Ольга Макова: «Массовые атаки уступили место точечным и сложным»

23 сентября 2025, 18:54

© Рексофт

Ольга Макова
Директор департамента промышленной автоматизации компании Рексофт

Мультисервисная технологическая компания Рексофт провела в июле на ИННОПРОМе в Екатеринбурге две сессии, посвященные цифровизации производства и промышленным данным. Журнал RUБЕЖ поговорил с модератором одной из дискуссий, директором департамента промышленной автоматизации Рексофт Ольгой Маковой. Эксперт расставила “красные флаги” в безопасности АСУ ТП, которые довольно часто остаются без внимания руководства.

- Летом этого года прошла целая волна громких ИБ-инцидентов. Все они касались в основном крупных компаний, работающих в сегменте B2C («Аэрофлот», «ВинЛабс» и пр). Тему с промышленными предприятиями особенно никто не поднимал. Как в этой области обстоят дела? Есть ли атаки на объекты через контур АСУ ТП?

- Конечно, они есть. Хотя в публичный контур результаты таких атак выходят нечасто. Если говорить о наиболее громких кейсах, то в этом году подразделение по устойчивости бизнеса французской транснациональной компании Schneider Electric стало жертвой атаки с использованием шифровальщика. Злоумышленники не только заблокировали часть систем, но и похитили корпоративные данные. Инцидент привел к нарушению работы облачной платформы, используемой для управления энергопотоками и данными клиентов. Schneider Electric публично заявила, что атака была локализована в рамках одного подразделения, однако факт утечки и операционные сбои подтвердила.

Еще один значимый инцидент был у технологической компании Tata Technologies, входящей в состав концерна Tata Motors и специализирующейся на автомобильном, аэрокосмическом и промышленном машиностроении. Из-за атаки вымогателей компания была вынуждена приостановить работу некоторых своих ИТ-сервисов. Позже группа Hunters International взяла на себя ответственность за атаку на Tata Technologies, заявив о получении 730 000 файлов.

В России тоже атаки регулярно происходят. По данным RED Security SOC кибератак на российские промышленные предприятия в первом полугодии 2025 года превысило 7,5 тыс. При этом массовые и примитивные атаки уступили место точечным, и сложным, проводимым профессиональными группами с использованием кастомизированных инструментов. Чаще всего атакуются предприятия пищевой промышленности (29%), нефтегазовой отрасли (23%) и машиностроения (17%). Каждая из этих сфер представляет уникальный интерес: пищевая индустрия — из-за высокой уязвимости к простоям, нефтегаз — из-за стратегической значимости, а машиностроение — из-за интеллектуальной собственности, содержащей технологические разработки и проектные наработки. Публичных кейсов не так много по понятным причинам.

В России известны случаи сбоев в работе компаний, занимающихся генерацией и распределением электроэнергии, что приводило к довольно серьезным простоям, а также финансовым и репутационным потерям. Также показателен кейс с ЕГАИС, когда в результате DDoS-атаки производители алкоголя не могли получить для заводов спирт, а дистрибьюторы не могли отгрузить в магазин продукцию. Также известны случаи с парой крупных агропромышленных холдингов, которые в результате атак шифровальщиков не могли отгружать продукцию. Компания при этом подтвердила «иностранный» след атакующих.

- Какие главные ошибки допускают организации при защите систем контура АСУ ТП? Неужели кибератаки - неизбежное зло, которое нельзя побороть?

- Начнем с того, что на промышленных предприятиях де-факто существуют два вида сетей – управленческие и технологические. И если в управленческих ИБ-настройки и политики регулярно обновляются, то в технологическом контуре у инженеров есть принцип «работает — не трожь». Система работает годами или даже десятилетиями без каких-либо модификаций, без установки критических исправлений безопасности и с исходной конфигурацией, включая неиспользуемые сетевые службы, отладочные интерфейсы и небезопасные пароли, — иногда с самого момента ввода в эксплуатацию. Оно и понятно, жизненный цикл хорошего контроллера исчисляется десятилетиями. Именно здесь кроется подвох. Многие организации не разделяют контура управления и производства, что делает последние уязвимыми для атак, которые проходят через управленческий сетевой контур. Решением может служить внедрение строгой сегментации сетей, использование межсетевых экранов для ограничения доступа к производственной инфраструктуре, внедрение механизмов IDS.

Вторая ошибка часто вытекает из первой. Из-за принципа «работает – не трогай» промышленные системы часто остаются без актуальных обновлений, что увеличивает ИБ-риски. И здесь выход только один – создание политик обновления программного обеспечения, а также средств безопасности и системы контроля за исполнением.

Кроме того, на безопасность всегда влияет человеческий фактор. Социальная инженерия, беспечность или продуманная атака на конкретных людей не исключается. Решение сотрудника самостоятельно установить какой-то драйвер, открытая ссылка из письма, банальная зараженная флешка могут быть причиной серьезных последствий. В практике была масса историй, когда у сотрудника слетел код на условный AutoCAD, а нужно что-то срочно начертить. Для оперативности сотрудник самостоятельно скачал из интернет зараженную версию ПО, и результат не замедлил проявиться. Решение одно – регулярное обучение и повышение осведомленности о киберугрозах среди всех работников.

