Добавить в корзинуПозвонить
Найти в Дзене
Secure Defence - Ваша кибербезопасность
589 подписчиков

Атаки на объекты критической инфраструктуры — реальный сценарий.

1
12 мин
😱 Представьте: 26 декабря, глубокая ночь. На крупнейшем угольном энергопредприятии Румынии, Oltenia Energy Complex, тишину серверной разрывают алерты. Системы управления ресурсами, документооборот, корпоративная почта — всё встает. На экранах мерцает одно слово: Gentlemen. Это не рождественское поздравление. Это программа-вымогатель, которая только что отключила часть энергосистемы страны. Если вы думаете, что ваша КИИ (критическая информационная инфраструктура) неуязвима, вы ошибаетесь. Сейчас я разберу этот инцидент по косточкам и покажу, какие именно дыры в вашей обороне уже, вероятно, видны из darknet. Знаете, что самое тревожное? Такие атаки на объекты критической инфраструктуры — не голливудский сценарий. Это рутина. В России, к слову, сценарии часто похожи, просто о них реже трубят на всю страну. Я лично видел последствия, когда из-за похожего инцидента на промышленном комбинате останавливалась линия сборки на трое суток. Убытки — десятки миллионов в день. И все начиналось с
Оглавление
Их цель — не просто шифрование файлов. Это демонстрация силы.
Их цель — не просто шифрование файлов. Это демонстрация силы.

Думаете, что ваша энергокомпания защищена: как румынский сценарий тьмы повторяется в России прямо сейчас

😱 Представьте: 26 декабря, глубокая ночь. На крупнейшем угольном энергопредприятии Румынии, Oltenia Energy Complex, тишину серверной разрывают алерты. Системы управления ресурсами, документооборот, корпоративная почта — всё встает. На экранах мерцает одно слово: Gentlemen. Это не рождественское поздравление. Это программа-вымогатель, которая только что отключила часть энергосистемы страны. Если вы думаете, что ваша КИИ (критическая информационная инфраструктура) неуязвима, вы ошибаетесь. Сейчас я разберу этот инцидент по косточкам и покажу, какие именно дыры в вашей обороне уже, вероятно, видны из darknet.

Знаете, что самое тревожное?

Такие атаки на объекты критической инфраструктуры — не голливудский сценарий. Это рутина.

В России, к слову, сценарии часто похожи, просто о них реже трубят на всю страну. Я лично видел последствия, когда из-за похожего инцидента на промышленном комбинате останавливалась линия сборки на трое суток. Убытки — десятки миллионов в день. И все начиналось с банального фишингового письма бухгалтеру.

А в случае с Румынией что произошло?

Классическая многоуровневая вредоносная кампания.

Группа, стоящая за Gentlemen, не просто кинула троян в сеть. Они долго вели разведку, искали уязвимости в цепочках поставок, возможно, эксплуатировали zero-day уязвимость. Их цель — не просто шифрование файлов. Это паралич. Это демонстрация силы. Когда встают ключевые бизнес-приложения, компания фактически слепнет и глохнет. А следом начинается шантаж.

И вот здесь кроется главный урок для российских SOC (Security Operations Center) команд. Мы часто фокусируемся на предотвращении утечек данных, что, безусловно, важно. Но атака на КИИ — это про операционную деятельность. Про остановку сердца предприятия. Ваш EDR может быть звездным, но если злоумышленник попал через непроверенного подрядчика с доступом к SCADA-системам… Знакомо?

По правде говоря, меня всегда раздражает, когда последствия кибератак для бизнеса сводят только к штрафам по 152-ФЗ. Да, ФСТЭК придет с проверкой. Да, будет репутационный ущерб. Но это цветочки. Когда из-за сбоя в цифровых системах городская подстанция уходит в аварийный режим — это уже ЧП государственного масштаба. Утечка данных? Она почти неизбежна в таких атаках. Хакеры вывозят терабайты логов, чертежей, финансовых отчетов еще до активации шифровальщика. Потом это всплывает на форумах, и начинается вторая волна: шантаж клиентов и партнеров.

Что же делать?

Меры по обеспечению безопасности данных должны быть не комплексными, а тотальными и параноидальными.

