Киберугрозы для промышленности: industrial IoT

• Компании внедряют промышленный интернет вещей для решения разных задач (как правило, сразу нескольких): например, для мониторинга данных о производственных и технологических процессах, в целях мониторинга состояния ИТ-оборудования, для автоматизации принятия решений о корректировке производственных и технологических процессов.

• Основные киберугрозы для периферийных устройств, датчиков и контроллеров — это эксплуатация аппаратных уязвимостей и недостатков прошивки, заражение ботнетами для проведения DDoS-атак с использованием ресурсов компании, а также применение ВПО, приводящего к отказу в обслуживании и поломке оборудования. Также угрозами являются слабые пароли и незащищенный выход в интернет.

• Для протоколов передачи данных и IoT-шлюзов основную киберугрозу представляет эксплуатация уязвимостей в используемых протоколах и в решениях вендоров. В условиях развития IIoT-платформ и широкого использования центров хранения и обработки производственных данных основными киберугрозами могут стать уязвимости этих решений. Кроме того, злоумышленники будут проводить атаки на облачные центры обработки данных.

• В основном промышленность атакуют APT-группировки (преимущественно с целью кибершпионажа), хактивисты и злоумышленники, использующие шифровальщики. Количество атак APT-группировок растет, и за первые три квартала 2024 года их доля от общего количества атак на промышленные организации составила 19%.

• Атаки хактивистов направлены на привлечение внимания: злоумышленники стараются придать инцидентам максимальную огласку. На сегодняшний день последствия хактивистских атак редко бывают серьезными для компаний, однако, если злоумышленники будут повышать квалификацию, в будущем успешные атаки смогут нанести разрушительный ущерб как отдельной организации, так и целому региону.

• Вымогатели, нацеленные на получение финансовой выгоды, остаются одной из основных угроз для промышленных организаций. За первые три квартала 2024 года шифровальщики применялись в каждой второй атаке (52%) с использованием ВПО.

• Атаки злоумышленников чаще всего приводят к утечкам конфиденциальной информации (65% успешных атак за первые три квартала 2024 года), наиболее ценной для киберпреступников стала коммерческая тайна (37% украденной информации). На втором месте — нарушение основной деятельности, наблюдаемое в каждой третьей успешной атаке (33%).

• В качестве основных методов защиты мы выделяем следование принципам результативной кибербезопасности, в первую очередь — определение недопустимых для компании событий и верификация этих киберугроз. Кроме того, компаниям стоит обратить внимание на инвентаризацию активов и своевременное устранение уязвимостей на них, обеспечить сегментацию технологической сети, регулярно обучать персонал. Мы советуем озаботиться обеспечением безопасности цепочек поставок аппаратного и программного обеспечения, принимать участие в программах поиска уязвимостей за вознаграждение.

• Сейчас промышленность стремится к автопилотированию процессов, к внедрению «умного производства». Основные тренды — оптимизация технологических процессов и интеграция алгоритмов искусственного интеллекта, использование цифровых двойников. Вместе с тем организации активно внедряют технологии промышленного интернета вещей.

• Недостаточная стандартизация в области IIoT становится одной из проблем, встающих перед организациями, планирующими внедрять эту технологию. Некоторые государства уже принимают законы и внедряют программы, направленные на безопасность как самих устройств и данных, с которыми они работают, так и систем, к которым эти устройства подключены. В России государство и отраслевые игроки рынка совместно прилагают усилия к формированию цифровой промышленности.

Термин «интернет вещей» (internet of things, IoT) уже плотно укоренился в сфере ИТ и представляет собой целую область, в которой физические и виртуальные объекты объединяются в единую инфраструктуру — киберфизическую систему. Под «вещами» понимается все, что может быть идентифицировано в сетях связи и интегрировано в них: от привычных нам оконечных устройств (таких, как смартфоны, умные браслеты, бытовая электроника, видеокамеры, медицинское оборудование) до отдельных станков и датчиков на производстве или в дорожно-транспортной инфраструктуре.

Интернет вещей используется как для сбора информации о внешнем мире, так и для воздействия на него. Устройства интернета вещей активно внедряются во многие сферы, например находят свое применение в «умных городах», используются в различных отраслях экономики. По данным сервиса Statista, количество активных устройств интернета вещей во всем мире в 2023 году составляло 15,9 млрд, а к 2030 году прогнозируется их увеличение до 32,1 млрд. По данным IoT Analytics, количество подключенных устройств IoT во всем мире вырастет на 13% к концу 2024 года.

IoT делится на несколько направлений по области применения. Потребительский IoT направлен на удовлетворение потребностей отдельного человека и часто применяется в обычной жизни. Например, к потребительскому интернету вещей относятся умные колонки, системы умного дома.

Также выделяют XIoT (extended internet of things) — этот термин объединяет многие киберфизические системы: медицинский IoT (IoMT — internet of medical things), системы «умных зданий» (BMS — building management system), промышленный IoT (или IIoT — industrial IoT) и OT-сети. Сейчас технология интернета вещей используется для удовлетворения потребностей организаций самых разных отраслей. Согласно данным Fortune Business Insights, в 2023 году самый высокий уровень интеграции IoT наблюдался в области здравоохранения, производстве, телекоммуникациях и сельском хозяйстве.

В исследовании мы рассмотрим развитие и безопасность промышленного интернета вещей — киберфизической системы, объединяющей операционную и IT-инфраструктуру предприятия. Промышленный IoT используется для управления производственными процессами и их оптимизации, проведения профилактического технического обслуживания, а также для мониторинга и анализа данных в реальном времени. Мы оценим, насколько промышленность подвержена киберугрозам в условиях развивающейся цифровизации, и разберем, к чему могут привести атаки злоумышленников, целью которых становятся системы и устройства промышленного интернета вещей.

Существуют разные модели IIoT, однако для каждой из них можно выделить общие составляющие, к ним относятся устройства и оборудование на уровне периферии, средства связи и передачи данных, средства обработки, хранения и аналитики данных, приложения пользовательского уровня. В общем случае схема IIoT выглядит следующим образом: конечные устройства, предназначенные для управления физическими объектами или для сбора данных о физической среде, подключены с помощью сети к центрам хранения данных. Последние, в свою очередь, соединяются с единым центром управления — аналитической платформой, доступ к которой имеют конечные пользователи.

