В 2025 году произошло то, что казалось невероятным ещё пять лет назад. Промышленные предприятия обогнали госсектор по количеству кибератак. Теперь на них приходится 17% всех атак — это на 6% больше, чем в 2023-2024 годах.
За первые девять месяцев 2025 года на онлайн-ресурсы российских промышленных предприятий было совершено в четыре раза больше веб-атак, чем в 2024-м. Каждое среднее промышленное предприятие сталкивается примерно с 650 тысячами попыток взлома в квартал.
Но это не всё. На глобальном рынке в третьем квартале 2025-го произошло 184 подтверждённых инцидента вымогательского программного обеспечения — больше, чем в любом другом секторе. В абсолютных числах это означает 838 атак на производство с начала года, что на 61% выше, чем в 2024-м.
Почему промышленность так привлекательна для преступников
Ответ прост: промышленность не может остановиться. Если банк закроет одно отделение, деньги потекут в другое. Если полетит сервер интернет-магазина, убыток исчисляется часами. Но если остановится производственная линия, убыток идёт на миллионы в день.
Исследования показывают, что среднее время восстановления после атак на производство составляет 11,6 дня. За каждый день простоя теряется примерно $1,9 миллиона. Это означает, что даже неделя простоя обходится дороже, чем выплатить выкуп.
Преступники это знают. Они знают, что у руководства промышленных объектов нет выбора. Платить или закрывать производство. Это делает производство гораздо более выгодной целью, чем, скажем, кража данных у компании, которая может отказать в требованиях.
Кроме того, производство становится всё более сложным в техническом плане. Согласно совместному исследованию Positive Technologies, две трети всех атак на предприятия направлены на компоненты автоматизированных систем управления технологическим процессом — систем АСУТП.
А что касается безопасности этих систем — по данных того же исследования, только 5,3% российских разработчиков внедряют процессы безопасной разработки. Это означает, что даже системы на критичной инфраструктуре часто содержат известные уязвимости.
Способ защиты изменился, но и атаки тоже
Несколько лет назад атаки на промышленность выглядели как массовые DDoS-сканирования. Хакер запускал скрипт, который проверял тысячи адресов подряд, ища открытые порты. Это было шумно, видно, легко заметить.
В 2025-м произошла трансформация. Промышленные предприятия по-прежнему атакуют массово, но уже не одинаково. Основные типы атак:
Автоматизированные сканеры на долю которых приходится 20% всех веб-атак на промышленность. Они ищут информацию о приложении — версии ПО, конфигурации, открытые API, статические файлы. Это даёт хакеру точку входа.
RCE-атаки — попытки удалённого выполнения кода. На них приходится 18% атак. Это уже вторая стадия атаки, когда хакер нашёл конкретную уязвимость и пытается её использовать.
Но есть и другое. Параллельно с широкомасштабными атаками идут APT-кампании — целевые атаки на конкретные объекты. RED Security выявили две новые хакерские группировки, специализирующиеся именно на скрытных операциях против промышленных предприятий.
В России по-прежнему атакуют государственные структуры и ИТ-компании, но промышленность вышла на первое место по доле атак. Это не случайность. Это стратегический выбор.
Кто атакует
Активнейшие группировки на производственном секторе — Akira, Qilin и Play. На Akira пришлось 31 инцидент только в третьем квартале 2025-го, на Qilin — 24.
Все они используют модель RaaS — Ransomware-as-a-Service. Это означает, что большинство актуальных атак делают не сами разработчики вредоноса, а наёмники из числа аффилиатов. Тот факт, что основная программа создана профессионалами, но распространяется через тысячи менее квалифицированных людей, делает атаки более частыми и менее предсказуемыми.
Некоторые активисты присоединяются к волне. В апреле 2024 года произошел инцидент, когда хакеры пробились в систему управления норвежской гидроэлектростанции через слабый пароль веб-панели управления клапаном. Они открыли клапан на полный спуск. Это не привело к катастрофе — система могла выдержать в 40 раз больший поток, но суть ясна: критичная инфраструктура остаётся уязвимой.
