«Защита критической инфраструктуры больше не вопрос техники, а инструмент суверенитета. Войны и конфликты показали, что физические разрушения теперь лишь часть сценария. Основной удар наносится на стыке IT и OT, где уязвимо всё — от энергосистем до канализации. Эта инфраструктура исторически росла без оглядки на безопасность. И теперь, чтобы её защитить, обычной регуляторики недостаточно — нужен другой системный взгляд.»
Сущность критической инфраструктуры в эпоху гибридных войн
Критическая инфраструктура, это системы и объекты, разрушение или нарушение функционирования которых приводит к значительным негативным последствиям для национальной и экономической безопасности, состояния здоровья и жизни людей. В недавнем прошлом защита подобных объектов сводилась к физической охране периметра. Сегодня понимание сместилось: основная угроза исходит из киберпространства, где границы практически отсутствуют, а последствия масштабируются мгновенно.
Традиционно к критической инфраструктуре относят энергетику, транспорт, связь, банковскую систему, водоснабжение, здравоохранение и промышленность. Цифровизация этих секторов изменила риски. Электростанция, это не только турбины и трансформаторы, но и AСУ ТП, управляемые через уязвимые протоколы SCADA. Водоканал — не только насосы, а система удалённого мониторинга, доступ к которой может быть получен извне. Атака на подобные системы способна нанести ущерб, сравнимый с применением оружия, но без формального объявления войны. Это позволяет обходить международные конвенции и создавать ситуации с правовой неопределённостью.
От IT к OT: как безопасность перестала быть виртуальной
Разделение на информационные и операционные технологии долгое время было не только организационным, но и ментальным. IT рассматривало безопасность как защиту данных, конфиденциальность и доступность систем. OT фокусировалось на промышленной безопасности, надёжности и бесперебойности процессов. Проблема возникла, когда эти миры начали интегрироваться для повышения эффективности, но без пересмотра модели угроз.
Протоколы и системы управления (SCADA, ICS), создававшиеся десятилетия назад, проектировались для закрытых, изолированных сетей. Их уязвимости были второстепенной проблемой. Сегодня, когда эти системы подключены к корпоративной сети для удалённого управления и сбора данных, каждый устаревший протокол Modbus или необновлённый контроллер Siemens становится точкой входа. Атакующий, проникший через IT-систему филиала, может перейти в сегмент технологической сети и воздействовать непосредственно на физические процессы.
Страны и приоритеты: чьи объекты становятся целями
Традиционно считается, что объекты критической инфраструктуры крупных мировых держав находятся под прицелом. Однако реальная геополитическая картина сложнее. Часто цели выбираются не по признаку «самой защищённой страны», а исходя из стратегии дестабилизации региона, давления на союзников или проверки оборонительного потенциала подконтрольных государств.
Объекты страны-сателлита, имеющей слабые стандарты кибербезопасности, но критически важные для логистики или энергетики соседа, могут быть идеальной мишенью для достижения опосредованных целей. Атаки на инфраструктуру становятся инструментом гибридной войны, где важен не только ущерб, но и демонстрация возможности, создание атмосферы неопределённости и подрыв доверия населения к государству. Подобные операции могут предшествовать более масштабным действиям, быть частью кампании по информационно-психологическому воздействию.
Регуляторика 152-ФЗ и ФСТЭК: защита в новых условиях
Существующая система регуляторики, в первую очередь 152-ФЗ «О персональных данных», не была изначально заточена под специфику объектов критической инфраструктуры (ОКИ). Её фокус — защита информации. Однако нововведения и подзаконные акты ФСТЭК, такие как приказ №239 о ГИС и приказ №31 о защите критической информационной инфраструктуры, направлены на закрытие этого пробела.