- Какие «красные флаги» должны насторожить руководство предприятия при оценке безопасности своих ИТ-систем и АСУ ТП в частности? Какие из этих предупреждающих сигналов чаще всего игнорируются?

- Работа промышленных объектов всегда регулируется различными стандартами. В них выверены в том числе принципы политики безопасности и ее регламентов. Если руководство понимает, что на предприятии отсутствует политика безопасности, нет четких инструкций и процедур по ИБ – это серьезный сигнал к изменениям. Следующим настораживающим пунктом является отсутствие регулярных проверок и анализа логов. Такая ситуация может привести к незамеченным инцидентам. Кто и как часто должен проводить аудиты – вопрос открытый. Если компаний небольшая, то можно справиться собственными силами при наличии квалифицированного персонала, но если предприятие большое с серьезным штатом, то лучше сделать внешний аудит и проводить его регулярно. Принципы проведения аудита могут быть разные – black, grey или white box. Black box – это когда условный «атакующий» подходит к исследуемому объекту, о котором он ничего не знает, grey box – когда ему дают некоторые подробности про то, как работает объект, а white box – это когда он работает уже в периметре.

Еще один сигнал о потенциальной прорехе в безопасности – это использование устаревшего оборудования и ПО. Отсутствие поддержки вендора и регулярных обновлений – прямой путь к рискам.

- Каких угроз следует опасаться в части "цифры" критически важным объектам сегодня?

- Наиболее часто используемый инструмент – это кибератаки с использованием вредоносного ПО. Последние несколько лет регистрируется существенное увеличение числа атак с использованием ransomware и других угроз с самой различной вредоносной нагрузкой. Источником первичного заражения чаще всего являются ресурсы в интернете, вредоносные скрипты и фишинговые страницы, зараженные документы. Также используются программы-шпионы, программы-вымогатели, майнеры — исполняемые файлы для ОС Windows и веб-майнеры. Ну и еще один подвид – это самораспространяющееся вредоносное ПО, которое включает в себя вирусы и черви.

Отдельно выделю атаки на цепочку поставок. Промышленное оборудование, включая системы автоматизации основных производственных активов, представляет собой сложную и многокомпонентную систему. Парк такого оборудования на предприятии может включать в себя как типичные элементы ИТ-систем, так и множество специализированных компонентов, произведенных различными поставщиками промышленных технологий. Многие из этих поставщиков являются относительно небольшими производителями узкоспециализированных решений, которые не располагают достаточными ресурсами, чтобы обеспечить должный уровень информационной безопасности своих продуктов.

Кроме того, для подключения оборудования, его первоначальной настройки и регулярного обслуживания часто требуются специализированные знания, что приводит к необходимости привлечения сторонних специалистов из разных организаций. Это, в свою очередь, увеличивает поверхность атаки на цепочку поставок и доверенных партнеров предприятия.

Также не надо забывать про внутренние угрозы со стороны недобросовестных сотрудников или случайных ошибок персонала. Кроме того, стоит учитывать физические угрозы инфраструктуре, которые участились в связи с геополитическими обстоятельствами.

- Как Рексофт видит развитие отрасли информационной безопасности АСУ ТП в ближайшие 3-5 лет? Как вы думаете, технологический рост отрасли не обернется ли против нее самой? Я имею в виду, чем технологичнее отрасль, тем больше рисков, на которые нужно учиться отвечать, разрабатывая специальные отдельные решения и т.д.

- Промышленный сектор активно внедряет автоматизированные решения для защиты критической инфраструктуры, включая технологии искусственного интеллекта и машинного обучения. Эти инструменты позволяют оперативно выявлять и нейтрализовать киберугрозы, сокращая время реагирования до минимума. Однако рост зависимости от ИИ несет и риски: небрежная интеграция технологий нередко приводит к утечкам конфиденциальных данных о внутренних процессах предприятий.

Инновации в сфере ИИ и ML привлекают не только инвесторов, но и злоумышленников. Технологические ноу-хау стали мишенью для хакерских и APT-групп, которые активно атакуют исследовательские и внедренческие центры. Кибербаррикады усиливаются с обеих сторон, и это требует от компаний комплексного подхода к защите.

Возрастет роль интеграции систем оркестрации безопасности как единых экосистем защиты, объединяющих разрозненные решения в согласованный комплекс. Это позволит не только централизованно управлять угрозами, но и прогнозировать сценарии атак.

Усилятся инвестиции в обучение персонала, так как рост сложности киберугроз повышает спрос на квалифицированные кадры. Впрочем, компании уже сейчас закладывают в бюджеты статьи на регулярное обучение сотрудников, включая тренировки по реагированию на инциденты и работу с ИИ-инструментами.

Также ожидается ужесточение стандартов безопасности для АСУ ТП, в том числе под влиянием новых вызовов. Регуляторы и отраслевые альянсы активно работают над фреймворками, которые помогут компаниям поддерживать уровень защиты, соответствующий динамике угроз.

Современная кибербезопасность промышленности — это не просто технологическая гонка, а системные инвестиции в инфраструктуру, людей и процессы. Компании, которые уже сегодня фокусируются на интеграции решений и развитии компетенций, смогут не только снизить риски, но и превратить защиту данных в конкурентное преимущество.