Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

Киберфизические риски ЦОД: как защитить инженерную инфраструктуру

Обновлено 11.07.2026 06:21

 

Автор: Петухов Олег Анатольевич, эксперт по информационной безопасности, руководитель юридической компании ЛЕГАС

Сайт: legascom.ru

Email: petukhov@legascom.ru

Дата‑центры традиционно считаются надёжно защищёнными объектами: многоуровневый периметр, СКУД, видеонаблюдение создают иллюзию тотального контроля. Но сегодня главная угроза приходит не извне, а через цифровую составляющую инженерной инфраструктуры - чиллеры, ИБП, кондиционеры, блоки розеток. Эти системы стали сетевыми, но их защита заметно отстаёт от уровня ИТ‑безопасности. В результате штатные функции промышленных протоколов могут использоваться для нанесения реального физического ущерба.

Откуда взялась уязвимость

Раньше инженерные системы ЦОД работали в изолированных контурах: проприетарные шины, аналоговые датчики и отдельные пульты исключали сетевой вектор атак. Рынок потребовал централизованного управления и удалённого мониторинга - и производители OT‑оборудования внедрили Ethernet‑порты, веб‑интерфейсы и стандартные ОС. При этом культура ИБ не стала приоритетом: фокус оставался на отказоустойчивости и резервировании, а управление уязвимостями и обновлениями отошло на второй план. В итоге инженерное оборудование получило уязвимости ИТ‑систем, сохранив при этом «изначальную наивность» промышленных протоколов, разработанных в эпоху, когда сетевые атаки не рассматривались.

Как реализуются атаки: роль BACnet/IP и Modbus/TCP

Протоколы BACnet/IP и Modbus/TCP создавались для замкнутых сред и не предусматривают аутентификации критических команд. Это делает их удобной мишенью: злоумышленнику не нужно «взламывать» устройство - достаточно отправить легитимную команду в пределах одного сетевого сегмента.

Пример атаки:

Фишингом получают доступ в офисный сегмент.

Продвигаются к слабо сегментированной сети инженерной инфраструктуры (BMS), где нередко есть доступ подрядчиков.

Сканируют сеть, находят BACnet‑устройства.

Отправляют команду WriteProperty для повышения порога температуры в чиллере.

Температура в серверной растёт, срабатывает аварийная защита - стойки обесточиваются.

Формально следов атаки нет: все действия выполнены штатными командами из разрешённого сегмента. Наглядно это показали исследователи Кристофер Уэйд и Крис Уильямс на конференции Black Hat USA в 2016 году: любой узел в одном сегменте с BACnet‑устройством может изменить его параметры без какой‑либо аутентификации.

Показателен и инцидент в Южной Корее в сентябре 2025 года: за несколько часов до проверки ЦОД на предмет хакерского взлома в машинном зале вспыхнул пожар, уничтоживший серверы. Официально причиной назвали техническое возгорание, однако хронология событий вызвала у экспертов сомнения в случайности совпадения.

Почему SOC и SIEM не видят такие атаки

Большинство инцидентов в конвергентных средах выявляются не по данным мониторинга, а по физическим последствиям - задымлению, срабатыванию пожарной сигнализации или аварийному отключению оборудования.

Причины «слепоты» классического SOC:

Непрофильность трафика. Аналитики ориентированы на HTTP, DNS, SQL‑аномалии, а Modbus и BACnet остаются вне фокуса.

Отсутствие покрытия. Инженерный трафик либо не попадает в периметр мониторинга, либо воспринимается как легитимный «шум».

Несоответствие сигнатур. IPS не содержат правил для команд вроде WriteProperty - ведь это не эксплуатация уязвимости, а разрешённая операция протокола.

В результате даже при наличии SIEM и средств защиты атака проходит незамеченной до наступления физического эффекта.

Практические меры защиты

Проблема не решается одним патчем или сканером уязвимостей. Эффективная защита требует комплексного подхода:

Жёсткая сегментация OT‑сетей. Сети BMS/DCIM должны быть физически или логически изолированы от корпоративного сегмента - так же строго, как выделяется DMZ. Это исключает бесконтрольный доступ к инженерным системам.

Специализированный мониторинг (NDR). Нужны решения, понимающие семантику промышленных протоколов. Важно не просто считать пакеты, а анализировать содержание команд: изменение уставки температуры, переключение фаз питания или отключение вентиляторов должны считаться инцидентами и вызывать реакцию SOC.

Кросс‑функциональное взаимодействие ИБ и инженерной службы. Требуется совместное обучение, единые критерии классификации событий и регулярные учения. Например, изменение параметра в BACnet должно расцениваться как потенциально критическое событие, способное привести к отказу оборудования.

Юридическая компания ЛЕГАС подчёркивает: инженерная инфраструктура ЦОД - это уже не просто «железо», а полноценный участник сетевого взаимодействия. Пока мониторинг промышленных протоколов не станет рутинной практикой, атаки на физическую инфраструктуру будут оставаться вне поля зрения традиционных средств ИБ. Поэтому киберфизическая безопасность должна быть отдельным направлением в стратегии защиты ЦОД, с чёткими процессами, инструментами и ответственностью.