АйТи Фреш
Главная / Статьи / Информационная безопасность
Информационная безопасность

Промышленные ПК и АСУ ТП на производстве: почему обычный антивирус их защищает не всегда

Автор: Семёнов Евгений Сергеевич, директор ООО «АйТи-Фреш» · 2026-07-07
Промышленные ПК и АСУ ТП на производстве: почему обычный антивирус их защищает не всегда

За пятнадцать лет в аутсорсинге я видел десятки цехов, где стоит компьютер под управлением станком, а на нём — Windows XP, которую страшно даже загрузить лишний раз. Владельцы производств почему-то уверены, что достаточно поставить Касперского или Дефендер — и порядок. Не поставить. А иногда наоборот — сломать конвейер за пятнадцать минут.

Антивирус на станке — это не то же самое, что на компьютере бухгалтера

Когда мне говорят «у нас на всех машинах стоит защита», я сразу уточняю: на всех — это включая станок с ЧПУ в цеху? Обычно наступает пауза. Потому что про офисные компьютеры вспоминают все, а про промышленный ПК, который управляет прессом или упаковочной линией, забывают напрочь. А зря — именно он чаще всего работает на древней ОС без единого патча за десять лет.

Проблема в природе самого оборудования. Бухгалтерский компьютер можно перезагрузить, обновить, поставить на карантин файл — и никто не умрёт. Промышленный контроллер управляет реальным физическим процессом. Остановил его антивирус на сканирование в неудачный момент — и вот уже брак на партии металла, или того хуже, аварийная остановка линии розлива с недопустимым простоем.

У меня был клиент — небольшое производство пластиковой тары под Подольском. Полтора десятка станков, часть — на Windows 7 без обновлений, потому что производитель ПО для управления прессами дальше седьмой версии систему не поддерживает. Официально. Никак. Хоть плачь.

История: как Касперский остановил конвейер

Расскажу конкретный случай, потому что он показательный. Клиент — производитель мебельной фурнитуры, сорок человек в штате, три станка ЧПУ немецкой сборки, управление — через промышленный ПК на Windows Embedded. Предыдущий подрядчик, желая как лучше, поставил на все машины корпоративный антивирус с полным набором функций: файловый монитор, поведенческий анализ, самозащита.

Через неделю станок встал посреди смены. Не сломался — завис. Диагностика заняла три часа, потому что никто не заподозрил антивирус сразу. В итоге выяснилось: агент решил просканировать системную папку драйвера ЧПУ в момент передачи управляющей программы, залип на файловой блокировке — и控制ер станка потерял связь с ПК. Триста тысяч рублей — цена простоя линии за один день, если считать упущенный заказ и штраф за срыв сроков.

После этого я и начал системно разбираться, почему классический подход к защите на производстве не работает так, как в офисе. И почему универсального EDR тут часто просто не должно быть.

Почему тяжёлый EDR — это яд для легаси Windows

EDR — это хорошо, когда система современная, ресурсов достаточно, а обновления накатываются регулярно. На промышленном ПК с XP или семёркой всё наоборот. Оперативной памяти там часто гигабайт-два, процессор — уровня десятилетней давности, а любое фоновое сканирование съедает ресурсы, которые нужны программе управления станком здесь и сейчас, в реальном времени.

Есть и вторая беда — совместимость. Драйверы промышленного оборудования цепляются к системным вызовам напрямую, минуя стандартные пути. Поведенческий анализатор антивируса это видит как подозрительную активность и либо блокирует, либо — что ещё хуже — молча снижает приоритет процесса. Станок начинает дёргаться, обработка идёт с микрозадержками, а на выходе — брак, который никто не может объяснить месяцами.

Третья проблема, о которой мало кто думает: производитель оборудования часто прямо запрещает установку стороннего софта на управляющий ПК. Формально это условие гарантии. Поставил антивирус — потерял поддержку. Я видел договор поставки с итальянским станком, где это было написано чёрным по белому, отдельным пунктом.

Сегментация: цеховая сеть должна жить отдельно от офисной

Вот с чего я обычно начинаю у нового клиента с производством. Не с антивируса — с сети. Смотрю топологию: часто офис и цех сидят в одном VLAN, а то и вовсе в одной физической сети без всякого VLAN. Бухгалтер качает вложение из письма, комп заражается шифровальщиком — и через пять минут шифруются файлы обмена на промышленном ПК, потому что он в той же папке общего доступа.

Решение простое и не требует денег на дорогое оборудование. Разделяем сеть минимум на три зоны: офис, серверная с 1С и бухгалтерией, и отдельно — цеховой сегмент с ЧПУ и SCADA. Между зонами — межсетевой экран с жёсткими правилами: цеховым машинам не нужен интернет вообще, максимум — доступ к серверу для передачи управляющих программ по конкретному порту.

На одном заводе под Тверью мы сделали именно так: вынесли двадцать три промышленных ПК в отдельный VLAN с firewall-правилами deny-all по умолчанию и явными разрешениями только на нужные протоколы. Заражений с тех пор было три — все остались в офисном сегменте и не дошли до цеха. Дешёвый управляемый коммутатор за пятнадцать тысяч рублей окупил себя за один такой случай.