Архитектура систем IIoT может быть настолько разнообразна, что исчерпывающе описать ее на примере только одной модели кажется невозможным. В 2014 году компании AT&T, Cisco, General Electric, IBM и Intel создали Консорциум промышленного интернета (Industrial Internet Consortium, IIC), чтобы совершенствовать взаимодействие физической и цифровой среды. Консорциум разработал руководство для архитекторов IIoT, руководителей предприятий и разработчиков. В руководстве предлагается рассмотреть несколько различных архитектурных шаблонов, встречающихся в общих системах IIoT. К ним относятся, например, шаблон архитектуры шлюзового подключения и управления¹, шаблон архитектуры оркестратора систем², шаблон трехуровневой архитектуры. Рассмотрим последний шаблон: он включает уровни Edge (уровень периферии), Platform (уровень платформы) и Enterprise (уровень предприятия), а также сети для обмена данными, объединяющие эти уровни.

Уровень периферии (Edge)

К устройствам на уровне периферии относятся непосредственно оконечные устройства, они собирают данные о физических параметрах (о положении в пространстве, напряжении, давлении, приложенном физическом усилии и т. п.), а также позволяют воздействовать на физический мир. Устройства, выполняющие сбор данных, называют датчиками (сенсорами), а устройства, влияющие на внешний мир, — исполнительными устройствами. Также устройства могут быть простыми или интеллектуальными (то есть способными выполнять собственные вычисления и работать с данными локально).

На этом уровне используется технология периферийных вычислений (edge computing), которая позволяет обрабатывать и хранить данные в непосредственной близости от устройства, которое их генерирует.

Уровень платформы (Platform)

На уровне платформы анализируются потоки данных с уровней периферии и предприятия. На этом уровне осуществляется долговременное централизованное хранение данных, а также формируется бизнес-аналитика на основе собранной информации. Активно применяются технологии машинного обучения и больших данных, также для хранения данных часто используются облачные платформы и дата-центры.

Уровень управления предприятием (Enterprise)

На этом уровне предоставляется интерфейс для взаимодействия системы IIoT с пользователями, реализуются специфические для отрасли приложения, системы поддержки принятия решений. Также на этом уровне реализуется оркестратор систем — это общая система управления, необходимая для объединения распределенных систем IIoT.

Сети для обмена данными

Различные сети соединяют перечисленные выше уровни, а также поддерживают работу устройств на них. Так, на уровне периферии осуществляется передача данных между датчиками, исполнительными устройствами и локальным центром периферийных вычислений. Часто данные передаются беспроводным путем, что расширяет ландшафт возможной атаки. Для корректной передачи данных из физической среды в информационную также устанавливаются IoT-шлюзы, поддерживающие необходимые протоколы и технологии для обмена данными с оконечными устройствами. Для обмена данными между разными уровнями могут использоваться, например, корпоративные сети.

По нашим данным³, применение интернета вещей не ограничивается какой-либо одной сферой: компании используют его для решения разных задач, как правило двух или более. Главным образом организации внедряют IIoT для мониторинга данных о производственных и технологических процессах, в целях мониторинга состояния ИТ-оборудования, а также для автоматизации принятия решений о корректировке производственных и технологических процессов.

Так, в электроэнергетике технологии промышленного интернета вещей применяются для модернизации каналов электроснабжения, для внедрения интеллектуальных энергосетей. Системы, разработанные на основе IoT-технологий, собирают информацию об энергопотреблении, что позволяет в дальнейшем корректно распределить ресурсы и обеспечить эффективность их использования. Электроэнергетика является лидером по применению технологии промышленного интернета вещей и занимает второе место по применению систем «умного производства».

Применяются технологии IoT и в нефтехимической промышленности, к примеру в компании «Сибур» есть собственная платформа промышленного интернета вещей. Для поддержания температурного режима воды на очистном сооружении установлены беспроводные датчики, подключенные к общей сети. На заводе расположены сотни подобных датчиков, которые позволяют точно понимать, откуда идет перегретая вода, и вовремя принимать необходимые меры. Также активно используется видеоаналитика: она позволяет с помощью установленных на территории завода камер и моделей машинного обучения автоматически распознавать возможные отклонения от нормы на производстве — утечки, задымления, плохое качество сырья (например, вкрапления в материале).

Интернет вещей применяется и в металлургии: так, Магнитогорский металлургический комбинат (ММК) запустил беспроводную сеть IIoT для сбора данных с датчиков, не подключенных к цифровым системам или находящихся на труднодоступных участках производства.

Еще один пример сферы внедрения IIoT — машиностроение. Объединенная двигателестроительная корпорация (ОДК) признана российским лидером цифровой трансформации за внедрение технологии интернета вещей на производстве. Система IIoT дает возможность контролировать загрузку оборудования, поддерживать его исправное состояние, анализировать причины простоя, следить за работой персонала. Функционирование станков контролируется и анализируется в режиме реального времени.

Современные технологические процессы, реализуемые на многих предприятиях, предполагают непрерывное взаимодействие физических объектов и производственного оборудования с программными компонентами и ИТ-процессами. Хотя цифровизация значительно повышает эффективность технологических и бизнес-процессов, она также делает системы более уязвимыми перед кибератаками. 

Поскольку даже простые исполнительные механизмы и датчики становятся частью системы IIoT при подключении, они также могут быть открыты для кибератак. Помимо простых оконечных устройств, целями злоумышленников часто становятся различные промышленные контроллеры. Часть аппаратных уязвимостей и уязвимостей прошивки могут привести к перехвату контроля над оборудованием или его отказу в обслуживании — это критически опасно для отрасли промышленности, так как может повлечь за собой остановку производства на промышленных объектах.

Примерами таких уязвимостей могут быть недостатки, обнаруженные и устраненные благодаря экспертам Positive Technologies. Например, в 2024 году эксперт Positive Technologies выявил пять уязвимостей в процессорных модулях ПЛК серий MELSEC System Q и MELSEC System L. Это оборудование может применяться в химической промышленности, для производства полупроводников, автоматизации зданий и в других сферах. Ранее в 2022 году также были обнаружены и исправлены две уязвимости в контроллерах Mitsubishi серии MELSEC iQ-F — эти устройства применяются в пищевой и легкой промышленности, в деревообработке, типографиях, водном хозяйстве, судоходстве, для автоматизации инженерных систем зданий и в других сферах.

В 2023 году Positive Technologies помогла устранить уязвимость в контроллерах OMRON. Эксплуатация CVE-2023-22357 могла позволить злоумышленнику без аутентификации считывать и менять произвольную область памяти контроллера, что, в свою очередь, могло бы привести к перезаписи прошивки, отказу в обслуживании или выполнению произвольного кода. ПЛК с контроллерами OMRON применяются, например, для управления конвейерами и станками, телемеханикой трубопроводных узлов на ГРЭС, микроклиматом на фермах, системами контроля качества продукции, автоматическими машинами упаковки.

