Кібератаки на критичну інфраструктуру — піратство XXI століття

Пірат XXI століття не стрибає на борт із АК-47, він під’єднується до панелі керування і підміняє команди в системі. І коли кібератака влучає в SCADA (Supervisory Control and Data Acquisition, диспетчерські системи керування та збору даних) і технологічний контур OT (Operational Technology), це вже не про крадіжку файлів, а про контроль над механікою: кермом, двигунами, насосами чи сигналізацією. У такій моделі "випадкова несправність" стає ідеальним прикриттям для атаки.

Пором у Сеті і нове піратство

У Франції цей сценарій перейшов із теорії в кримінальну справу. 17 грудня 2025 року правоохоронці повідомили про розслідування щодо "іноземного втручання" після того, як на пасажирському поромі в порту Сет виявили шкідливе програмне забезпечення, здатне забезпечити віддалений контроль над частиною бортових систем.

За даними прокуратури та медіа, йшлося про RAT (Remote Access Trojan) — програму віддаленого доступу, яка дозволяє зловмиснику керувати пристроєм. Затримали двох членів екіпажу, громадян Латвії та Болгарії. Болгарина після первинних процесуальних дій відпустили. Латвієць залишився під вартою і проходить за статтями, пов’язаними зі зломом "в інтересах іноземної держави".

Міністр внутрішніх справ Франції публічно натякнув, що підозра може вести у бік РФ, але підкреслив: мотив і намір ще встановлюють. Окремі видання називали судно Fantastic компанії GNV.

Чому це про OT, а не про листування

Двадцять років кіберзахист здебільшого фокусувався на даних, бо саме там був найпростіший і наймасовіший зиск для зловмисників. Крадіжка листування, креслень, фінансових реквізитів чи доступів до банкінгу давала швидкий результат. Наслідки легко вимірювалися грошима, репутацією або витоком інформації. Бізнес і держава вибудували процедури саме під цю логіку: захистити пошту, сервери, документи, облікові записи.

Кейс Сета важливий іншим фокусом. Тут метою могло бути не читання документів, а вплив на OT (Operational Technology), тобто операційні технології. Це системи, які керують фізичними процесами: навігацією, машинним відділенням, рульовими контурами, насосами, клапанами, сигналізацією. Іншими словами, це те, що рухає метал і людей, а не зберігає файли.

Саме про такі сценарії давно попереджають підходи й стандарти безпеки для OT. Їхня ключова ідея проста: у технологічних контурах головне не "конфіденційність даних", а безперервність і безпечний режим роботи. Тут не завжди можна встановити оновлення "вночі" або перезавантажити все "як у корпоративній мережі", бо ціна збою вимірюється аварією, зупинкою сервісу або ризиком для людей. Тому захист OT вимагає іншої дисципліни: жорсткішого контролю доступів, сегментації, моніторингу аномалій і готовності швидко доводити, що збій був не випадковим.

У цій точці "кібер" стає фізичним. Аварію можна подати як "помилку системи", а не як напад. І якщо інцидент виглядає технічною несправністю, політична відповідь запізнюється. Саме цей часовий розрив і є комфортною територією сірої зони. І найгірше, що для такого втручання не завжди потрібен "злам" у кіношному сенсі. Достатньо легітимного доступу до OT-контурів, який уже є у співробітника або підрядника.

Периметр помер, інсайдер ожив

Оборона десятиліттями мислила периметром: "ми" всередині, "вони" зовні. Але в гібридній логіці вектор атаки часто вже на зарплаті. Він може бути в екіпажі, у сервісній команді, у підрядника або у людини з допуском до містка чи до шафи з контролерами. Ви можете мати найкращий у світі фаєрвол, але він втрачає сенс у момент, коли "перевірений" працівник заносить заражений носій або під’єднує "зручний" інструмент для обслуговування.

Тому в OT-середовищах головне питання не "чи є доступ". Важливіше інше: як зробити цей доступ мінімальним і контрольованим. Як швидко побачити, що технологічний процес поводиться не так. Як зафіксувати ознаки умислу раніше, ніж вони розчиняться у версії про "несправність". Саме тут критичною стає дисципліна журналювання, сегментації та відокремлення ролей, бо сірій зоні найбільше допомагає не складність атаки, а затримка з доказами.

