В 2025 году почти половина кибератак на российскую промышленность привела к сбоям производства. Почему соответствия требованиям регуляторов уже недостаточно и какие подходы позволяют выстроить реальную защиту предприятия — в материале IT-World.
Российский рынок информационной безопасности за последние три года прошел путь, который в обычных условиях, вероятно, занял бы целое десятилетие. Эксперты Б1 прогнозируют, что рынок вырастет до 681 млрд к 2030 году, а Центр стратегических разработок — до 968 млрд рублей при среднегодовом темпе роста в 21%. Цифры расходятся, но принципиально картина не меняется: рынок ИБ остается одним из самых быстрорастущих сегментов российских ИТ, и этот рост отчетливо заметен и на промышленных объектах.
Бум в условиях шторма
При этом количество атак на российскую промышленность за последние два года увеличилось на 160% (в мире за тот же период — всего на 17%). По данным Positive Technologies, в 2025 году 47% кибератак на отечественные промышленные предприятия увенчались успехом и привели к сбоям в основной деятельности. Для сравнения скажем, что в 2024 году доля успешных атак составляла лишь 31%, а по оценкам отраслевых центров мониторинга, общее число инцидентов в 2025 году превысило 22 тысячи, что год к году дает рост в 42%.
Эти цифры свидетельствуют о том, что информационная безопасность из сферы ответственности одного лишь ИТ-департамента переросла в вопрос операционной устойчивости всего предприятия. Минута простоя на производстве иногда стоит компании дороже, чем годовой бюджет на антивирусы, а репутационные потери от публичной утечки данных или остановки конвейера — больше, чем любые расходы на защитные меры. Для предприятий, где внедрены системы менеджмента качества, ИБ перестала быть отдельной функцией, она — составная часть контура управления рисками наряду с промышленной безопасностью, охраной труда и управлением качеством продукции. Сегодня поговорим об архитектуре защиты промышленного предприятия в сложившихся условиях, о правовых основах, на которой она строится, и о том, почему чисто техническими средствами эта задача уже не решается.
Под прицелом злоумышленников — промышленное предприятие
До 2022 года типичная атака на промышленное предприятие в России была мотивирована сугубо финансово: шифровальщики, требование выкупа, кража коммерческих секретов. Теперь все изменилось. По данным центров реагирования, мотивация атакующих сместилась в сторону политически и идеологически окрашенных целей — нанести максимальный ущерб деятельности предприятия, остановить производство, получить медийный эффект. Финансовая выгода ушла на второй план, на первом — разрушение операционной устойчивости.
Уход иностранных вендоров после 2022 года резко ослабил защитный контур большинства предприятий. Cisco, Fortinet, Palo Alto Networks, Check Point прекратили обновлять сигнатуры межсетевых экранов и поставлять патчи. Symantec, McAfee и Trend Micro оставили компании с антивирусными решениями, которые перестали получать обновления баз данных. Платформы класса SIEM, на которых строились корпоративные центры мониторинга — Splunk, IBM QRadar, ArcSight, — оказались отрезаны от поддержки вендорами и обновлений сигнатур угроз. Компании, которые не успели или не захотели мигрировать в первые месяцы, продолжали эксплуатировать «замороженные» средства защиты, тогда как ландшафт атак за эти три года разительно изменился. И скачок доли успешных атак на промышленность в 2024–2025 годах — это прямое следствие данной ситуации; значительная часть инцидентов связана именно с эксплуатацией уязвимостей в защите, которая давно не получает обновлений.
Но и тактика атак тоже изменилась. Прямые атаки на технологический сегмент по-прежнему относительно редки и сложны, злоумышленники чаще добиваются успеха благодаря компрометации учетных данных через фишинг и социальной инженерии. Другой устойчивый тренд — рост доли атак через цепочки поставок (chain-of-supply), то есть через инфраструктуру подрядчика, имеющего удаленный доступ к системам компании, или через скомпрометированные обновления промышленного ПО. И, наконец, третий растущий вектор — эксплуатация унаследованных Windows-сегментов в офисной части систем, откуда атака движется в сторону инженерных станций и в технологическую сеть.
