрасывать со счетов и доверенных партнёров — достаточно взломать небольшую подрядную организацию, и злоумышленники получают легитимный доступ к объекту.

 

Владимир Дащенко, ведущий эксперт по исследованиям угроз информационной безопасности, «Лаборатория Касперского»

 

Каналы проникновения в промышленные инфраструктуры

Денис Назаренко отметил, что каналы проникновения не изменились за многие годы: это удалённый доступ, цепочки поставок и уязвимости в инфраструктуре. Проблематика не изменилась, но обострилась. Основная проблема — не технологические каналы, а разрыв коммуникаций внутри компаний, серые зоны взаимодействия между подразделениями.

Антон Кутепов привёл статистику: в 75 % случаев проникновение в технологический сегмент происходит через корпоративную сеть. Возможны и другие сценарии — например, использование оставленного подрядчиком ноутбука или действия внутреннего нарушителя, — однако основным каналом остаётся корпоративная среда. Поэтому защита должна быть комплексной и охватывать как технологический, так и корпоративный сегменты.

 

Антон Кутепов, руководитель центра промышленной экспертизы Positive Technologies

 

Марина Сорокина связала проблему с цифровизацией. ИТ-системы приходят в промышленность, для повышения эффективности бизнеса есть необходимость связи корпоративного и промышленного сегментов, внедрения прогнозной аналитики и дополнительных сервисных сценариев. Умные обходчики, электромонтёры — это часть цифровизации. Это влияет на возможности злоумышленников и требует комплексного подхода.

Владимир Дащенко считает, что атаки на цепочки поставок — не самые распространённые. Спам, фишинг, флешки — всё это составляет большую часть угроз, от этого уже научились защищаться. Атаки на цепочки поставок и доверенных партнёров сейчас — одна из самых злободневных проблем. Серебряной пули пока не существует, но есть набор внутренних процедур и требований к поставщикам.

Михаил Яблоков объяснил, почему контур АСУ ТП, который должен быть изолированным, по факту таким не оказывается. «Сейчас большое количество регуляторики вышло без пояснений, из-за чего люди начинают вводить ограничения, не опираясь на реальные процессы в АСУ ТП. А чем строже ограничения, тем больше желания их обойти. Так появляются модемы в закрытых контурах, флешки для обновлений и т. д. Вопрос лежит в плоскости психологии и организационных моментов», — считает эксперт.

В первом опросе выяснилось, что, по мнению зрителей, сейчас является главным вызовом для ИБ на промышленных предприятиях (мультивыбор):

• Старение и уязвимость оборудования — 53 %.
• Дефицит специалистов с опытом АСУ ТП / ИБ — 48 %.
• Ограниченный бюджет на ИБ — 46 %.
• Новые регуляторные требования — 37 %.
• Угроза внутренних нарушителей и саботажа — 34 %.
• Рост кибератак — 32 %.
• Другое — 11 %.

 

Рисунок 2. Что сейчас является главным вызовом для ИБ на промышленных предприятиях?

 

Как импортозамещение влияет на безопасность промышленных предприятий?

Михаил Яблоков предупредил о рисках поэтапного перехода: «Импортозамещение происходит волнами. Предприятие оказывается со старыми легаси-системами и новыми российскими. Чтобы их состыковать, используются “костыли”. Когда сроки горят, мнение ИБ откладывается в сторону — рождаются “костыли”, на которых система долго едет, порождая банальные и глупые ошибки».

Игорь Бирюков привёл пример компании из нефтегазовой отрасли, которая до сих пор использует иностранную систему автоматизации и не может её заменить из-за невозможности остановить производство. Это поднимает вопрос: импортозамещение — это смена вендора, обновление технологий или сама процедура миграции?

 

Игорь Бирюков, генеральный директор, INFERA Security

 

Марина Сорокина отметила, что сейчас это воспринимается в контексте замещения зарубежных вендоров российскими. В начале 2022 года многие разработчики начали выводить на рынок SCADA-системы и программируемые логические контроллеры (ПЛК). В 2023–2025 годах по крупным заказчикам прокатились серии киберинцидентов. Клиенты пришли с просьбой внедрять защиту, и разработчики пытаются натянуть меры на уже готовые решения — и это уже невозможно быстро поправить. Получилось оборудование, сравнимое с западным, в котором есть уязвимости и нет техподдержки.

Денис Назаренко подчеркнул, что западные решения без поддержки имеют большую экосистему, формировавшуюся много лет, — драйверы, библиотеки. Наши разработчики фокусируются на базовом наборе функций. Информационная безопасность для них — задача второго-третьего порядка.

Чтобы выбрать решение, нужно сделать большой интеграционный проект, что требует времени, а остановить производство нереально. Нет цифровых полигонов, чтобы протестировать влияние решения на производство. Заказчик вынужден менять двигатель в летящем самолёте — без возможности предварительной проверки.