Помимо отказа в обслуживании, эксплуатация уязвимостей может влиять и на качество данных, собираемых устройствами. К примеру, ряд организаций активно используют на предприятиях системы видеоаналитики. Исследователи, занимающиеся кибербезопасностью CCTV и IoT, обнаружили уязвимость, которую злоумышленники могут использовать для подделки временных меток видео, записанных камерами безопасности Dahua. В случае атаки злоумышленник может изменить временную метку видеопотока, что приведет к искажению данных о дате и времени видео и нарушит согласованность информации в системе видеоаналитики.

Часто причиной успешной атаки становятся устаревшие уязвимости. Согласно отчету ThreatLabz, опубликованному в 2023 году, в атаках на устройства IoT чаще всего киберпреступники нацеливаются на устаревшие уязвимости: 34 из 39 самых популярных эксплойтов интернета вещей, зафиксированных исследователями, эксплуатировали уязвимости, которые существуют более трех лет.

Стоит отметить, что нередко устройства интернета вещей имеют схожую аппаратную основу и встроенное программное обеспечение с открытым исходным кодом. Поэтому один и тот же риск взлома может затрагивать сразу нескольких вендоров. Например, в октябре 2024 года немецкая CERT@VDE сообщила об обнаруженных уязвимостях в промышленных маршрутизаторах mbNET.mini производства компании MB connect line, которые используются по всему миру в качестве VPN-шлюзов для удаленного доступа и обслуживания промышленных сред. Кроме того, оказалось, что обнаруженные уязвимости также затрагивают промышленный маршрутизатор REX100 компании Helmholz.

Отметим и то, что злоумышленники распространяют информацию об уязвимостях и эксплойты к ним на теневых ресурсах, что упрощает проведение атаки. Поэтому так важно своевременно выявлять и устранять недостатки. 

Согласно отчету ThreatLabz в 2022 году число кибератак с использованием вредоносного ПО, нацеленных на устройства IoT, выросло на 400%. Аналитики отмечают, что большинство атак относится к активности ботнетов. Примером может быть распространение ботнета Sality, проанализированного экспертами Dragos.

По результатам наших опросов, организации рассматривают использование IIoT-устройств в проведении масштабных DDoS-атак как один из наиболее опасных для организации сценариев атаки.

IoT-устройства могут иметь заданные пароли по умолчанию, которые сложно, а в некоторых случаях невозможно обновить. Например, программное обеспечение маршрутизаторов NETGEAR XR1000 до версии 1.0.0.58 имело уязвимость, которая не позволяла изменить заданный по умолчанию пароль. Другой существенный риск состоит в том, что устройства интернета вещей автоматически подключаются к доступным сетям сразу после включения. Такая особенность IoT-устройств в совокупности с предустановленными паролями, которые невозможно изменить, ставит безопасность некоторых моделей под большую угрозу. Например, с помощью специальных поисковых систем, которые обнаруживают различные подключенные к интернету устройства и сервисы, злоумышленники могут составить запрос, который отобразит нужное им IoT-устройство, и подключиться к нему, использовав пароль по умолчанию, который можно найти в открытом доступе. Шаблоны таких запросов, например для браузера Shodan, могут продаваться или бесплатно распространяться на теневых форумах.

Некоторые из распространяемых инструментов позволяют злоумышленникам подключаться к панелям управления устройств, автоматически сканировать как слабые пароли, так и простые уязвимости. Часто такие инструменты задумываются как легитимные, однако их попадание не в те руки может помочь при реализации атаки: например, их распространение на теневых форумах предоставляет больше возможностей для атак низкоквалифицированных злоумышленников.

К ключевым проблемам безопасности на уровне оконечных устройств относятся:

1. Недостаточная стандартизация. Многие компоненты IoT-устройств являются черными ящиками — это значит, что организации, приобретающие и использующие их, имеют ограниченное представление об их внутренней работе. Такие устройства могут иметь недекларированные возможности и представлять угрозу.

2. Недостаточная поддержка обновлений безопасности. Как мы упоминали выше, множество промышленных организаций используют в своей инфраструктуре устаревшие устройства, обновления безопасности для которых могут отсутствовать. Помимо того, промышленные организации часто неохотно обновляют встроенное ПО при появлении сообщений о критически опасной уязвимости, поскольку при установке обновлений необходимо временно отключать части системы, что может нарушить цепочки поставок или привести к простоям. Однако риск для технологической инфраструктуры может быть намного серьезнее. Например, в 2023 году исследователи Forescout обнаружили 21 уязвимость в маршрутизаторах Sierra Wireless, которые распространены в сферах здравоохранения и энергетики. Исследователи идентифицировали более 86 000 уязвимых устройств, доступных из интернета напрямую. При этом срок службы части уязвимых устройств подошел к концу, а значит, установить обновления безопасности невозможно. Интересный пример можно привести и для дорожной инфраструктуры: в октябре 2024 года исследователи сообщили об обнаруженных проблемах безопасности в десятках тысяч светофоров в Голландии. Уязвимость задействует аварийный радиосигнал для машин экстренных служб, и ее эксплуатация позволяет вмешиваться в работу светофоров (к примеру, можно вызвать срабатывание на светофоре зеленого света). Устранить уязвимость можно только путем физической замены светофоров, что произойдет не ранее 2030 года.

3. Трудности обнаружения внешних атак. Устройства IoT, как правило, не имеют встроенного защитного механизма для выявления вредоносных файлов или команд, что делает их уязвимыми для атак. Для более новых устройств производители реализуют такой механизм защиты, однако и в нем могут содержаться уязвимости.

Сети IIoT, как правило, поддерживают регулярную передачу данных между центральной системой и интегрированными в IIoT устройствами. В атаках на промышленность злоумышленники также эксплуатируют недостатки используемых на предприятии протоколов. Так, по данным Rockwell Automation, в 2022 году увеличилось количество атак, нацеленных на порт 502 Modbus TCP — широко используемый промышленный протокол, захват которого позволяет злоумышленнику контролировать оконечные устройства и нарушать технологические процессы. Например, в апреле 2024 года Dragos обнаружил вредоносное ПО FrostyGoop, написанное на языке Go и напрямую взаимодействующее с промышленными системами управления с помощью Modbus TCP.

