Автоматизированные системы управления технологическими процессами (АСУ ТП) всегда были под прицелом киберпреступников и иностранных спецслужб и в последнее время подвергаются атакам особенно часто. Эксперты AM Live обсудили, как защищать критическую инфраструктуру при росте сложности атак и цифровизации промышленности.
- Введение
- Как изменился ландшафт киберугроз для промышленных предприятий в 2025 году?
- Основные ошибки при построении стратегии кибербезопасности
- Какие средства защиты могут быть встроены в АСУ ТП?
- Будущее ИБ в промышленности: как изменятся подходы к защите АСУ ТП?
- Выводы
Введение
В 2025 году автоматизированные системы управления технологическими процессами остаются критически важным элементом промышленной инфраструктуры, но одновременно — одной из самых уязвимых целей для кибератак. В отличие от традиционных ИТ-систем, АСУ ТП управляют физическими процессами: энергоснабжением, транспортом, производством, водоснабжением. Их взлом может привести не только к финансовым и репутационным потерям, но и к техногенным катастрофам.
Современные угрозы для АСУ ТП становятся всё сложнее: от целенаправленных атак хакерских групп до вредоносного кода, разработанного специально для нарушения промышленных процессов. При этом многие такие системы до сих пор работают на устаревшем и уязвимом программном обеспечении, имеют слабую сегментацию и недостаточный мониторинг киберугроз.
Какие меры защиты помогут предприятиям минимизировать угрозы и обеспечить устойчивость критической инфраструктуры?
Рисунок 1. Эксперты в студии AM Live
Участники эфира, справа налево:
- Егор Куликов, руководитель направления безопасности КИИ и АСУ ТП, «К2 Кибербезопасность».
- Алексей Шанин, директор департамента технической поддержки продаж, УЦСБ.
- Евгений Баклушин, директор по консалтингу UDV Group.
- Андрей Бондюгин, директор направления по сопровождению проектов по промышленной безопасности, «Лаборатория Касперского».
- Антон Соложенко, директор по развитию бизнеса InfoWatch ARMA.
- Лука Сафонов, бизнес-партнер по инновационному развитию, группа компаний «Гарда».
Ведущий и модератор эфира — Виталий Сиянов, руководитель отдела развития, ГК «Солар».
Как изменился ландшафт киберугроз для промышленных предприятий в 2025 году?
Андрей Бондюгин рассказал, что в последние полтора года сохраняется количество атак на промышленные предприятия: за первый квартал 2025 года зафиксировано столько же атак, сколько за четвёртый квартал 2024 года. Но при этом меняется ландшафт угроз — те векторы, которые всегда были популярны у злоумышленников, продолжают использоваться, однако развитие технологий ведёт к появлению новых угроз, например, с использованием ИИ. Он может выступать в двух ролях: объект атаки и инструмент атаки.
Ещё один популярный вектор атак — на цепочки поставок. Количество проникновений через подрядчиков растёт. Главный бич промышленных предприятий, по словам эксперта, — это программы-вымогатели и шифровальщики. Злоумышленники мотивированы не только финансово, но и политически, идейно, часто стремятся нанести вред, а не получить выкуп.
Андрей Бондюгин, директор направления по сопровождению проектов по промышленной безопасности, «Лаборатория Касперского»
Лука Сафонов рассказал, что защиту промышленных предприятий часто пробивают через старые унаследованные (legacy) элементы инфраструктуры, Windows-сети с присущими им уязвимостями и отсутствием патчей. Также существуют векторы физического доступа. Часто бывает, что сети, которые по регламенту должны иметь воздушный зазор, его не имеют — вместо этого устанавливаются беспроводные точки доступа, нарушая требования по изоляции. Основные пути проникновения — удалённый доступ, уязвимости «нулевого дня» в сетевом оборудовании зарубежных вендоров, которое до сих пор используется. Методы социальной инженерии также эффективно реализуются злоумышленниками.
Егор Куликов добавил, что за последние два года удвоилось количество столкновений с программами-шифровальщиками. Основной канал проникновения — незащищённый удалённый доступ. Чаще всего инциденты связаны с вирусной активностью. Риски обусловлены тем, что используются старые системы, часто сотрудники пользуются съёмными носителями.