Ключевое отличие в подходе — признание категорий значимости и классов защищённости. Для критически важных объектов предъявляются более высокие, а часто и уникальные требования. Простое соответствие требованиям 152-ФЗ для ОКИ уже недостаточно. ФСТЭК внедряет модели угроз, специфичные именно для отраслей: для энергетики, транспорта, связи. С точки зрения государства, это попытка систематизировать защиту на стыке цифры и физического мира, но регуляторная динамика часто отстаёт от скорости развития угроз. Статус «критического» налагает повышенную ответственность, вплоть до уголовной, на руководство и подрядчиков.
Недостатки классической модели по ФСТЭК при защите ОКИ
- Опоздание. Стандарты и модели угроз разрабатываются на основе уже произошедших инцидентов. Атакующие же используют неизвестные уязвимости.
- Бюрократизация. Процесс аттестации и проверок может растягиваться, в то время как инфраструктура модернизируется, появляются новые системы, не охваченные аттестованными средствами защиты.
- Формальное соответствие. Организация может выполнить все формальные требования, установить сертифицированные СЗИ, но сохранить архитектурные уязвимости, такие как неправильное сегментирование сетей OT.
Уязвимости цепи поставок: новые уязвимые места
Даже если прямое проникновение в защищённую сеть оператора критической инфраструктуры затруднено, злоумышленники находят обходные пути. Наиболее актуальный — атаки через цепочку поставок. Это не только поддельное аппаратное обеспечение, но и уязвимости в легальном программном обеспечении для управления, системе телеметрии или компонентах, поставляемых сторонними вендорами.
Пример: атака через обновление легитимного ПО вендора, обслуживающего системы контроля доступа на энергообъектах. Заражая одного поставщика, обслуживающего десятки объектов разных компаний, можно нанести широкомасштабный удар. Для российского контекста это особенно важно в свете стратегического курса на импортозамещение. Новые отечественные разработки, призванные повысить суверенитет, сами могут нести неизученные риски, если процесс их разработки и внедрения не включает аудит безопасности на всех этапах.
Практическая защита: от чек-листов к активной обороне
Соответствие требованиям регулятора — необходимый минимум, но не гарантия безопасности. Современная защита критической инфраструктуры требует перехода от пассивного выполнения предписаний к активной модели, основанной на непрерывном мониторинге, анализе поведения и готовности к инцидентам.
В идеале такая модель опирается на:
- Глубокое, физическое сегментирование сетей. Сети OT должны быть изолированы от IT не только логически, но и с применением однопроходных шлюзов данных. Любое внешнее соединение должно подвергаться строгому аудиту.
- Мониторинг аномального поведения в OT-сетях. Вместо поиска известных сигнатур вредоносного ПО — анализ сетевого трафика на предмет отклонений от нормальных для данного технологического процесса шаблонов.
- Регулярное моделирование атак (Red Team). Не формальные проверки, а реалистичные сценарии, проводимые специалистами, думающими как злоумышленники, с реальными попытками воздействия на технологические процессы в контролируемых условиях.
- План восстановления в условиях физических повреждений. Кибератака может привести к выходу из строя оборудования. Необходимы стратегии «холодного резерва», возможность перехода на ручное управление и координация действий с аварийными службами.
Что должно меняться: взгляд в будущее защиты
Текущий этап — переходный. Будущая защита критической инфраструкции не будет опираться на единый регламент. Она станет адаптивной экосистемой. Технические требования ФСТЭК и 152-ФЗ будут основой, но не потолком. Упор сместится на проактивность.
Станут стандартом центры мониторинга и реагирования на киберинциденты, специализирующиеся именно на технологических системах (SOC для OT). Будет развиваться обмен сигнатурами угроз и тактиками злоумышленников между операторами в рамках одной отрасли, возможно, под эгидой государства, но без излишней бюрократии. Появится поколение специалистов, одинаково компетентных в IT-безопасности и основах технологических процессов промышленности. Само понятие «угрозы» будет включать не только вредоносный код, но и аномалии в данных телеметрии, указывающие на целенаправленное искажение показаний датчиков. Финансирование защиты станет не статьёй расходов, а инвестицией в устойчивость самого государства.