Несмотря на то, что новое поколение датчиков, приводов и систем управления автоматикой способно взаимодействовать с системой IIoT с помощью современных интернет-протоколов, существует огромное количество промышленных контроллеров и других физических систем, которые все еще используют устаревшие промышленные протоколы. Для подключения к таким системам могут быть развернуты IoT-шлюзы, помогающие преодолеть разрыв в коммуникации между устаревшими и современными промышленными системами. IoT-шлюзы также могут содержать уязвимости. Например, в декабре 2023 года исследователи сообщили, что поставщик Digital Communications Technologies так и не устранил найденную несколькими месяцами ранее ошибку в IoT-шлюзе Syrus4, которая позволяет вывести из строя автомобиль. Недостаток позволяет неаутентифицированному злоумышленнику выполнять код на любом устройстве Syrus4, подключенном к облачной службе. В атаках злоумышленники используют недостатки IoT-шлюзов, создают специализированное ВПО, нацеленное на промышленные коммуникации: например, в апреле 2024 года шлюзы TMSB и MPSB были атакованы с помощью ВПО Fuxnet.

На теневых форумах злоумышленники предлагают эксплойты и инструменты для взлома. Например, уязвимость нулевого дня в IoT-шлюзе, работающем с протоколами IEC-104, MODBUS и MQTT, может обойтись в 1000 $. Вероятно, в данном случае злоумышленник предлагает эксплойт, позволяющий захватить IoT-шлюз для отправки вредоносных команд на подключенные устройства.

Также бесплатно распространяются универсальные инструменты для взлома популярных протоколов и оконечных устройств.

Интересно, что уязвимости могут содержаться не только в протоколах связи, но и в самих преобразователях, позволяющих подключать к локальной сети промышленные контроллеры, счетчики и датчики. Так, в 2024 эксперты Positive Technologies обнаружили и устранили уязвимость в беспроводных промышленных преобразователях NPort W2150a и W2250a компании Moxa. В результате успешной атаки злоумышленник мог бы получить полный доступ к подключенному оборудованию и вмешаться в технологический процесс.

По нашим данным, 37% успешных кибератак на промышленные предприятия за первые три квартала 2024 года были реализованы через эксплуатацию уязвимостей. В подавляющем большинстве случаев (71%) злоумышленники эксплуатировали уязвимости программного обеспечения, в том числе в коде специфических промышленных систем управления.

По данным Rockwell Automation, наиболее распространенными целями злоумышленников в атаках на промышленность становились SCADA-системы, которые, как и многое другое ПО, имеют в коде свои уязвимости. Например, в 2024 году эксперты Positive Technologies обнаружили и устранили уязвимости в платформе MasterSCADA 4D, предназначенной для разработки систем автоматизации и диспетчеризации технологических процессов. На базе MasterSCADA (версий 3 и 4D) реализованы десятки тысяч проектов более чем в 40 отраслях. Используя уязвимость, злоумышленник мог бы авторизоваться в системе и попытаться вмешаться в технологический процесс.

Отметим, что злоумышленники не всегда разбираются в работе промышленных систем, поэтому на теневых форумах распространяются как обучающие материалы по работе систем и их взлому, так и отдельные инструменты для атак.

Также на теневых форумах можно встретить предложения о разработке эксплойтов на заказ для любых промышленных систем.

Сейчас активно разрабатываются и внедряются платформенные решения IIoT, объединяющие системы расширенной аналитики и системы управления технологическими процессами. Мы предполагаем, что в будущем увидим атаки злоумышленников, направленные на эти решения.

Сейчас хранение больших объемов данных и их аналитика редко обходятся без использования облачных инфраструктур. Мы предполагаем, что в атаках на промышленные организации злоумышленники также будут нацеливаться на облачные решения для кражи данных, например с целью вымогательства. Так, в сентябре исследователи Microsoft сообщили об атаке группировки Storm-0501, в ходе которой злоумышленникам удалось скомпрометировать гибридные облачные среды, что привело к эксфильтрации данных, постоянному доступу к целевой инфраструктуре, а также к развертыванию программ-вымогателей в локальной сети. Атака была нацелена на ряд организаций в США, включая правительственные органы, производство, транспорт.

Промышленность входит в топ-5 самых атакуемых отраслей на протяжении последних пяти лет, и этот тренд не теряет актуальности: доля атак за первые три квартала 2024 года составила 9% от всех успешных атак на организации по всему миру.

По данным Rockwell Automation, больше всего атак пришлось на энергетический сектор. Исследователи считают, что из-за большого вредоносного потенциала атак вымогатели и хактивисты могут с большей вероятностью достичь своих целей. Также растет интерес злоумышленников в отношении организаций, осуществляющих водоснабжение и водоотведение.

За первые три квартала 2024 года злоумышленники чаще всего проводили атаки с использованием ВПО (79%), различных методов социальной инженерии (58%), а также посредством эксплуатации уязвимостей (37%). Также киберпреступники стали чаще использовать в атаках легальное ПО: если по итогам 2023 года доля применения этого метода составляла 1%, то по итогам трех кварталов 2024-го — 8%. Использование легальных инструментов помогает снизить риск обнаружения средствами защиты, а в силу доступности эти инструменты все чаще входят в арсенал злоумышленников — как хактивистов, так и APT-группировок и операторов шифровальщиков.

По нашим данным, доля атак на промышленность, совершаемых APT-группировками, растет и составляет 19% успешных атак по итогам первых трех кварталов 2024 года, в то время как по итогам 2023 года это значение составляло 13%. Характерная особенность APT-атак заключается в использовании более сложных и изощренных методов: злоумышленники применяют таргетированную социальную инженерию, направленную на конкретных сотрудников, специализированные вредоносные программы, эксплойты для различных уязвимостей нулевого дня и другие техники, позволяющие проникнуть в систему и получить длительный контроль над ней. При этом вредоносное ПО может специально разрабатываться индивидуально для конкретной атаки, чтобы штатные антивирусы и средства защиты, используемые в организации, не смогли своевременно обнаружить угрозу. Как правило, злоумышленники могут оставаться незамеченными в течение многих месяцев или даже лет, на протяжении этого времени они имеют доступ к информационным системам предприятия и обрабатываемой в них конфиденциальной информации.

Основными мотивами APT-группировок являются кибершпионаж, получение финансовой выгоды или причинение ущерба критической информационной инфраструктуре. Одна из наиболее распространенных целей APT-атак — получение доступа к ценной интеллектуальной собственности, секретным технологиям, бизнес-планам и другой конфиденциальной информации предприятия. Эти данные могут быть использованы для достижения конкурентного преимущества, ускорения собственных разработок или получения финансовой выгоды путем продажи третьим лицам или вымогательства. Среди группировок, атакующих промышленность с целью кибершпионажа, можно отметить Kimsuky, APT31, Mustang Panda. Также в ходе исследования команды экспертного центра безопасности Positive Technologies (PT ESC IR), посвященного расследованию инцидентов в промышленных предприятиях, на производстве и в организациях области ТЭК, была обнаружена активность группировок Cobalt, APT31, Dark River, Lazarus, Space Pirates, IAmTheKing, XDSpy.

