КИБЕРБЕЗОПАСНОСТЬ АСУ ТП: УЯЗВИМОСТИ ПРОГРАММИРУЕМЫХ ЛОГИЧЕСКИХ КОНТРОЛЛЕРОВ (ПЛК) И ПРЕОБРАЗОВАТЕЛЕЙ ЧАСТОТЫ В ЕДИНОЙ СЕТИ ПРЕДПРИЯТИЯ

Цифровая трансформация промышленности, повсеместное внедрение концепции Индустрии 4.0 и интернета вещей привели к разрушению «воздушного зазора» (air gap), который исторически обеспечивал безопасность автоматизированных систем управления технологическими процессами (АСУ ТП). Интеграция корпоративных сетей (ИТ) и промышленных сетей (ОТ) перестала быть исключением и превратилась в стандарт. Однако обратной стороной этого процесса стал стремительный рост числа киберинцидентов. Согласно данным 2024 года, количество атак на АСУ ТП в России выросло на 160%, при этом в 21% случаев точкой проникновения непосредственно выступали программируемые логические контроллеры (ПЛК) [1].

Особую опасность представляет положение преобразователей частоты и ПЛК, которые, находясь на нижнем (полевом) уровне управления, оказались подключенными к единой сети предприятия. Изначально проектируемые без учета требований кибербезопасности, эти устройства обладают критическими уязвимостями. В данной статье рассматриваются природа этих уязвимостей, векторы атак и архитектурные ошибки, превращающие единую сеть предприятия в зону сплошного риска.

Эволюция угроз и изменение ландшафта атак на ПЛК

Современные ПЛК — это не просто релейные сборки, а высокопроизводительные вычислительные комплексы на базе архитектур x86, ARM и MIPS, работающие под управлением операционных систем (Linux, VxWorks, Windows Embedded). Рост вычислительной мощности, с одной стороны, расширил их функционал, а с другой — сделал их восприимчивыми к атакам, ранее характерным исключительно для ИТ-сегмента. Если в 2020 году основными векторами проникновения были зараженные внешние носители и фишинг, то в 2024 году на первое место вышла компрометация учетных данных (20% инцидентов) и атаки на цепочки поставок [1]. Злоумышленники больше не тратят усилия на взлом сложного криптографического периметра; они используют «человеческий фактор» и легитимные инструменты администрирования. Ярким подтверждением уязвимости современной элементной базы стали находки экспертов Positive Technologies в контроллерах Fastwel CPM723-01 и CPM810-03. В данных устройствах, широко используемых в нефтегазовой отрасли и электроэнергетике, были обнаружены уязвимости с оценкой CVSS до 9,4 баллов [2]. Наиболее критичные из них (PT-2025-40257–PT-2025-40260) позволяли выполнить произвольный код в операционной системе контроллера. Это означает, что атакующий получал полный контроль над технологическим процессом: от изменения алгоритмов работы до физического уничтожения оборудования путем вывода его на запредельные режимы. Кроме того, типовыми являются уязвимости веб-конфигураторов и сервисов управления. Например, ошибки PT-2025-40261–PT-2025-40265 позволяли злоумышленнику получить права администратора веб-интерфейса, переписать прошивку и внедрить бэкдоры [2]. Важно отметить, что эксплуатация данных уязвимостей возможна как изнутри, так и снаружи периметра, при условии наличия сетевого доступа к устройству.

«Слепые зоны» архитектуры: почему преобразователи частоты вне зоны видимости?

Если ПЛК все чаще становится объектом внимания специалистов по ИБ, то преобразователи частоты (ПЧ) и устройства плавного пуска до сих пор остаются «серой зоной» корпоративной безопасности. Являясь исполнительными устройствами (актюаторами), современные ПЧ оснащаются сетевыми интерфейсами Ethernet, Modbus TCP, Profinet и даже веб-серверами для удаленной диагностики. Главная проблема заключается в том, что в организационной структуре предприятия ответственность за ПЧ несут службы главного энергетика или технолога, которые не обладают компетенциями в ИБ.   Как следствие, эти устройства выпадают из контура управления ИТ-департамента [3; 7]. Они не инвентаризируются, на них не распространяется политика управления уязвимостями, а заводские пароли администратора часто остаются без изменения. Интеграция таких устройств в единую сеть без должной сегментации создает прямые каналы для бокового перемещения (lateral movement). Получив доступ к офисному сегменту через фишинговое письмо, атакующий сканирует диапазоны IP-адресов цеха и обнаруживает десятки преобразователей частоты с открытыми портами. Поскольку протоколы управления двигателями (например, Modbus) не имеют встроенных механизмов аутентификации, злоумышленник может удаленно изменить частоту вращения или момент на валу, вызвав резонанс, гидроудар или механическое разрушение привода. Управляющие команды при этом будут выглядеть для систем мониторинга как легитимный трафик.

Уязвимости программируемых логических контроллеров и преобразователей частоты в единой сети предприятия представляют собой сложную инженерную и управленческую проблему. Эпоха, когда безопасность АСУ ТП обеспечивалась физической изоляцией, ушла безвозвратно. Сегодня ПЛК — это полноценные сетевые узлы, и их защита требует применения тех же передовых практик, что и защита корпоративных серверов, но с учетом жестких требований отказоустойчивости и реального времени. Критически важным является преодоление организационного разрыва между ИТ и технологами. Без назначения единого владельца технологического риска и внедрения систем непрерывного мониторинга промышленные сети будут оставаться наиболее привлекательной и при этом слабо защищенной целью для киберпреступников и недружественных государств. Дальнейшее развитие систем обеспечения киберустойчивости должно идти по пути встраивания механизмов безопасности непосредственно в протоколы обмена и в операционные системы контроллеров (Security-by-Design).