8 апреля 2026

Как обеспечить киберустойчивость промышленного предприятия

В современной промышленной реальности понятие кибербезопасности стало обыденным. Если ещё десятилетие назад о защите периметра заботился максимум штатный программист, то сегодня устойчивость к цифровым угрозам стала неотъемлемой частью производства. Для руководителей заводов, концернов и предприятий непрерывного цикла вопрос защиты инфраструктуры перестал быть необоснованным нюансом и превратился в стратегию, от которой зависит сохранность оборудования и безостановочность технологических процессов.

Промышленность оказалась на передовой линии киберконфликта. По мнению заместителя генерального директора по развитию ООО «Анлим-ИТ» Ильи Куриленко, ситуация приобрела критический масштаб. Он говорит, что по итогам 2025 года именно промышленный сектор вышел на первое место по количеству кибератак, и приводит данные компании Positive Technologies, согласно которым доля этой сферы составила 17% от всех атак (в 2024 году — 11%).

Следом идут госсектор, ИТ-компании и телекоммуникации (по отраслям). Эксперт связывает эту динамику с изменением мотивации злоумышленников от политического эффекта на разрушение промышленной инфраструктуры страны.

Эту тенденцию подтверждают и другие участники рынка. Пресейл (предпродажный специалист) по информационной безопасности ООО «АРинтег» Владимир Ковалько отмечает, что сегодня промышленность — в числе лидеров по количеству кибератак, и в ближайшей перспективе ситуация существенно не изменится.

«Этому способствует активная цифровизация, геополитическая обстановка, развитие технологий ИИ, внедрение IoT (интернет вещей). Кибератакам подвергаются любые компании вне зависимости от масштаба и отраслевой принадлежности. Киберугрозы стали новой бизнес-реальностью. От способности им противостоять зависит не только репутация компании, но и само её будущее», — уверен г-н Ковалько.

Директор Лаборатории кибербезопасности ООО «СайберЛимфа» (UDV Group) Владислав Ганжа обращает внимание на рост числа компьютерных атак, при этом экономическая ситуация не позволяет предприятиям выделить необходимые ресурсы на модернизацию и обеспечение безопасности.

Эксперт уточняет, что в фокусе у злоумышленников теперь не только крупные компании, но и небольшой бизнес: довольно часто через небольшого подрядчика можно получить доступ и к более крупным организациям.

Эволюция ландшафта угроз для АСУ ТП

Угрозы для промышленных предприятий изменились за последние два-три года. Если ранее инциденты часто носили случайный характер, то сегодня специалисты наблюдают переход к методичной работе киберпреступников внутри промышленного контура.

«Раньше атаки часто были хаотичными: проникли в сеть, что‑то сломалось, все заметили. Сейчас всё иначе: злоумышленники целенаправленно и тихо закрепляются внутри именно промышленного контура. Могут сидеть месяцами, изучать, как работает производство, и только потом что‑то предпринимать», — описывает ситуацию генеральный директор ООО «АСТ Плюс» Дмитрий Говоров.

Изменилась и конечная цель воздействий. Начальник управления реализации проектов ООО «Облачные сети» (Cloud Networks) Дмитрий Кузин приводит данные об увеличении роста числа атак на промышленность год к году. При этом наблюдается смещение фокуса — от шифрования хостов и слива персональных данных к намеренному нарушению или остановке технологического процесса в целях нанесения коммерческого ущерба.

Директор по информационной безопасности ООО «Яндекс 360 для бизнеса» Игорь Вербицкий отмечает, что в 2025 году усилились целенаправленные атаки через цепочки поставок. Злоумышленники всё чаще нападают не на само предприятие, а его интеграторов или ИТ-партнёров».

Наиболее уязвимыми остаются отрасли, где цена простоя максимальна.

«В первую очередь страдают отрасли, где также много распределённых площадок: производство, энергетика, нефтегаз, химия, металлургия, ЖКХ и т. д. Именно промышленность сегодня чаще других оказывается в фокусе вымогателей, потому что остановка цеха или линии моментально отражается на бизнесе, который готов на многое, чтобы избежать убытков», — конкретизирует генеральный директор ООО «Виртуальные инфраструктуры» («Облакотека») Максим Захаренко.

Прогнозы на ближайшую перспективу также не обнадёживают. Илья Куриленко считает, что в 2026 году не стоит ждать снижения количества проникновений через интернет. Также особо опасным станет усиление разрушительного действия на промышленную автоматизацию. Всё чаще фиксируются атаки на ресурсоснабжающие организации с целью парализовать сразу несколько предприятий или даже города.

По мнению Дмитрия Говорова, в 2026 году этот процесс автоматизируют. Будет больше проникновений в инфраструктуру, где разведку и адаптацию к конкретному производству делают не люди часами, а скрипты. Быстро просканировали, нашли слабое место, ударили.