Географическое распределение APT-атак на промышленные предприятия имеет некоторые закономерности и тенденции, определяющиеся различными геополитическими, экономическими и технологическими факторами. Наиболее привлекательными целями для злоумышленников становятся предприятия, расположенные в странах следующих категорий:

• Государства с развитой промышленностью. Предприятия таких стран, как Китай, США, Япония, Германия, Южная Корея, и других ведущих экономик мира являются наиболее привлекательными целями для APT-группировок: эти предприятия обладают передовыми технологиями, ценными профессиональными сведениями и стратегически важной информацией. Кроме того, привлекательными жертвами становятся страны с развитой добычей полезных ископаемых.

• Регионы с нестабильной политической обстановкой. В регионах, где наблюдается политическая напряженность, разворачиваются военные конфликты или прослеживается экономический кризис, промышленные предприятия также подвергаются повышенному риску APT-атак. Основной целью таких атак является получение доступа к объектам критически важной инфраструктуры или к критически важной информации, которая может быть использована для достижения политических, экономических или военных целей.

Хактивисты совершают кибератаки для достижения политических, социальных или идеологических целей. Часто злоумышленники используют доступный инструментарий: эксплуатируют известные уязвимости, проводят атаки с использованием социальной инженерии и применяют распространенные в киберпространстве семейства ВПО, в том числе программы-шифровальщики.

Среди хактивистских группировок, атакующих промышленность, можно отметить Cyber Partisans, GhostSec, Team-Network-Nine, Cyber Av3ngers, Electronic Tigers Unit, DragonForce, Hunt3r Kill3rs, Byte Blitz, STUCX TEAM, LulzSec. Как правило, в атаках хактивисты нацеливаются на различные промышленные системы, имеющие незащищенный выход в интернет. Подобрав пароль по умолчанию или проэксплуатировав известную уязвимость, они могут получить доступ к веб-панели отдельного устройства или к специализированной промышленной системе управления.

Продемонстрировав наличие доступа в инфраструктуру, злоумышленники пытаются придать кибератаку максимальной огласке, угрожая отключением оборудования, вмешательством в технологические процессы и т. д. Например, в апреле 2024 года хактивисты заявили об атаке на крупнейшего в Белоруссии государственного производителя удобрений «Гродно Азот». Злоумышленники утверждали, что могли полностью остановить работу завода, но воздержались от этого.

Отметим, что на практике доступ к панели управления не всегда гарантирует возможность прямого вмешательства в технологические процессы. Например, в атаке группировки GhostSec злоумышленники утверждали, что им удалось взломать 55 программируемых логических контроллеров Berghof и получить полный доступ к веб-панели. Однако, по словам экспертов, изучивших атаку, устройства были доступны из интернета, а доступ к панели администратора был защищен слабым паролем. Исследователи также отмечают, что, хотя доступ к панели администратора позволяет контролировать некоторые функции контроллеров, он не обеспечивает прямого контроля над производственным процессом. Мы предполагаем, что с ростом квалификации злоумышленников последствия атак хактивистов могут стать более разрушительными.

Как правило, деятельность злоумышленников наиболее заметна в регионах с нестабильной политической обстановкой. В исследовании, посвященном киберугрозам в Иране (за период с начала 2021 года по второе полугодие 2024-го), мы отмечали интерес хактивистов к сектору промышленности, причем значительное число всех успешных кибератак, предположительно, обусловлено активным использованием в промышленной инфраструктуре IoT-устройств, которые на практике часто оказываются слабо защищенным и уязвимым звеном инфраструктуры.

По нашим данным, шифровальщики и программы-вымогатели остаются самыми часто используемыми в атаках на промышленность вредоносными программами: за первые три квартала 2024 года шифровальщики применялись в каждой второй атаке (52%) с использованием ВПО. В атаках злоумышленники нацеливаются в том числе и на специализированные промышленные решения. Так, в мае 2024 года группировка Ransomhub заявила о доступе к SCADA-системе испанского биоэнергетического завода.

Последствия заражения шифровальщиками могут быть катастрофическими не только для информационной инфраструктуры предприятия, но и для технологических сетей. По данным отчета Claroty, количество атак с использованием программ-вымогателей, влияющих на технологические среды, растет, и их последствия остаются дорогостоящими для компаний. По сравнению с результатами 2021 года основное воздействие атак программ-вымогателей сместилось: если раньше атакам подвергалась по большей части только ИТ-инфраструктура, то теперь в зоне риска и технологические среды. Если в 2021 году 32% атак программ-вымогателей затронули только информационную инфраструктуру, а 27% затронули и информационную, и технологическую инфраструктуру, то по итогам опроса 2023 года 21% атак влияют только на ИТ, а 37% — как на ИТ, так и на технологические процессы.

Например, в июле 2023 года TOMRA столкнулась с масштабной кибератакой вымогателя. Компания оперативно изолировала затронутые системы, однако последствия кибератаки потребовали тщательного восстановления всей ИТ-инфраструктуры, включая восстановление основных центров обработки данных, проверку более пяти тысяч учетных записей пользователей, а также переработку и восстановление базовой ИТ-инфраструктуры. По заявлению представителя компании, в среде IoT были затронуты 82% торговых автоматов (RVM). Несмотря на то, что данные не были украдены или зашифрованы (по крайней мере, доказательств тому нет), компания восстановила работу всех систем лишь спустя два месяца. Кроме того, инцидент повлек за собой расходы, связанные с реагированием на кибератаку, в размере 120 миллионов норвежских крон.

Успешная кибератака может повлечь за собой последствия, недопустимые для предприятия: финансовые потери от полной или частичной остановки производства, нарушение цепочек поставок и транспортировки сырья, негативное влияние на окружающую среду, нарушение основной деятельности и сбои в предоставлении услуг.

Чаще всего организации, подвергшиеся кибератакам, сталкиваются не с одним, а сразу с несколькими нежелательными последствиями.

Утечки данных стали наиболее частым последствием успешных кибератак на промышленные предприятия. В 2023 году они были зафиксированы в 68% инцидентов. Первые три квартала 2024 года демонстрируют схожую тенденцию: случаи утечки данных составляют 65% от всех инцидентов.

Основной целью злоумышленников, атакующих промышленность, является получение коммерческой тайны и другой конфиденциальной информации. Так, в 2023 году к 42% украденных данных относилась информация, составляющая коммерческую тайну, по результатам первых трех кварталов 2024 года это значение составляет 37%. 

