Вторник, 14:00. На парковке одного российского завода сотрудник отдела закупок находит USB-флешку. Чёрная, обычная, размером с палец. На этикетке написано "Важные контракты". Кто-то явно потерял, думает он.
Вставляет в ноутбук. Контракты открываются. Всё как надо, кажется. Он не знает, что в фоне уже запустилась маленькая программка. Она тихонько копирует себя на жёсткий диск. Находит корпоративную сеть. Подключается через VPN. Отправляет информацию куда-то в интернет.
Прошло полтора часа. Программа уже нашла компьютеры, которые подключены к SCADA системе. SCADA — это по сути "мозг" производства. Она видит, какое давление в трубах, какая температура в котле, с какой скоростью крутятся моторы. Именно она управляет всем этим.
Вредонос начинает экспериментировать. Меняет давление с нормальных 2 бара на 5. Потом на 6. Потом ещё выше. Система не может с этим справиться. Что-то начинает издавать странные звуки. Датчики бегают туда-сюда.
За 12 минут сотрудники видят первые красные флаги. Тревожные сигналы. Непонятные цифры. Потом — всё. Оборудование не просто выходит из строя. Оно ломается. По-настоящему ломается.
Счёт идёт на часы. Ремонт стоит 500 тысяч. Два дня без производства. Убыток около миллиона рублей. Всё произошло через флешку.
И вот парадокс: это не кино про хакеров. Это реальность. Такое происходило много раз. На разных заводах. По разным причинам.
Почему промышленные системы стали главной мишенью
По статистике IBM X-Force (крупной компании по кибербезопасности) промышленные предприятия сейчас подвергаются большему количеству атак, чем финансовые учреждения. Странно звучит? На самом деле логично.
Финансовая система защищена тройной охраной: охранники, полиция, ФСБ. Если что-то пойдёт не так, преступника ловят. Это громко, это видно, это отрезвляет.
Промышленный завод? На нём сидит дежурный охранник. Больше никого. Если система отключится на 8 часов, завод потеряет 5 миллионов рублей. Это прямой убыток. Никакие страховки его не покроют. И никто не узнает, что это был кибер-инцидент или просто техсбой.
Вот почему промышленные системы — привлекательная мишень.
Но есть и ещё одна причина. Промышленные системы управления строились в 1990-х годах. Когда их проектировали, интернета дома не было, сети были закрыты, и люди думали: "Если оборудование находится за стеной завода, оно безопасно". Логика была простая: преступник просто не сможет к нему подобраться.
Это было правдой. Тогда.
Теперь это не работает вообще.
Три вещи изменились одновременно
Заводы подключили к интернету
Раньше диспетчер сидел в кабинке на заводе и смотрел на мониторы. Система была полностью закрыта. Потрогать её можно было только физически, в пределах завода.
Теперь диспетчер может проверить данные из дома через VPN. Инженер отправляет обновление в SCADA через облако. Система обменивается данными с финансовой системой ERP. Каждое из этих подключений — это потенциальная дыра.
Вот теперь система открыта миру.
Уязвимости стали смертельными
На старых заводах было мало операционных систем. Если и было что-то электронное, то это были простые микроконтроллеры. Взломать их было практически невозможно.
Теперь на SCADA установлены Windows или Linux. На ПЛК работают микропроцессоры. На датчиках — микроконтроллеры. И у каждого из них могут быть уязвимости.
В 2020-2021 годах исследователи нашли 13 критических дыр в OPC UA протоколе (это такой стандарт, через который системы обмениваются данными на заводах). Через эти дыры злоумышленник может удалённо выполнить код, отключить систему, или украсть данные.
Это не теория. Это нашли в тестировании. И вредоносы уже это используют.
Инструменты для атак стали доступнее
Десять лет назад чтобы взломать завод, нужно было быть специалистом государственного уровня. Писать свои уязвимости, свои вредоносы, разбираться в архитектуре системы.
Сейчас ситуация изменилась. Криминальные сообщества создали автоматизированные инструменты для распространения вредоноса. Проблема в том, что такой инструмент может быть передан неквалифицированному человеку, который не понимает последствий своих действий. И сама возможность такой передачи превратила промышленные системы в мишень.
Результат: не только государственные хакеры, но и обычные преступники могут атаковать промышленные объекты. И мотив здесь не украсть секреты компании. Мотив — парализовать производство и потребовать выкуп.
Как это выглядит на практике
Вымогатели парализуют и требуют
Это самый простой и эффективный способ атаки. Вредонос проникает в систему. Шифрует все данные. На экран выводит сообщение: "Ваши данные зашифрованы. Введите контакт для переговоров".