Искусственный интеллект и человеческий фактор

Технологии искусственного интеллекта стали двойственным инструментом в руках как атакующих, так и защищающихся. Владислав Ганжа отмечает, что машинный разум развивается колоссальными темпами. Он уже весьма неплохо помогает не только в решении бытовых задач, но и в разработке ПО, проведении тестов, анализе массивов данных.

«Искусственный интеллект играет за обе команды. Для атакующих это ускоритель: тексты фишинга становятся убедительнее, а сценарии атак пишутся быстрее. Для защиты ИИ полезен там, где у человека уже не хватает глаз, например в анализе аномалий в трафике АСУ ТП, в корреляции событий и в подсказках команде реагирования. Но ИИ не заменяет базовую гигиену. Если сеть не сегментирована и учётные записи не контролируются, не спасёт никакая „умная” аналитика», — грустно усмехается Максим Захаренко.

Тем не менее для защиты возможности машинного разума также существенны. По словам Ильи Куриленко, использовать ИИ имеет смысл для выявления потенциально опасных аномалий в поведении, в том числе при использовании легитимных инструментов; для вынесения вердикта о зловредности ПО путём анализа похожих, уже известных компьютерных вирусов; для разбора и классификации трафика, в том числе шифрованного, по косвенным признакам; для интерпретации срабатывания средств защиты информации с выдачей рекомендаций на языке, доступном для широкого круга специалистов с различной квалификацией; для построения цепочек атак из разрозненных событий информационной безопасности, в том числе с предоставлением рекомендуемого плана по реагированию.

«Для защиты в промышленности ИИ полезен не поиском вирусов — там и так все понятно, — а анализом поведения. Если система вдруг замечает, что станок или турбина работают чуть иначе, чем обычно, это часто важнее любых сигнатур. Потому что в АСУ ТП аномалия в процессе — это первый признак, что что‑то пошло не так», — подчёркивает Дмитрий Говоров.

Однако эксперты предостерегают от излишней технологизации. В частности, Игорь Вербицкий напоминает, что ИИ используют в кибербезопасности уже давно и его появление не меняет фундаментальных принципов защиты. Ключевыми остаются архитектура безопасности, процессы реагирования и зрелость команды.

Вопрос кадрового обеспечения остаётся одним из наиболее острых. Генеральный директор ООО ГК «Рюрик» Александр Боднар приводит конкретные цифры дефицита: «На рынке кибербезопасности нехватка квалифицированных кадров — порядка 40%. Это связано с тем, что быстро обучиться данной профессии невозможно: вначале теория, потом идёт наработка практического опыта».

Проблему усугубляет необходимость наличия гибридных компетенций, говорит Илья Куриленко. По его словам, на рынке не хватает специалистов сразу с двумя навыками: автоматизированные системы управления технологическими процессами и информационная безопасность. При этом эксперты сходятся во мнении что человеческий ресурс важнее технологического.

«Если говорить о приоритете: люди или железо, — то однозначно главной ценностью остаются первые. Известно немало случаев, когда грамотные специалисты реализуют довольно неплохую защиту без миллионных бюджетов. Даже нормативная база говорит: при отсутствии или невозможности реализации мер допускается их закрытие компенсирующими мероприятиями, включая организационные.

Простой пример — мониторинг логов в ручном режиме, но с определённой периодичностью будет эффективнее, чем внедрённый SIEM (Security Information and Event Management — управление информацией и событиями безопасности) при отсутствии специалистов», — утверждает Дмитрий Кузин.

Игорь Вербицкий акцентирует внимание на культуре безопасности. По его мнению, главный элемент киберустойчивости — поведение всех сотрудников. Именно через людей чаще всего происходит первичный доступ в инфраструктуру. Даже при правильно выстроенной архитектуре одна ошибка пользователя может запустить цепочку инцидента.

Технические и организационные меры обеспечения киберустойчивости

Обеспечение устойчивости критической инфраструктуры требует комплексного подхода, начинающегося с базовой гигиены сети. Первое и главное — развести офисную сеть и производственный контур. Без этого всё остальное бессмысленно, считает Дмитрий Говоров.

«В первую очередь необходимо выполнить базовые меры — выделить критичные бизнес-процессы и угрозы (недопустимые события) для них. Далее важно выполнить инвентаризацию устройств и учётных записей, сегментировать сеть посредством межсетевых экранов, обеспечить антивирусную защиту, закрыть трендовые уязвимости, обеспечить логирование (процесс записи и хранения информации о событиях, действиях и состояниях системы, приложений или пользователей) событий безопасности и наличие актуальных резервных копий.