Злоумышленники могут использовать украденные конфиденциальные данные в разных целях. Одним из наиболее вероятных представляется сценарий «двойного вымогательства», при котором преступники шифруют украденные данные и угрожают опубликовать их в открытом доступе, если пострадавшая организация откажется заплатить выкуп. Кроме того, злоумышленники могут продавать эти данные на теневых площадках. 

Например, в публикации на одном из тематических форумов пользователь предлагал приобрести доступы к конфиденциальным данным неназванной компании, включая доступы к коммутаторам и маршрутизаторам, внутренним камерам, а также к файловому серверу, содержащему еще 11 терабайт других конфиденциальных данных.

Почти половина инцидентов (48%) в 2023 году привела к нарушению производственных процессов на предприятиях. За первые три квартала 2024 года доля таких инцидентов составила 33%. Мы связываем уменьшение процентной доли с изменением мотивов злоумышленников, которые стали переходить к применению ВПО для удаленного управления и шпионского ПО, постепенно отказываясь от шифровальщиков, атаки с использованием которых приводили к тяжелым для отрасли последствиям. Однако число таких атак остается высоким, а ущерб значительным. Например, в феврале в результате кибератаки на производителя аккумуляторов VARTA AG было остановлено производство в пяти подразделениях компании.

Среди проблем защиты промышленных предприятий можно отметить наличие неавторизованных каналов связи, отсутствие должной защиты точек доступа, отсутствие сегментации сети, возможность удаленного подключения к технологической сети, использование паролей по умолчанию. Из-за ограниченных аппаратных ресурсов, устаревших ОС и проприетарных технологий не на все устройства можно установить СЗИ. Кроме того, предприятия не всегда имеют актуальную информацию о своих активах и их состоянии, поскольку инвентаризация и отслеживание изменений в ИТ-инфраструктуре — нетривиальная задача.

Результаты опроса Claroty за 2023 год показывают, что наиболее распространенными инициативами, которые компании планировали реализовать в следующем году, являлись оценка рисков (выбрана 43% респондентов), управление активами (40%) и управление уязвимостями (39%).

Для предотвращения возможных угроз необходимо определить перечень недопустимых для организации событий и обеспечить такой уровень кибербезопасности, который гарантирует, что эти события не произойдут в результате успешной кибератаки. Ранее мы описывали, как обеспечить результативную кибербезопасность при рассмотрении киберугроз в транспортном секторе. Основные меры — это составление перечня недопустимых событий и их «приземление» на IT-инфраструктуру, то есть определение потенциального пути злоумышленника при попытке реализации обозначенных недопустимых событий.

В первую очередь необходимо составить перечень событий, реализация которых приведет к недопустимым для организации последствиям. Например, для отрасли электроэнергетики недопустимыми событиями могут быть системная авария — нарушение нормального режима работы энергетической системы; отключение объектов электросетевого хозяйства, генерирующего оборудования; нарушения в работе противоаварийной или режимной автоматики, влекущие за собой отключение объекта или прекращение электроснабжения; нарушение логистических цепочек.

Для промышленных компаний недопустимыми событиями могут быть нарушение технологического процесса и прерывание функционирования, компрометация конфиденциальной информации, возможность вывода денежных средств со счетов компании, искажение или утрата рабочих данных и функциональных сведений, использование вычислительных мощностей для атак на другие компании.

Наши собственные опросы в части определения ключевых угроз интернета вещей показали, что для 70% респондентов остановка технологического процесса на основе IIoT является самой значимой угрозой информационной безопасности промышленного интернета вещей. На втором месте — простои в работе платформенного IIoT-решения и нарушение целостности информации, циркулирующей в IIoT-инфраструктуре, ее искажение. Также были отмечены такие угрозы, как потеря контроля управления технологическим процессом на основе IIoT и контроля IIoT-устройств, компрометация и выход из строя IIoT-устройств, утечка чувствительной информации и использование IIoT-инфраструктуры как промежуточного сегмента для атаки на внутреннюю ИТ-инфраструктуру.

Защита IoT-устройств начинается с понимания того, какие устройства подключены к вашей сети и что эти устройства делают. Эффективное и действенное управление активами является неотъемлемой частью операционной устойчивости. Однако, поскольку промышленные активы используют собственные протоколы, которые несовместимы со стандартными инструментами инвентаризации, обеспечение управления активами может оказаться трудной задачей. Ранее мы давали основные рекомендации, как предотвратить эксплуатацию уязвимостей и наступление связанных с ними недопустимых событий. В первую очередь необходимо выстроить в организации процессы инвентаризации активов и управления уязвимостями.

Кроме того, необходимо обеспечить защиту оконечных устройств. Так, отключение публичного доступа к активам в интернете и поддержание эффективной парольной политики (особенно изменения учетных данных по умолчанию) предотвратит попытки низкоквалифицированных злоумышленников проникнуть в инфраструктуру.

Одним из ключевых элементов эффективной стратегии управления уязвимостями является внедрение и сопровождение программ bug bounty. В рамках таких программ компании предлагают вознаграждение независимым исследователям безопасности за обнаружение уязвимостей в их программном обеспечении или системах. Эти программы позволяют привлекать к поиску уязвимостей широкое сообщество специалистов по кибербезопасности, что значительно повышает эффективность их выявления и устранения.

Ведущие промышленные и технологические компании все активнее внедряют программы bug bounty для повышения эффективности подхода к управлению уязвимостями. Яркий пример — Siemens Bug Bounty Program. Компания Siemens, один из ведущих мировых производителей систем автоматизации, промышленного, медицинского и другого оборудования, также поощряет взаимодействие с независимыми исследователями безопасности. Программа Siemens Bug Bounty направлена на поиск уязвимостей в широком спектре продуктов компании (независимый от контрактов на обслуживание или статуса жизненного цикла продукта). В рамках программы как актуальная рассматривается любая уязвимость, которая связана с продуктами, решениями или компонентами инфраструктуры Siemens.

Помимо классических программ bug bounty, мы ожидаем развитие новых программ, в которых этичные хакеры смогут получить выплаты не только за найденные уязвимости, но и за демонстрацию реализации недопустимого для предприятия события.

Все организации, ответственные за внедрение «умных» технологий, должны проактивно управлять рисками, которые несут цепочки поставок любой новой технологии, включая оборудование или программное обеспечение. Компаниям необходимо заключать соглашения только с доверенными поставщиками. В то же время поставщики продуктов также должны взять на себя часть ответственности и разрабатывать технологии в соответствии с принципом security by design.

