Промышленные предприятия становятся все более зависимыми от цифровых сервисов. Это повышает управляемость производства, но одновременно делает атаку на ИТ-инфраструктуру риском для технологического процесса.
В I квартале 2026 года доля атакованных ICS-компьютеров в производстве выросла сразу в десяти регионах. В России показатель по ransomware в производственном сегменте увеличился в 2,3 раза. Для завода такие инциденты редко остаются только проблемой ИТ-службы. Если атака затрагивает технологический контур, последствия могут перейти на уровень производства: остановку участка, сбой в выпуске продукции, нарушение отгрузки, сервисного обслуживания и контрактных сроков.
В офисной инфраструктуре ущерб чаще оценивают через простой рабочих мест, недоступность сервисов или утечку данных. В промышленной среде логика другая. За инженерной станцией, шлюзом, сервером диспетчеризации или каналом связи может стоять реальный технологический процесс. Ошибка в реакции на инцидент способна повлиять не только на данные, но и на оборудование, линию или сменный план.
На «умных» заводах эта зависимость сильнее. АСУ ТП, датчики, промышленный интернет вещей, диспетчеризация, аналитика, удаленный доступ подрядчиков и обмен данными между ИТ- и ОТ-сегментами делают производство более гибким. Но вместе с этим растет количество связей, которые нужно видеть и контролировать. Риск возникает не из-за самой цифровизации, а из-за того, что предприятие часто не понимает, какие устройства действительно взаимодействуют между собой и какие соединения стали постоянными без формального пересмотра.
Атака на промышленное предприятие не обязательно начинается внутри АСУ ТП. Чаще точка входа находится в корпоративной ИТ-среде: фишинговое письмо, украденная учетная запись, открытый сервис удаленного доступа, скомпрометированный подрядчик или система на стыке ИТ и ОТ. Дальше сценарий зависит от сегментации и качества контроля. Если границы между офисной и технологической сетью размыты, обычный ИТ-инцидент может постепенно превратиться в угрозу для производства.
«Для промышленного предприятия опасна не сама по себе компрометация отдельного узла, а момент, когда атака начинает влиять на технологический процесс. На “умном” заводе ИТ- и ОТ-среды уже тесно связаны: данные с оборудования уходят в аналитические системы, подрядчики получают удаленный доступ, производственные линии зависят от цифровых сервисов. Если предприятие не видит, какие устройства взаимодействуют между собой и где появляется нетипичная активность, оно может обнаружить атаку уже после того, как возник риск простоя. Поэтому защита АСУ ТП должна начинаться с видимости сети, контроля изменений и мониторинга промышленного трафика», — делится экспертизой Владислав Ганжа, руководитель лаборатории информационной безопасности UDV Group.
Вредоносному ПО не всегда нужно дойти до контроллеров, чтобы нанести ущерб. Достаточно нарушить работу инженерных станций, планирования, склада, отгрузки, удаленного доступа, сервисного обслуживания или обмена данными между производственными и офисными системами. Формально инцидент может начаться далеко от технологического процесса, но эффект проявится уже на уровне выпуска продукции.
Поэтому подход к реагированию в АСУ ТП отличается от офисной ИТ-среды. В корпоративном сегменте подозрительный компьютер можно быстро изолировать, обновить, перезагрузить или отключить. В технологическом контуре каждое действие требует оценки: что связано с этим узлом, какой процесс он обслуживает, кто должен подтвердить отключение и не создаст ли сама реакция риск для оборудования.
Промышленная ИБ начинается с видимости сети. Это не карта активов для отчета, а понимание фактического состояния технологического сегмента: какие устройства работают, какие протоколы используются, какие соединения штатные, какие появились недавно и где возникла нетипичная активность. Без такой картины предприятие может обнаружить атаку уже тогда, когда остается мало безопасных вариантов реакции.
Инвентаризация активов, контроль изменений и мониторинг промышленного трафика становятся базовым уровнем защиты АСУ ТП. Они помогают увидеть ранние признаки разведки, бокового перемещения или нехарактерного взаимодействия между узлами. Для производства время обнаружения особенно важно: чем позже выявлено отклонение, тем выше риск простоя и тем сложнее действовать без влияния на технологический процесс.
Отдельный источник риска — разрешенные связи. В промышленной сети опасность не всегда выглядит как очевидно запрещенное действие. Это может быть легитимный удаленный доступ, старое правило на межсетевом экране, общая учетная запись, забытый канал обмена данными или временное подключение, которое давно стало постоянным. Такая связь может годами считаться штатной, хотя никто уже не понимает, зачем она нужна и кто ей пользуется.
Именно эти неучтенные каналы часто оказываются опаснее заметных технических уязвимостей. Уязвимость можно найти, описать и закрыть. Неучтенная связь выглядит нормальной до тех пор, пока через нее не начинает двигаться атакующий. Поэтому в промышленной ИБ нужно защищать не только отдельные узлы, но и логику взаимодействия между ними: учетные записи, доверенные соединения, удаленный доступ, общие сервисы и переходы между ИТ и ОТ.
Удаленный доступ подрядчиков требует отдельного контроля. Сервисные организации, поставщики оборудования и интеграторы действительно нужны производству. Без них сложная промышленная среда не работает. Но доступ подрядчика должен быть ограничен задачей, журналируем и понятен для службы ИБ и эксплуатации. Если внешняя организация может подключаться в любое время, с широкими правами и без четкой зоны ответственности, это уже не удобство, а постоянный канал риска.
Оценивать промышленную кибербезопасность только по наличию средств защиты недостаточно. Важнее понять, что произойдет при реальном сценарии простоя. Кто заметит нетипичный трафик между ИТ и ОТ? Что будет при компрометации подрядчика? Кто принимает решение об изоляции узла? Какие действия допустимы без риска для оборудования? Что нельзя отключать без согласования с технологами?
Эти вопросы отделяют формальное выполнение требований от практической готовности к инциденту. Межсетевые экраны, антивирусы, сегментация и регламенты важны, но сами по себе не гарантируют устойчивость. Если во время атаки команда не понимает, какие системы можно отключить, а какие нельзя, защита остается набором инструментов без управляемого сценария реакции.
Промышленным компаниям нужно переходить от контроля периметра к киберустойчивости технологического контура. Это означает регулярную инвентаризацию активов, разделение ИТ- и ОТ-сегментов, контроль удаленного доступа, проверку действий подрядчиков, мониторинг промышленного трафика и анализ сценариев, которые могут привести к остановке производства.
Рынок промышленной ИБ будет смещаться от защиты отдельных узлов к управлению риском простоя. Для предприятий становится важнее не только выполнить требования, но и заранее видеть аномалии, ограничивать распространение атаки и сохранять управляемость технологических процессов. Для «умных» заводов это особенно критично: чем сильнее производство зависит от цифровых сервисов, тем выше цена потери контроля.
Начинать стоит не с покупки очередного инструмента, а с вопроса, что именно может остановить производство. Какие связи между ИТ и ОТ критичны? Кто имеет удаленный доступ? Какие системы завязаны на подрядчиков? Какие узлы нельзя отключать без технологов? Как предприятие узнает об атаке до того, как она повлияет на линию?
Атака становится критичной не в момент компрометации одного устройства, а тогда, когда получает путь к технологическому процессу. Поэтому защита АСУ ТП должна быть встроена в операционную логику предприятия: в управление доступами, изменениями, подрядчиками, сетевыми связями и сценариями простоя. Иначе «умный» завод рискует обнаружить проблему только тогда, когда она уже стала производственной.