Основные вызовы для промышленных предприятий связаны с импортозамещением. Клиенты ещё плохо ориентируются в разнообразии новых решений, которые есть на российском рынке. Часто компании выбирают неподходящие под инфраструктуру решения, что в итоге ведёт к перерасходу бюджета или снижению эффективности инвестиций. Качество российских решений по защите АСУ ТП растёт, их становится больше, а представленный спектр функций — шире.
Требования регуляторов тоже имеют влияние, но компании сейчас больше думают о фактической безопасности. Они вынуждены подстраиваться под текущую обстановку и выбирать средства для закрытия всех уязвимостей, а не просто удовлетворения требований ФСТЭК России. Кроме этого, сейчас остаётся актуальной проблема нехватки кадров.
Егор Куликов, руководитель направления безопасности КИИ и АСУ ТП, «К2 Кибербезопасность»
В первом опросе зрители ответили, что, по их мнению, является главным вызовом для обеспечения ИБ промышленных предприятий в 2025 году: старение инфраструктуры — 28%, недостаток квалифицированных специалистов — 27%, рост количества целевых атак — 21%, соблюдение регуляторики и соответствие нормам — 14%, недостаточный бюджет — 7%, защита от внутренних угроз — 3%.
Рисунок 2. Какой главный вызов в обеспечении ИБ промышленных предприятий в 2025 году?
Основные ошибки при построении стратегии кибербезопасности
Егор Куликов:
«Недооценка собственной инфраструктуры — ошибаются во время закладывания даже не самих решений, а этапности. Часто бывают неучтённые дополнительные каналы, невыстроенные процессы реагирования на инциденты, поэтому нужно смотреть сразу в две стороны — процессную и техническую».
Алексей Шанин:
«Обеспечением ИБ в промышленных сетях занимается несколько подразделений. Проблема возникает, если они не распределяют обязанности. Нужно договариваться заранее, пока есть время, не дожидаясь инцидента. Разным участникам процесса бывает сложно договориться».
Алексей Шанин, директор департамента технической поддержки продаж, УЦСБ
Евгений Баклушин:
«Часто стратегия не связана с бизнесом и целями самого предприятия, она оказывается в вакууме — «ИБ ради ИБ». Давняя проблема — когда нет контакта ИБ с производством, потому что основным заказчиком функции ИБ должен быть главный метролог, инженер, технолог. Если они не вовлекаются в процесс, то стратегии защиты АСУ ТП во многом не учитывают технический процесс».
Андрей Бондюгин:
«Требование к уровню защищённости подрядных организаций в работе с заказчиком войдёт в практику в перспективе 2–3 лет, когда эти требования начнут появляться в значительной доле контрактов. Сейчас уже есть примеры, когда заказчики включают требования безопасности к своим подрядчикам. Это касается не только промышленных предприятий, но и в целом рынка ИТ».
Антон Соложенко:
«В условиях кадрового голода большое количество инцидентов происходит на этапе наладки системы, когда предоставляется некорректный доступ. Часто специалисты используют устаревшие технологии для подключения. Нужно контролировать, как эти работы производятся, это главная задача специалистов на объекте».
Во втором опросе выяснилось, какова самая опасная, по мнению зрителей, ошибка при построении ИБ на промышленных предприятиях: отсутствие стратегического подхода — 45%, недостаточный бюджет на ИБ — 21%, отсутствие регулярных аудитов и тестов на проникновение — 11%, отсутствие плана реагирования на инциденты — 10%, минимальное выполнение законодательства — 8%, недостаточное внимание к обучению сотрудников — 5%.
Рисунок 3. Какова самая опасная, на ваш взгляд, ошибка при построении ИБ на промышленных предприятиях?
Какие средства защиты могут быть встроены в АСУ ТП?
Антон Соложенко объяснил, что есть повсеместные «безоговорочные» средства, например, инструменты для внутренних доступов, но называть их полноценным механизмом ИБ, встроенным в АСУ ТП, нельзя. Пример решения, которое стоило бы реализовать, — коммуникации разных подсистем должны шифроваться. Однако не все вендоры готовы к этому. Также важно реализовать контроль целостности прошивок, самой системы. Кроме этого нужен толковый механизм внутреннего резервного копирования.