Что делает обычная компания? Обращается в правоохранительные органы. Пытается восстановить данные из резервных копий. На всё это уходит неделя.
Что происходит с промышленным предприятием? За пять дней простоя потери могут составить десятки миллионов рублей. Во многих случаях компания вынуждена пойти на переговоры, так как убытки от остановки производства превышают требуемую сумму.
Реальные примеры есть. В 2021 году один из российских нефтеперерабатывающих заводов столкнулся с атакой. Простой длился 40 часов. Убытки оценили примерно в 100 миллионов рублей. В 2022 году украинская теплоэнергетическая компания пережила атаку в ноябре, когда система была взломана в ночное время. Простой был 72 часа. Людям пришлось справляться с отключением отопления в холодное время года.
Социальная инженерия через физические носители
Часто атака начинается совсем не с интернета. Киберпреступники используют простую тактику: скомпрометированный USB-носитель, который затем находит сотрудник завода.
Был известный случай, разобранный на конференции Kaspersky. Вредонос проникает через USB-носитель на рабочий компьютер подрядчика. Потом распространяется по локальной сети завода. Находит SCADA станцию. Подбирает пароль методом автоматического перебора. За 15 минут система проверяет миллионы комбинаций.
Проблема в том, что многие пароли остаются слабыми ("admin", "123456") из-за невнимательности или незнания сотрудников. Получив доступ, вредонос начинает изменять параметры системы. Система отключается аварийным образом. Всё произошло за два часа. Никто ничего не заметил, пока уже не было поздно.
Уязвимости в промышленных протоколах
Modbus — это давно существующий протокол связи между промышленным оборудованием. Почти каждый завод его использует. Был создан в 1979 году, когда о кибербезопасности почти не думали.
По умолчанию в Modbus нет никакой защиты. Никакой аутентификации. Никакого шифрования. Компьютер, подключенный к такой сети, сможет общаться с системой на "языке Modbus", и система ответит.
Вот почему порт Modbus (TCP 502) постоянно сканируется в интернете злоумышленниками. Они ищут открытые системы. Находят их за часы.
С OPC UA — современным протоколом — ситуация сложнее. Протокол может быть безопасным, но только если правильно сконфигурирован. Исследователи обнаружили, что из каждых 100 OPC UA серверов в интернете, 92 сконфигурированы неправильно. Аутентификация отключена. Шифрование отключено. Используются слабые или стандартные пароли.
Это как если бы компания купила кирпичный сейф, но оставила дверь в комнату с сейфом открытой.
Государство перестало молчать
До этого года защита критичных систем была рекомендацией. Хорошей рекомендацией, но рекомендацией. Компания могла её проигнорировать.
Теперь это закон. С 1 сентября 2025 года вступили в силу новые требования. Федеральный закон № 187-ФЗ "О безопасности критической информационной инфраструктуры".
Если у компании есть система управления, которая контролирует энергию, тепло, воду, транспорт или финансы — она почти наверняка попадёт под этот закон. Это означает несколько обязательств:
Категорирование критичных систем. Каждая компания обязана определить: "Вот это у нас критичное, вот это нет". Это нужно документировать и согласовать с государственным органом ФСТЭК.
Использование отечественного программного обеспечения. MasterSCADA 4D, отечественные ПЛК, российские компоненты. Старые решения (Siemens, Allen-Bradley) постепенно выводятся. Есть переходные периоды, но направление развития ясно.
Подключение к ГосСОПКА. Это система ФСБ для выявления и реагирования на кибератаки. Все необычные события в сети передаются туда. Звучит контролирующе, но на деле это означает, что государство помогает защищать систему.
Многоуровневая защита. Не один брандмауэр. Несколько слоёв защиты. Сегментирование сетей. Контроль доступа. Мониторинг. Шифрование. Резервные копии. Процедуры восстановления.
Как защитить систему: пошагово
Если человек отвечает за безопасность SCADA, вот что нужно делать. По порядку.
Сначала — понять, что защищаешь
Нужно составить полный инвентарь:
Что подключено к сети?
Какие данные там передаются?
Какие из систем критичные? (Если они отключатся, что произойдёт?)
Кто имеет доступ?
Это основа всей защиты. Без понимания того, что защищаешь, все остальные действия будут неэффективными.
На это уходит месяц-два. Но это нужно сделать один раз, и потом всё становится проще.
Потом — разделить сети
Критичная сеть (SCADA, ПЛК) должна быть отделена от офисной сети. Полностью. Между ними — брандмауэр с жёсткими правилами. Ничего не проходит, кроме того, что явно разрешено.