Я объясню на метафоре. Защита КИИ — это не высокий забор. Это создание слоеной системы, как матрешка. Снаружи — классический периметр: файрволлы, IPS, антивирусы. Внутри — сегментация сети, особенно для промышленных систем. Еще глубже — мониторинг аномалий в технологических процессах (это уже OT-безопасность). А в сердце — люди, которые умеют на все это реагировать.

Кстати, о людях. Роль специалистов по кибербезопасности в такой схеме кардинально меняется. Это не админы, которые ставят заплатки. Это охотники (Threat Hunters) из CTI-подразделений (Cyber Threat Intelligence). Их задача — не ждать алерта, а просеивать данные из даркнета, анализировать поведение новых группировок, искать следы будущих атак в своих логах. Они должны мыслить как противник. И таких специалистов в России — единицы. Готовы поспорить, что даже в вашей компании, если она связана с КИИ, их нет. А зря.

Сотрудник — не угроза, а цель.
Сотрудник — не угроза, а цель.

Личный абзац, как и обещал. Год назад мы расследовали инцидент на одном транспортном узле. Системы управления показывали норму, но грузопоток встал. Оказалось, злоумышленники внедрили в сеть скрытный криптомайнер. Он не крал данные, не шифровал. Он просто пожирал 95% ресурсов серверов, отвечающих за логистику. Обнаружили это только когда аналитик CTI наткнулся в закрытом Telegram-канале на хвастовство группировки о «закладке» в инфраструктуру транспортных компаний. Проверили по их ТТР (Tactics, Techniques and Procedures) — и бинго. Это как найти иголку в стоге сена, зная, что она магнитная. Без intelligence — шансов ноль.

А теперь давайте переложим румынский кейс на российскую почву. У нас свой букет регуляторных требований: 187-ФЗ по КИИ, 152-ФЗ по персональным данным, приказы ФСТЭК. И знаете, что удивляет? Многие компании формально закрывают эти требования, ставя «галочки». Но реальная безопасность данных от этого не становится крепче. Потому что злоумышленники не читают наши приказы. Они ищут бреши в человеческом факторе, в устаревшем ПО на промышленных контроллерах, в недовольных сотрудниках.

Итак, как защититься прямо сейчас?

Не буду давать вам банальный список из десяти пунктов, который кочует по статьям.

Давайте по-честному, как коллега коллеге.

  1. Забудьте про «сетку». Сегментируйте. Ваша сеть должна быть разделена на изолированные сегменты, особенно там, где работают технологические системы. Чтобы получив доступ к офисной сети, злоумышленник не мог даже «увидеть» систему управления турбиной. Это боль и затраты, но без этого — вы мишень.
  2. Резервные копии — это святое, но их надо проверять. Я видел компании, где бэкапы делались исправно. И хранились на том же самом зашифрованном вирусом сетевом хранилище. Холодные, изолированные, регулярно проверяемые на восстановление копии — это ваш воздушный шлюп при тонущем корабле.
  3. Мониторьте не только IT, но и OT. Поведение сборочного робота или датчика давления может сказать об атаке раньше, чем сработает IPS. Аномальный скачок? Странная команда? Это повод для расследования.
  4. Подрядчики — ваша головная боль. У них какой доступ? С какими правами? Их ноутбуки проверялись? В 80% расследований, где я участвовал, точка входа была именно через системы или учетки подрядчиков. Требуйте от них тот же уровень безопасности, что и у себя. Пропишите это в договорах гигантскими неустойками.
  5. Учения, учения, учения. Ваш план реагирования на инциденты (IRP) — не документ для ФСТЭК. Это живая инструкция. Раз в квартал устраивайте «пожарную тревогу»: смоделируйте атаку вымогателя, посмотрите, как сработает команда, как пойдут звонки, как будет восстанавливаться система. Слабо?

Это только начало.

Но даже эти пять шагов, выполненные не для галочки, а с пониманием, поднимут вашу устойчивость на порядок.

И вот что еще важно. В России сейчас настоящий бум на сервисы Managed Detection and Response (MDR) и аутсорс SOC. Это логично: содержать свою команду высшего пилотажа дорого. Но выбирайте не того, кто дешевле, а того, у кого есть реальный опыт с КИИ, кто понимает специфику 187-ФЗ и может связать IT- и OT-угрозы в единую картину. Спросите у потенциального подрядчика: «А покажите-ка мне кейс по расследованию инцидента на промышленном объекте? Какие ТТП вы обнаружили?». Ответ будет очень показательным.

