Гибридные угрозы — новая реальность для объектов КИИ

Гибридные угрозы — новая реальность для объектов КИИ

Сегодня атака на критическую инфраструктуру редко укладывается в один сценарий. Киберинцидент может совпасть с физическим воздействием на объект, нарушением работы каналов связи, атакой БПЛА или действиями инсайдера. Для компаний это означает, что уже недостаточно отдельно выстраивать киберзащиту, охрану периметра и эксплуатационные процессы: в реальной угрозе они неизбежно пересекаются.

Журнал RUБЕЖ публикует перевод аналитики TechRadar о том, как меняется защита объектов критической инфраструктуры в условиях гибридных рисков. Чтобы посмотреть на эту тему через призму российской практики, мы дополнили материал комментарием Михаила Савельева, директора департамента методологии информационной безопасности «Ростелекома».

Крупное технологическое онлайн-издание TechRadar (Великобритания) опубликовало мнение директора по продажам и маркетингу компании PFL Access Management Ричарда Хилсона о том, как сегодня, в условиях усиливающихся угроз для объектов критической инфраструктуры, должны развиваться стратегии их защиты. По данным Национального центра кибербезопасности Великобритании (NCSC), в настоящее время страна сталкивается примерно с четырьмя значимыми для национальной безопасности киберинцидентами в неделю.

Гибридные угрозы на практике

В современную эпоху, когда опасности киберпространства, физического мира и воздушного пространства накладываются друг на друга, создавая единые векторы для поражения ценных ресурсов, злоумышленники больше не ограничивают себя рамками отдельных организаций. Они умело эксплуатируют разрывы в их взаимодействии, а гибридные угрозы комбинируют различные элементы для достижения деструктивных целей.

Типичная атака может начаться с изучения цифровых систем, во время которого обнаруживаются слабые места в информационных (ИТ) или операционных технологиях (ОT). Далее может последовать физическая разведка, в том числе с использованием беспилотных летательных аппаратов, для выявления точек доступа, маршрутов передвижения и слабых мест в системе безопасности.

Зафиксированный в Великобритании рост числа инцидентов с участием дронов вблизи критически важных объектов более чем в два раза за год свидетельствует о том, что современные легкодоступные технологии способны обходить традиционные средства контроля периметра. Физические структуры, являющиеся фундаментом цифровой экономики, остаются под угрозой: 95% всего мирового потока данных передается по подводным кабелям, которые подвержены повреждениям.

В российской практике, по оценке Михаила Савельева, речь идет не столько о появлении совершенно новых угроз, сколько о росте вероятности уже знакомых сценариев. В этой ситуации важно заранее предусмотреть устойчивость доступа, связи и работы дежурных смен.

Михаил Савельев, директор департамента методологии информационной безопасности «Ростелекома»:

— Безусловно, в современных условиях мы можем сталкиваться с ситуацией, когда атака на ИТ-инфраструктуру идет параллельно с физическим воздействием. Например, с атакой БПЛА. Учитывая этот сценарий, важно предусмотреть возможность доступа к инфраструктуре из защищенных объектов: обеспечить безопасный доступ дежурных смен во время воздушной опасности, а также предусмотреть резервные каналы связи на случай повреждения основных коммуникаций.

Отдельно сегодня стоит задуматься о проведении проверок кандидатов при приеме на работу и более тщательном наблюдении за действующими сотрудниками. Важно предусмотреть два сценария: преднамеренное внедрение в штат с целью диверсии или переход действующего работника под контроль внешних злоумышленников.

Однако я бы не называл данные угрозы чем-то новым, а скорее, говорил бы о повышении вероятностей их реализации.

Уязвимость ЦОД как следствие повышения операционной эффективности

В масштабируемых сетевых средах, где персонал ограничен, а объекты расположены удаленно или в труднодоступных местах, вопросы безопасности особенно актуальны. Наглядным примером служат центры обработки данных. Будучи краеугольным камнем цифровой экономики, они зачастую функционируют с минимальным присутствием сотрудников на месте, полагаясь на дистанционное управление и автоматизированные процессы.

В настоящее время в мире насчитывается от 11 до 12 тысяч центров обработки данных, обеспечивающих работу множества сервисов – от финансовых услуг и облачных вычислений до систем искусственного интеллекта и критически важных государственных структур. Один этот сектор ЦОД в Великобритании приносит около 4,7 млрд фунтов стерлингов валовой добавленной стоимости ежегодно и обеспечивает более 43 000 рабочих мест. К 2035 году его экономический вклад может возрасти еще на 44 миллиарда фунтов стерлингов. Однако высокая значимость делает ЦОД все более заманчивой мишенью для атак.

Недавние события наглядно демонстрируют возросший риск. За 2024-2025 годы было зафиксировано несколько громких кибератак, направленных против операторов центров обработки данных и облачных провайдеров. Эти инциденты привели к перебоям в предоставлении услуг и выявили уязвимости во взаимосвязанных системах.

Многие современные объекты спроектированы для работы с использованием систем удаленного мониторинга, автоматизации и централизованного управления. Это повышает операционную эффективность, но одновременно создает условия, при которых угрозы могут оставаться незамеченными на протяжении длительного времени. Аналогичная картина и в других критически важных секторах инфраструктуры, включая энергетику, транспортные сети и логистические узлы, где удаленность объектов и ограниченное присутствие персонала увеличивают риски.

Эксперт «Ростелекома» отмечает, что в зону особого внимания попадают все отрасли, перечисленные в законе о безопасности критической информационной инфраструктуры. Однако масштаб возможных последствий для общества в разных секторах неодинаков.

