Ключевыми факторами, определяющими текущую ситуацию, выступают особенности самих киберфизических систем. Значительная часть используемых протоколов, таких как Modbus, изначально не содержит встроенных механизмов защиты и предполагает работу в изолированных средах. При подключении к интернету такие системы становятся уязвимыми по умолчанию. Дополнительным фактором выступает использование протоколов удаленного доступа, в частности VNC, которые нередко остаются доступными без должной аутентификации или с использованием стандартных учетных данных. В совокупности это формирует среду, в которой подключение к устройству становится технически простой задачей.
Специалисты отмечают, что организации традиционно концентрируются на устранении уязвимостей и обновлении систем, однако в рассматриваемых инцидентах эти меры не оказывают решающего влияния. Большинство атак не требует эксплуатации уязвимостей, так как доступ к системам уже открыт через небезопасные протоколы или некорректно настроенные механизмы удаленного управления. В результате даже при формальном снижении числа уязвимостей фактический риск компрометации остается высоким.
Сценарий развития таких атак, как правило, укладывается в повторяемую последовательность действий. Сначала злоумышленник определяет тип устройства или протокола, представляющий интерес, после чего с помощью открытых сервисов сканирования ищет доступные из интернета системы с нужными характеристиками. На следующем этапе происходит подключение: либо через протоколы удаленного доступа, либо через небезопасные коммуникационные интерфейсы. Если аутентификация отсутствует или используются типовые учетные данные, доступ получается без дополнительных усилий. Далее выполняется базовая разведка – просмотр параметров, регистров или конфигураций. Завершается атака изменением значений или настроек, что приводит к сбоям в работе оборудования или нарушению управляемых процессов. В ряде случаев злоумышленники фиксируют свои действия, чтобы затем опубликовать их и подтвердить факт вмешательства.
Статистический разрез по типам атак подтверждает доминирование удаленного доступа как основного вектора. Еще 7% атак приходились на взаимодействие через HTTP, а 6% – на использование специализированного программного обеспечения производителей. При этом около 56% всех инцидентов были связаны с компрометацией систем HMI и SCADA, управляющих промышленными процессами в реальном времени. Среди других целей выделяются программируемые логические контроллеры и подключенные устройства, включая системы видеонаблюдения.
Наибольшая концентрация инцидентов приходится на отрасли, где киберфизические системы напрямую связаны с непрерывными производственными процессами. Производственный сектор формирует 21% всех зафиксированных атак, водоснабжение и водоотведение – 16%, энергетика – 13%, агропромышленный комплекс – 11%, нефтегазовая отрасль – 10%. Остальные 29% распределяются между транспортной инфраструктурой, медицинскими учреждениями и коммерческими объектами с элементами автоматизации. В этих сегментах доля атак через удаленный доступ превышает 75%, что выше среднего значения по выборке.
Снижение рисков в текущих условиях связано с базовыми мерами контроля доступа и конфигурации. Практика показывает, что наибольший эффект дает инвентаризация всех активов с внешним доступом и их сегментация с ограничением прямого выхода в интернет. Перевод удаленного управления в защищенные контуры с обязательной многофакторной аутентификацией снижает вероятность несанкционированного подключения. Дополнительный результат дает отказ от использования стандартных учетных данных и контроль конфигураций на уровне устройств. Организациям также необходимо внедрять мониторинг активности в OT-сегменте, поскольку классические средства обнаружения угроз в IT-инфраструктуре не фиксируют подобные сценарии.
По оценке экспертов, в течение 2026 года доля атак через удаленный доступ может вырасти до 80-82%, если текущая практика эксплуатации устройств сохранится. Сдерживающим фактором может стать только системное ограничение доступности киберфизических активов из внешних сетей и переход к централизованному управлению доступом. В противном случае рынок продолжит сталкиваться с инцидентами, в которых сложность атаки минимальна, а ущерб остается высоким.