Белые списки вместо охоты за вирусами

Дальше — самое интересное. На легаси-системах, где EDR ставить нельзя или бессмысленно, работает противоположный принцип: не искать плохое, а разрешать только известное хорошее. Это называется application whitelisting, по-русски — белые списки приложений.

Логика простая. На промышленном ПК набор программ не меняется годами: операционная система, драйвер станка, управляющее ПО, может быть, ещё пара утилит. Составляем список разрешённых исполняемых файлов по хэшу или по подписи — и всё остальное просто не запускается. Точка. Вирусу, шифровальщику, случайно занесённой флешке с автозапуском — запускаться нечем, система молча отказывает.

Ресурсов такой механизм ест в разы меньше антивируса, потому что не сканирует файлы постоянно, а один раз проверяет — можно запустить или нет. Есть встроенные средства в саму Windows — AppLocker в версиях начиная с семёрки Enterprise, есть отдельные промышленные решения вроде Kaspersky Industrial CyberSecurity for Nodes, где режим белых списков — штатная функция, а не костыль.

А как быть с патчами, если систему менять нельзя

Резонный вопрос, который мне задают почти на каждой встрече: если систему обновлять нельзя, потому что производитель не гарантирует работу станка на новых патчах, что тогда защищает от уязвимостей? Отвечаю честно — ничего полностью не защитит, задача снизить риск, а не обнулить его.

Здесь работает компенсирующий контроль. Раз патчить нельзя — значит, изолируем максимально жёстко. USB-порты на промышленных ПК блокируем физически или через групповые политики, оставляя разрешёнными только конкретные устройства по серийному номеру. Удалённый доступ — только через выделенный RDP-шлюз с двухфакторной аутентификацией и логированием, никаких прямых подключений из интернета.

Отдельно советую держать образ системы под рукой. Не резервную копию файлов — именно полный образ диска, снятый штатными средствами или через Veeam Agent, чтобы при заражении не чинить систему часами, а за двадцать минут раскатать чистый образ и вернуть станок в строй. На одном клиенте это спасло смену — восстановили промышленный ПК за семнадцать минут вместо суток простоя.

Что я советую внедрять по шагам

Первое — инвентаризация. Пройтись по цеху и честно выписать, какие компьютеры реально управляют оборудованием, на какой они системе, какая версия ПО, что говорит производитель про сторонний софт. Без этого списка любые следующие шаги — гадание на кофейной гуще.

Второе — сеть. Вынести промышленные ПК в отдельный сегмент, закрыть исходящий интернет там, где он не нужен, оставить только необходимые порты для обмена с сервером управления производством.

Третье — белые списки на самих машинах, где это возможно технически. Четвёртое — жёсткая политика по USB и удалённому доступу. И пятое, часто самое недооценённое — регулярные образы системы для быстрого восстановления. Полноценный тяжёлый антивирус на такие машины ставить чаще всего не нужно и даже вредно — а вот эти пять пунктов дают защиту, сопоставимую по эффекту, но без риска остановить производство собственными руками.

Частые вопросы

Можно ли вообще обойтись без всякой защиты на промышленном ПК, раз антивирус так рискован?
Нет, оставлять станок совсем без защиты нельзя — риск шифровальщика или случайного заражения через флешку никуда не девается. Просто защита строится не через файловый антивирус, а через сегментацию сети, белые списки приложений и ограничение USB и удалённого доступа. Это работает надёжнее и не мешает станку работать.

А если производитель оборудования разрешает установку антивируса — стоит ли его ставить?
Стоит, но выбирать облегчённый вариант именно для промышленных сред, а не корпоративный тяжёлый EDR с поведенческим анализом. Обязательно тестировать на одном станке в нерабочую смену перед массовой установкой и согласовывать список исключений с производителем оборудования.

Сколько стоит внедрить сегментацию сети для небольшого цеха на 15-20 станков?
На управляемых коммутаторах и базовом межсетевом экране укладывались в сумму от ста до трёхсот тысяч рублей под ключ, включая настройку, в зависимости от того, есть ли уже управляемое оборудование или всё покупается с нуля. Это разово окупается уже на первом предотвращённом простое линии.

Что делать, если старый станок работает только на Windows XP без всякой поддержки производителя?
Такие машины изолируем максимально жёстко: полностью без интернета, отдельный сегмент сети, физическая блокировка лишних портов и регулярный образ системы для быстрого восстановления. Постепенно стоит закладывать бюджет на замену станка или хотя бы контроллера — рано или поздно риск перевешивает экономию.

Проверьте защиту цехового оборудования до того, как это сделает шифровальщик
Приходите на аудит — за один визит покажу, где промышленные ПК висят в общей сети с офисом, и дам конкретный план сегментации без остановки производства.
Бесплатная консультация →

Подпишитесь на рассылку ITfresh

Раз в неделю — практические гайды для руководителя и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.

© ООО «АйТи-Фреш» · Москва · Все статьи