ЭАЦ InfoWatch исследовал атаки на IoT в промышленности и медицине

Экспертно-аналитический центр ГК InfoWatch опубликовал исследование «Тенденции киберинцидентов в системах промышленной автоматизации и киберфизических системах. 2025-2026 гг.». Из материала следует, что промышленный и медицинский интернет вещей стали главными целями киберпреступников — количество сетевых атак на устройства в этих отраслях значительно выросло. Интерес к ним проявляют вымогатели, хактивисты и АРТ-группировки. Особую тревогу вызывает тот факт, что в медицинской сфере фокус атак смещается от краж денег и данных к прямому нарушению процессов медпомощи и физическому ущербу пациентам и оборудованию. 

В лидерах производство и транспорт

«Количество кибератак на устройства интернета вещей (IoT) растет, поскольку многие хакеры считают их наиболее удобной точкой входа в ИТ- и ОТ-инфраструктуру. Текущая ситуация этому способствует: согласно прогнозам, количество IoT-устройств во всем мире удвоится с 19,8 млрд в этом году до более чем 40 млрд через десять лет, и уровень защиты от кибератак не успевает за темпами роста рынка», — говорит главный аналитик ЭАЦ InfoWatch Сергей Слепцов.

В исследовании Zscaler Threat Hunting team, которое цитирует ЭАЦ InfoWatch, говорится, что лидерами по количеству инцидентов в мире в 2025 году стали промышленность и транспорт — на их долю приходится 40% от всех атак на IoT. И хотя рост количеств атак довольно скромный на фоне других отраслей (41%), зависимость производств от устройств интернета вещей делает их особенно уязвимыми — они часто связаны с критически важными операционными технологиями предприятий, которые напрямую влияют на их работоспособность. При этом масштаб потенциального ущерба в случае успешной атаки сложно предсказать — от остановки производства до масштабной техногенной катастрофы, подчеркивает Сергей Слепцов.

Количество атак на IoT-устройства в транспортной сфере за год выросло на 382%. Объектами атаки становятся подключенные транспортные средства, интеллектуальные системы управления дорожным движением, технологии отслеживания автопарка и датчики инфраструктуры, а целями — нарушение логистики и операционной деятельности, компрометация систем безопасности и кража конфиденциальных данных. Транспортная инфраструктура весьма привлекательный объект для атак на цепочки поставок, отмечают аналитики: транспортные системы взаимосвязаны, и это позволяет проводить крупномасштабные каскадные атаки.

В энергетике, ЖКХ и нефтегазовой отрасли в мире количество атак на интернет вещей выросло на 495% за год. Такие темпы роста можно назвать следствием модернизации производств в этих сферах, указывает Сергей Слепцов: массово внедряются SCADA-системы, автоматизированный мониторинг, растет число подключенных устройств, и это привлекает все больше злоумышленников, от шпионов и диверсантов до вымогателей. В строительстве по схожим причинам число атак на IoT-устройства выросло на 410% за год.

IoMT: от уровня защиты зависят жизни пациентов

Медицинский интернет вещей (IoMT) стал еще одной популярной целью атакующих группировок. Причем характер и цели злоумышленников в 2025-2026 годах меняются.

«Тенденция атак в здравоохранении смещается от финансовых краж и утечек данных к прямому нарушению процессов оказания медицинской помощи и потенциальному физическому ущербу пациентам и оборудованию. Самые часто атакуемые устройства — это инфузионные насосы, аппараты КТ и МРТ, устройства для мониторинга состояния пациента и медицинские рабочие станции. Мы видим, что кибербезопасность больше не является исключительно ИТ-проблемой в здравоохранении — она неразрывно связана и напрямую влияет на безопасность пациентов и результаты лечения», — говорит Сергей Слепцов.

Среди последствий кибератак — задержки в проведении анализов и процедур (об этом сообщили 56% организаций), увеличение числа осложнений после процедур (53%), продолжительности пребывания пациентов (52%), числа переводов пациентов (44%) и даже более высокие показатели смертности (28%), приводит ЭАЦ InfoWatch данные компания ScienceSoft. Неудивительно, что именно в сфере здравоохранения стоимость инцидента самая высокая среди отраслей — в среднем в мире это $7,42 млн, по оценке IBM.

Вместе с тем, медицинская отрасль лидер по числу атак программ-вымогателей, и ожидается, что в 2026 году четыре из десяти организаций столкнутся с такими инцидентами, прогнозируют аналитики. Чаще всего объектами атак программ-вымогателей становятся государственные медучреждения (21%), поликлиники (19%), больницы (18%), компании, предлагающие услуги медсестер и сиделок (9%), а также учреждения психиатрии и наркологии (8%).

Руки и мотивы

Если говорить о ситуации в России, то, по оценкам ЭАЦ InfoWatch, отечественный рынок промышленного интернета вещей составляет порядка 0,5% от мирового, а рынок медицинского интернета вещей — 1,5% от мирового. В свою очередь, доля инцидентов с российскими устройствами промышленного интернета вещей оценочно составляет около 6% от мировых, медицинского интернета вещей — около 1,5-2% от мировых.

«Ожидается, что рынок устройств промышленного IoT в России удвоится к 2030 году, а рынок устройств медицинского интернета вещей в России вырастет в 2,5 раза к 2030 году. Соответственно, будет расти и количество атак на IoT-устройства в этих отраслях», — отмечает Сергей Слепцов.

Причиной киберугроз все чаще становятся геополитические конфликты, в ходе которых хакерские прогосударственные группы переходят от шпионажа к диверсиям против критически важных объектов инфраструктуры, отмечают эксперты ЭАЦ InfoWatch. Цели выбирают в зависимости от контекста и мотивов: например, из соображений политической и экономической конкуренции чаще всего атакуют производственные площадки, компании телеком-отрасли, цепочки поставок с целью кражи интеллектуальной собственности или с требованием выкупа, хактивисты стремятся нанести максимальный ущерб различным государственным службам, а в ходе военных конфликтов страдают в первую очередь крупнейшие объекты энергетики и водоснабжения.

«Злоумышленники активно используют тройное вымогательство: помимо шифрования данных, теперь угрожают обнародовать украденные конфиденциальные данные (ПДн, чертежи, формулы), напрямую манипулировать физическими процессами производства или нанести им ущерб, а также подрывом репутации — то есть сообщить клиентам и регуляторам о взломе», — говорит Сергей Слепцов.

Структура киберпреступности тоже изменяется — становится более сложной и развитой. Хакерские группировки все больше взаимодействуют друг с другом, налицо разделение труда между различными киберпреступными организациями, значительно усиливающее их эффективность, указывают авторы отчета. На этом фоне крайне важно, чтобы участники рынка ИТ и ИБ активно взаимодействовали с регуляторами, между собой и с конечными пользователями для обобщения информации об угрозах и совместной работы над инструментами защиты. Большую роль в обеспечении безопасности киберфизических систем в ближайшем будущем будут играть специализированные решения для промышленных сетей и активное внедрение алгоритмов машинного обучения в средствах защиты, отмечают в ЭАЦ InfoWatch.