Для создания безопасных платформенных решений необходимо проводить комплексные исследования того, как отдельные детали поставляются и собираются. Также важно понимать, как устройства хранят данные и обмениваются ими, как защищают данные при их передаче и использовании.

Исторически безопасность в надежных промышленных системах основывалась на физическом разделении и сетевой изоляции уязвимых компонентов, а также на сложном, непонятном для злоумышленника устройстве критически важных систем и правил доступа к ним. При корректной сегментации технологической сети организации смогут предотвратить распространение кибератак, ограничив горизонтальное перемещение злоумышленников по сети.

Сегментация делит компьютерную сеть на более мелкие части с целью повышения производительности и безопасности сети, ограничения распространения атаки. Например, сегментация не позволяет вредоносному ПО в одном сегменте сети влиять на системы в другом. Кроме того, она может предотвращать попадание вредоносного трафика на устройства без встроенной защиты от атак. Например, подключенные инфузионные насосы больницы могут не быть спроектированы с использованием передовых средств защиты.

Важно, что, даже обеспечив сегментацию сети, необходимо своевременно обновлять программное обеспечение, используемое для защиты промышленных систем. Так, по мнению аналитиков SektorCERT, критически опасная уязвимость CVE-2023-28771 в межсетевых экранах Zyxel использовалась для атаки на 22 энергетические компании в Дании. Эту атаку специалисты считают самым серьезным киберинцидентом за всю историю страны.

Даже когда доступы к технологической сети нельзя получить извне, злоумышленники могут добраться до промышленных систем управления через внутреннюю сеть.

По нашим данным, вредоносные программы проникают на целевые устройства разными способами: через вредоносные ссылки в электронных письмах, загруженные файлы или уязвимости в аппаратном и программном обеспечении. Так, за первые три квартала 2024 года в каждой второй атаке (53%) с использованием ВПО оно доставлялось до целевых систем предприятий в качестве вложений в электронных письмах. 

Чтобы избежать попадания вредоносного ПО на устройства сотрудников, необходимо обучать персонал тому, как распознавать фишинговые сообщения, а также информировать его об актуальных атаках злоумышленников. Кроме того, необходимо использовать специализированные средства защиты, предназначенные для выявления вредоносного ПО, — например, песочницы. Помимо того, мы советуем регулярно обучать персонал реагированию на инциденты кибербезопасности, проводить киберучения.

Концепция Industry 4.0 предполагает интеграцию интеллектуальных цифровых технологий, таких как IoT, ИИ, большие данные, в производственные и промышленные процессы. Концепция направлена ​​на повышение производительности, эффективности, обеспечение обоснованного принятия решений в производственных цепочках и цепочках поставок.

Промышленный интернет вещей — ключевая технология, реализуемая в индустрии 4.0, поэтому эти термины часто используются как взаимозаменяемые. IIoT позволяет компаниям более эффективно управлять технологическими процессами, предотвращать простои оборудования. В большинстве физических устройств, применяемых для реализации концепции индустрии 4.0, используются различные датчики и RFID-метки для предоставления в реальном времени данных о характеристиках физической среды, а также о состоянии этих устройств, их производительности или местоположении.

Больше всего руководители в промышленной отрасли мечтают об автопилотировании производственных и бизнес-процессов, о том, чтобы производство стало «умным». Умное производство использует передовые технологии, такие как искусственный интеллект, облачные технологии и промышленный интернет вещей, для повышения эффективности и гибкости традиционных производственных процессов. NIST (Национальный институт стандартов и технологий) пишет об интеллектуальном производстве как о процессе, в который интегрированы производственные системы, реагирующие в реальном времени на изменения в требованиях и условиях на заводе, в сети поставок и в потребностях клиентов.

Интерес к умным процессам есть не только в промышленности, но и в транспортной отрасли. В аналитической статье, посвященной киберугрозам в транспортном секторе, мы отмечали развитие концепции умного порта, которая также предполагает все большее внедрение информационных технологий, интеграцию в технологические и бизнес-процессы. По нашим данным, в транспортной и логистической отраслях высокий спрос на новые технологии является следствием острой необходимости мониторинга процессов перевозки пассажиров и грузов, отслеживания местоположения и контроля работы водителей. Это связано с появлением беспилотного транспорта, переходом на высокоавтоматизированные и роботизированные процессы в логистике. Интернет вещей применяется почти на всех объектах транспортной инфраструктуры и на всех участках мультимодальных перевозок: в управлении дорожным полотном, морскими портами, терминалами аэропортов и крупными складами. Так, на железнодорожном транспорте интернет вещей используется в работе с подвижным составом. Технология позволяет контролировать передвижение и местоположение пассажирских и грузовых вагонов, контейнеров, локомотивов, электропоездов. Помимо того, собираемая с датчиков информация позволяет следить за техническим состоянием состава, прогнозировать аварийное состояние, чтобы предотвращать поломку. Это позволяет превентивно реагировать, повышать безопасность движения и снижать затраты за счет исключения потенциальных расходов на устранение неисправностей. 

Технологии искусственного интеллекта (ИИ) находятся в центре внимания руководителей промышленных компаний. Интеграция ИИ в IoT, включая генеративный ИИ (GenAI) и периферийный ИИ, является одной из ключевых тенденций в 2024 году и самой обсуждаемой технологической темой на финансовых конференциях. Таким образом, за год вокруг GenAI сформировался горячий рынок, и сейчас он выходит в сферу производства. Одним из ключевых примеров может быть запуск Siemens Industrial Copilot.

Периферийный ИИ также стал одной из самых обсуждаемых тем в 2024 году. Эта технология играет ключевую роль в повышении безопасности, точности и эффективности в приложениях IoT.

Интеграция датчиков IoT и аналитики данных в производственные процессы позволяет предприятиям отслеживать состояние оборудования в режиме реального времени. Алгоритмы предиктивного обслуживания выявляют потенциальные сбои до их возникновения, позволяя внедрять проактивные процессы, которые могут сократить время простоя до 50% и продлить срок службы активов до 40%.

Например, Motor Oil, занимающаяся переработкой сырой нефти и продажей нефтепродуктов в Греции и в регионе Восточного Средиземноморья, использовали данные датчиков для постоянного мониторинга состояния оборудования и прогнозирования потенциальных неисправностей за несколько дней до их возникновения. Так компания достигла более чем 77% точности в прогнозировании аномальных событий за 120–20 часов до их возникновения, используя анализ исторических данных.

