Российская промышленность стала одним из самых заметных направлений для кибератак, а основным инструментом злоумышленников всё чаще становится вредоносное программное обеспечение. По данным исследования Positive Technologies, доля промышленного сектора в общем числе киберинцидентов выросла с 16% в 2024 году до 19% в 2025-м. Это вывело отрасль на первое место среди всех секторов экономики по числу атак, а сама тенденция, по оценке специалистов, сохраняется и в 2026 году.
Главное изменение заключается не только в количестве атак, но и в их характере. Если раньше промышленность часто обсуждали через призму программ-вымогателей, то в России всё заметнее смещение к скрытому проникновению, удалённому управлению и кибершпионажу. Доля вредоносного ПО в атаках на российские промышленные компании выросла с 56% до 83%. Это означает, что злоумышленники всё чаще не просто пытаются быстро нарушить работу предприятия, а стремятся закрепиться в инфраструктуре, наблюдать, собирать данные, управлять доступом и готовить более опасные действия.
Почему промышленность стала главной целью
Промышленные предприятия привлекают атакующих потому, что их цифровая инфраструктура напрямую связана с реальным производством. В отличие от обычного офиса, где кибератака может привести к утечке документов или временной недоступности сервисов, атака на промышленный объект способна остановить технологический процесс, нарушить поставки, повлиять на безопасность оборудования и создать угрозу для людей. Именно поэтому такие инциденты имеют гораздо более тяжёлые последствия.
Российская промышленность включает энергетику, топливно-энергетический комплекс, машиностроение, металлургию, химическое производство, транспортную инфраструктуру и другие критически важные направления. Для злоумышленников такие объекты ценны сразу по нескольким причинам. Там есть коммерческие данные, технологическая документация, сведения о поставках, доступ к внутренним системам и возможность давления на работу предприятия.
Особенно уязвимыми оказались энергетика и ТЭК. На них пришлось 22% инцидентов среди промышленных организаций. Это объяснимо: энергетическая инфраструктура важна для всей экономики, а нарушение её работы может затронуть не только саму компанию, но и множество связанных потребителей, подрядчиков и региональных процессов.
Почему вредоносное ПО вышло на первый план
Рост доли вредоносного ПО до 83% показывает, что атакующие всё чаще используют инструменты, рассчитанные на проникновение, закрепление и управление. В 55% случаев применялись программы для удалённого управления, а в 33% — шпионское ПО. Это говорит о смещении от разовых атак к более длительным операциям, где важна скрытность.
Программа удалённого управления позволяет злоумышленнику действовать внутри инфраструктуры так, будто он получил собственную точку присутствия. С её помощью можно изучать сеть, искать важные системы, перемещаться между узлами, загружать дополнительные инструменты, собирать данные и готовить дальнейшие действия. Для промышленности это особенно опасно, потому что между обычной IT-сетью и технологическими системами часто существуют связи, которые при плохой защите можно использовать.
Шпионское ПО решает другую, но не менее опасную задачу. Оно собирает документы, переписку, пароли, технические сведения, конфигурации систем, данные сотрудников и другую информацию. Даже если атака не приводит к немедленной остановке производства, украденные сведения могут быть использованы позже: для новых атак, промышленного шпионажа, давления на компанию или продажи в теневом сегменте интернета.
Почему российская картина отличается от мировой
По данным исследования, в других странах мира ведущей угрозой для промышленности остаются программы-вымогатели: на них приходится около 54% атак. В России же акцент сместился в сторону вредоносного ПО для скрытого доступа и наблюдения. Это важное отличие, потому что оно показывает другой профиль риска.
Вымогатель обычно действует более заметно. Его цель — зашифровать данные, остановить работу и потребовать деньги. Такой инцидент быстро становится очевидным для компании, потому что системы перестают работать, а на экранах появляются требования. Атаки с удалённым управлением и шпионским ПО могут быть менее заметными и длиться дольше. Предприятие может работать внешне нормально, пока злоумышленники изучают внутреннюю сеть.
Для защиты это создаёт более сложную задачу. Недостаточно иметь резервные копии и план восстановления после шифрования. Нужно уметь обнаруживать скрытое присутствие, подозрительные подключения, необычное поведение учётных записей, перемещение внутри сети, работу неизвестных инструментов и попытки доступа к технологическому сегменту.
Кто атакует российскую промышленность
За два года исследователи зафиксировали 55 группировок, атаковавших российскую промышленность. Почти половина атак — 47% — пришлась на кибершпионские группы. Ещё 28% связаны с хактивистами, а 25% — с финансово мотивированными злоумышленниками. Такой состав показывает, что промышленность интересна не одному типу атакующих, а сразу нескольким категориям.
Кибершпионы обычно стремятся к сбору информации и длительному присутствию. Их интересуют технологии, внутренние документы, поставщики, схемы работы, конфигурации оборудования и данные, которые могут иметь стратегическую ценность. В промышленности такие сведения особенно важны, потому что они могут раскрывать производственные процессы, слабые места инфраструктуры и планы развития.
