Кибератаки на критическую инфраструктуру — пиратство XXI века

Пират XXI века не запрыгивает на борт с АК-47, он подключается к панели управления и подменяет команды в системе. И когда кибератака попадает в SCADA (Supervisory Control and Data Acquisition, диспетчерские системы управления и сбора данных) и технологический контур OT (Operational Technology), это уже не о краже файлов, а о контроле над механикой: рулем, двигателями, насосами или сигнализацией. В такой модели "случайная неисправность" становится идеальным прикрытием для атаки.

Паром в Сете и новое пиратство

Во Франции этот сценарий перешел из теории в уголовное дело. 17 декабря 2025 года правоохранители сообщили о расследовании "иностранного вмешательства" после того, как на пассажирском пароме в порту Сет обнаружили вредоносное программное обеспечение, способное обеспечить удаленный контроль над частью бортовых систем.

По данным прокуратуры и СМИ, речь шла о RAT (Remote Access Trojan) — программе удаленного доступа, которая позволяет злоумышленнику управлять устройством. Задержали двух членов экипажа, граждан Латвии и Болгарии. Болгарина после первичных процессуальных действий отпустили. Латвиец остался под стражей и проходит по статьям, связанным со взломом "в интересах иностранного государства".

Министр внутренних дел Франции публично намекнул, что подозрение может вести в сторону РФ, но подчеркнул: мотив и намерение еще устанавливают. Отдельные издания называли судно Fantastic компании GNV.

Почему это об OT, а не о переписке

Двадцать лет киберзащита в основном фокусировалась на данных, потому что именно там была самая простая и массовая выгода для злоумышленников. Кража переписки, чертежей, финансовых реквизитов или доступов к банкингу давала быстрый результат. Последствия легко измерялись деньгами, репутацией или утечкой информации. Бизнес и государство выстроили процедуры именно под эту логику: защитить почту, серверы, документы, учетные записи.

Кейс Сета важен другим фокусом. Здесь целью могло быть не чтение документов, а влияние на OT, то есть операционные технологии. Это системы, которые управляют физическими процессами: навигацией, машинным отделением, рулевыми контурами, насосами, клапанами, сигнализацией. Иными словами, это то, что движет металл и людей, а не хранит файлы.

Именно о таких сценариях давно предупреждают подходы и стандарты безопасности для OT. Их ключевая идея проста: в технологических контурах главное не "конфиденциальность данных", а непрерывность и безопасный режим работы. Здесь не всегда можно установить обновления "ночью" или перезагрузить все "как в корпоративной сети", потому что цена сбоя измеряется аварией, остановкой сервиса или риском для людей. Поэтому защита OT требует иной дисциплины: более жесткого контроля доступов, сегментации, мониторинга аномалий и готовности быстро доказать, что сбой был не случайным.

В этой точке "кибер" становится физическим. Аварию можно представить как "ошибку системы", а не как атаку. И если инцидент выглядит технической неисправностью, политический ответ запаздывает. Именно этот временной разрыв и является комфортной территорией серой зоны. И хуже всего, что для такого вмешательства не всегда нужен "взлом" в киношном смысле. Достаточно легитимного доступа к OT-контурам, который уже есть у сотрудника или подрядчика.

Периметр умер, инсайдер ожил

Оборона десятилетиями мыслила периметром: "мы" внутри, "они" снаружи. Но в гибридной логике вектор атаки часто уже на зарплате. Он может быть в экипаже, в сервисной команде, у подрядчика или у человека с допуском к мостику или к шкафу с контроллерами. Вы можете иметь лучший в мире файрвол, но он теряет смысл в момент, когда "проверенный" работник вносит зараженный носитель или подключает "удобный" инструмент для обслуживания.

Поэтому в OT-средах главный вопрос не "есть ли доступ". Важнее другое: как сделать этот доступ минимальным и контролируемым. Как быстро увидеть, что технологический процесс ведет себя не так. Как зафиксировать признаки умысла раньше, чем они растворятся в версии о "неисправности". Именно здесь критичной становится дисциплина журналирования, сегментации и разделения ролей, потому что серой зоне больше всего помогает не сложность атаки, а задержка с доказательствами.

