Разведчики ЦВО обеспечили уничтожение опорного пункта ВСУ на Красно-Лиманском направлении в зоне проведения СВО

Резкий рост числа кибератак на критическую инфраструктуру в третьем квартале 2024 года заставил специалистов по информационной безопасности пересмотреть подходы к защите государственных и промышленных сетей. Вместо разрозненных инцидентов эксперты фиксируют скоординированные кампании, нацеленные на паралич систем управления технологическими процессами (SCADA).

Новый вектор угроз: от шпионажа к саботажу

Аналитики ведущих центров мониторинга отмечают смену тактики злоумышленников. Если ранее основной целью было хищение данных, то теперь на первый план выходит нарушение непрерывности производственных циклов. Атаки на энергетический сектор и системы водоснабжения участились на 40% по сравнению с предыдущим периодом. Злоумышленники активно используют уязвимости в устаревшем оборудовании, которое не получает обновлений безопасности. Особую тревогу вызывает рост числа инцидентов, связанных с программами-вымогателями, которые шифруют не только файлы, но и базы данных контроллеров.

Целевые группы и методы проникновения

Основными объектами атак становятся предприятия топливно-энергетического комплекса и транспортные узлы. Взлом осуществляется через фишинговые рассылки, нацеленные на сотрудников с доступом к операционным панелям, а также через эксплуатацию zero-day уязвимостей в промышленных протоколах. После проникновения вредоносное ПО проводит разведку сети в течение нескольких недель, прежде чем перейти к активной фазе. Такой подход позволяет обойти традиционные системы обнаружения вторжений, настроенные на быстрые аномалии.

Роль человеческого фактора в цепочке атак

Статистика показывает, что более 70% успешных вторжений начинаются с компрометации учетных записей рядовых сотрудников. Социальная инженерия остается самым эффективным инструментом: злоумышленники маскируются под техподдержку вендоров или коллег из смежных подразделений. Один из недавних инцидентов на нефтеперерабатывающем заводе начался с перехода начальника смены по ссылке, имитировавшей обновление программного обеспечения для дозирующих насосов.

Параллельно с этим фиксируется рост числа инсайдерских угроз. Увольняющиеся специалисты, имевшие доступ к критическим сегментам сети, нередко оставляют бэкдоры или продают логины сторонним группам. Введение многофакторной аутентификации на всех уровнях доступа пока не стало повсеместной практикой, чем и пользуются хакеры.

Промышленный интернет вещей как зона риска

Массовое внедрение IoT-датчиков на производствах создало дополнительные поверхности для атак. Устройства мониторинга вибрации, температуры и давления часто имеют стандартные пароли и не сегментируются от корпоративной сети. Через скомпрометированный датчик температуры на трансформаторной подстанции злоумышленники смогли получить доступ к сети диспетчерского управления. Эксперты подчеркивают, что инвентаризация всех подключенных устройств и обновление их прошивок должны стать первоочередной задачей для служб безопасности.

Одновременно с этим растет спрос на специализированные решения класса Industrial Firewall и системы анализа трафика на уровне протоколов Modbus и Profinet. Рынок услуг по пентесту промышленных сетей вырос на 25%, что свидетельствует о понимании руководством серьезности угрозы.

Попытки изолировать промышленные сети от интернета (air gap) перестают быть панацеей. Атаки через цепочки поставок, когда вредоносное ПО внедряется на этапе обновления ПО от производителя оборудования, делают физическую изоляцию бесполезной. Недавний случай с заражением контроллеров через легитимный пакет драйверов подтверждает эту тенденцию.

За последние три года регуляторы ввели обязательную отчетность для критически важных объектов о всех инцидентах, связанных с нарушением работы АСУ ТП. Однако на практике компании часто занижают масштаб проблемы, опасаясь репутационных потерь и проверок. Это создает ложное ощущение контроля и мешает формированию актуальной базы угроз для всего сектора.

Инвестиции в кибербезопасность промышленности в следующем году, по прогнозам, достигнут рекордных значений. Основные средства пойдут на внедрение систем поведенческого анализа и создание собственных центров мониторинга (SOC), способных обрабатывать специфичный для промышленности трафик. Без пересмотра архитектуры сетей и внедрения принципа «нулевого доверия» даже самые дорогие средства защиты рискуют остаться лишь формальностью.