Как защитить промышленную ИТ-инфраструктуру: пошаговый план без иллюзий

Автор: Инженер по решениям HP, Cisco и Fortinet (и немного волшебник)

Риски сегодня — не абстрактны. Вот факты:

  • [2021] Атака на Colonial Pipeline — $4,4 млн выкупа.
  • [2022] Взлом JBS Foods — $11 млн потерь и остановка поставок.
  • [2023] Атака на логистическую платформу в Европе — $2,8 млн выкупа, остановка цепочек на неделю.
  • [2024] Медицинская система в Южной Америке — вымогатели зашифровали рабочие станции и NAS, выкуп $6.2 млн в BTC. Больницы остановились.
  • [2025] Jaguar Land Rover — ущерб £2млрд для экономики страны.

Почему нельзя ждать, пока ударят в лоб — когда атака давно идёт в бок
Почему “просто фаервол” — это не защита?

Современные угрозы не пробивают фронт, они проникают сбоку: через фишинг, скомпрометированные аккаунты, IoT-устройства, забытые RDP-доступы и даже через устаревшие SCADA-интерфейсы.

Это не DDoS из 2010-х — это тихое, методичное проникновение в инфраструктуру.

Если вы думаете, что всё под контролем — просто потому что «никто не жаловался» — это не защита, а иллюзия.

И если в вашем ландшафте нет сетевой сегментации, SIEM-мониторинга и Zero Trust — атака уже происходит. Просто вы о ней ещё не знаете.

Промедление в вопросах ИБ стоит миллионы. Без иронии. Ниже — практический гайд, как защитить производственные и ИТ-сети, если вы руководите ИТ-инфраструктурой на производстве.

Шаг 1: Провести аудит ИБ-ландшафта

Что делать:

  • Инвентаризация всех узлов: от серверов и рабочих станций до IoT, SCADA и периферии.
  • Определение всех точек входа (внешние, внутренние).
  • Сбор журналов и выявление аномалий.

Инструменты:

  • nmap, Zabbix, Netdisco, Rumble
  • FortiAnalyzer — для централизованной аналитики

Без видимости сети не бывает защиты. Всё начинается с карты.

Шаг 2: Сегментировать сеть по зонам доверия

Что делаем:

  • Разбивка на зоны: DMZ, корпоративная, технологическая, Wi-Fi.
  • Изоляция VLAN/VRF.
  • Межсетевые правила: на уровне приложений, а не портов.

Инструменты:

  • FortiGate NGFW + FortiSwitch + FortiNAC
  • Или: Mikrotik/RouterOS с фильтрами на уровне Layer 7 (временно)

Даже если злоумышленник проник — он не должен двигаться дальше. Сегментация — ваш «противопожарный клапан».

Шаг 3: Настроить мониторинг в режиме 24/7

Что внедрить:

  • SIEM-система: корреляция событий, сигнатуры, аномалии.
  • Реагирование по сценариям (lateral movement, brute-force, beaconing).
  • Уведомления ИБ-группе в реальном времени.

Инструменты:

  • FortiSIEM
  • Альтернатива: Wazuh + Elastic Stack (open-source, требует настройки)

Классический антивирус не даст вам алерта в 3 часа ночи. SIEM — даст.

Шаг 4: Реализовать Zero Trust Access (ZTA)

Что настраиваем:

  • Многофакторная авторизация (2FA): FortiToken, FortiAuthenticator
  • Контроль доступа по ролям (RBAC), MAC, времени, географии
  • Жёсткий контроль VPN и внутренних сервисов

Не доверяй никому. Даже внутренним пользователям. Особенно им.

Шаг 5: Протянуть защиту до конвейера

Что делаем:

  • Устанавливаем NGFW на границе ИТ/OT
  • Прокладываем Jump Server или шлюз доступа
  • Изолируем SCADA/PLC от внешнего мира

Инструменты:

  • FortiGate Rugged, FortiProxy
  • VLAN-фильтрация, netflow-аналитика

Если ИТ-зона заражена — это не должно остановить линию.

Шаг 6: Обеспечить централизованное обновление и патчинг

Как:

  • Внедрение WSUS/SCCM или Ansible
  • Автоматическое развёртывание обновлений по расписанию
  • Сканирование на уязвимости (OpenVAS, Nessus, Qualys)

80% атак проходят через старое ПО. Обновление — это часть защиты.

Шаг 7: Подготовка к атаке

Реально. Не «если», а когда»:

  • План реагирования на инциденты (IRP)
  • Отдельный бэкап-инфраструктуры, изолированный от сети
  • Учебные тревоги (Red team / Blue team)

Fortinet в России: доступен, но не для всех

В 2025 году Fortinet официально не поставляет решения в РФ, однако иностранные компании, работающие на территории России, имеющие соответствующую юрисдикцию, всё ещё имеют доступ к Fortinet через глобальные контракты.

Для большинства российских компаний доступ крайне ограничен — в том числе технически.

Альтернатива: Check Point

Если Fortinet недоступен — используйте Check Point Quantum / Harmony. Это один из самых зрелых стеков ИБ, поддерживаемый в РФ через официальные каналы. Подходит как для периметра, так и для сетевой сегментации, ZTA, и защиты рабочих мест.

Вывод

Сильная защита — это не бренд, это архитектура и подход. Но инструменты имеют значение.

  • Fortinet — если вы представляете иностранную компанию с доступом.
  • Check Point — если работаете в российской инфраструктуре, но хотите качество без компромиссов.

Стратегия, внимание к деталям, и системный подход — это то, что отличает защищённую компанию от взломанной.
Если вы ИТ-директор и читаете это — у вас уже есть шанс перестроить подход к безопасности на инженерный, а не закупочный.