Насколько использование корпоративных средств защиты применимо в АСУ ТП? Важно смотреть на специфику решения: часто бывает, что межсетевой экран в корпоративных решениях может работать внутри сегмента АСУ ТП и этого достаточно.
Антон Соложенко, директор по развитию бизнеса InfoWatch ARMA
Егор Куликов считает, что всё зависит от инфраструктуры, но есть стандартный набор средств: антивирусная защита, межсетевой экран и система управления событиями (SIEM). Это три основных компонента, с которых стоит начинать. Если есть удалённый доступ, требуется средство криптографической защиты для шифрования каналов. В последнее время становится стандартом закладывание систем класса «анализ сетевого трафика» (NTA — Network Traffic Analysis). Для зрелых компаний с выстроенными процессами и компетентными сотрудниками хорошо себя показывает класс решений «расширенное обнаружение и реагирование» (XDR).
Лука Сафонов добавил, что хакеры чаще всего идут туда, где проще реализовать проникновение. В общем случае большее количество защитных средств — это более высокая вероятность обнаружения атаки. Важно, однако, не перебарщивать.
Лука Сафонов, бизнес-партнер по инновационному развитию, группа компаний «Гарда»
Как построить промышленный SOC: особенности и рекомендации?
Андрей Бондюгин считает, что нужна долгая работа по адаптации защитных решений, нужно учитывать специфику проприетарных протоколов, которые используются в промышленных сетях. Проблема в том, что их очень много — у каждого вендора есть свой протокол, применяемый только в его системах. Чтобы построить эффективный мониторинг, нужно уметь работать с этими протоколами. Большое значение имеет обеспечение непрерывности технологических процессов, а также поддержка устаревших сущностей.
Также важно обращать внимание на особенности сетевой архитектуры. Системы автоматизации промышленного сегмента достаточно статичны. Для комплексного обнаружения кибератак важно обеспечить наиболее полноценный и глубокий мониторинг промышленного сегмента — сбор трафика, телеметрии, событий из большинства компонентов АСУ ТП.
Кто должен брать на себя ответственность при возникновении инцидентов? Евгений Баклушин считает, что ответственность будет нести главный метролог или главный инженер — человек, который отвечает за всё, что происходит на предприятии. Он может делегировать и дальше ответственность распределяется в равной степени на ИТ, ИБ и инженеров АСУ ТП.
Евгений Баклушин, директор по консалтингу UDV Group
В третьем опросе зрители ответили, какого последствия кибератак они больше всего опасаются для своей организации: остановка технологического процесса — 39%, уголовная ответственность — 15%, угроза здоровью и жизни людей — 15%, шифрование ИТ-инфраструктуры — 15%, утечка конфиденциальной информации — 13%, поломка дорогостоящего оборудования — 3%.
Рисунок 4. Какого последствия кибератак вы больше всего опасаетесь для вашей организации?
Как эффективно защищать АСУ ТП при ограниченном бюджете?
Антон Соложенко предложил разделить защиту на три основных сегмента: сетевой, защита рабочих станций и серверов, инфраструктурный. В сетевом есть три лидера: межсетевые экраны нового поколения (NGFW), диоды данных, NTA-системы. Для защиты конечных точек — антивирус, средство создания замкнутого рабочего контура, система резервного копирования. Для инфраструктурной части — SIEM и песочницы, то есть инструменты, которые позволяют мониторить всю систему.
Андрей Бондюгин уверен, что в мировом сообществе в рамках лучших практик все стараются реализовать принцип конструктивной безопасности (подход к защите информационных систем, при котором безопасность закладывается на этапе проектирования архитектуры и разработки компонентов, а не обеспечивается исключительно за счёт внешних средств).
Все функции, которые для этого подходят, нужно воплощать в самой системе автоматизации. Правильный подход должен заключаться в том, чтобы в одном продукте объединить функциональность систем нескольких классов. Например, решения по мониторингу безопасности могут выполнять функции управления уязвимостями, отвечать за работу с конечными точками и активное автоматизированное реагирование.
