Кибератака на производство часто начинается с офисной сети

изображение: recraft
Промышленность становится одной из самых чувствительных целей для кибератак. В I квартале 2026 года доля атакованных ICS-компьютеров в производстве выросла сразу в десяти регионах, а в России показатель по ransomware в производственном сегменте увеличился в 2,3 раза. Для завода это не просто ИБ-статистика: инцидент может остановить линию, сорвать отгрузку, повлиять на выпуск продукции и создать риск для оборудования.
Промышленность становится одной из самых чувствительных целей для кибератак. В I квартале 2026 года доля атакованных ICS-компьютеров в производстве выросла сразу в десяти регионах, а в России показатель по ransomware в производственном сегменте увеличился в 2,3 раза. Для завода это не просто ИБ-статистика: инцидент может остановить линию, сорвать отгрузку, повлиять на выпуск продукции и создать риск для оборудования.
Для «умных» заводов этот риск выше. Производство опирается на АСУ ТП, датчики, диспетчеризацию, промышленный интернет вещей, аналитику, удаленный доступ подрядчиков и обмен данными между ИТ- и ОТ-сегментами. Все это делает процессы управляемее, но одновременно расширяет поверхность атаки. Мы в UDV Group видим, что главный риск здесь не в цифровизации как таковой, а в отсутствии контроля над связями, которые она создает.
Атака на промышленное предприятие не обязательно начинается внутри АСУ ТП. Чаще вход находится в корпоративной ИТ-среде: фишинговое письмо, украденная учетная запись, открытый удаленный доступ, скомпрометированный подрядчик или сервис на стыке ИТ и ОТ. Если сегменты плохо разделены, обычный ИТ-инцидент может постепенно стать угрозой для производства.
Для промышленного предприятия опасна не сама по себе компрометация отдельного узла, а момент, когда атака начинает влиять на технологический процесс. На «умном» заводе ИТ- и ОТ-среды уже тесно связаны: данные с оборудования уходят в аналитические системы, подрядчики получают удаленный доступ, производственные линии зависят от цифровых сервисов. Если предприятие не видит, какие устройства взаимодействуют между собой и где появляется нетипичная активность, оно может обнаружить атаку уже после того, как возник риск простоя.
Поэтому защита АСУ ТП должна начинаться с видимости сети, контроля изменений и мониторинга промышленного трафика. В технологической среде нельзя действовать так же, как в офисной сети. Подозрительный компьютер в корпоративном сегменте можно изолировать или перезагрузить. В АСУ ТП за узлом может стоять участок производства, оборудование или цепочка управления. Неправильная реакция сама способна стать причиной остановки.
Видимость сети — это не карта ради отчета. Это понимание того, какие устройства реально работают в технологическом сегменте, какие протоколы используются, какие соединения штатные, а какие появились впервые или выглядят нетипично. Без этого атака часто обнаруживается слишком поздно: не на этапе разведки или бокового перемещения, а уже тогда, когда возник риск простоя.
Отдельный риск — разрешенные связи. Это может быть легитимный удаленный доступ, старое правило на межсетевом экране, общая учетная запись, забытый канал обмена данными или временное подключение, которое давно стало постоянным. Формально такая связь может выглядеть нормальной, но именно через нее атакующий может двигаться к технологическому сегменту.
В проектах UDV Group такие связи часто оказываются важнее громких технических уязвимостей. Уязвимость можно найти и закрыть. С неучтенным каналом сложнее: он может существовать годами, пока предприятие не понимает, зачем он нужен, кто им пользуется и к чему он ведет.
Удаленный доступ подрядчиков должен быть ограничен, журналируем и привязан к конкретной задаче. Если подрядчик может подключаться в любое время, с широкими правами и без понятной зоны ответственности, это уже не удобство, а канал риска. Мы в UDV Group считаем, что контроль подрядчиков должен быть частью защиты АСУ ТП, а не отдельной административной процедурой.
По оценке команды UDV Group, промышленным компаниям нужно переходить от формального контроля периметра к практической киберустойчивости технологического контура. Это означает инвентаризацию активов, разделение ИТ- и ОТ-сегментов, контроль удаленного доступа, проверку действий подрядчиков, мониторинг промышленного трафика и регулярную оценку сценариев, которые могут привести к остановке производства.
Начинать заводу стоит не с покупки нового инструмента, а с вопроса: что может остановить производство. Какие связи между ИТ и ОТ критичны? Кто имеет удаленный доступ? Какие системы завязаны на подрядчиков? Какие узлы нельзя отключать без технологов? Как предприятие узнает об атаке до того, как она повлияет на линию?
Чем умнее становится завод, тем важнее видеть не только отдельные устройства, но и связи между ними. Атака становится критичной не тогда, когда попадает в одну точку, а когда получает возможность повлиять на производство. Поэтому защита АСУ ТП должна быть встроена в операционную логику предприятия, а не существовать рядом с ней как формальный ИБ-контур.



