Более 26% компьютеров автоматизированных систем управления в Казахстане подверглись кибератакам в прошлом году – это ставит под удар нефтегазовую отрасль, энергетику и металлургию. О том, почему старые методы защиты больше не работают и как программы-вымогатели учатся уничтожать не просто данные, а физическое оборудование, рассказал Манас ОСПАНОВ, руководитель направления по работе с крупными корпоративными клиентами в Казахстане, Центральной Азии и Монголии, «Лаборатория Касперского».
-Манас, как изменились подходы к безопасности крупных промышленных объектов?
– По моей оценке, за последние пять лет подходы к безопасности крупных промышленных объектов претерпели значительные изменения. Это обусловлено стремительным развитием технологий и увеличением числа киберугроз. Раньше компании делали акцент на физической защите периметра и принципе «воздушного зазора» (air gap) между операционными технологиями (OT) и корпоративными IT-системами.
Однако с наращиванием цифровизации и интеграции IoT-устройств такая изоляция стала неэффективной. Сегодня наблюдается переход к более комплексной модели безопасности, которая включает в себя сегментацию IT- и OT-сетей в соответствии с международным стандартом IEC 62443. Он определяет требования к безопасности промышленных систем автоматизации и управления на всех уровнях, включая оценку рисков, политики безопасности и технические меры контроля доступа.
Важным аспектом современных подходов является использование принципа нулевого доверия (zero trust), который предполагает, что ни одно устройство или пользователь не должны считаться надежными по умолчанию. Он требует постоянной аутентификации и авторизации всех действий в сети.
Кроме того, мы видим активное использование непрерывного мониторинга промышленных протоколов и интеграции threat intelligence. Это позволяет оперативно реагировать на инциденты и выявлять угрозы в реальном времени.
Цифровизация сделала изоляцию невозможной – теперь необходима проактивная защита с полной видимостью каждого устройства и трафика для того, чтобы обеспечить высокую степень безопасности и устойчивости промышленных систем к киберугрозам.
– Какие угрозы сегодня выходят на первый план?
– Несмотря на то, что физические угрозы остаются актуальными, именно программы-вымогатели и APT-атаки на системы управления технологическими процессами (OT/ICS) могут привести к серьезным последствиям, включая физический ущерб и остановку производственных процессов. Согласно данным Kaspersky ICS CERT, в 2025 году 26,65% компьютеров автоматизированных систем управления (АСУ) в Казахстане подверглись атакам вредоносного ПО, а с начала 2026 года этот показатель составил уже 12,48%.
Основным источником угроз остается интернет, который стал входной точкой для множества атак (12,35% в 2025 году). Человеческий фактор играет ключевую роль в уязвимости систем: фишинг, ошибки конфигурации и использование съемных носителей служат входной точкой в 70-80% инцидентов.
– Готов ли крупный бизнес в Казахстане к современным вызовам или пока работает по старым лекалам?
– Крупные организации в Казахстане, особенно в нефтегазовой и металлургических отраслях, горнодобывающей промышленности, энергетике, внедряют новые подходы к кибербезопасности и следуют стандарту IEC 62443. Но все же есть компании, которые используют устаревшие методы. Например, полагаются только на решения для конечных устройств вместо того, чтобы устанавливать специализированные системы для защиты OT. Крайне важно развивать культуру безопасности и постоянно улучшать процессы управления рисками.
– С ростом цифровизации заводов и фабрик насколько выросла уязвимость перед кибератаками?
– Подключение систем SCADA, программируемых логических контроллеров (PLC) и датчиков к корпоративным сетям и облачным сервисам расширяет поверхность атаки и создает новые возможности для злоумышленников. Объединение информационных технологий (IT) и операционных технологий (OT) также создает дополнительные риски. В то время как IT-системы часто имеют более строгие меры безопасности, OT-системы могут быть менее защищены и использовать устаревшее программное обеспечение.
Это различие в подходах к безопасности делает ОТ-системы более уязвимыми. Использование удаленного доступа к промышленным системам – еще один аспект, требующий внимания. Он открывает новые возможности для атак, если не реализованы должные меры безопасности. Кроме того, многие предприятия продолжают использовать устаревшее оборудование, которое сложно обновить. Часто они не поддерживают современные протоколы безопасности, что делает их легкой мишенью.