Михаил Савельев, «Ростелеком»:

— Я бы отнес к этой категории все объекты отраслей, которые перечислены в 187-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации” от 26.07.2017. Хотя, конечно, нельзя не согласиться, что успешные атаки на объекты промышленности, энергетики, транспорта и телекома имеют наиболее значимые социальные последствия.

Разрозненные стратегии безопасности не решают задач

Для противодействия этим вызовам организации вынуждены адаптировать собственные системы безопасности к скоординированным и гибким угрозам, использующим как технические уязвимости, так и организационные «слепые зоны».

Несмотря на эти изменения, многие стратегии безопасности остаются разрозненными. Системы физической безопасности зачастую функционируют независимо от платформ кибербезопасности. Информация о контроле доступа не всегда интегрируется с более широкой базой данных об угрозах, а системы мониторинга воздушного пространства, если они вообще существуют, редко связаны с наземными системами за пределами государственных и военных ведомств.

В условиях конвергентных угроз это становится существенным недостатком. Изолированная система контроля доступа может зафиксировать несанкционированное проникновение, но без интеграции в более широкие системы мониторинга она лишена контекста. Аналогично, платформа кибербезопасности может обнаружить аномальную сетевую активность, но без контроля физических точек доступа она упускает критически важное звено цепочки.

То же самое применимо и к использованию дронов: одного лишь обнаружения недостаточно, если оно не связано с протоколами реагирования на инциденты или общими системами безопасности.

С этой логикой согласен и Михаил Савельев. По его мнению, ответ на новые риски не обязательно требует создания принципиально новых защитных контуров. Гораздо важнее, чтобы уже существующие подразделения действовали как единая команда и не упускалитеряли время из-зана разрыва между зонами ответственности.

Михаил Савельев, «Ростелеком»:

— Так как все проблемы не новы, нет необходимости создавать принципиально новые системы защиты. Вместо этого я бы порекомендовал наладить оперативную и прозрачную коммуникацию между подразделениями ИБ, физической защиты и кадровыми службами. К сожалению, ситуации, когда эти подразделения действуют разрозненно, — не редкость. Новые угрозы должны стать стимулом для объединения усилий.

Аналитика как основа многоуровневой модели безопасности

Система безопасности сегодня эволюционирует, приобретая черты многоуровневой модели, подкрепленной аналитическими данными. Этот подход адекватно отражает реалии современных гибридных угроз и комплексных рисков.

На физическом уровне обеспечения безопасности реализуется продуманная защита периметра и интеллектуальные системы управления доступом. Передовые решения выходят далеко за рамки простого контроля доступа, обрабатывая информацию в реальном времени, проводя идентификацию и интеграцию с глобальными платформами безопасности. Цель – создать целостное представление о ситуации с доступом: кто находится на территории, какова цель его присутствия и соответствует ли его деятельность ожидаемым моделям поведения.

Параллельно сообщество экспертов по кибербезопасности и разработчики защитных технологий активно работают над решением проблем, связанных с воздушным пространством. Средства противодействия беспилотным летательным аппаратам, включая обнаружение и нейтрализацию дронов, становятся неотъемлемым элементом общей системы кибербезопасности.

Не менее значим цифровой уровень с постоянным мониторинг ИТ- и ОТ-сетей. Это обеспечивает прозрачность сетевой активности, производительности систем и позволяет выявлять потенциальные уязвимости. В таких критически важных отраслях, как энергетика, транспорт и центры обработки данных, где операционные системы все более взаимосвязаны, подобная прозрачность необходима для обеспечения безопасности и отказоустойчивости.

Такой комплексный подход позволяет организациям получать актуальную информацию для оценки ситуации, собирая и анализируя данные из различных источников для формирования комплексной картины рисков. Событие, связанное с контролем доступа, может быть соотнесено с сетевой активностью, а обнаружение дрона – запустить автоматическое реагирование в физических и цифровых системах. В конечном итоге это дает возможность выявлять закономерности.

Уже нельзя полагаться только на защиту периметра или исключительно на стратегии ИБ. Организациям требуется применять многоуровневый подход, учитывающий взаимосвязанность современных гибридных угроз и инфраструктуры.

В конечном счете эффективность такой модели определяется не количеством отдельных систем на объекте, а тем, насколько быстро организация умеет перейти от обнаружения события к реальным действиям.

Михаил Савельев, «Ростелеком»:

— Нет смысла выделять какие-то отдельные системы и процессы, поскольку все они работают взаимосвязанно. Однако объектам КИИ важно не просто гордиться выстроенной системой мониторинга событий ИБ, а уметь своевременно реагировать на обнаруженные инциденты, используя возможности тех средств защиты, которыми они обладают на текущий момент.

Источник: TechRadar, комментарий Михаила Савельева, директора департамента методологии информационной безопасности «Ростелекома».

Был ли вам полезен данный материал?

Да Нет

|| ←СКУД в 2026 году: ориентир на клиента и открытую интеграцию
Постановление № 602 сместило фокус с металла и камер на жизнеспособность алгоритмов безопасности →

Предыдущий материал: СКУД в 2026 году: ориентир на клиента и открытую интеграцию

Следующий материал: Постановление № 602 сместило фокус с металла и камер на жизнеспособность алгоритмов безопасности

Журнал RUБЕЖ собрал рекомендации экспертов по обеспечению безопасности ЦОД: оценка рисков для пожарного страхования, критерии защищенности дата-центров, обзоры нормативных актов и инвестпроекты.

Подписывайся на наши каналы в Telegram: