2026/02/09 12:19:55

Массовые кибератаки на промышленность: как использовать антивирус без риска для производства

В течение многих лет Россия остается одной из наиболее приоритетных целей для злоумышленников. По данным исследования Positive Technologies в период с середины 2024 года по сентябрь 2025 года на российские организации пришлось 15% всех успешных кибератак в мире и 72% инцидентов ИБ в СНГ. В числе основных причин такого повышенного внимания — высокие темпы цифровизации и развитая промышленность. Эти показатели указывают не на разовый всплеск активности, а на устойчивый интерес злоумышленников к промышленной инфраструктуре.

Содержание

Кибератаки как часть цифровизации
Массовые атаки и уязвимость промышленной среды
ВПО как постоянный риск для промышленности
Конфликт ИТ-архитектуры и киберзащиты
Гибкость прежде всего: как защищать промышленную инфраструктуру
Антивирус — функция киберустойчивости
Киберустойчивость как условие для бесперебойной работы
Примечания

Кибератаки как часть цифровизации

Индустриальные предприятия становятся все более популярными целями: на них пришлось 17% всех успешных кибератак, что на 6% больше по сравнению с 2023 годом и первой половиной 2024 года. Простой производства и поломка оборудования могут нанести значительный ущерб предприятиям и всей отрасли, поэтому злоумышленники стремятся собрать как можно больше данных об инфраструктуре и технологических процессах, а также получить сведения о контрактах.

Раньше кибератака в промышленности часто рассматривалась как что-то исключительное: инцидент предотвращали, после чего система возвращалась в условно «безопасное» состояние. Однако с развитием массовых атак киберугрозы стали неотъемлемой частью цифровых процессов предприятий. В таких условиях работать бесперебойно смогут только те организации, которые заранее позаботились о своей киберустойчивости.

Массовые атаки и уязвимость промышленной среды

Массовые атаки, в отличие от целевых, направлены на широкий круг жертв — от десятков до нескольких тысяч. Злоумышленники стремятся добиться эффекта за счет быстрого захвата как можно большего количества инфраструктур. По данным Positive Technologies, за первые три квартала 2025 года каждая пятая успешная атака на организации была массовой. Промышленность оказалась на втором месте по числу таких инцидентов с долей в 9%.

^{Категории жертв (доля массовых атак на организации, Q1–Q3 2025)}

По мнению экспертов, злоумышленники выбирают промышленный сектор в качестве жертвы еще и потому, что уровень зрелости кибербезопасности в этой сфере остается невысоким. Нередко производственные системы работают на устаревшем оборудовании и не поддерживают современные технологии защиты. Кроме того, промышленное аппаратное обеспечение часто имеет ограничения на обновление и жесткие регламенты изменений, что создает сложности в киберзащите.

ВПО как постоянный риск для промышленности

Ключевой принцип массовых атак — затронуть наибольшее количество жертв, затратив минимальный объем ресурсов. В более чем половине успешных инцидентов (56%) для этого использовалось вредоносное ПО: трояны удаленного доступа, шпионские модули, программы для добычи криптовалют, шифровальщики, загрузчики и другие инструменты. Злоумышленники чаще всего применяют ВПО, потому что оно отличается высокой эффективностью и простотой использования. На рынке теневых киберуслуг большой выбор готовых программ, которые распространяются в том числе по подписке. Все чаще встречаются вредоносы с модулями искусственного интеллекта, которые делают программы многофункциональными, опасными и скрытными. Вложения в разработку или покупку ВПО быстро окупаются за счет широкого охвата кампаний.

Важно отметить, что не все массовые атаки на промышленность нацелены на немедленную остановку производства. Вредоносное ПО многофункционально, и с его помощью злоумышленники могут проникнуть в инфраструктуру, закрепиться в ней, провести разведку, тем самым сформировав отложенный риск для производства. Попав в систему промышленного предприятия, вредоносный код может длительное время не оказывать прямого влияния на технологический процесс. При этом такие программы способны незаметно нарушать управление операциями, создавать условия для скрытого внешнего контроля и готовить инфраструктуру к глобальным ударам. Развитие атаки может привести к серьезным авариям, финансовым потерям и даже полной остановке производства.

Конфликт ИТ-архитектуры и киберзащиты

С учетом рисков, связанных с использованием ВПО в кибератаках, необходимость антивирусной защиты для промышленных предприятий была закреплена в законодательстве. В частности, требования предъявлены в приказе ФСТЭК № 239^[1] — ключевом нормативном акте в сфере безопасности объектов КИИ.

Однако стремясь защититься и выполнить требования регуляторов, предприятия часто сталкиваются со сложностями, связанными с архитектурой промышленных систем и вычислительными ресурсами узлов. Установка агентов не всегда возможна, а вмешательство в работу оборудования может влиять на стабильность технологического процесса. Кроме того, реальность конфликтует с классическими ИТ-подходами к кибербезопасности, которые предполагают активное сканирование систем, частые обновления и оперативные изменения конфигурации. В АСУ ТП такие действия могут быть технически невозможны или опасны для операционной деятельности. В промышленной среде антивирус, который, выполняя свою работу, неожиданно может блокировать процессы или увеличить нагрузку на узел, воспринимается как источник дополнительного риска.

В результате предприятия все чаще оказываются в ситуации, когда формальное выполнение требований не приводит к снижению реальных рисков для производства.

Гибкость прежде всего: как защищать промышленную инфраструктуру

Рассмотрим инфраструктуру промышленного предприятия, чтобы разобраться в особенностях ее защиты. Она разделяется на несколько уровней — в зависимости от того, какую роль они играют в управлении производственным процессом.