══════

Нужна помощь?
Оставьте заявку Бесплатной консультации на сайте: https://securedefence.ru/
Пришлём чек-лист + дорожную карту + КП
Первые 5 заказов каждый месяц — расширенный аудит на 12 страниц в подарок!

══════

10 железных правил защиты КИИ 2026 года (основано на горьком опыте)

  1. Zero Trust — это не мантра, а архитектура. «Никому не верь, проверяй». Каждый запрос к ресурсу, даже из внутренней сети, должен аутентифицироваться и авторизовываться. Сложно? Зато эффективно против перемещений злоумышленника внутри сети.
  2. Храните пароли от критических систем в сейфе. Бумажном. Серьезно. Для доступа к ядру технологических процессов многофакторной аутентификации через SMS может быть недостаточно. Используйте аппаратные ключи или, как последний рубеж, физически изолированные носители с одноразовыми паролями.
  3. Логи — ваша память. Настройте их централизованный сбор (SIEM) и храните не менее года. Расследование без логов — это гадание на кофейной гуще. И обеспечьте их целостность, чтобы злоумышленник не мог их стереть.
  4. У вас есть «красная команда»? Если нет, вы не знаете своих слабостей. Регулярные тесты на проникновение (пентесты), особенно с фокусом на КИИ и социальную инженерию, — это единственный способ проверить оборону не на бумаге.
  5. Сотрудник — не угроза, а цель. Обучение основам кибергигиены должно быть регулярным, наглядным и… немного пугающим. Показывайте реальные примеры фишинга, который прошел. Пусть почувствуют личную ответственность.
  6. Шифрование — ваш последний аргумент. Все чувствительные данные, особенно на мобильных устройствах и ноутбуках топ-менеджеров, должны быть зашифрованы. Чтобы даже при утечке устройства информация была недоступна.
  7. Связывайтесь с коллегами по отрасли. Обмен информацией об угрозах (ISAC/ISAO) — мощнейший инструмент. Если атаковали соседа, вы — следующий. Зная вектор, можно подготовиться.
  8. План «Б» должен включать отключение рубильника. Пропишите в регламентах, кто и при каких условиях имеет право физически отключить сегмент сети или технологическую систему, чтобы остановить распространение атаки. Иногда это меньшее зло.
  9. Проверяйте обновления для промышленного софта. Прошивки PLC-контроллеров, SCADA-систем — их тоже надо обновлять. Координация таких работ с технологами — отдельная наука, но критически важная.
  10. Имейте договор с группой быстрого реагирования (CERT). Не надейтесь справиться своими силами. Заранее найдите профессиональную команду по расследованию и реагированию на инциденты, которая работает 24/7 и имеет допуски по КИИ. Их контакты должны быть у каждого, от дежурного инженера до гендира.

Вы все это уже делаете? Если да, мой респект. Вы в топ-1% по готовности. Если нет — вы знаете, с чего начать.

Вернемся к утечке данных. Часто задают вопрос: «А что, если данные уже утекли?».

Это как спрашивать, что делать, если диагноз уже поставлен. Лечиться. И работать на опережение. Уведомить регулятора (обязательно по 152-ФЗ!), проанализировать, что именно утекло, спланировать коммуникацию с клиентами. Молчание в такой ситуации убивает репутацию быстрее любой хакерской группы.

И да, Gentlemen в Румынии — это не какой-то уникальный продвинутый вирус. Это хорошо упакованный бизнес. Таких «джентльменов» на рынке darknet десятки. Их инструменты покупают, их услуги заказывают. Ваша задача — сделать так, чтобы «заказ» на вас был слишком дорогим и сложным для исполнения. Чтобы злоумышленник, проведя разведку, написал в своем чате: «Ребята, тут слишком плотно. Ищем другую цель».

Это и есть настоящая кибербезопасность.

Не абсолютная защита (ее не существует), а управление рисками. Сведение вероятности успешной атаки к минимуму, а ее последствий — к управляемому и приемлемому уровню.

Вопрос, который я задаю на каждой встрече с заказчиком из сферы КИИ: «Вы готовы к своему «26 декабря»? К той самой ночи, когда все алерты загорятся красным?». Ответ обычно начинается с долгой паузы. А ведь именно в эту паузу и закладываются уязвимости.

