Удаленный доступ остается главным вектором атак на промышленные сети

Инциденты стали частыми, а восстановление — долгим

Инциденты кибербезопасности в системах операционных технологий (OT), контролирующих промышленное оборудование, энергетику и транспорт, стали распространённым явлением и наносят ощутимый операционный ущерб. Анализ показывает, что каждая пятая ICS/OT-организация пережила атаку со сбоями, а уровень зрелости механизмов удаленного доступа остается крайне низким. Эти данные опубликованы в отчете State of ICS/OT Security 2025, подготовленном SANS Institute.

22% организаций, работающих с промышленными системами и инфраструктурой ICS/OT, подтвердили, согласно данным отчета, атаки на свои сети за последние 12 месяцев. При этом 40% этих инцидентов привели к реальным сбоям в работе технологических процессов, а на полное восстановление после 19% атак потребовалось более месяца. Эти цифры приводятся в ежегодном отчете SANS Institute «Состояние безопасности ICS/OT — 2025» (State of ICS/OT Security 2025).

Хотя промышленные компании постепенно учатся быстрее обнаруживать угрозы, фаза восстановления остаётся критически слабым звеном. Исследование показывает, что почти половина инцидентов (50%) теперь выявляется в первые 24 часа, а 60% — локализуется в течение 48 часов. Однако полное устранение угрозы и возврат к нормальной работе всё ещё занимают дни и недели, создавая длительные операционные риски для бизнеса.

Удалённый доступ: главный вектор и главная уязвимость

Основным каналом для атак, как и прежде, является внешний удалённый доступ. По данным отчёта, ровно половина (50%) всех зафиксированных инцидентов началась с несанкционированного подключения извне. Парадоксально, но при этом уровень внедрения продвинутых средств контроля такого доступа остаётся крайне низким: лишь 13% организаций полностью реализовали меры вроде записи сессий или доступа с учётом специфики OT-оборудования. Авторы исследования прямо называют эту ситуацию «самым слабым звеном».

Главными препятствиями для улучшения ситуации респонденты называют нехватку внутренних ресурсов (60%) и проблемы совместимости новых решений со старым промышленным оборудованием (46%). Таким образом, технический долг и дефицит кадров напрямую мешают закрывать основной канал для проникновения в промышленные сети.

Регулирование работает, смягчая последствия атак

Отчёт также чётко демонстрирует позитивную роль регуляторного давления. Организации, чьи объекты подпадают под обязательные стандарты кибербезопасности, сталкиваются с атаками примерно с той же частотой, что и остальные. Однако последствия для них значительно мягче: финансовые потери и риски для физической безопасности в таких компаниях оказались примерно на 50% ниже. Это указывает, что соблюдение регуляторных норм формирует эффективный базовый уровень защиты, который помогает смягчать удар даже при успешном проникновении злоумышленников.

Контроль и инвентаризация активов — главный инвестиционный приоритет

В ответ на угрозы компании активно инвестируют в базовые элементы защиты. Главным приоритетом инвестиций как в прошедшем, так и в планируемом году стала видимость активов. В 2025 году 50% респондентов развернули или значительно расширили инструменты для инвентаризации OT-оборудования и мониторинга сети. На ближайшие 12–24 месяца эту область как приоритетную отметили 54% организаций.

Этот фокус логичен, учитывая глубину проблемы: лишь 13% компаний сообщили о наличии полной видимости по всей цепочке возможной кибератаки (ICS Cyber Kill Chain). Ещё 42% признали, что их видимость фрагментарна и имеет серьёзные пробелы. Без точной карты активов и их связей эффективное управление рисками и обнаружение аномалий практически невозможно. Рекомендация исследователей начинать укрепление защиты именно с основ — с полной инвентаризации OT-активов и документирования сетевых связей — напрямую следует из этих данных.

Этот подход созвучен методологии «дефинитивной записи» (definitive record), которую ранее детально описал Национальный центр кибербезопасности Великобритании (NCSC). В своём руководстве NCSC предлагает создать единый, актуальный источник данных об OT-архитектуре как основу для оценки рисков и принятия решений, что позволяет увидеть систему целиком.

Культура сотрудничества IT и OT как мультипликатор эффективности

Успех в защите OT невозможен без преодоления разрыва между командами информационных (IT) и операционных технологий (OT). В отчёте подчёркивается, что организации, наладившие совместную работу — например, через общие центры мониторинга (SOC), — демонстрируют лучшие результаты. Ключевым индикатором зрелости является наличие специального плана реагирования на OT-инциденты, который есть у 57% опрошенных. Вовлечение в киберучения не только IT-специалистов, но и полевых техников с инженерами почти вдвое (в 1,7 раза) повышает уверенность компании в своей готовности к новым угрозам.

Выводы и рекомендации

Итоги исследования SANS за 2025 год рисуют неоднозначную картину. С одной стороны, сектор демонстрирует прогресс в скорости обнаружения и сдерживания атак. С другой — сохраняются фундаментальные проблемы: медленное и сложное восстановление, уязвимости удалённого доступа и недостаточная видимость на нижних, наиболее критичных уровнях систем управления.

В заключении отчёта эксперты формулируют практические шаги для индустрии:

1. Улучшить покрытие базовых средств защиты, начав с полной инвентаризации и видимости активов.
2. Сместить фокус с обнаружения на устойчивость (resilience), инвестируя в технологии и отлаженные процедуры быстрого восстановления.
3. Расширить участие в учениях, обязательно включая инженерный и операционный персонал.
4. Использовать регуляторные требования как стартовую площадку для построения более комплексной программы безопасности, а не как конечную цель.

В приложении к отчету приведен обзор модели Purdue, которая используется как стандартная схема разделения уровней ICS/OT-инфраструктуры — от корпоративной сети до полевого оборудования и контроллеров. Этот контекст помогает точнее интерпретировать данные об уязвимостях нижних уровней.

Полная версия отчёта SANS «State of ICS/OT Security 2025» доступна для ознакомления на сайте института.