Да, это замедлит связь между системами на 5-10%. Но зато остановит большинство атак.
На это уходит 3-4 месяца и примерно 2 миллиона рублей. Но это инвестиция в безопасность.
Потом — защитить доступ
Каждый, кто подключается к критичной системе, должен:
Иметь своё уникальное имя пользователя
Использовать сильный пароль (не стандартный, не лёгкий)
Пройти двухфакторную аутентификацию (пароль + SMS код)
Иметь ровно те права, которые ему нужны — не больше, не меньше
Если оператору нужно менять одну переменную давления — пусть меняет только её. Не весь контроллер.
Потом — включить мониторинг
Установить систему, которая видит всё:
Кто подключился в систему?
Когда подключился?
Какие операции выполнил?
Какие данные скачал?
Если в 14:05 оператор подключился, а в 14:06 вдруг начал менять параметры, которые никогда не трогал (система это знает), это подозрительно. Система должна выдать алерт. Немедленно.
И, наконец, — резервные копии
Делать резервные копии конфигурации SCADA каждый день. На отдельный сервер. Отдельный, находящийся в защищённом месте.
Если произойдёт инцидент, можно восстановить систему за часы, а не за дни или неделю.
Реальное сравнение: что меняется
Возьмём котельную. На ней стоит ПЛК СТАБУР и MasterSCADA 4D.
Без защиты:
Диспетчер видит на мониторе: давление 2 бара. Хорошо. Но он не видит, кто ещё смотрит на эту информацию. Может ли это изменить. С какого компьютера это происходит.
Если система скомпрометирована, параметры могут быть изменены незаметно. Давление может подняться с 2 до 4 бара. Котёл не переживет такую нагрузку. За 20 минут выходит из строя. Тепло отключается на целой линии города. Убыток огромный.
С защитой:
ПЛК СТАБУР использует OPC UA с включённым шифрованием (даже ГОСТ, если нужно) и аутентификацией. Только MasterSCADA 4D может подключиться. Другим системам это запрещено.
Попытка незаконного подключения откуда-то с интернета — немедленно блокируется. Система видит: IP адрес с интернета пытается подключиться. Нет такого в списке разрешённых. Отклонить.
Даже если бы какому-то компьютеру удалось подключиться, попытка изменить параметры потребует второго фактора аутентификации. SMS код. Диспетчер получает оповещение: "Попытка несанкционированного изменения параметров".
Атака остановлена на первом подключении. Никакого простоя. Никакого ущерба.
Типичные ошибки
"У нас же всё за стеной завода"
Это было правдой в 1995 году. Современный завод подключен к интернету множество способов. Сотрудник работает из дома через VPN. На парковке ловит Wi-Fi. Подрядчик приносит ноутбук. Система обменивается данными с облачными сервисами. Сеть уже не закрыта. И никогда не будет.
"Modbus — это уже защита"
Modbus по умолчанию полностью открыт. Это протокол без каких-либо встроенных защитных механизмов. Да, можно добавить защиту. Но большинство систем этого не делают.
"OPC UA — значит безопасно"
OPC UA может быть безопасным. Но только если правильно сконфигурирован. По умолчанию многие функции защиты отключены. Нужно самому включить шифрование и аутентификацию. И большинство серверов это не делают. Потому что времени нет? Потому что забыли? Потому что не знают? Причина не важна.
"Один брандмауэр спасает"
Нет. Безопасность работает многоуровневой защитой:
Брандмауэр на границе сети
Брандмауэр внутри критичной сети
Шифрование данных
Контроль доступа
Мониторинг активности
Резервные копии
Процедуры восстановления
Каждый уровень останавливает определённый класс атак. Никакой один уровень не спасает от всех.
Выводы
Кибербезопасность промышленных систем — это не вопрос "может ли произойти атака". Атаки происходят. Каждый день. На заводах. На электростанциях. На водоочистных сооружениях. На инфраструктуре.
Если организация отвечает за критичную SCADA систему, ей нужно действовать. Нужно провести аудит. Узнать, что есть. Какие системы критичные. Потом сегментировать сеть. Включить аутентификацию. Включить мониторинг. Делать резервные копии.
Это дорого? Да. Аудит стоит около 500 тысяч рублей. Сегментирование — примерно 2 миллиона. Мониторинг — 300 тысяч рублей в год. Итого примерно 3 миллиона сейчас, потом 300 тысяч каждый год.
А простой на 12 часов может стоить миллиарды рублей в зависимости от типа объекта.