Компания Positive Technologies обнародовала свежие данные о киберугрозах в промышленном секторе: в России за последние два года на эту сферу пришлось 16% инцидентов в 2024 году и 19% — в 2025-м. Начиная с 2024 года частота атак на промышленность резко увеличилась по сравнению с другими отраслями российской экономики. Этот сектор вышел на первое место по количеству кибератак, и такая тенденция сохраняется в 2026 году. При этом доля атак с использованием вредоносного ПО (ВПО) возросла с 56% до 83%. В более чем половине подобных случаев (55%) применялось ПО для удаленного управления, что может указывать на стремление злоумышленников к долгосрочному скрытому присутствию в скомпрометированных системах. Наиболее критичной частью атак на промышленность являются действия нарушителей в технологической среде.
Инциденты на промышленных объектах нарушают производственные циклы, что способно лишить людей важнейших ресурсов — от электроэнергии до продовольствия. Кроме того, от промышленности зависит функционирование других ключевых для экономики страны отраслей, таких как транспорт, логистика, строительство и торговля. Все это объясняет устойчивый интерес к данному сектору со стороны злоумышленников с различными мотивами. За указанный период российский производственный сектор подвергся атакам 55 группировок. Наиболее активными оказались кибершпионские группы (47% атак), доля хактивистов составила 28% инцидентов, а финансово мотивированных злоумышленников — 25%. Чаще всего от киберпреступников страдали предприятия энергетики и топливно-энергетического комплекса (22%).
Использование вредоносного ПО (83%) и методов социальной инженерии (71%) остались основными инструментами атак на российскую промышленность. При этом в большинстве случаев злоумышленники применяли ВПО для удаленного управления (55%) и шпионское ПО (33%), тогда как в других странах главной угрозой были программы-вымогатели (54%). Вероятно, приоритетами для киберпреступников были долгосрочная компрометация и сбор данных, а не немедленное вымогательство.
Рост числа атак с использованием ВПО связан с активным развитием теневого рынка: медианная цена инфостилера на нем составляет $400, ВПО для удаленного управления — $1,5 тыс., а шифровальщика — $7,5 тыс. На этой же площадке публикуются руководства по проведению кибератак. Кроме того, анализ объявлений в даркнете показал, что более половины (52%) объявлений об утечках из российских промышленных организаций связаны с бесплатным распространением скомпрометированных данных, что говорит о повышенном интересе со стороны хактивистов и финансово мотивированных групп; самая высокая заявленная стоимость украденной информации составила около $300 тыс.
В 33% зафиксированных инцидентов отмечалось нарушение ключевых бизнес-процессов предприятий, что способно вызвать не только приостановку выпуска продукции и сбои в логистике, но и создать риск для жизни и здоровья людей. При этом, согласно данным Zero Networks, наиболее критичным этапом кибератак являются действия злоумышленников в операционно-технологическом (ОТ) сегменте, доступ к которому в 75% случаев обеспечивается через компрометацию ИТ-инфраструктуры.
«На фоне активной цифровой трансформации промышленности киберугрозы также усиливаются: тесная интеграция ИТ- и ОТ-контуров увеличивает зону атаки, а устаревшее оборудование годами остается подверженным известным уязвимостям. При этом обеспечить надежную защиту разрозненными мерами или классическими ИТ-инструментами нереально — сказываются особенности среды: специализированные протоколы, необходимость непрерывности работы и высокая стоимость недопустимого события, — подчеркнул Антон Кутепов, руководитель центра промышленной экспертизы Positive Technologies. — Именно поэтому промышленная инфраструктура нуждается в профильных решениях и всестороннем подходе к безопасности. Только таким образом можно достичь киберустойчивости и провести цифровую трансформацию без инцидентов».
Для обеспечения киберустойчивости компаниям необходимо столь же тщательно выстраивать защиту ОТ-систем, как и ИТ-систем: управлять активами и уязвимостями, следить за целостностью технологической сети, контролировать взаимодействие между сегментами, а также оберегать конечные узлы, SCADA-системы и промышленные контроллеры. К примеру, можно применять PT ISIM, который обеспечивает полную видимость инфраструктуры и единый контекст событий безопасности, даже в изолированных средах.