Также полезно вести мониторинг инфраструктуры (сетевого трафика, доступности и производительности, критичных настроек, действий подрядчиков и других привилегированных пользователей) и оперативно реагировать на отклонения в тесной связке со смежными подразделениями», — детализирует Владислав Ганжа.

Максим Захаренко дополняет этот перечень необходимостью внедрения многофакторной аутентификации и контроля подрядчиков, обязательным мониторингом промышленной сети, обеспечением резервного копирования с изолированными данными и проведением регулярных учений по реагированию.

«Помимо решений по антивирусной защите и межсетевого экранирования, которые относятся к классическим, выделю следующее: системы мониторинга событий безопасности (в том числе c акцентом на промышленных протоколах); системы анализа защищённости (управление уязвимостями и контроль соответствия конфигураций требованиям безопасности); промышленные межсетевые экраны; однонаправленные шлюзы передачи данных; интеллектуальные решения защиты конечных точек; системы контроля неизменности конфигураций инфраструктуры», — добавляет Илья Куриленко.

Особое внимание специалисты рекомендуют уделять сохранению стабильности технологических процессов при внедрении средств защиты. Эксперты ООО «Уральский центр систем безопасности» (УЦСБ) описывают три основных технических подхода для решения этой задачи. Первый заключается в автоматизации безопасности на этапе разработки, а не эксплуатации.

Например, при интеграции практик DevSecOps (development — разработка, security — безопасность и operations — эксплуатация) в создание «Альфа платформы» (программного комплекса, предназначенного для построения систем управления технологическими процессами) безопасность была «вшита» в процесс сборки кода.

То есть каждая версия автоматически проходит статический и динамический анализ, а результаты направляются разработчикам. Это позволяет выявлять и устранять уязвимости до того, как обновление попадёт на производственный объект. Техпроцесс не прерывается, а скорость выхода новых версий сохраняется.

Второй подход, по данным УЦСБ, подразумевает создание индивидуальных инструментов тестирования в соответствии со спецификой оборудования. Стандартные средства фаззинга (fuzzing — техника тестирования программного обеспечения) часто не работают с промышленными контроллерами (ПЛК) из-за их архитектуры.

В одном из проектов для заказчика, специализирующегося на технической поддержке систем управления турбомашинными агрегатами на базе промышленных программируемых логических контроллеров, разработали специализированный программный инструмент. Он автоматически генерирует или модифицирует данные для фаззинга и адаптирован к другому ПО для управления турбинами. Это позволило провести испытания без риска для реального оборудования и подтвердить соответствие требованиям регуляторов, не останавливая производство.

Третий подход обеспечивает контроль привилегированных пользователей без вмешательства в автоматизированную систему управления технологическими процессами (АСУ ТП). В оборонной промышленности (на примере проекта с пермским заводом «Машиностроитель») внедрение PAM (Privileged Access Management — система, которая обеспечивает контролируемый удалённый доступ привилегированных пользователей к инфраструктуре компаний) позволяет мониторить и записывать действия администраторов.

При этом само вмешательство в техпроцесс происходит только после авторизации и в рамках строго определённых ролей. Это снижает риск случайных или намеренных ошибок, сохраняя стабильность управления оборудованием.

«Я бы обратил внимание на то, что выстроить эффективную систему защиты информации без актуальных моделей угроз невозможно. Но если ещё совсем недавно их разработка представляла довольно трудоёмкий процесс, то сейчас его можно автоматизировать, если использовать доступные решения. Они позволяют создавать модели угроз для информационных систем с учётом внедрённых средств защиты и в соответствии с требованиями регуляторов», — поясняет Владимир Ковалько.

Специфика внедрения российских ИБ-решений в промышленности

Вопрос перехода на отечественные системы остаётся сложным. Владислав Ганжа отмечает, что рынок российских ИБ-решений развивается, однако ввиду сложной экономической ситуации рост в настоящее время несколько замедлился.

Уже есть множество российских продуктов разных классов, которые как минимум сопоставимы по функционалу с зарубежными аналогами. Илья Куриленко перечисляет производителей ПО с акцентом на защиту АСУ ТП: Positive Technologies, «Лабораторию Касперского», «ИнфоТеКС», «Газинформсервис», «Инфовотч», УЦСБ.

«Наполненность отечественного рынка инфраструктурных решений нишевыми приложениями пока далека до идеала. При отсутствии нужных программ, совместимых с той или иной ОС, на которую компания решит перейти, она не будет спешить. И это один из главных „подводных камней”, который сдерживает миграции на российскую продукцию», — указывает Владимир Ковалько.

Александр Боднар акцентирует внимание на том, чтобы средства защиты от киберугроз были сертифицированы в ФСТЭК и ФСБ. А у поставщиков услуг должны быть соответствующие лицензии, разрешения.

