Цифровой саботаж: как бизнесу защититься от атак российских хакеров

Российские хакеры бьют по украинской экономике

Кибератака на предприятие давно перестала означать только утечку данных: ее последствиями могут стать остановка производственных процессов, отключение энергетического оборудования и многомиллионные потери, особенно для компаний, где ключевые операции управляются цифровыми системами.

Энергетика остается главным полигоном для этой тактики: только в 2023 году россияне осуществили около 55 кибератак на украинскую энергосистему, и каждая обходится им в миллионы долларов. А интенсивность атак на частный энергохолдинг ДТЭК с начала полномасштабной войны выросла на 20%.

Самой известной попыткой такой координации стала атака российской хакерской группировки Sandworm в 2022. Тогда вредоносное программное обеспечение Industroyer2 должно было отключить электроэнергию одного из облэнерго на выходные, но атаку удалось отбить благодаря общим усилиям спецподразделения киберзащиты CERT-UA.

Однако уже через несколько месяцев российским хакерам удалось добиться цели: кибератака на подстанцию в октябре 2022-го сопровождала одновременные ракетные удары по энергетической инфраструктуре.

Сейчас россияне не оставляют попыток обесточить Украину. И хакерские атаки все еще сопровождают российские обстрелы. В условиях стремительного развития солнечных электростанций в зоне риска находятся промышленные СЭС, которые все чаще интегрируются в инфраструктуру предприятий. Инверторы и системы мониторинга обычно подключены к сети для удаленного сервиса, и это создает дополнительные уязвимости.

"Около 30% обращений в нашу сервисную службу связаны с программным обеспечением. Обычно клиенты сообщают, что оборудование работает некорректно или не выполняет отдельные функции должным образом. В большинстве таких случаев проблему удается решить путем перепрошивки оборудования или обновления ПО", - рассказывает технический директор Atmosfera Александр Ковпак.

По его словам, прямых случаев внешнего вмешательства компания не припоминает, но теоретически такой сценарий возможен, если программное обеспечение СЭС интегрировано в скомпрометированную корпоративную сеть.

Но энергетика не единственная цель В 2024 году CERT-UA зафиксировал 4315 киберинцидентов — на 70% больше, чем годом ранее. Под удар попадали органы местных властей, телекоммуникационные компании и коммерческие организации, а атаки на промышленность, банки и даже аптечные сети давно стали обыденностью.

В январе 2025 года хакеры атаковали агрохолдинг МХП, один из крупнейших производителей пищевых продуктов в Украине: часть ИТ-инфраструктуры вышла из строя, отгрузка продукции перешла в ограниченный режим. Целью атаки была остановка работы, чтобы требовать у холдинга деньги или просто причинить вред. В компании назвали это самой большой атакой за свою историю, но предприятия МХП продолжили работать, лишь изменив часть процессов — сети магазинов холдинга обслуживали клиентов в штатном режиме.

Сходные методы — скрытое проникновение, длительное пребывание в системе и удар в самый уязвимый момент — применяют и против других предприятий. Так, во время атаки на "Киевстар" в декабре 2023 злоумышленники находились в системе оператора по меньшей мере с мая, а в ноябре уже имели полный доступ к ней. В результате около 24 млн абонентов остались без связи на несколько дней, были уничтожены тысячи виртуальных серверов и компьютеров, а убытки составили около 3,6 млрд грн.

Сценарий типичной кибератаки

Хакерская атака обычно начинается с фишингового письма или поддельной ссылки. Если работник предприятия открывает сомнительное письмо и нажимает на гиперссылку, мошенники получают учетные данные. Специалисты по кибербезопасности фиксировали случаи, где вредоносные письма маскировались под материалы известных украинских медиа, а недавно злоумышленники начали маскироваться под благотворительные фонды в мессенджерах.

"После того, как злоумышленник получил учетные данные, он анализирует, к чему имеет доступ этот аккаунт, настраивает скрытые каналы для возврата и начинает изучать сеть", - объясняет CISO MODUS X Роман Ярошенко.

После подготовительного этапа хакеры переходят из корпоративного сегмента в производственный и получают доступ к системам, управляющим конвейерами, насосами, котлами или подстанциями – это может привести как к остановке оборудования, так и к манипуляциям с его настройками. Так что хакер может вывести предприятие из строя и в лучшем случае оно может простаивать до тех пор, пока ИТ-инфраструктуру не восстановят. А в худших случаях такая кибератака может даже привести к физическому разрушению оборудования.

Кто в зоне риска хакерских атак

Для защиты производственных систем компании часто прибегают к изоляции сетей — отделению производственной инфраструктуры от офисной и веба. Однако это одна из самых распространенных ошибок: на практике такая изоляция часто условна.

"Фраза "наша производственная сеть изолирована" часто означает лишь то, что у нее нет очевидного прямого доступа из интернета. Но изоляция — это не отсутствие публичного IP-адреса", — рассказывает CEO HX Technologies Владимир Булдыжов.

Инженеры подключаются к оборудованию через VPN, подрядчики используют собственные ноутбуки для настройки контроллеров, а сервисные специалисты получают удаленный доступ к системам – каждый такой канал может стать точкой проникновения. К этому прибавляется человеческий фактор: компании не учат сотрудников распознавать фишинг, поэтому те открывают вредные вложения, не подозревая об опасности.

По оценке HX Technologies, независимо от отрасли, предприятия чаще всего сталкиваются с пятью типичными проблемами:

• производственная сеть формально обособлена, но фактически связана с офисной через общие аккаунты или подрядчиков;
• удаленный доступ создавался по принципу удобства, а не безопасности;
• используется устаревшее оборудование, которое сложно обновлять без остановки производства;
• У руководства нет полной картины относительно подключенных систем и сторонних подрядчиков;
• имеющиеся средства защиты, но отсутствует четкий план реагирования на инцидент.

Как защитить бизнес кибератак

По оценке специалистов 62% украинских компаний до сих пор нет стратегии действий на случай киберинцидента — то есть просто не знают, что делать, когда их атакуют.

Булдыжов советует начинать с полного аудита: проверить настоящий уровень изоляции производственных сетей, составить карту всех подключений и подрядчиков, оценить вероятные сценарии риска. "Такой аудит должен учитывать не только классическую ИТ-безопасность, но и логику технологического процесса - только так можно понять, где именно киберриск может превратиться в простой или финансовые потери", - говорит Булдыжов.

Не менее важно обучение персонала. Специалисты по киберзащите утверждают, что регулярное обучение сотрудников снижает вероятность киберинцидента на 80%. Так латвийская компания Tet ежеквартально тестирует персонал фиктивными фишинговыми листами, а открывших отправляют на дополнительный инструктаж.

Для украинского бизнеса в условиях полномасштабной войны риск атак российских хакеров остается очень актуальным. Пока предприятие считает, что его организацию это не коснется, злоумышленник может уже месяцами изучать его сеть.