^{Многоуровневая архитектура предприятия на примере размещения компонентов защиты Positive Technologies}

Уровень 0 — это физический процесс: оборудование, агрегаты и исполнительные механизмы, непосредственно участвующие в производстве.
Уровень 1 включает устройства управления процессом — контроллеры и терминалы, которые собирают данные с оборудования и передают управляющие команды.
Уровень 2 отвечает за локальный контроль и включает системы визуализации и рабочие места операторов, обеспечивающие наблюдение и управление технологическим процессом.
Уровень 3 — уровень управления производством: серверы SCADA, системы сбора и хранения технологических данных, а также рабочие места инженеров и технологов.
Уровень 4 представляет собой бизнес- и ИТ-контур предприятия, где работают корпоративные системы и принимаются управленческие решения.

Чем ближе уровень к физическому процессу, тем выше требования к стабильности и предсказуемости работы. Любое вмешательство должно быть аккуратным, либо исключено. Такой подход позволяет усиливать контроль по необходимости и минимизировать влияние средств защиты там, где от непрерывности работы напрямую зависит производство, например в управлении процессами переработки нефти, плавки металла или синтеза полимеров.

В таких условиях традиционные средства защиты оказываются недостаточными. Требуется платформенный подход, который учитывает специфику промышленных сред. Именно такой подход реализован в системе обеспечения киберустойчивости промышленных инфраструктур PT Industrial Security Incident Manager (PT ISIM). На схеме выше показан пример антивирусной защиты в инфраструктуре промышленного предприятия. Интеграция учитывает механизмы контроля, сегментацию и мониторинг, допустимые на каждом уровне. Антивирус находится в отдельном модуле PT ISIM Endpoint, который также обеспечивает сбор и анализ событий безопасности различных систем промышленной автоматизации отечественных и иностранных производителей, популярных в России.

Евгений Орлов, руководитель направления информационной безопасности промышленных систем Positive Technologies, отмечает, что при работе в сложных средах, таких как АСУ ТП, гибкость антивирусной защиты так же важна, как и ее результативность:

Антивирус обнаруживает вредоносные программы и автоматически останавливает их выполнение, удаляя файлы и помещая их копии в карантин для дальнейшего изучения. Для качественной настройки антивируса и контроля его работы необходимо использовать централизованный подход. Не менее важен и режим наблюдения: должна быть возможность поэтапного внедрения защиты. Это поможет проверить совместимость систем и своевременно скорректировать настройки. Разработчику антивирусных технологий, со своей стороны, стоит проводить тестирование модулей совместно с производителями АСУ ТП, чтобы обеспечить беспроблемную интеграцию и соответствие особенностям промышленных сред.

Антивирус — функция киберустойчивости

Когда защита промышленной инфраструктуры выстраивается на уровне архитектуры, антивирус решает более глобальную задачу ИБ — обеспечивает киберустойчивость с минимальным влиянием на технологические процессы. В антивирусном модуле PT ISIM для этого используется принцип внутреннего наблюдателя. Технология остается незаметной с точки зрения потребления вычислительных ресурсов благодаря использованию эмуляционного движка. Антивирус обнаруживает подозрительное ПО на конечных устройствах — автоматизированных рабочих местах операторов и инженеров, серверах систем промышленной автоматизации. Затем модуль запускает эту программу в изолированной виртуальной среде и анализирует ее поведение. Если последовательность действий сходится с тем, как ведут себя известные вредоносы, алгоритм распознает угрозу и блокирует ее прежде, чем системе будет нанесен ущерб.

При этом основным фактором эффективности остается экспертиза, поскольку массовые атаки эволюционируют с высокой скоростью, обогащаясь новыми инструментами и способами обхода защиты. Антивирусная лаборатория Positive Technologies непрерывно отслеживает новейшие угрозы, разрабатывает передовые методы обнаружения и формирует все новые индикаторы компрометации. Свежая экспертиза регулярно поступает в модуль PT ISIM, благодаря чему антивирус блокирует не только широко известные вредоносы, но и программы, которые появились недавно.

Все это позволит предприятиям выполнить требования приказа ФСТЭК № 239 и добиться реального результата в защите. Если установить агент на конечные устройства не получится из-за технических ограничений, можно использовать альтернативный вариант — интегрировать PT ISIM с песочницей PT Sandbox, у которой есть сертификат ФСТЭК России. В этом случае все файлы, передаваемые в технологической сети, будут извлекаться PT ISIM и передаваться в отдельный сервер PT Sandbox на проверку сразу несколькими антивирусными и поведенческими модулями, тем самым исключая любое влияние на компоненты АСУ ТП.

Для значимых объектов КИИ 1-ой категории предусматривается применение антивирусных средств от разных производителей, и антивирус в составе PT ISIM дает возможность таким компаниям выполнить требования регулятора и обеспечить высокий уровень защиты технологической инфраструктуры.

Киберустойчивость как условие для бесперебойной работы

По прогнозам экспертов, в 2026 году массовые кибератаки останутся одной из распространенных и опасных угроз для организаций. Общее количество атак может вырасти на 30–35% по сравнению с 2025 годом. В таких условиях информационная безопасность перестает быть формальной необходимостью. Сегодня киберустойчивость — скорее обязательное условие для бесперебойного функционирования предприятия. Выполнить его позволят средства комплексной защиты промышленных инфраструктур, в которых, помимо антивируса, есть модули для мониторинга событий SCADA. Такие платформы отслеживают состояние технологических процессов, выявляют актуальные киберугрозы, сложные целевые атаки, действия внутренних нарушителей, а также помогают предотвращать киберинциденты.

Запустите пилотный проект с PT ISIM в своей инфраструктуре и убедитесь в его эффективности. Получите отчет о найденных угрозах и рекомендации по защите.