Риски и признаки для критической инфраструктуры

1. Невидимая смена цели атаки. Современные кибератаки на критическую инфраструктуру все реже нацелены на данные. Их фокус — управление технологическим процессом (OT), чтобы спровоцировать "случайную" аварию, остановку сервиса или деградацию работы. Внешне это выглядит как техническая неисправность, а не как умышленное воздействие, что позволяет атакам оставаться в серой зоне без немедленной политической реакции.
2. Инсайдер как главный вектор. В среде OT наиболее ценным ресурсом становится не эксплойт, а легитимный доступ. Рабочие учетные записи, физический допуск к оборудованию, возможность подключиться к контроллеру или сервисному порту часто важнее любого 0-day. Действия, выполненные "своим" пользователем, легко маскируются под штатные операции и не срабатывают как классическая атака.
3. Атрибуция с лагом. После инцидента нужна форензика — техническое расследование, которое включает сбор логов, анализ изменений в конфигурациях и восстановление последовательности событий. В среде OT это сложно и медленно: логи хранятся недолго, часть систем не проектировалась для детального аудита, а остановка оборудования для анализа может быть невозможной. В результате между событием и доказательством вмешательства проходят недели. Именно в этом временном окне и работает серая зона. Индикатор для руководителя: есть ли процедура немедленного сохранения логов OT/SCADA и команда, способная начать анализ в первые часы, а не после остановки сервиса.
4. Разрыв между IT и OT-командами. Кибербезопасность часто остается ответственностью ИТ, тогда как OT живет в инженерном контуре. Для операторов "странное поведение" — это износ, человеческий фактор или старая техника. Для ИТ это может выглядеть как отсутствие сигнала. Когда эти два мира не соединены, мелкие аномалии не складываются в картину атаки. Индикатор для руководителя: существует ли общий механизм эскалации между IT и OT, где повторяющиеся "мелкие сбои" анализируются как возможный паттерн вмешательства.
5. Уязвимость сервисной цепочки. Подрядчики, обновления, удаленное администрирование и временные доступы — самое слабое звено OT-безопасности. То, что создается "на время работ", часто не закрывается годами. Именно через сервисные каналы злоумышленник может получить стабильный доступ без какого-либо взлома периметра. Индикатор для руководителя: есть ли полный реестр подрядчиков и доступов, и отключаются ли они автоматически после завершения работ.

Что это означает для государства и регулятора

Самое опасное в таких кейсах не "экзотика" парома, а будничность сценария. Сегодня это судно. Завтра — диспетчеризация железной дороги, SCADA водоканала или контуры безопасности LNG-терминала. Когда инцидент оформляется как технический сбой, ответственность размывается, общество получает версию "несчастного случая", а сдерживание не срабатывает. В серой зоне побеждает не тот, кто наносит самый большой удар, а тот, кто дольше удерживает неопределенность.

Поэтому политика киберустойчивости должна сместиться от отчетности об "инцидентах в ИТ" к измеримой готовности OT-контуров. Регулятору нужны не только требования "иметь киберзащиту", но и критерии пригодности к расследованию и быстрой реакции: сегментация технологических сетей, контроль доступов и ролей, надежное журналирование событий, заранее определенные процедуры безопасной остановки и восстановления. Отдельная тема — обучение, где юридический блок и технические команды отрабатывают не только "утечку данных", но и сценарий "подозрительной аварии" с доказательным контуром. Речь идет о том, как сохранить следы, как быстро поднять порог уверенности и когда инцидент должен переходить из плоскости "технической проблемы" в плоскость национальной безопасности.

Потому что следующий фронт — не линия окопов, а SCADA водоочистной станции, сигнализация скоростной железной дороги или навигационный компьютер гражданского парома.

В своей предыдущей колонке Луи Сайянс объясняет, как акустические системы детекции дронов становятся ключевым решением для городской безопасности без радаров и лишних бюджетов — "Акустический антидрон для городов — новая норма безопасности", а также рассказывает, почему акустика снова становится ключевой технологией в обороне против дронов XXI века. Анализ от эксперта оборонных технологий — "Акустические системы — снова в игре против дронов XXI века"