Ущерб, наносимый кибератакой промышленному предприятию, отличается от ущерба банку или ритейлеру из-за физических последствий инцидента. Остановка обогатительной фабрики или нефтеперерабатывающего завода — это не только финансовые потери от простоя, но и риски экологических бедствий, угроза жизни и здоровью персонала, срыв обязательств перед контрагентами по непрерывным поставкам и т.д. Поэтому модель угроз для промышлености принципиально шире, чем для финансовой или коммерческой организации, и любые методы ее минимизации должны учитывать эту специфику.
Правовая основа: что обязан промышленник
Базовым документом по информационной безопасности для российской промышленности является Федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры» от 26 июля 2017 года. Он ввел понятие субъекта КИИ, определил процедуры категоризации объектов и принципы функционирования Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и Национального координационного центра по компьютерным инцидентам (НКЦКИ).
Большинство крупных промышленных предприятий в обрабатывающей промышленности, нефтегазовой сфере, металлургии, химии и энергетике как субъекты КИИ попадают под действие данного закона, а часть их информационных систем получила статус объектов КИИ, к которым применяются самое высокие требования со стороны регулятора.
Дополнительный пакет требований сформировали указы президента РФ в 2022 году. Указ №166 от 30 марта ввел для значимых объектов КИИ запрет на закупку иностранного программного обеспечения и программно-аппаратных комплексов, а также установил, что с 1 января 2025 года использование иностранного ПО на таких объектах полностью запрещено. Указ №250 от 1 мая распространил аналогичный запрет на средства защиты информации и сервисы по обеспечению ИБ от поставщиков из недружественных юрисдикций — с установленным дедлайном 1 января 2025 года. Два этих документа означают, что каждый субъект КИИ к началу 2025 года был обязан провести полную ревизию своих средств защиты от киберугроз и заместить все иностранные решения отечественными аналогами или согласовать использование остающихся в эксплуатации импортных компонентов с уполномоченными ведомствами.
За неисполнение этих требований предусмотрена серьезная ответственность. Статья 13.12.1 КоАП РФ устанавливает для юридических лиц административные штрафы за нарушение требований к безопасности значимых объектов КИИ, а статья 274.1 Уголовного кодекса предусматривает уголовную ответственность за неправомерное воздействие на критическую информационную инфраструктуру и нарушение правил эксплуатации объектов КИИ, повлекшее за собой причинение вреда. Последнее может привести к лишению свободы на срок до десяти лет.
Очевидно, что регуляторная среда вокруг ИБ промышленных предприятий за последние три года стала одной из самых жестких среди всех видов бизнеса.
На практике формальное соответствие требованиям ФСТЭК, ФСБ и Минцифры дает лишь минимально необходимый уровень защищенности, но не гарантирует устойчивости предприятия в случаях реальных атак. Обязательный аудит, проводимый в соответствии с требованиям регуляторов, обычно демонстрирует, что документация в порядке, средства защиты установлены, СЗИ сертифицированы — но на пентесте ИТ-инфраструктура предприятия «падает» всего за несколько часов. Поэтому главнейшая задача директора по ИБ или сотрудника, отвечающего за информационную безопасность — понять разницу между выполнением нормативных требований и организацией реальной защиты от киберугроз и не путать одно с другим, представляя свои достижения перед советом директоров.
Архитектура защиты: современный стек СЗИ
Российский рынок средств защиты информации сегодня достаточно четко структурирован. Крупнейший его сегмент по объему — сетевая безопасность (около 18% всего рынка). Сюда относятся межсетевые экраны нового поколения (NGFW), системы криптографической защиты каналов связи, средства анализа сетевого трафика и однонаправленные шлюзы для разделения сегментов. После ухода иностранных производителей в этом сегменте идет острая конкуренции между отечественными игроками, и уже к прошлому году российские NGFW в целом смогли закрыть типовые потребности корпоративного заказчика.
Второе место по доле рынка занимает сегмент мониторинга и реагирования на инциденты, около 12%. Сюда входят SIEM-платформы, системы оркестрации и автоматизации реагирования (SOAR), сервисы Threat Intelligence и корпоративные центры мониторинга безопасности (SOC). Спрос в этом сегменте за 2025 год вырос в два раза по сравнению с 2024 годом в связи не только с импортозамещением, но еще и с переходом крупных предприятий от пассивного логирования инцидентов к их активному поиску и автоматизированному реагированию в реальном времени.
