Российские ученые предложили решение для защиты критической инфраструктуры от кибератак

В июле 2025 года хакерская атака на «Аэрофлот» привела к отмене более 100 рейсов и затронула свыше 20 тысяч пассажиров. Хакеры удалили базы данных системы управления полетами и повредили программное обеспечение на серверах бронирования и регистрации, что затруднило управление полетами и обслуживание. Только за сутки прямые убытки от отмены перелетов составили около 260 миллионов рублей. Однако с учетом затрат на восстановление уничтоженных серверов, компенсации пассажирам и репутационного ущерба, совокупные потери авиакомпании эксперты оценивали уже в несколько миллиардов рублей.

В мае 2025 года немецкая классическая фабрика по производству бумажных салфеток Fasana, работавшая с 1919 года, объявила о банкротстве после кибератаки. Программы-вымогатели полностью отключили все системы: компания не смогла выполнить заказы, из-за чего на две недели осталась практически без выручки, потеряв около 2 миллионов евро.

Уязвимость информационной защиты в промышленных сетях позволяет наносить удары по физической инфраструктуре. Так, в апреле 2025 года злоумышленники, воспользовавшись слабым паролем, взломали систему управления норвежской плотины и в течение четырех часов удерживали затвор открытым.

Атакуется даже здравоохранение: в России количество кибератак на медицинские организации в первом квартале 2025 года выросло на 24%. Эти инциденты приводят не только к утечкам конфиденциальных данных, но и к реальным угрозам для жизни: отмене тысяч приемов и процедур, срыву переливаний крови и перебоям в работе экстренных служб.

В 2017 году эпидемия компьютерного вируса-вымогателя WannaCry парализовала британские больницы, что привело к массовой отмене операций, а в 2020 году кибератака на Университетскую клинику Дюссельдорфа в Германии стала причиной гибели пациентки, что стало первым официально зарегистрированным случаем смерти, связанным с цифровым взломом.

Слабозащищенные «умные» устройства в доме — камеры, роутеры, термостаты — все чаще становятся мишенью злоумышленников. Например, злоумышленники могут взломать камеру видеоняни, чтобы запугивать родителей, или дистанционно создать невыносимую температуру в доме. Эти уязвимости возникают из-за того, что производители часто выпускают устройства со стандартными паролями, которые редко обновляются пользователями, а передаваемые данные зачастую не шифруются. В 2025 году атаки на провайдеров услуг остановили работу «умных» домофонов и систем контроля доступа в целых жилых кварталах Москвы и Подмосковья, лишив тысячи людей доступа к своим домам.

Современная хакерская атака использует уязвимости в программном обеспечении, слабые настройки безопасности или человеческий фактор. Цель — получить контроль: заблокировать данные для выкупа, похитить информацию или, что наиболее опасно в промышленности и медицине, отдать несанкционированные команды физическому оборудованию.

Задумывались ли вы, что общего у конвейера на автомобильном заводе, систем управления электростанцией, «умных» датчиков на городском водопроводе, сложных систем отопления и вентиляции, автоматики на светофорном перекрестке, управления климатом в «умном» доме или даже оборудования для анализов в больничной лаборатории? Все эти разнообразные устройства должны говорить на одном языке, чтобы оператор в диспетчерской одной кнопкой мог запустить насос, лаборант получить точный результат анализа, а алгоритм автоматически скоординировать работу сотен приборов в едином ритме.

Таким универсальным языком общения уже более 45 лет служит протокол Modbus. Он работает по простому принципу «команда и ответ»: одно устройство, которое называется ведущим, отправляет запрос, например, «показать температуру» или «включить насос», а другое устройство, ведомое (датчик или исполнительный механизм) обязано дать четкий ответ. Это позволяет встроить поддержку Modbus в практически любое техническое устройство — от мощной турбины до небольшого датчика, что и сделало его стандартом по всему миру.