Хактивисты чаще действуют из идеологических или политических мотивов. Их цель может быть не в прямой финансовой выгоде, а в демонстрации ущерба, нарушении работы, публикации данных или привлечении внимания. Финансово мотивированные группы, напротив, ищут способы заработать: украсть данные, продать доступ, потребовать выкуп или использовать инфраструктуру компании для дальнейших атак.
Почему даркнет усиливает угрозу
Рост атак связан не только с активностью отдельных группировок, но и с развитием теневого рынка. В даркнете продаются украденные данные, доступы к компаниям, вредоносные инструменты и готовые сервисы для атак. Это снижает порог входа: злоумышленнику уже не обязательно создавать всё самостоятельно, он может купить нужный инструмент или доступ.
По данным анализа, более половины объявлений об утечках из российских промышленных организаций — 52% — связаны с бесплатной раздачей скомпрометированных данных. Это особенно неприятный сигнал. Если данные распространяются бесплатно, ими может воспользоваться не один покупатель, а множество разных групп. Даже старая утечка может стать основой для новой атаки, фишинга, подбора паролей или изучения внутренней структуры компании.
Максимальная заявленная цена украденной информации достигала около $300 000. Это показывает, что данные промышленных организаций имеют высокую ценность. В теневом сегменте также сформировались понятные расценки на инструменты: медианная цена инфостилера составляет около $400, ПО для удалённого управления — $1500, шифровальщика — $7500. Такая коммерциализация делает атаки более массовыми и доступными.
Почему атаки угрожают не только данным
В промышленности киберинцидент может быстро выйти за пределы обычной информационной безопасности. В каждом третьем случае — 33% — атаки приводили к нарушению основной деятельности предприятий. Речь могла идти вплоть до остановки производства и угрозы жизни людей. Это принципиальное отличие промышленной кибербезопасности от защиты обычного сайта или офисной сети.
Если атакована бухгалтерия, почта или файловый сервер, компания сталкивается с серьёзной проблемой, но обычно сохраняет физический контроль над производством. Если же злоумышленники получают доступ к операционно-технологическому сегменту, где работают системы управления производственными процессами, последствия могут быть гораздо тяжелее. Ошибка или злонамеренное вмешательство в такие системы способно повлиять на оборудование, давление, температуру, подачу энергии, безопасность персонала и непрерывность производства.
Особую опасность создаёт связь между IT-инфраструктурой и технологическим контуром. По данным Zero Networks, в 75% случаев доступ к операционным системам удаётся получить через компрометацию обычной IT-инфраструктуры. Это означает, что атака может начинаться с почты, учётной записи сотрудника или сервера, а затем постепенно продвигаться к более критичным системам.
Почему старые подходы к защите уже недостаточны
Многие промышленные предприятия исторически строили защиту вокруг периметра: отделить сеть от внешнего мира, поставить межсетевые экраны, ограничить доступ и считать внутреннюю инфраструктуру доверенной. Но современные атаки показывают, что такой подход больше не работает как единственная линия обороны. Если злоумышленник получает учётные данные или доступ через подрядчика, он уже оказывается внутри.
Внутри сети нужно контролировать поведение, а не только вход. Важно видеть, кто к каким системам подключается, какие команды выполняются, какие данные копируются, какие устройства внезапно начинают общаться друг с другом и почему обычный пользователь получил доступ к необычному сегменту. Без такого контроля скрытое присутствие вредоносного ПО может сохраняться долго.
Особенно важно разделять IT- и OT-сегменты. Если офисная сеть слабо отделена от технологического контура, атака на обычные рабочие станции может стать первым шагом к производственным системам. Для промышленности это один из ключевых рисков: удобство внутренней связности не должно превращаться в прямую дорогу к критическим процессам.
Почему человеческий фактор остаётся слабым местом
Даже самые сложные атаки часто начинаются с простых действий: фишингового письма, заражённого вложения, украденного пароля, доступа подрядчика или ошибки сотрудника. Промышленные предприятия особенно уязвимы, потому что у них много разных категорий пользователей: инженеры, операторы, офисные сотрудники, подрядчики, поставщики, сервисные команды и удалённые специалисты.
Если сотрудник открывает вредоносный файл, вводит пароль на поддельной странице или использует слабую учётную запись, злоумышленник получает первую точку входа. После этого в дело вступают более технические инструменты: удалённое управление, сбор данных, повышение привилегий и перемещение по сети. Поэтому обучение персонала остаётся не формальностью, а важной частью защиты.
При этом нельзя перекладывать всю ответственность на сотрудников. Люди ошибаются, особенно если атаки хорошо подготовлены. Задача компании — строить такую систему, где одна ошибка не открывает злоумышленнику путь ко всей инфраструктуре. Для этого нужны многофакторная аутентификация, минимальные привилегии, мониторинг, сегментация и быстрые процедуры реагирования.
