В 2026 году кибербезопасность промышленных объектов перестала быть второстепенной задачей. Атаки на системы управления технологическими процессами перешли из раздела гипотетических угроз в категорию повседневной реальности. Промышленный сектор стал наиболее атакуемой отраслью в России: в 2025 году на него пришлось 19% всех кибератак, и эта тенденция сохраняется в 2026 году. Только в первом квартале 2026 года на российские промышленные предприятия пришлось 48,8 тысячи подтверждённых кибератак — на 14% больше, чем в аналогичном периоде 2025 года.
Нормативная база 2026 года
2026 год стал переломным с точки зрения регулирования кибербезопасности критической информационной инфраструктуры (КИИ). Государственные органы последовательно усиливают контроль и переходят от формального соблюдения требований к проверке реальной устойчивости систем.
Приказ ФСТЭК № 117, вступивший в силу с 1 марта 2026 года, заменил действовавший более десяти лет приказ № 17. Изменение принципиальное: прежний документ был построен вокруг фиксированных перечней мер защиты и привязки к классам защищённости, новый норматив закрепляет риск-ориентированный подход. Защита должна выстраиваться исходя из конкретной архитектуры системы, актуальных угроз и потенциального ущерба.
12 апреля 2026 года ФСТЭК России утвердила методический документ «Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах». Документ меняет сам подход к защите — теперь она должна закладываться не после запуска системы, а ещё на этапах проектирования, эксплуатации и обновлений. Переход от статики к процессу: если раньше достаточно было разработать модель угроз, утвердить её и «положить на полку», то теперь регулятор требует встроить защиту информации в операционную деятельность предприятия.
Федеральный закон от 25 марта 2026 года усилил меры защиты критической информационной инфраструктуры РФ. С 1 января 2026 года операторы КИИ обязаны непрерывно направлять информацию о сбоях в госсистему обнаружения, предупреждения и ликвидации последствий компьютерных атак.
Новые угрозы 2026 года
Атаки на программируемые логические контроллеры (ПЛК) через интернет
ПЛК — это «мозг» промышленных систем: они управляют водоснабжением, электростанциями, производственными линиями и нефтегазовыми объектами. Сегодня тысячи ПЛК подключены к интернету для удалённого мониторинга и управления, и это открыло для атакующих совершенно новые возможности. Злоумышленники используют автоматизированные сканеры для поиска устройств с открытыми промышленными протоколами — Modbus, DNP3, EtherNet/IP — и применяют метод перебора учётных данных или просто вводят заводские пароли, которые никто не потрудился сменить. Через поисковик Shodan можно обнаружить десятки тысяч промышленных устройств с открытыми портами и стандартными заводскими паролями — такими как admin/admin или 1234.
Рост числа атак и переход к сложным целевым атакам
Всего в первом полугодии 2026 года количество кибератак на российскую промышленность выросло на 31% по сравнению с аналогичным периодом 2025 года. Хакеры переходят от простых атак к более длительным и сложным, чаще атакуя для срыва цепочки поставок и парализации производства. Доля признаков присутствия профессиональных APT-группировок в российских промышленных предприятиях за год выросла в два раза — до 38%.
Программы-шифровальщики (ransomware)
Программы-шифровальщики остаются одной из наиболее серьёзных угроз для промышленных организаций. В первом квартале 2026 года доля компьютеров, столкнувшихся с этим видом вредоносного ПО, выросла на 97% по сравнению с аналогичным периодом 2025 года. В России показатель по ransomware в производственном сегменте увеличился в 2,3 раза.
Уязвимости роботизированных устройств
Кибербезопасность роботизированных устройств становится отдельной областью риска. Исследователи нашли критическую уязвимость в операционной системе PolyScope 5, на которой работают коллаборативные роботы Universal Robots (CVE-2026-8153, оценка CVSS 9). Всего эксперты предупредили полдюжины производителей роботов о почти 50 уязвимостях в их промышленных роботах. Киберпреступники могут использовать их для атак с вымогательством, замедления работы роботов или внесения дефектов в производимую продукцию.
Атаки на цепочки поставок и подрядчиков
В 2025 году заметно усилился тренд на атаки на цепочки поставок и компрометацию подрядчиков, и он сохранится в 2026 году. Злоумышленники активно используют уязвимости в периферийных системах и ИТ-инфраструктуре для проникновения в промышленный контур. В мае–июне 2026 года промышленные предприятия подверглись серии атак со стороны финансово мотивированной группировки Clubfoot Wolf, которая маскировала свои письма под коммерческие предложения или счета.
Стратегии защиты и киберустойчивости
От формального соответствия к доказуемой устойчивости
Главный тренд 2026 года — переход от формального соблюдения требований к проверке реальной устойчивости систем. В центре внимания — способность организаций предотвращать атаки, выявлять инциденты и управлять рисками, а не просто демонстрировать наличие документов и сертифицированных средств защиты.