Внедрение промышленного интернета вещей в производственную систему «Казаньоргсинтеза» (КОС) позволило значительно повысить надежность работы оборудования благодаря раннему выявлению дефектов. Специалисты цифрового офиса КОС создали и запустили на промышленной площадке систему из более чем 1700 беспроводных IIoT-датчиков, которые контролируют такие параметры оборудования, как вибрация, температура, токовая нагрузка приводов, давление, влажность, загазованность и уровень в емкостях. Ожидается, что начиная с 2024 года экономический эффект от внедрения цифровых решений в области промышленного интернета вещей в «Казаньоргсинтезе» будет составлять порядка 100 миллионов рублей в год.

Цифровые двойники представляют собой технологию, которая обеспечивает цифровое представление физических объектов реального мира, включая информацию об их состоянии и функционировании. Именно на этих цифровых моделях может эффективно применяться расширенная аналитика для оптимизации производственных и эксплуатационных процессов.

Цифровые двойники могут использоваться для проверки корректности функционирования IoT-системы при определенных условиях (определенных версиях ПО, конфигурационных параметрах, неисследованных режимах функционирования и т. п.), для проверки различных гипотез о поведении IoT-системы при определенных искусственно созданных условиях, для тестирования эффективности принятых мер функциональной и информационной безопасности, а также для проведения учений по функциональной и информационной безопасности.

В нефтегазовой отрасли внедрение цифровых инструментов позволяет решать широкий спектр производственных задач, среди которых — определение реального потенциала добычи, планирование, мониторинг и оценка объемов производства углеводородов. Например, «Лукойл» запустила в эксплуатацию самую масштабную цифровую модель нефтяного месторождения в России. Создание комплексной интегрированной модели Ватьеганского месторождения — часть корпоративного проекта «Интеллектуальное месторождение». Беспрецедентный по масштабу и сложности проект включает создание цифровых двойников более чем 3000 скважин, 12 объектов разработки и охватывает всю производственную цепочку добычи.

Для повышения эффективности добычи ресурсов металлургические компании активно внедряют «цифровые рудники». Есть и другой интересный пример использования технологии: «Трубная металлургическая компания» (ТМК) получила около полумиллиарда рублей дополнительной прибыли благодаря внедрению цифровых двойников прокатных станов на Волжском и Северском трубных заводах.

Весьма вероятно, что в будущем цифровые двойники будут представлять интерес для злоумышленников. Украв данные о промышленной инфраструктуре, киберпреступники смогут использовать их для вымогательства и перепродажи. Также эта информация может использоваться высококвалифицированными злоумышленниками для обучения и проведения атак, поскольку цифровой двойник может дать понимание о наиболее важных системах и процессах, а также их взаимосвязях.

Одной из проблем, встающих перед организациями, планирующими внедрять IIoT, является недостаточная стандартизация в области таких устройств и соответствующих программных решений. Чтобы противостоять угрозе кибератак на растущее число устройств IoT, некоторые государства уже принимают законы и создают программы, направленные на безопасность как самих устройств и данных, с которыми они работают, так и систем, к которым эти устройства подключены.

В России этой проблеме также уделяется внимание. Так, в рамках «Дорожной карты развития „сквозной“ цифровой технологии „Технологии беспроводной связи“» были обозначены такие технологии связи, как LPWAN (в том числе LoRaWAN, NB-IoT, XNB, NB-Fi), PAN (RFID), спутниковые технологии связи (в том числе спутниковый интернет вещей), в 2019 году была утверждена «Концепция построения и развития узкополосных беспроводных сетей связи „Интернета вещей“ на территории Российской Федерации».

Начинаются процессы стандартизации в области интернета вещей, также разрабатываются нормативные документы для киберфизических систем. Появляются отечественные стандарты для протоколов интернета вещей (ГОСТ Р 59026-2020 для NB-IoT, ГОСТ Р 70036-2022 для NB-Fi, ГОСТ Р 71168-2023 для LoRaWAN). Вводятся предварительные национальные стандарты, затрагивающие промышленный интернет вещей (например, ПНСТ 642-2022 и ПНСТ 643-2022), периферийные вычисления (ПНСТ 794-2022). В 2017 году был создан технический комитет по стандартизации киберфизических систем, в число приоритетов комитета в области регулирования входит «умная промышленность».

Кроме того, в рамках стандартизации киберфизических систем также разрабатываются проекты стандартов открытых АСУ ТП — эта концепция предполагает платформенность (возможность интеграции продуктов в единую платформу) и открытость для сегмента АСУ ТП, создание открытой архитектуры промышленных систем. Разработкой таких проектов занимается рабочая группа по созданию открытой АСУ ТП.

Также отметим, что в 2024 году был зарегистрирован первый в России орган по сертификации доверенных программно-аппаратных комплексов, созданный в госкорпорации «Росатом». Вероятно, что в рамках сертификации также будут охвачены и компоненты, являющиеся частью промышленного интернета вещей.

Таким образом, сейчас мы видим, что государство и отраслевые игроки рынка совместно прилагают усилия к формированию новой цифровой промышленности России, делают шаги к созданию основы для развития продуктов отечественных производителей и разработчиков.

В настоящее время ведется активная работа по разработке комплексных продвинутых решений для экосистем IIoT. Однако промышленность в России сталкивается с рядом задач, препятствующих быстрому внедрению решений. Одна из них — импортозамещение. Сейчас большая часть промышленных систем состоит из продуктов зарубежных вендоров, что создает риски, связанные с невозможностью установки новых обновлений безопасности. Рынок нацелен на создание и внедрение собственного ПО, разрабатываются отечественные платформенные решения — причем как для замены старых, так и в целях создания принципиально новых. Процесс внедрения новых решений, как правило, также сопряжен с рядом сложностей, поскольку промышленным организациям в первую очередь нужна уверенность в том, что новое ПО не повлияет на производственные процессы.

Проникновение IT-технологий в OT-инфраструктуру выступает мировым драйвером развития платформенных решений, а также продуктов по безопасности. Промышленным организациям требуются продвинутые решения безопасности, которые помогают облегчить инвентаризацию активов и обеспечить высокий уровень защиты всей экосистемы от атак злоумышленников.

Отчет содержит информацию об общемировых актуальных угрозах информационной безопасности, основанную на собственной экспертизе компании Positive Technologies, результатах расследований, исследования теневого рынка, а также на данных авторитетных источников.

В рамках отчета каждая массовая атака (в ходе которой злоумышленники, например, проводят, фишинговую рассылку на множество адресов) рассматривается как одна атака, а не несколько разных. По нашей оценке, большинство кибератак не предается огласке из-за репутационных рисков. В связи с этим подсчитать точное число угроз не представляется возможным даже для организаций, занимающихся расследованием инцидентов и анализом действий хакерских группировок. Термины, которые мы используем в исследовании, приведены в словаре на сайте Positive Technologies.