Сотрудники «Информзащиты» установили, что 78% атак на киберфизические системы происходят через удаленное подключение к общедоступным интернет-ресурсам, не требуя изощренных методов взлома. Основой большинства инцидентов служат простые сценарии соединения с открытыми устройствами, а не поиск уязвимостей или сложные атакующие цепочки. Отмечен сдвиг в сторону массовых, не требующих значительных временных и ресурсных затрат атак, где главным условием выступает наличие незащищенного доступа и слабой либо вовсе отсутствующей аутентификации. Об этом CNews проинформировали представители «Информзащиты».
Главными факторами, формирующими текущую обстановку, становятся особенности самих киберфизических систем. Многие используемые протоколы, например Modbus, изначально лишены встроенных защитных механизмов и рассчитаны на эксплуатацию в изолированных средах. При выходе в интернет подобные системы становятся уязвимыми по умолчанию. Дополнительным фактором служит применение протоколов удаленного доступа, в частности VNC, которые зачастую остаются открытыми без надлежащей аутентификации или с заводскими учетными данными. В совокупности это создает среду, где подключение к устройству становится технически элементарной задачей.
Эксперты подчеркивают, что организации традиционно сосредотачиваются на закрытии уязвимостей и обновлении систем, однако в описанных инцидентах эти меры не играют решающей роли. Большинство атак не нуждается в эксплуатации уязвимостей, так как доступ к системам уже открыт через небезопасные протоколы или неправильно настроенные механизмы удаленного управления. В итоге, даже при формальном сокращении числа уязвимостей, фактический риск компрометации остается высоким.
Сценарий развития таких атак обычно следует повторяющейся схеме. Сначала злоумышленник определяет тип интересующего устройства или протокола, затем с помощью публичных сканирующих сервисов находит доступные из интернета системы с нужными характеристиками. На следующем этапе происходит подключение: либо через протоколы удаленного доступа, либо через незащищенные коммуникационные интерфейсы. Если аутентификация отсутствует или используются стандартные учетные данные, доступ получается без лишних усилий. Далее выполняется базовая разведка — просмотр параметров, регистров или конфигураций. Завершается атака изменением значений или настроек, что вызывает сбои в работе оборудования или нарушение управляемых процессов. В некоторых случаях злоумышленники фиксируют свои действия, чтобы затем обнародовать их и подтвердить факт вмешательства.
Анализ атак по их типам показывает, что удалённый доступ остаётся преобладающим вектором проникновения. Дополнительные 7% инцидентов были связаны с использованием HTTP-взаимодействий, а 6% — с эксплуатацией фирменного программного обеспечения вендоров. При этом примерно 56% всех зафиксированных случаев касались взлома HMI- и SCADA-систем, которые управляют промышленными процессами в режиме реального времени. В числе прочих целей выделяются программируемые логические контроллеры и различные подключённые устройства, включая системы видеонаблюдения.
Пик инцидентов наблюдается в отраслях, где киберфизические системы тесно интегрированы в непрерывные производственные циклы. На производственный сектор приходится 21% всех атак, на системы водоснабжения и водоотведения — 16%, на энергетику — 13%, на агропромышленный комплекс — 11%, а на нефтегазовую отрасль — 10%. Оставшиеся 29% распределяются между транспортной инфраструктурой, медицинскими учреждениями и коммерческими объектами с автоматизированными элементами. В этих сегментах доля атак через удалённый доступ превышает 75%, что заметно выше среднего показателя по всей выборке.
Снижение рисков в нынешних условиях опирается на базовые меры по управлению доступом и настройке систем. Практика демонстрирует, что наибольшую эффективность приносят инвентаризация всех активов с внешним доступом и их сегментация с запретом прямого выхода в интернет. Перевод удалённого управления в защищённые контуры с обязательным применением многофакторной аутентификации уменьшает вероятность несанкционированного подключения. Дополнительный эффект даёт отказ от стандартных учётных данных и контроль конфигураций на уровне устройств. Организациям также необходимо внедрять мониторинг активности в OT-сегменте, поскольку традиционные средства обнаружения угроз в ИТ-инфраструктуре не способны выявлять подобные сценарии.
По оценкам специалистов, в течение 2026 года доля атак через удалённый доступ может возрасти до 80–82%, если текущая практика эксплуатации устройств не изменится. Сдерживающим фактором способно стать лишь системное ограничение доступности киберфизических активов из внешних сетей и переход к централизованному управлению доступом. В противном случае рынок продолжит сталкиваться с инцидентами, где сложность атаки минимальна, а ущерб остаётся значительным.