Лука Сафонов упомянул харденинг как одну из мер защиты. Порой без него не обойтись: бывает так, что по отдельности средства работают, но вместе не дают полноценной защиты. Эксперт привел пример из практики, как без больших бюджетов и дорогих СЗИ можно решить некоторые проблемы безопасности на производстве: конструктор, который находится в другом городе, делает чертёж, отправляет его по электронной почте на определённый ящик, а сотрудник службы ИБ вручную проверяет письмо и затем приносит проверенный чертёж технологам на флешке. Тогда есть уверенность, что этот файл не заразит старые сети, которые используются на производстве. Такой вариант становится решением проблемы, когда нет возможности поменять дорогое оборудование или ПО.
Виталий Сиянов подчеркнул, что малому и среднему бизнесу (в том числе подрядчикам и субподрядчикам крупных промышленных компаний, тоже являющимся мишенями атак) важно найти посильное по деньгам и в то же время эффективное решение, ведь атака шифровальщика, например, может буквально привести к гибели компании.
Виталий Сиянов, руководитель отдела развития, ГК «Солар»
Будущее ИБ в промышленности: как изменятся подходы к защите АСУ ТП?
Егор Куликов:
«Поменяется сам подход. В последнее время команды, отвечающие за ИБ, больше смотрят не на то, чтобы закрыть требования регуляторов, а на то, чтобы система была полезной. Нужно учитывать интересы бизнеса в первую очередь. В отношении технологий будущее за перспективными решениями, такими как XDR. Сейчас выпускаются целые экосистемы решений для защиты промышленности, которые могут работать совместно — это эффективнее и дешевле».
Антон Соложенко:
«В ближайшие два года не будет глобальных изменений, сейчас 90% рынка смотрит на требования регуляторов и стремится их реализовать. Прорывного роста технологий пока не ожидается».
Андрей Бондюгин:
«Уже есть реальные сценарии применения ИИ для обнаружения кибератак. Пока он используется скорее как помощник в принятии решений, интерпретации инцидентов, категоризации, приоритизации событий. Сейчас идёт стадия формирования практики использования ИИ, чтобы понимать, какие задачи он может решать в проблематике безопасности АСУ ТП. Есть пилотные попытки его применения. В ближайшие годы технологии будут развиваться».
Алексей Шанин:
«Будет ужесточение требований регуляторов по всем направлениям, увеличение потребности в безопасной разработке. На текущем этапе зрелости российские решения нуждаются в более серьёзном подходе к разработке безопасного ПО».
Евгений Баклушин:
«В ближайшие годы прорывов не будет, но опыт применения новых технологий и принципов в корпоративном сегменте подтолкнёт его технологическое развитие. ИТ-решения будут написаны с применением принципов DevSecOps и иметь в себе всё больше встроенных функций безопасности».
Лука Сафонов:
«Для промышленных объектов актуальна проблема дронов, которые могут использоваться для физических воздействий или для кражи информации, доставки средств негласного контроля. Решения для защиты, которое было бы тиражируемым и финансово доступным, пока нет».
Четвёртый опрос показал, что думают зрители об обеспечении ИБ на промышленных предприятиях после эфира. Поняли, что есть над чем работать — 47%, готовы тестировать и внедрять то, о чём говорили эксперты — 26%, убедились, что всё делают правильно — 5%, считают избыточным для себя — ещё 5%.
Рисунок 5. Что вы думаете об обеспечении ИБ на промышленных предприятиях после эфира?
Выводы
К 2025 году угрозы для промышленных систем достигли беспрецедентного уровня сложности, а последствия кибератак на критическую инфраструктуру стали слишком серьёзными, чтобы их игнорировать. Защита АСУ ТП требует комплексного подхода — от модернизации устаревшего оборудования до внедрения систем прогнозирования.
Ключевыми приоритетами должны стать проактивный мониторинг угроз в реальном времени с использованием ИИ и поведенческого анализа, сегментация сетей и строгий контроль доступа к критическим активам, подготовка специалистов, способных оперативно реагировать на инциденты в условиях быстро меняющейся киберсреды.
Промышленные предприятия, инвестирующие в кибербезопасность сегодня, не только снижают операционные риски, но и получают стратегическое преимущество в эпоху цифровой трансформации. Будущее принадлежит тем, кто рассматривает защиту АСУ ТП не как затраты, а как основу устойчивого развития промышленности.
Телепроект AM Live еженедельно приглашает экспертов отрасли в студию, чтобы обсудить актуальные темы российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!