На глобальном рынке в 2025-м произошло 4701 инцидент вымогательского ПО только за первые девять месяцев. Это означает, что где-то на планете каждый день происходит примерно 17 успешных атак. На глобальную критичную инфраструктуру приходится 50% всех этих атак.
Что конкретно ищут атакующие
Данные. Технологии. Способность остановить производство.
В первом квартале 2025-го аналитики Kaspersky ICS CERT зафиксировали рост интереса хакеров к интеллектуальной собственности. Если страна в условиях санкций не может легально получить технологию, то криптовалютные операции становятся вторичными по сравнению с кражей ноу-хау.
Но это долгая игра. В краткосрочной перспективе основная цель — выкуп. Атакующие используют двойное вымогательство: они шифруют данные, а потом грозят их опубликовать, если не заплатят выкуп.
На практике это выглядит так. Высокоцелевая атака начинается с маленького прокола — уязвимость в ПО, слабый пароль, фишинг. Хакер оседает в системе, наблюдает, набирает привилегии. Потом одновременно запускает шифрование по всей сети. К этому моменту обычно уже слишком поздно что-то делать.
Россия: вызовы и специфика
В России ситуация немного отличается. Да, промышленность — главная мишень, но это не означает, что заимствованы западные методы один в один.
Во-первых, российская промышленность исторически менее подключена к интернету, чем западная. Но ситуация меняется. Цифровизация идёт быстро. Это означает, что система, которая пять лет назад была полностью закрыта, теперь подключена к сети. Её защита при этом часто остаётся на уровне пятилетней давности.
Во-вторых, в России много критичной инфраструктуры. Энергетика, водоснабжение, газ, телекоммуникации. Требования к защите этих объектов жёсткие. Но и инвестиции в безопасность остаются ниже, чем нужно.
В-третьих, сотрудники часто имеют доступ в интернет, но информированность о кибербезопасности остаётся низкой. Фишинг и социальная инженерия по-прежнему работают. Взлома часто начинается с письма руководителю или технику.
Что уже происходит на практике
Высокопрофильных инцидентов всё больше. Jaguar Land Rover столкнулась с атакой, которая привела к полному отключению производства. Bridgestone потеряла огромный объём благодаря вымогательскому ПО. Обе компании — мировые лидеры. Если это может произойти с ними, то может произойти с кем-то угодно.
На глобальном уровне производство потеряло примерно $17 миллиардов на неожиданном простое из-за атак только за 2024 год. И 2025 год указывает на то, что это число будет ещё выше.
Защита и противодействие
На уровне технологии.
ПЛК, панели оператора и системы автоматизации должны иметь встроенную безопасность. Это означает шифрование данных в движении, аутентификацию пользователей, логирование всех операций. Если система была разработана без соблюдения стандартов безопасности, переделать её будет дорого.
Новые российские решения, например СТАБУР, поддерживают OPC UA с шифрованием и встроенной поддержкой аутентификации. Это не панацея, но это правильное направление.
На уровне архитектуры.
Нельзя соединять критичную АСУТП напрямую с интернетом. Нужна буферная зона, брандмауэр, система мониторинга. Когда контроллер подключается в облако через OPC UA, это происходит с шифрованием и аутентификацией.
Мониторинг. Система должна видеть, что происходит. Когда система начинает странно себя вести — отправлять запросы в неправильные места, загружать большие объёмы данных, изменять конфигурацию — это должно быть замечено за минуты, а не за часы.
Обновления и патчи. 92% из 100 открытых серверов OPC UA в интернете имеют отключённую безопасность. Это не потому, что администраторы глупы. Это потому, что никто не прочитал документацию или забыл про это пять лет назад.
Выводы
Кибератаки на промышленность — это не предупреждение о будущем. Это настоящее. Случаи вроде атаки на норвежскую дамбу через слабый пароль показывают, что даже базовые ошибки могут иметь огромные последствия.
Защита не абсолютна. Но систематический подход — архитектура безопасности, встроенные защиты, правильные инструменты, правильные процессы — снижает риск до приемлемого уровня.
Промышленность вынуждена меняться. Старые системы, разработанные в эпоху, когда интернета было немного, постепенно уходят. На смену им идут новые системы, которые проектируются с учётом современных угроз.
Это дорого. Это требует времени. Но это необходимо.