Сопоставимая доля (порядка 12%) — у сегмента защиты данных, куда относятся DLP-системы, средства классификации и маркировки данных и инструменты контроля доступа к корпоративной информации (DCAP). Здесь драйвером роста выступают ужесточение требований к защите персональных данных и осознание руководителями компаний того факта, что технологические данные — рецептуры, регламенты, проектная документация и т.п. — представляют коммерческую ценность не меньшую, чем персональные данные клиентов.
Около 11% рынка приходится на криптографическую защиту, около 10% — на управление доступом, около 8% — на контроль уязвимостей и по 7% — на защиту от вредоносного кода и безопасность приложений (AppSec).
Мы наблюдаем, что для типичного промышленного предприятия фокус в этом стеке постепенно смещается. Существенно растет роль мониторинга и SIEM/SOC, поскольку без непрерывного контроля событий безопасности невозможно вовремя обнаружить ни компрометацию учетных данных, ни проникновение через цепочку поставок. Сетевая безопасность остается важным элементом, но главным образом только как инструмент сегментации между офисной и технологической зонами. Отдельной важной дисциплиной становится управление уязвимостями, особенно в условиях, когда оказывается невозможным оперативно ставить «заплатки» в технологических сегментах и на первый план выходят приоритезация и компенсирующие меры.
Среди игроков, формирующих продуктовый ландшафт в этих быстро развивающихся сегментах, можно выделить «Лабораторию Касперского», Positive Technologies и BI.Zone. У каждой из этих компаний свои сильные стороны, так что выбор стека для конкретного предприятия обычно требует независимой экспертной оценки.
Защита АСУ ТП: особый контур и специфические правила
Автоматизированные системы управления технологическими процессами требуют принципиально иного подхода к защите по сравнению с офисной инфраструктурой. Контроллеры и SCADA-серверы спроектированы под непрерывную работу с минимальной задержкой, при том многие из них эксплуатируются без замены десятилетиями, а среди операционных систем на инженерных станциях нередко встречаются давно снятые с поддержки версии Windows. Иногда даже попытка просто установить на них стандартный антивирус, обновление ПО или развернуть EDR-агента недостаточно квалифицированным персоналом приводит к остановке производства.
По данным «Лаборатории Касперского», в 2025 году средства защиты блокировали на компьютерах АСУ вредоносное ПО из 11+ тысяч «семейств» в каждом квартале. И хотя доля атакованных компьютеров в российских АСУ снизилась по сравнению с 2024 годом, это не означает уменьшения уровня угрозы, а скорее свидетельствует о росте зрелости защиты и качества сегментации. Растет и сложность кибератак: по исследованиям Kaspersky ICS CERT, за 2025 год зафиксировано множество APT-кампаний против российских промышленных предприятий с использованием ИИ, эксплуатацией доверия к подрядчикам, а также длительным «молчаливым» присутствием в ИТ-инфраструктуре до начала активной фазы атак.
Архитектура защиты АСУ ТП на современном промышленном предприятии состоит из нескольких слоев.
- Первый и самый важный — сегментация технологической сети и ее изоляция от корпоративной части через однонаправленные шлюзы (диоды данных) или жестко контролируемые межсетевые экраны промышленного класса.
- Второй — мониторинг технологического трафика на уровне промышленных протоколов с использованием специализированных решений, способных отличить нормальную команду контроллера от подозрительной.
- Третий слой — контроль конфигураций и управление уязвимостями с приоритезацией по их потенциальному влиянию на технологический процесс, а не в соответствии с формальной оценкой в CVSS-баллах.
- Четвертый слой — обучение персонала и регулярные киберучения на специальных полигонах. Эти меры необходимы потому, что значительная часть инцидентов в АСУ ТП связана не с техническими уязвимостями, а с неправильными действиями операторов и инженеров.
В условиях, когда быстро заменить устаревшие компоненты технологического сегмента невозможно, на первый план выходят компенсирующие меры. Сегментация, изоляция, мониторинг, ограничение прав, контроль съемных носителей — все это работает там, где патч нельзя установить без остановки производства. Российские специализированные решения класса защиты АСУ ТП к 2026 году вышли на уровень, на котором они в состоянии справиться с большинством типовых сценариев. Это продукты Kaspersky Industrial CyberSecurity, PT ICS и InfoWatch ARMA. Выбор конкретного решения определяется отраслевой спецификой, парком имеющегося оборудования и зрелостью ИБ-процессов на том или ином предприятии.