Антон Кутепов отметил, что у западных вендоров выстроен полноценный процесс аудита и контроля безопасности: исследователи находят уязвимости и сообщают о них в соответствии с регламентами. Однако опыт общения с российскими вендорами в этом направлении оказался менее позитивным.

Обнаружение аппаратной уязвимости требует больших затрат на устранение, но сам процесс импортозамещения — это в том числе возможность для роста, более сильных партнёрских и технологических коммуникаций. Вендоры должны осознавать свою ответственность: если сегодня не позаботиться о безопасности, то завтра уязвимыми станут и сам вендор, и его партнёры. Вендорам автоматизированных систем управления технологическими процессами (АСУ ТП) нужно сотрудничать с исследовательскими командами.

Виктор Шавернев отметил, что импортозамещение идёт в русле регуляторики. С 2018 года вся промышленность отходит в сферу критической информационной инфраструктуры (КИИ). В конце 2025 года вышел перечень типовых объектов КИИ. Металлургия, топливно-энергетический комплекс (ТЭК) уже направляют подведомственным предприятиям новые перечни и рекомендации по защите именно в отраслях.

 

Виктор Шавернев, руководитель департамента по защите КИИ, «Бастион»

 

Во втором опросе зрители назвали самую критичную ошибку при построении ИБ в промышленности:

• Отсутствие комплексной стратегии — 42 %.
• Формальный подход к ИБ — 23 %.
• Низкий уровень подготовки персонала — 12 %.
• Редкие аудиты и проверки — 9 %.
• Отсутствие плана реагирования — 7 %.
• Неумение обосновать бюджет — 4 %.
• Другое — 3 %.

 

Рисунок 3. Какая самая критичная ошибка при построении ИБ в промышленности?

 

Технологии защиты: что работает на практике

Марина Сорокина: «Сейчас очень мало реальных примеров встроенной защиты. Разработчики на конференциях говорят о внедрении средств обнаружения вторжений, но забывают об аутентификации, журналировании, криптографии, защите беспроводных технологий. С появлением беспроводных технологий и размытием периметра защита должна быть на каждом устройстве. Нужно заниматься корнем доверия.

ИнфоТеКС разработал «Крипточип» — самое маленькое средство криптографической защиты информации (СКЗИ) на рынке со сроком действия ключевой информации до 16 лет. Мы делаем его для внедрения внутрь контроллеров и датчиков. Это инструмент для доверенной загрузки, доверенного обновления и защиты передачи данных».

Антон Кутепов: «Основа защиты — наблюдаемость инфраструктуры. Контроль трафика — лишь часть задачи. Не менее важна инвентаризация активов. Многие атаки не используют уязвимости — злоумышленники применяют легитимные средства и ошибки конфигурации. В промышленных сетях, где много проприетарных протоколов, требуется глубокая инспекция трафика. Собранные данные необходимо агрегировать в технологическом или корпоративном центре мониторинга безопасности (Security Operations Center, SOC), особенно в крупных распределённых сетях, где объём событий не позволяет обрабатывать их вручную».

Денис Назаренко: «В первую очередь это процесс безопасной разработки. Даже если мы уходим от сверхцели, то логирование, аутентификация, контроль целостности — то, что на уровне контроля можно собирать и дальше с этими данными работать. Наш опыт показывает, что не все решения дают даже базовую информацию. Хочется доверять отечественным разработчикам, но важно, чтобы они не забывали об ИБ в своих продуктах».

 

Денис Назаренко, руководитель отдела технической поддержки продаж, UDV Group

 

Виктор Шавернев: «80% защищённости даёт комплексный подход: организационные меры, антивирусная защита, межсетевое экранирование. И в первую очередь — инвентаризация активов. Если нужно минимизировать затраты — сегментация сетей. Всё в одну сеть мешать не стоит».

Владимир Дащенко: «По принципу Парето, одна из самых дешёвых и быстрых вещей, которая даёт максимальный эффект — это обучение, информирование людей. Нужен внутренний PR и маркетинг, чтобы объяснить команде из сегмента АСУ ТП, почему служба ИБ должна делать те или иные вещи».

Реагирование на инцидент: что можно и что нельзя делать

Антон Кутепов: «Если ты во время инцидента пытаешься понять, что тебе сделать — ты уже проиграл. Если ты не знаешь владельца риска, кто отвечает за финальное решение — дёрнуть рубильник или нет, — нужно обращаться к руководителю. Основная ошибка — неготовность. Нужно понимать модель угроз, что ты защищаешь, и строить планы реагирования, проводить штабные учения».

Михаил Яблоков: «Не стоит дёргать лишний раз патч-корд, потому что последствия могут быть опаснее самого киберинцидента. Есть класс систем, которые критично к этому отнесутся и приведут к аварии. Специалисту по ИБ нужно осознавать связь интерфейсов с физическими процессами, не относиться к этому как к ИТ-системе».