Что должны делать промышленные компании
Первый шаг — инвентаризация инфраструктуры. Нельзя защитить то, что неизвестно. Предприятие должно понимать, какие у него есть системы, где находятся критические узлы, какие связи существуют между офисной и технологической сетью, какие подрядчики имеют доступ и какие устаревшие компоненты продолжают работать.
Второй шаг — сегментация. IT- и OT-сети должны быть разделены так, чтобы компрометация офисного компьютера не давала прямого пути к промышленному оборудованию. Доступ между сегментами должен быть строго ограничен, контролируем и журналируем. Любое исключение должно быть обосновано и регулярно пересматриваться.
Третий шаг — обнаружение скрытой активности. Поскольку в России заметно выросла доля вредоносного ПО для удалённого управления и шпионажа, компаниям нужно искать не только признаки шифрования или явного сбоя, но и тихие аномалии. Подозрительные подключения, необычные процессы, новые учётные записи, нестандартные маршруты трафика и массовое копирование данных должны быстро попадать в поле зрения службы безопасности.
Почему резервные копии всё равно важны
Хотя в российской промышленности акцент сместился от вымогателей к скрытому доступу и шпионажу, резервные копии остаются обязательной частью защиты. Атака может начинаться как разведка, а завершиться шифрованием, уничтожением данных или нарушением работы систем. Если у предприятия нет проверенных резервных копий, восстановление может занять гораздо больше времени.
Важно не просто хранить копии, а регулярно проверять их работоспособность. В кризисный момент компания должна знать, какие системы можно восстановить, сколько времени это займёт, какие данные будут потеряны и кто отвечает за запуск процедуры. Резервные копии, которые никогда не тестировались, могут оказаться бесполезными именно тогда, когда они нужны больше всего.
Для промышленных предприятий особенно важны сценарии восстановления технологических систем. Обычный офисный сервер можно поднять быстрее, чем сложную производственную среду с привязкой к оборудованию, контроллерам, датчикам и специализированному ПО. Поэтому планы восстановления должны учитывать реальную структуру производства, а не только IT-часть.
Почему нужна работа с подрядчиками
Промышленные предприятия редко работают полностью самостоятельно. У них есть поставщики оборудования, сервисные организации, подрядчики по обслуживанию, интеграторы, разработчики, логистические партнёры и внешние консультанты. Каждый такой участник может стать точкой риска, если получает доступ к внутренним системам.
Злоумышленникам часто проще атаковать менее защищённого подрядчика, чем крупное предприятие напрямую. Если у подрядчика есть удалённый доступ, техническая учётная запись или доверенный канал, он может стать промежуточным звеном для проникновения. Поэтому безопасность цепочки поставок становится частью промышленной кибербезопасности.
Компании должны проверять, кто имеет доступ, зачем он нужен, как долго действует, как защищён и можно ли его быстро отключить. Доступ подрядчиков должен быть минимальным, временным и контролируемым. Постоянные технические учётные записи без мониторинга — один из самых опасных сценариев.
Почему государству тоже нужно учитывать эту угрозу
Атаки на промышленность — это не только проблема отдельных компаний. Если под ударом энергетика, ТЭК, транспорт, производство материалов или важные технологические цепочки, последствия могут затронуть экономику и безопасность страны. Поэтому защита промышленной инфраструктуры требует координации между бизнесом, отраслевыми регуляторами, центрами реагирования и поставщиками решений.
Государственная политика в этой сфере должна сочетать требования и поддержку. Одних формальных нормативов недостаточно, если у предприятий нет ресурсов, кадров и понятных методик внедрения защиты. Особенно сложно малым и средним промышленным компаниям, которые могут быть частью цепочки крупных производств, но не иметь зрелой службы информационной безопасности.
Важно также развивать обмен информацией об угрозах. Если одна группа атакует несколько предприятий, раннее предупреждение может помочь другим компаниям закрыть уязвимость, обновить правила мониторинга или проверить признаки компрометации. В промышленной кибербезопасности скорость обмена данными может снизить ущерб.
Заключение
Рост доли вредоносного ПО в атаках на российскую промышленность до 83% показывает, что угроза стала более скрытой и системной. Злоумышленники всё чаще используют инструменты удалённого управления и шпионское ПО, стремясь закрепиться в инфраструктуре, собирать данные и получать доступ к критическим системам. При этом промышленность уже стала лидером среди секторов экономики по числу киберинцидентов, а особенно часто под удар попадают энергетика и ТЭК.
Главный риск заключается в том, что атаки на промышленность могут затрагивать не только данные, но и физические процессы. В каждом третьем инциденте фиксировалось нарушение основной деятельности предприятий, вплоть до остановки производства и угрозы людям. Поэтому защита должна строиться не только вокруг антивирусов и периметра, а вокруг комплексного контроля: сегментации IT- и OT-сетей, мониторинга скрытой активности, управления доступом, проверки подрядчиков, резервного копирования и готовности к быстрому реагированию.