Металлургам в наступившем году приходится бороться не только с последствиями санкций, но и с набирающими обороты кибератаками. И, несмотря на то, что цифровизацию в металлургии не остановить даже низкими ценами на сталь, она только становится нормой.
А о защите цифровой инфраструктуры и обучении сотрудников киберграмотности на производстве начинают думать чуть ли не в последний момент, а чаще всего, когда инцидент уже произошёл, а хакеры добрались до чувствительных для бизнеса данных и требуют за них выкуп. После этого встаёт вопрос: а как вообще такое могло произойти?
Есть ещё один тип руководителей, который считают, что дешевле и проще заплатить выкуп преступникам, чем вкладываться в безопасную среду, и это одно из самых трагичных заблуждений.
Постоянная активность блокирующих работу производств вирусов-шифровальщиков и количество утечек данных создают впечатление, что преступники нашли слабое звено среди отраслей, а на промышленных предприятиях ещё далеко не все осознали важность кибербезопасности.
«По нашим наблюдениям, самыми атакуемыми индустриями, по данным за 10 месяцев 2025 года, стали госорганы, промышленность, энергетика и IT — инциденты в таких организациях мы расследовали чаще всего. Мы видели следы активности 18 группировок и кластеров вредоносной активности — преимущественно проукраинских и восточноазиатского происхождения. Годом раньше мы идентифицировали восемь активных группировок и кластеров», — рассказал руководитель группы анализа вредоносного ПО центра исследования киберугроз Solar 4RAYS ГК «Солар» Станислав Пыжов.
В 2025 году программы-вымогатели были одной из самых разрушительных киберугроз, нанеся масштабный ущерб отраслям и организациям по всему миру
При этом кибератаки на промышленные предприятия, в отличие от многих других отраслей, приводят не просто к «лежащим» сервисам, а часто имеют намного более серьёзные последствия. Один из самых показательных случаев произошёл в Иране: в 2022 году кибератака на три сталелитейных завода привела к остановке технологических процессов. Причём на одном из предприятий хакерам, предположительно, удалось вызвать пожар в цехе, опрокинув ковш с жидким чугуном. Аналогичные взломы происходят и в России, но руководство отечественных предприятий старается это замалчивать, не вынося ссор из избы. Хотя такой опыт мог бы быть полезен многим металлургам, ведь некоторые о кибербезопасности знают только понаслышке.
Но даже если у себя на заводе навести порядок и выстроить грамотную кибероборону, , к сожалению, это всё равно не даст стопроцентную гарантию, что завтра инфраструктуру не вскроют. Ведь вне периметра всегда остаются подрядчики, без которых ни одно производство не обходится. Злоумышленники всегда ищут слабое звено, и им часто оказываются подрядчики с низким уровнем защиты.
Каждая четвёртая успешная кибератака происходит через подрядчиков пострадавшей организации, утверждают эксперты ИБ-компании «Бастион», — через цепочки поставок.
По данным Центра исследования киберугроз Solar 4RAYS ГК «Солар», в 2025 году отмечался значительный рост кибератак через подрядчиков — 27% по сравнению с предыдущим годом — 12%. Риск проникновения злоумышленников связан с тем, что уровень защиты подрядчиков уступает банковским стандартам по ИБ. И, по мнению экспертов, в 2026 году эта тенденция только усилится.
Под атаками через подрядчиков часто понимаются кибератаки, в ходе которых злоумышленник компрометирует третью сторону (поставщика, подрядчика, вендора), чтобы получить несанкционированный доступ к конечной цели — заказчику. Международная компания MITRE, занимающаяся исследованием киберугроз, разделяет угрозы через третьих лиц на два типа: атаки через доверительные отношения (trusted relationship attacks) и через цепочку поставок (supply chain attacks).
Всё чаще металлургические предприятия сталкиваются с утечкой информации
В первом сценарии злоумышленники взламывают подрядчика или партнёра компании, чтобы затем получить доступ к ее системам. Например, компрометация IT-аутсорсера может открыть хакерам путь к инфраструктуре и данным его заказчиков. Атаки через цепочку поставок представляют собой взлом разработчика ПО, которое используется в компании-жертве, и внедрение в него вредоносного кода.
Безусловно, если сравнивать с тем, что было ещё пару лет назад, крупные компании начали лучше выстраивать защиту своих инфраструктур, заказчики усилили контроль подрядчиков. Но остаётся огромное количество небольших ИТ-организаций, которые взламываются, и под угрозой оказываются уже их клиенты. Часто такие компании являются фактическими сателлитами основных организаций, включая выделенные юридические лица под разработку. Много случаев, когда через одного подрядчика хакеры получают доступ сразу к нескольким целям, и весьма критичным.
Как пояснили специалисты центра мониторинга RED Security SOC, злоумышленные действия через подрядчиков сложно идентифицировать, поскольку они маскируются под стандартную деятельность внешних подрядных организаций.
По данным экспертов, почти 30 000 российских компаний подрядчиков имеют низкий уровень кибербезопасности: в частности, у них открыт как минимум один из управляющих портов для доступа из интернета, что позволяет скомпрометировать и украсть данные, или же проникнуть в инфраструктуру. Об этом говорится в исследовании компании по управлению уязвимостями и цифровыми угрозами CICADA8, которая без проникновения и получения доступа к корпоративным данным проверила уровень защищённости более 60 000 российских компаний, выступающих в качестве контрагентов и подрядчиков.
У более чем 21 000 проверяемых компаний-контрагентов (32%) присутствуют критические уязвимости (CVE). Кроме того, исследование показало, что данные корпоративных учётных записей у почти 18 000 проверяемых контрагентов (27%) были обнаружены в базах утечек, опубликованных на теневых форумах даркнета. При этом «возраст» обнаруженных учётных записей даёт основания предполагать, что они до сих пор являются действующими и, следовательно также могут послужить точкой входа хакеров в корпоративные сети.
Дополнительно ситуацию усугубляет медленная реакция со стороны самих подрядных компаний, которые чаще всего не могут оперативно обнаружить факт компрометации и своевременно уведомить об этом своих заказчиков и клиентов. В результате злоумышленники получают дополнительное время и возможность для глубокого проникновения в критически важные системы, что увеличивает потенциальный ущерб от таких инцидентов.
Чтобы снизить риски подобных инцидентов, специалисты ИБ-отрасли советуют компаниям тщательно контролировать доступ подрядчиков, проводить регулярный аудит подключений и активно отслеживать любые изменения в стандартных профилях активности пользователей.
«Шпионаж (то есть похищение конфиденциальных сведений) был целью 54% атак, которые мы расследовали. Действительно, шпионские атаки на критически важные отрасли в напряжённых геополитических условиях отражают стремление атакующих завладеть стратегической информацией. Это коррелирует с предположением, что большая часть группировок атакующих действует в интересах иностранных государств», — резюмирует руководитель группы анализа вредоносного ПО центра исследования киберугроз Solar 4RAYS ГК «Солар» Станислав Пыжов.
Эксперты, работающие в информационной безопасности, акцентируют внимание на том, что в 2026 году доля таких атак в общем числе киберинцидентов в России будет расти, если бизнес не начнёт активно инвестировать в защиту цепочек поставок. Для металлургов это означает необходимость уже сейчас пересмотреть подход к выбору партнёров и выстраиванию экосистемы безопасности.
Егор Петров