Ризики і ознаки для критичної інфраструктури

1. Невидима зміна мети атаки. Сучасні кібератаки на критичну інфраструктуру дедалі рідше націлені на дані. Їхній фокус — керування технологічним процесом (OT), щоб спровокувати "випадкову" аварію, зупинку сервісу або деградацію роботи. Зовні це виглядає як технічна несправність, а не як навмисний вплив, що дозволяє атакам залишатися в сірій зоні без негайної політичної реакції.
2. Інсайдер як головний вектор. У середовищі OT найціннішим ресурсом стає не експлойт, а легітимний доступ. Робочі облікові записи, фізичний допуск до обладнання, можливість підключитися до контролера або сервісного порту часто важливіші за будь-який 0-day. Дії, виконані "своїм" користувачем, легко маскуються під штатні операції і не спрацьовують як класична атака.
3. Атрибуція з лагом. Після інциденту потрібна форензіка — технічне розслідування, яке включає збір логів, аналіз змін у конфігураціях і відновлення послідовності подій. У середовищі OT це складно і повільно: логи зберігаються недовго, частина систем не проєктувалась для детального аудиту, а зупинка обладнання для аналізу може бути неможливою. У результаті між подією і доведенням втручання минають тижні. Саме в цьому часовому вікні й працює сіра зона. Індикатор для керівника: чи є процедура негайного збереження логів OT/SCADA і команда, здатна почати аналіз у перші години, а не після зупинки сервісу.
4. Розрив між IT і OT-командами. Кібербезпека часто залишається відповідальністю ІТ, тоді як OT живе в інженерному контурі. Для операторів "дивна поведінка" — це зношення, людський фактор або стара техніка. Для ІТ це може виглядати як відсутність сигналу. Коли ці два світи не з’єднані, дрібні аномалії не складаються в картину атаки. Індикатор для керівника: чи існує спільний механізм ескалації між IT і OT, де повторювані "дрібні збої" аналізуються як можливий патерн втручання.
5. Уразливість сервісного ланцюга. Підрядники, оновлення, віддалене адміністрування і тимчасові доступи — найслабша ланка OT-безпеки. Те, що створюється "на час робіт", часто не закривається роками. Саме через сервісні канали зловмисник може отримати стабільний доступ без будь-якого злому периметра. Індикатор для керівника: чи є повний реєстр підрядників і доступів, і чи відключаються вони автоматично після завершення робіт.

Що це означає для держави і регулятора

Найнебезпечніше в таких кейсах не "екзотика" порома, а буденність сценарію. Сьогодні це судно. Завтра — диспетчеризація залізниці, SCADA водоканалу або контури безпеки LNG-термінала. Коли інцидент оформлюється як технічний збій, відповідальність розмивається, суспільство отримує версію "нещасного випадку", а стримування не спрацьовує. У сірій зоні перемагає не той, хто завдає найбільшого удару, а той, хто довше утримує невизначеність.

Тому політика кіберстійкості має зміститися від звітності про "інциденти в IT" до вимірюваної готовності OT-контурів. Регулятору потрібні не лише вимоги "мати кіберзахист", а й критерії придатності до розслідування та швидкої реакції: сегментація технологічних мереж, контроль доступів і ролей, надійне журналювання подій, заздалегідь визначені процедури безпечної зупинки та відновлення. Окрема тема — навчання, де юридичний блок і технічні команди відпрацьовують не лише "витік даних", а й сценарій "підозрілої аварії" з доказовим контуром. Йдеться про те, як зберегти сліди, як швидко підняти поріг упевненості і коли інцидент має переходити з площини "технічної проблеми" у площину національної безпеки.

Бо наступний фронт — не лінія окопів, а SCADA водоочисної станції, сигналізація швидкісної залізниці чи навігаційний комп’ютер цивільного порома.

У своїй попередній колонці Луї Саїянс пояснює, як акустичні системи детекції дронів стають ключовим рішенням для міської безпеки без радарів і зайвих бюджетів — "Акустичний антидрон для міст — нова норма безпеки", а також розвповідає чому акустика знову стає ключовою технологією в обороні проти дронів XXI століття. Аналіз від експерта оборонних технологій — "Акустичні системи — знову у грі проти дронів XXI століття"