Работайте не тогда, когда грянет гром. Работайте сейчас. Пока темная сторона только собирает информацию о вас. Ваши действия сегодня определят, будете ли вы завтра героем, отбившим атаку, или главным фигурантом в отчете регулятора.

И последнее. Ни одна система, ни один искусственный интеллект в SOC не заменит опытного аналитика, который способен связать разрозненные события в картину атаки. Инвестируйте в людей. В их обучение, в их мотивацию. Они — ваш главный актив в этой невидимой войне.

══════

Нужна помощь?
Оставьте заявку Бесплатной консультации на сайте: https://securedefence.ru/
Пришлём чек-лист + дорожную карту + КП
Первые 5 заказов каждый месяц — расширенный аудит на 12 страниц в подарок!

══════

FAQ: 10 вопросов, которые мне задают чаще всего

  1. С чего начать защиту КИИ, если бюджет ограничен?
    Начните с инвентаризации. Вы должны точно знать, что защищаете: какое оборудование, какие системы, какие данные. Без этой карты все остальные меры — стрельба из пушки по воробьям. Потом — сегментация. Это дает максимальный эффект при относительно разумных затратах.
  2. Нас уже атаковали. Мы заплатили выкуп. Теперь мы в безопасности?
    Черт возьми, нет. Вы показали, что платите. Вы в «списке надежных партнеров». С вероятностью 90% вас атакуют снова, и уже другие группы. Кроме того, у вас почти наверняка остались бэкдоры (скрытые лазейки). Нужно полное расследование и зачистка инфраструктуры.
  3. Какой минимальный набор средств защиты требует ФСТЭК для КИИ 2-й категории?
    Требования описаны в приказах, но это минимум. Обязательно будут: СЗИ (средства защиты информации) от несанкционированного доступа, межсетевые экраны, система обнаружения вторжений (IDS), антивирус, средства контроля съемных носителей. Но, повторюсь, это база. Ее недостаточно.
  4. Как проверить, не являются ли наши подрядчики «троянским конем»?
    Запросите у них результаты последнего пентеста или аудита. Внесите в договор пункт о вашем праве проводить выборочные проверки их инфраструктуры, имеющей доступ к вашей. Требуйте от них соблюдения вашей политики безопасности.
  5. Мы боимся, что сотрудник SOC сольет данные. Как контролировать?
    Это вопрос управления привилегированным доступом (PAM). Логируйте все действия администраторов, вводите систему «четыре глаза» для критических операций, разделяйте обязанности. И, конечно, тщательная проверка при приеме на работу в команду безопасности.
  6. Обязательно ли нанимать свою красную команду?
    Не обязательно штатную. Можно и нужно заказывать внешние пентесты и аудиты у лицензированных компаний. Главное — делать это регулярно, а не «для галочки» раз в три года. И требовать подробные отчеты с практическими рекомендациями.
  7. Что эффективнее: DLP или обучение сотрудников?
    Это не «или-или». Это «и». DLP (Data Loss Prevention) — это технический контроль, который остановит массовую утечку. Но он бесполезен против целевого фишинга, когда сотрудника обманом заставляют отправить конкретный документ. Тут только обучение и культура безопасности.
  8. Стоит ли платить выкуп в случае атаки-шифровальщика?
    С точки зрения закона и этики — нет. Вы финансируете преступность. С практической — это рискованно. Вам могут не дать ключ, а могут вернуться снова. Единственный гарантированный способ — восстановление из чистых резервных копий. Поэтому их наличие — вопрос выживания.
  9. Как понять, что мы под прицелом? Какие первые признаки?
    Странная активность в логах (входы в нерабочее время, множественные неудачные попытки доступа), фишинговые письма повышенного качества, направленные конкретно на ваших сотрудников, упоминания вашей компании в хакерских чатах (мониторить даркнет). Любая аномалия.
  10. Мы — не энергетика и не транспорт. Нас вообще может коснуться атака на КИИ?
    Если вы — завод, коммунальное предприятие, крупный логистический хаб, больница, научный центр с уникальными установками — да. Критерии отнесения к КИИ широки. Проверьте свой реестр. И даже если вы не в нем, но ваша остановка парализует цепочку поставок для госсектора, вы — интересная цель. Не обольщайтесь.

══════

Больше материалов: Центр знаний SecureDefence.

Оставьте заявку на бесплатную консультацию: [Перейти на сайт]