Атаки на промышленные предприятия: почему АСУ ТП становится целью и при чём тут пароли
Промышленность занимает первое место среди отраслей по количеству кибератак в России уже второй год подряд. По данным PT Security за 2025 год, на неё приходится 17% всех зафиксированных инцидентов. BI.ZONE в своём отчёте за первый квартал 2026 года фиксирует что шпионские группировки — в частности Paper Werewolf — целенаправленно атакуют именно промышленные и транспортные компании.
Почему производство? И при чём тут вообще пароли когда речь идёт об операционных технологиях и промышленных контроллерах?
Почему промышленность стала главной целью
Ставки исключительно высоки. Остановка производственной линии на один час означает потери исчисляемые миллионами рублей. Для металлургии, химической промышленности или нефтепереработки это ещё и потенциальная авария. Злоумышленники это знают — и используют как рычаг давления.
АСУ ТП исторически создавались без учёта киберугроз. Промышленные системы управления разрабатывались в эпоху когда понятия кибербезопасности для ОТ-систем просто не существовало. Многие работают десятилетиями без обновлений. Встроенные учётные данные по умолчанию, протоколы без шифрования, отсутствие аутентификации.
Периметр размылся. Раньше промышленные сети были полностью изолированы от корпоративных. Сейчас это не так: удалённый мониторинг, интеграция с ERP-системами, доступ подрядчиков для обслуживания оборудования. Через корпоративную сеть можно добраться до АСУ ТП.
Субъекты КИИ под особым прицелом. Промышленные предприятия часто являются объектами критической информационной инфраструктуры. Для политически мотивированных атак — шпионаж, диверсии, дестабилизация — это приоритетные цели.
Как выглядит типичная атака на промышленное предприятие
Атака редко начинается напрямую с АСУ ТП. Злоумышленники идут через корпоративную сеть.
Первый шаг — корпоративная инфраструктура. Фишинговое письмо инженеру или менеджеру. Скомпрометированный аккаунт даёт доступ к корпоративной сети.
Второй шаг — разведка. В корпоративной сети ищут всё что связано с производством: схемы сетей, документацию на оборудование, учётные данные от SCADA-систем и промышленных контроллеров. Если пароли от АСУ ТП хранятся в Excel или в общей папке — их найдут.
Третий шаг — перемещение в ОТ-сеть. Через найденные учётные данные или через промежуточные системы (историки данных, инженерные станции) которые имеют доступ в обе сети.
Четвёртый шаг — цель достигнута. Дальше варианты: шифрование с требованием выкупа, шпионаж (копирование технологической документации), диверсия (изменение параметров технологического процесса).
Именно на втором шаге управление корпоративными паролями становится критическим.
Специфика паролей в промышленной среде
Промышленные предприятия сталкиваются с несколькими уникальными проблемами управления паролями которых нет у офисных компаний.
Общие учётные записи операторов. На производстве нередко несколько операторов работают под одним аккаунтом посменно. Это удобно — один логин на весь цех, все его знают. Проблема в том что нет атрибуции: при инциденте невозможно установить кто именно выполнил действие. И при увольнении одного оператора пароль знают все остальные.
Доступы подрядчиков по обслуживанию оборудования. Производитель оборудования или сервисная компания получает доступ к промышленному контроллеру для технического обслуживания. Пароль передаётся при каждом визите. После окончания работ никто его не меняет. Через год это стандартный пароль который знают несколько организаций.
Встроенные пароли по умолчанию. Промышленные контроллеры и SCADA-системы часто поставляются с заводскими паролями которые никто не меняет. Admin/admin, root/root, пустой пароль. Это общеизвестная уязвимость которую эксплуатируют первой.
Отсутствие инвентаризации. Никто не знает полного списка систем и учётных записей. Часть оборудования работает годами без аудита. Уволенные сотрудники и бывшие подрядчики сохраняют доступ потому что никто не отследил все их учётные записи.
Как выстроить управление паролями на промышленном предприятии
Инвентаризация всех учётных записей. Первый шаг — понять что вообще есть. Все системы, все учётные записи, кто имеет к ним доступ. Корпоративный менеджер паролей с централизованным хранилищем даёт единый реестр всех учётных данных с историей изменений и журналом доступов.
Ликвидация общих учётных записей. Каждый оператор и инженер должен иметь персональный аккаунт. Это обязательное требование для атрибуции действий и для выполнения требований ФСТЭК (УПД.1, УПД.2). При увольнении конкретного человека его доступ закрывается точечно без изменения паролей для всей смены.
Структура доступов по ролям. Оператор производственной линии А не должен иметь доступ к учётным данным линии Б. Инженер по обслуживанию КИПиА не должен видеть пароли от корпоративных IT-систем. RBAC с папками по цехам, системам и ролям — это не сложно настроить, но радикально ограничивает lateral movement при компрометации.
Отдельные временные доступы для подрядчиков. При визите сервисного инженера создаётся временная учётная запись с доступом только к конкретному оборудованию на конкретный срок. По окончании работ доступ закрывается автоматически. Не нужно менять основной пароль от системы и рассылать его всей команде заново.
Kill Switch при увольнении. Один клик завершает все сессии пользователя. В связке с синхронизацией через LDAP — автоматически при деактивации в AD. На предприятиях с ночными сменами и неожиданными увольнениями это критически важно.
Смена заводских паролей. Все промышленные системы и оборудование после ввода в эксплуатацию должны иметь уникальные пароли, не совпадающие с заводскими. Журнал истории паролей в BearPass подтверждает что смена произошла и когда.
Требования регуляторов для промышленности
Промышленные предприятия с категорированными объектами КИИ работают под жёстким регуляторным контролем.
Приказ ФСТЭК №239 устанавливает требования к безопасности значимых объектов КИИ. Управление учётными записями (УПД.1–УПД.6), идентификация и аутентификация (ИАФ.1–ИАФ.9), регистрация событий (РСБ.1–РСБ.8) — всё это прямые требования к системе управления паролями.
Новый приказ ФСТЭК №117 (март 2026) ужесточил требования к управлению аутентификационной информацией. Централизованное хранение, ролевая модель, журнал событий — это больше не рекомендации, а обязательные меры.
Для субъектов КИИ также актуально требование импортозамещения. BearPass включён в Реестр отечественного программного обеспечения Минцифры под номером 15427 и поддерживает шифрование по ГОСТ — это делает его применимым на объектах где иностранное ПО запрещено или ограничено.
Итог
Промышленные предприятия атакуют через корпоративную инфраструктуру, которая служит мостом к АСУ ТП. Пароли от промышленных систем, хранящиеся в Excel или в общем доступе, — это прямой путь к производственным процессам.
Выстроенное управление паролями на производстве закрывает несколько уязвимостей одновременно: убирает общие учётные записи, контролирует доступы подрядчиков, фиксирует все действия в журнале и обеспечивает соответствие требованиям ФСТЭК.