Проблема в том, что отсутствие защиты — это не ошибка, а архитектурная особенность протокола. В Modbus изначально нет и никогда не было механизмов для проверки подлинности отправителя или шифрования команды. Исправить это на уже работающем по всему миру оборудовании сложно. Полная замена протокола сравнима с заменой всех труб в огромном городе и требует больших затрат. Изоляция сети от интернета в современном мире, где данные нужны для анализа в реальном времени, почти невыполнима. А использование мощных средств шифрования, как в VPN, часто непосильно для старых контроллеров. Оно вызывает задержки в передаче критически важных команд и требует сложных изменений, что делает экономически и технически нецелесообразным.

Ученые Пермского Политеха предложили добавить в Modbus эффективный механизм проверки. Работает это так: доверенные друг другу устройства — например, контроллер и датчик — заранее получают общий цифровой ключ. Перед отправкой команды отправитель с помощью простой логической операции «маскирует» ею часть данных. Получатель, зная пароль, снимает маскировку и проверяет подлинность сообщения. Если ключ неверен — команда игнорируется как поддельная. Статья опубликована в научном журнале «Моделирование, оптимизация и информационные технологии».

— Сначала мы проанализировали, какие именно атаки могут взломать Modbus и выявили две главные угрозы. Первая — это подмена устройства, когда злоумышленник притворяется легитимным контроллером или датчиком и начинает отправлять ложные команды, например, останавливать конвейер или передавать фальшивые показания. Вторая — атака «человек посередине»: в этом случае хакер незаметно встраивается в канал связи, перехватывает все команды между устройствами и может не только подсмотреть их, но и изменить, например, заменить «включить насос» на «выключить насос», незаметно для оператора, — пояснила Елена Кротова, заведующая кафедрой «Высшая математика» ПНИПУ, кандидат физико-математических наук.

Для внедрения технологии необходимо загрузить новую прошивку на устройства и присвоить каждому ведомому устройству индивидуальный секретный ключ. Аналогов такого ПО нет, так как ранее предлагаемые методы обеспечения защиты протокола предусматривают перестроение архитектуры и внедрение аппаратных, программно-аппаратных компонент, осуществляющих глубокий анализ сетевого трафика. Предлагаемое же решение использует лишь базовый функционал протокола, что не приводит к усложнению системы.

Чтобы оценить эффективность, разработчики смоделировали разнообразные атаки на программном стенде. Запускались программы, выступающие в роли ведущего и ведомого устройств. Общение между ними происходило через виртуальный последовательный порт, который был создан с использованием программной утилиты. Моделировались различные виды атак.

Предложенный метод создает надежный барьер против киберугроз. Для защиты от атаки «человек посередине» он маскирует передаваемые данные с помощью общего для устройств ключа. Перехватчик видит лишь искаженную информацию и не может ни прочитать команду, ни правильно ее изменить, так как любое вмешательство будет немедленно обнаружено при проверке.

Для нейтрализации подмены устройства алгоритм требует, чтобы каждое сообщение содержало корректную цифровую метку, сформированную на основе того же общего ключа. Злоумышленник, не знающий этого кода, не сможет создать правильную метку, и система отвергнет его поддельную команду.

— Если атакующий не в курсе о модифицированном алгоритме, то сколько бы команд он не отправлял, устройство будет отказываться ее исполнять. В случае же, если хакер в курсе об изменении, то ему будет необходимо отправить на ведомое устройство 32768 запросов, в надежде угадать секретный ключ. В реальной сети такая активная атака с огромным потоком запросов будет немедленно замечена системами мониторинга, что делает скрытый успешный взлом практически невозможным. При этом механизм практически не сказывается на скорости работы оборудования. Задержка при передаче данных увеличивается менее чем на 2%, что абсолютно некритично даже для высокоскоростных производственных линий, — дополнил Никита Ощепков, аспирант кафедры «Автоматика и телемеханика» ПНИПУ.

Такое решение можно внедрить на существующие объекты критической инфраструктуры по всей стране: на электростанции и котельные, на заводские цеха и системы водоочистки, на насосные станции и транспортные узлы. Это позволяет дать вторую жизнь надежному, но уязвимому промышленному оборудованию, обеспечив ему необходимый уровень цифровой безопасности без дорогостоящей замены. В условиях, когда риски кибератак на реальный сектор экономики только растут, подобные разработки становятся стратегически важными.