Главной сложностью эксперты называют не технологию, а процессы и людей. Максим Захаренко считает большой трудностью перехода на отечественные продукты обеспечение совместимости и сохранение стабильности производства. В качестве грамотной стратегии эксперт предлагает проводить поэтапную миграцию: пилот на тестовом сегменте, затем ограниченный промышленный участок и только потом масштабирование.

«Самое сложное — убедить технологов, что новое решение не сломает работу. У людей большой опыт, и они справедливо переживают за оборудование — любое вмешательство вызывает вопросы. Поэтому действуют аккуратно: сначала ставят системы наблюдения, которые просто смотрят, ничего не трогая. Потом на отдельных участках пробуют пилоты. И, только когда убедились, что все стабильно, масштабируют дальше. Никто не экспериментирует на работающем производстве», — подтверждает Дмитрий Говоров.

Экономика кибербезопасности: оценка рисков и бюджетирование

Вопрос финансирования защиты остаётся дискуссионным. Александр Боднар скептично считает, что многие компании не очень готовы к серьёзным вложениям, к тому же бюджеты сейчас урезаются.

«Из-за не самой простой экономической ситуации сейчас большинство придерживаются принципа Парето: пытаются максимально полно закрыть требования минимальными вложениями, оптимизировать внутренние процессы, в некоторых случаях передать часть работ подрядчикам», — делится видением Владислав Ганжа.

Максим Захаренко отмечает рост готовности предприятий инвестировать в защиту ввиду того, что цена простоя и инцидента стала слишком высокой. Когда безопасность переводят с языка «страшных угроз» на язык бизнес-рисков (сколько стоит час остановки, как быстро пройдёт восстановление и т. д.), инвестиции начинают воспринимать как необходимость, а не как дополнительную нагрузку.

«Восприятие кибербезопасности заметно изменилось. Для промышленного бизнеса это уже не вспомогательная ИТ-функция, а фактор операционной устойчивости. Готовность инвестировать есть, но подход стал более прагматичным. Руководство ожидает чёткого понимания, какие риски снижаются и как обеспечивается непрерывность технологического процесса», — говорит Игорь Вербицкий.

По мнению Дмитрия Говорова, крупные промышленные компании уже не отделяют кибербезопасность от защиты производства в целом. Это сейчас воспринимают примерно как охрану труда или пожарную безопасность — само собой разумеющееся. Деньги на это выделяют, но подход стал умнее: если раньше часто покупали что‑то «для галочки», то сейчас смотрят, что реально даст устойчивость, а что просто будет пылиться на полке.

Владимир Ковалько считает, что в 2026 году предприятия делают ставку на выстраивание многоуровневой и адаптивной системы защиты, управление доступом и автоматизацию. Многие понимают, что важно уметь быстро восстановиться после кибератак, чтобы продолжать работать и развиваться.

Однако ключ к успеху лежит не в покупке отдельных продуктов, а в выстраивании единой рабочей схемы. Как отмечает Игорь Вербицкий, в промышленности последствия ошибки могут быть не только цифровыми, но и физическими. Поэтому культура информационной безопасности — это не дополнение к защите, а один из её столпов.

Максим Захаренко, генеральный директор ООО «Виртуальные инфраструктуры» («Облакотека»)

«Стоит признать, что главная проблема промышленников в киберустойчивости сегодня даже не „хитрые хакеры”, а реальность АСУ ТП: оборудование живёт по 10–20 лет, окна на обновления редкие, а любое вмешательство рискованно для технологического процесса.

Это приводит к типовому набору трудностей: нет полной инвентаризации активов, сети исторически „плоские”, удалённый доступ у подрядчиков настроен как придётся, патчи ставятся медленно (или никогда), а граница между ИТ и операционными технологиями размыта: на инженерных станциях и HMI (Human-machine interface — человеко-машинный интерфейс) тот же Windows, и их часто ведут как обычные офисные машины.

Ландшафт угроз за последние годы стал более прикладным. Злоумышленникам важен не столько технический изыск, сколько эффект: остановка, шантаж, давление через подрядчиков и цепочку поставок. Всё чаще вход в атаку начинается не с контроллера, а с человека — например, через фишинг, компрометацию учётной записи или заражённую рабочую станцию.

Дальше злоумышленники двигаются к диспетчерским системам и технологическому контуру. В 2026 году, на мой взгляд, будет расти доля атак через удалённый доступ и сервисных подрядчиков, плюс будет больше автоматизации и социальной инженерии».

Подготовил Артём Щетников. Фото: ru.freepik.com.

Этот материал опубликован в журнале
Промышленные страницы №2, 2026.

Смотреть другие статьи номера