 

Михаил Яблоков, руководитель отдела развития продуктов InfoWatch ARMA, InfoWatch

 

Денис Назаренко: «В момент, когда кто-то дёргает рубильник, важно потом понять, как атака развивалась. Сохраните события, копию трафика. Резкие решения могут привести к потере слоя данных, из которых можно было бы понять вектор атаки».

Виктор Шавернев: «Если у вас есть система мониторинга, в SOC уже будут плейбуки, как реагировать при том или ином инциденте».

В третьем опросе зрители поделились, какой ущерб от кибератаки был бы критическим для их предприятия (мультивыбор):

• Остановка производства — 83 %.
• Нарушение технологического процесса — 62 %.
• Физический ущерб и аварии — 56 %.
• Юридические и финансовые последствия — 37 %.
• Утечка конфиденциальных данных — 31 %.
• Другое — 6 %.

 

Рисунок 4. Какой ущерб от кибератаки был бы критическим для вашего предприятия?

 

Прогнозы: что изменится в ближайшие 2–3 года

Михаил Яблоков: «Будет значительно снижаться доля legacy-систем. Жизненный цикл АСУ ТП — в среднем 7 лет. До 2029 года у нас есть время, чтобы обсудить с российскими вендорами внедрение комплексных мер по принципу Secure by Design. Доля legacy-систем будет сильно снижаться в ближайшие три года».

Владимир Дащенко: «ИИ будет активно использоваться в системах обнаружения вторжений и управления активами, чтобы быстрее классифицировать активы и выявлять сложные таргетированные атаки, направленные на дестабилизацию процесса».

Марина Сорокина: «Цифровизация наступает — применяется много беспроводных каналов, особенно на территориально распределённых объектах. Это ведёт к тому, что нужно говорить о встраиваемых мерах защиты. Без создания корня доверия на этапе создания устройства мы не решим проблему атак на цепочку поставок. Нас ждёт более серьёзная интеграция в аппаратную составляющую».

Виктор Шавернев: «Искусственный интеллект набирает обороты в угрозах, атаки становятся сложнее. Но в ближайшие годы ИИ войдёт и в мониторинг: он будет не только анализировать инциденты, но и предусматривать риски и угрозы».

Денис Назаренко: «Требования бизнеса и обеспечения безопасности заставят команды ИТ, ИБ и АСУ ТП интегрироваться, что приведёт к качественному росту понимания процессов и выстраиванию проектов по защите АСУ ТП. Будет больше киберучений, больше системной работы над сценариями реагирования».

Антон Кутепов: «Через пару лет конвергенция ИТ и ИБ станет более явной. Технологии позволят защищать и промышленный контур, и корпоративную сеть единым набором средств. Нам важно собирать как можно больше данных, развивать технологии Security Data Lake с семантикой и контекстом. Развитие больших языковых моделей приведёт к тому, что атакующие будут действовать со скоростью звука на огромном пространстве. Нам нужно активно смотреть в сторону автоматизации и защищающегося ИИ».

Финальный опрос показал, планируют ли зрители усиливать защиту АСУ ТП после эфира:

• Будут усиливать текущую защиту — 52 %.
• Планируют запуск новых проектов — 27 %.
• Возможно, но пока это не приоритет — 18 %.
• Текущий уровень защиты устраивает — 3 %.

 

Рисунок 5. Планируете ли вы усиливать защиту АСУ ТП после эфира?

 

Выводы

Защита АСУ ТП требует комплексного подхода, который начинается не с закупки оборудования, а с признания проблемы и выстраивания системной работы. Эксперты сошлись во мнении, что миф об изолированности промышленных сетей опасен и усыпляет бдительность. При этом даже самые дорогие средства защиты оказываются бесполезны при формальном подходе и отсутствии культуры кибербезопасности — регуляторные требования не выполняются из-за отсутствия методик и непонимания между специалистами АСУ ТП, ИТ и ИБ.

Импортозамещение — это не просто замена программного обеспечения, а возможность пересмотреть подходы к безопасности. Уход западных вендоров дал шанс заложить защиту на этапе проектирования, однако спешка привела к появлению новых уязвимостей, и теперь необходимо активное партнёрство вендоров с исследовательскими командами.

Двигаться следует поэтапно — от инвентаризации к мониторингу, от мониторинга к активной защите, постоянно обучая персонал и адаптируя стратегию под реальные процессы, используя неразрушающие меры и тестируя решения на некритичных контурах. Будущее — за встроенной безопасностью: с размытием периметров и развитием беспроводных технологий защита должна быть на каждом устройстве. Российским вендорам предстоит внедрять принципы Secure by Design.

Защита промышленных предприятий — это постоянный процесс, требующий вовлечённости всех участников производства. Только объединив усилия, можно обеспечить технологический суверенитет и киберустойчивость российской промышленности.

Телепроект AM Live еженедельно приглашает экспертов отрасли в студию, чтобы обсудить актуальные темы российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!