Риск-ориентированный подход
Модель угроз перестаёт быть формальным документом для аттестации. Она становится управленческим инструментом, на основе которого принимаются решения о выборе средств защиты, сегментации сети, организации удалённого доступа и реагировании на инциденты. Регулятор прямо указывает на необходимость учитывать современные сценарии атак, включая компрометацию цепочек поставок, удалённые подключения, использование облачной инфраструктуры и человеческий фактор.
Процессный подход к защите информации
Деятельность по защите информации должна осуществляться непрерывно наряду с основной производственной деятельностью. На предприятии должна быть создана не просто «система защиты», а процессная модель управления информационной безопасностью, интегрированная в операционные задачи каждой смены. Защита информации становится непрерывной функцией, как контроль параметров технологического оборудования.
Управление уязвимостями
Новая методика ФСТЭК выделяет отдельный процесс «Управление уязвимостями» с чёткими требованиями к срокам их устранения в зависимости от уровня критичности, требует мониторинга банка данных угроз ФСТЭК и иных внешних источников.
Сегментация сетей и межсетевое экранирование
Лучшими практиками в области защиты промышленных сетей становятся сегментация сетей и применение средств межсетевого экранирования (NGFW). Архитектурный уровень выведен в приоритет: проектирование должно сразу предусматривать жёсткое деление сети на сегменты по значимости данных.
Применение философии Zero Trust
Происходит постепенная адаптация философии Zero Trust к обеспечению информационной безопасности АСУ ТП. Принцип минимальных привилегий закреплён как обязательная часть конструкции, а не как рекомендация.
Импортозамещение
Рынок проходит активную фазу импортозамещения: на смену западным решениям приходят отечественные ПЛК и SCADA-системы, при разработке и внедрении которых вопросы кибербезопасности закладываются на этапе проектирования, а не добавляются постфактум. Российским решениям отдан явный приоритет, чтобы снизить зависимость от внешних компонентов.
Требования к удалённому доступу
Внешний удалённый доступ через RDP, Telnet и FTP без VPN фактически закрыт, доступ извне допускается только с многофакторной аутентификацией или сертификатами. Обновления напрямую из интернета в реальном времени не допускаются — нужен локальный сервер и проверка патчей в тестовой среде до установки. Личные устройства можно подключать лишь после проверки и только в изолированном контуре.
Безопасность промышленного интернета вещей (IIoT)
Кибербезопасность промышленного интернета вещей и роботизированных устройств становится отдельным направлением защиты. Растёт количество атак на IoT-устройства, которые часто остаются слабо защищёнными.
Управление инцидентами
Ключевое требование 2026 года — усиление мониторинга и расследования инцидентов. Оценивать будут не просто наличие достоверной информации, а способность организации выявлять аномалии и своевременно реагировать.
Кадровый дефицит
Острый дефицит профильных кадров в области промышленной кибербезопасности остаётся одной из ключевых проблем отрасли. Закреплены требования к квалификации сотрудников подразделений ИБ, что переводит ответственность на уровень управления персоналом и корпоративной политики.
Практические рекомендации
1. Провести обследование информационных систем и сформировать перечень негативных последствий от возможных кибератак.
2. Разработать политику, стандарты и регламенты информационной безопасности с учётом новой методики ФСТЭК.
3. Внедрить систему управления уязвимостями с мониторингом банка данных угроз ФСТЭК.
4. Обеспечить сегментацию сетей и применение средств межсетевого экранирования.
5. Внедрить многофакторную аутентификацию для удалённого доступа и исключить использование небезопасных протоколов.
6. Интегрировать защиту информации в операционные процессы, а не оставлять её «бумажным» требованием.
7. Обеспечить контроль подрядчиков и требования к их кибербезопасности на уровне договоров.
8. Планировать переход на отечественные ПЛК и SCADA-системы с заложенной на этапе проектирования кибербезопасностью.
Кибербезопасность промышленных объектов в 2026 году перестала быть исключительно задачей ИТ-специалистов. Она стала вопросом производственной надёжности и технологической независимости. Регуляторное давление усилилось: новый приказ ФСТЭК № 117 и методика от 12 апреля 2026 года требуют не формального соблюдения требований, а встроенной в операционные процессы защиты информации. Угрозы стали более сложными и целенаправленными: от атак на ПЛК через интернет до компрометации цепочек поставок и взлома роботизированных устройств. Ключевые стратегии защиты — переход к риск-ориентированному подходу, сегментация сетей, применение Zero Trust, импортозамещение и управление уязвимостями. Киберустойчивость становится свойством архитектуры промышленных систем, а не надстройкой поверх существующих решений.