– Сколько крупный бизнес готов тратить на безопасность?
– Обычно он выделяет на кибербезопасность 5-10% от общего IT-бюджета, для критической инфраструктуры эта цифра может достигать 15-20%. Но не следует ориентироваться исключительно на процентное соотношение, гораздо более значимым является риск-ориентированное распределение средств. Это означает, что компании должны анализировать свои уязвимости и потенциальные угрозы, чтобы направлять инвестиции в те области, которые обеспечат максимальную защиту и минимизацию рисков для бизнеса.
– Окупаются ли эти вложения или безопасность?
– Инвестиции в кибербезопасность безусловно окупаются, особенно когда речь идет о защите критически важной инфраструктуры и производственных процессов. Один час простоя может обойтись в сотни тысяч долларов, и предотвращение даже одного серьезного инцидента может сэкономить компании миллионы в долгосрочной перспективе. Кибербезопасность – это не просто статья расходов, а стратегическая инвестиция в операционную непрерывность и защиту активов.
– Может ли плохая система безопасности стать причиной потери бизнеса или остановки производства?
– Да. В результате кибератак возможны многодневные простои, утечки конфиденциальной информации, потеря интеллектуальной собственности, получение штрафов. Особенно в критических отраслях, таких как энергетика или здравоохранение. Такие инциденты могут затронуть не только отдельные компании, но и всю экономику страны, создавая цепную реакцию негативных последствий для бизнеса и общества в целом.
– Какие киберугрозы сегодня считаются критичными для промышленных предприятий?
– Серьезную опасность представляют программы-вымогатели (ransomware), нацеленные на OT. Также – атаки с использованием уязвимостей устаревшего оборудования, компрометация цепочек поставок, инсайдерские угрозы, возникающие из-за недовольства сотрудников или их неосторожности, целевые атаки повышенной сложности (APT), направленные на шпионаж и кражу интеллектуальной собственности, которые могут существенно подорвать конкурентоспособность компании.
– Как интегрируется киберриск в систему корпоративного риск-менеджмента?
– Во многих организациях киберриски уже интегрируются в корпоративный риск-менеджмент, например, в компаниях создают кросс-функциональные команды. Регулярные оценки по стандартам, таким как IEC 62443, помогают выявлять слабые места. Отчетность для совета директоров повышает прозрачность и внимание к кибербезопасности.
– Как изменилась тактика вымогателей в отношении крупных производств?
– Злоумышленники перешли от простого шифрования данных к более сложным схемам двойного и тройного вымогательства. Атакующие не только шифруют данные, но и крадут конфиденциальную информацию, угрожая ее публикацией, или проводят DDoS-атаки для создания дополнительного давления на жертву.
– Есть ли примеры таких и чему они научили рынок?
– Таких примеров множество. Например, крупнейший производитель мяса в мире, компания JBS, стала жертвой атаки программы-вымогателя, которая затронула ее операции в Северной Америке и Австралии. Или атака на поставщика IT-услуг Kaseya с использованием программ-вымогателей. Она затронула множество малых и средних предприятий по всему миру.
На мой взгляд, сейчас рынок понял важность сегментации IT/OT, многофакторной аутентификации, независимого мониторинга и наличия проверенного плана реагирования. После инцидентов большинство предприятий внедряют специализированные OT-решения.
– Как выстраивается реагирование на инциденты в режиме 24/7?
– На крупных предприятиях непрерывная работа с инцидентами осуществляется через круглосуточные центры мониторинга и реагирования (SOC). Эти центры обеспечивают постоянный мониторинг сетевой активности, и это позволяет оперативно выявлять и анализировать угрозы.
При обнаружении инцидента происходит быстрая изоляция затронутого сегмента OT, проведение forensic-анализа промышленных протоколов для понимания характера атаки и восстановление работы систем с минимальными потерями. Таким образом, удается сохранить технологические процессы и избежать серьезных сбоев в производстве.