Управление рисками: ИБ как процесс, а не разовое мероприятие
Когда предприятия только начинают всерьез заниматься ИБ, они обычно допускают одну и ту же ошибку, пытаясь справиться с задачей при помощи разовой закупки коробочного решения. Купили NGFW, поставили антивирус, развернули SIEM, отчитались перед регулятором, вроде как и закрыли тему. А через год обнаруживается, что сигнатуры устарели, правила корреляции в SIEM под актуальные процессы никто не настроил, а инциденты копятся в очереди, потому что отдел ИБ из трех человек физически не может все их разобрать. Зрелая модель ИБ устроена иначе: она представляет собой непрерывный цикл оценки рисков, выбора компенсирующих мер и внедрения необходимых средств мониторинга, аудита и корректировки.
Этот цикл хорошо знаком предприятиям, работающим в соответствии с популярными системами менеджмента качества или промышленной безопасности. Логика в ИБ та же: идентификация рисков, оценка их значимости и вероятности, выбор контрмер, внедрение, контроль исполнения, периодический пересмотр. Разница лишь в том, что в сфере ИБ скорость изменения внешней среды на порядок выше, чем в большинстве производственных процессов, так что цикл пересмотра должен быть существенно короче. Если СМК-аудит достаточно проводить раз в год, то модель угроз и адекватность защитных мер на критически значимых объектах требуют пересмотра уже каждый квартал, а в условиях обострения киберугроз — даже ежемесячно.
С учетом сказанного нужно признать, что самая острая проблема, с которой сталкиваются в последние годы все промышленные предприятия — дефицит квалифицированных специалистов по ИБ. Подготовка инженера по защите АСУ ТП занимает годы, а зарплатная конкуренция со стороны вендоров и интеграторов делает удержание таких людей в штате крупного предприятия задачей нетривиальной. Отсюда возникает рост спроса на сервисные модели — управляемые услуги SOC (MSSP), аутсорсинг функций мониторинга, привлечение внешних команд для аудита и пентестов. По данным ЦСР, средний бюджет крупного российского предприятия на ИБ в 2025 году превысил 294 млн рублей в год, и значительная часть этого бюджета теперь уходит не на закупку лицензий, а на приобретение услуг.
Независимый аудит и пентесты становятся обязательным элементом ИБ не потому, что этого требует регулятор, а потому, что без взгляда со стороны невозможно объективно оценить реальную защищенность ИТ-инфраструктуры. Собственная команда, которая выстраивала защиту, неизбежно имеет «слепые зоны» даже при максимальной добросовестности. Регулярные пентесты с привлечением независимых экспертов, погруженных в отраслевую специфику, позволяют выявить эти зоны до того, как их обнаружит злоумышленник.
ИБ на промпредприятиях: сегодня и завтра
За последние три года российская промышленность прошла большой путь — от использования преимущественно зарубежного ПО в сфере ИБ к фактически полному его импортозамещению на значимых объектах КИИ. Изменился и сам ландшафт киберугроз: атаки стали более целенаправленными, политически мотивированными, и доля успешных в 2025 году достигла 47%, что почти вдвое больше, чем годом ранее. На этом фоне регуляторное давление со стороны ФСТЭК, ФСБ, Минцифры и отраслевых ведомств продолжает усиливаться, так что капитанам отечественной промышленности приходится одновременно решать задачи и технологической миграции, и операционной защиты, и соответствия нормативам.
Главный вывод, который напрашивается по итогам этих трех лет — информационная безопасность на промышленных объектах перестала быть проектом и стала процессом.
Прогноз развития рынка ИБ, который дают эксперты, — рост в 2,5 раза до 2030 года (оценки варьируются от 681 до 968 млрд рублей). И это не только закупка новых решений, но и массовый переход к сервисным моделям и зрелым практикам управления рисками. Тем предприятиям, которые встроят ИБ в общую систему менеджмента качества и операционной устойчивости, информационная безопасность будет обходиться существенно дешевле, чем тем, кто продолжит относиться к ней как к набору отдельных мероприятий с целью просто соблюсти требования регуляторов.