Спад на общите инциденти, но ръст на атаки с физически последствия

Според Waterfall Threat Report 2026, публично регистрираните киберпробиви с физически последствия в тежката индустрия и критичната инфраструктура намаляват с 25% през 2025 г. до 57 инцидента спрямо 76 през 2024 г. Спадът се дължи основно на временно намаляване на активността на рансъмуер групите.

В същото време национално-спонсорирани и хактивистки атаки се удвояват, като мнозинството е насочено към критични инфраструктурни системи.

Значими инциденти през 2025 г.

• Jaguar Land Rover: мащабно спиране на производството – най-скъпото за последното десетилетие
• Collins Aerospace: нарушен софтуер блокира полети за седмици
• Морски инциденти: заседнали и отклонени кораби → подчертават необходимостта от независима проверка на GPS и други навигационни данни
• Полска дистрибутирана генерация: почти катастрофален инцидент, свързан с руска държавна активност, който показва риска от „bricking“ на контролни системи

Рансъмуер остава водещата заплаха

От 2019 до 2024 г. рансъмуер групите са основен тип атакуващи. В периода 2022–2025 г. и голяма част от инцидентите, класифицирани като „Unknown“, вероятно са свързани с рансъмуер.

Рансъмуерът засяга физическите операции чрез:

1. Пряко компрометиране на OT системи – процесите спират или се държат непредсказуемо
2. Прекъсване за безопасност – операторите изключват системи, за да предотвратят щети
3. Блокиране на IT системи, поддържащи OT – каскадни неизправности
4. Нарушения на веригата за доставки – атаки върху ключови доставчици или клиенти

Хактивисти срещу национални държави

• Хактивистите обикновено нямат финансов интерес и разполагат с ограничени ресурси.
• Национално-спонсорираните групи имат сериозни бюджети, разработващи екипи и координация за масови атаки.
• Границите между двете групи се размиват – хактивистки групи понякога получават подкрепа от държави при целенасочени физически атаки.

Географии и индустрии под риск

• Най-засегнати страни през 2025: САЩ, Германия и Русия
• Най-засегнат сектор: дискретно производство
• Критични инфраструктурни сектори: нефт, газ, вода, енергетика, метали и минно дело, фармацевтика

Рискът не е ограничен нито географски, нито секторно – организациите трябва да изградят устойчиви защити срещу реални физически последствия.

Технически мерки за защита на OT мрежи

1. Засилване на сигурността на всеки мрежов интерфейс
2. Контроли на IT/OT границата, за да се избегнат ненужни прекъсвания
3. Ясна идентификация на зависимости между OT и IT
4. Подобряване на OT сигурността, за да се минимизира директно таргетиране и защитни изключвания
5. Подготовка за резервни операции при компрометирани облачни или разпределени системи

GPS и навигационни рискове

• В конфликтни зони, включително около Русия, Украйна и Червено море, GPS и други PNT системи се подлагат на смущения.
• Оператори трябва да прилагат компенсаторни контроли и резервни процедури, тъй като позиционирането може да бъде ненадеждно.

Перспектива за 2026–2027

• Ако няма нови фактори, рансъмуер атаките се очаква да се увеличат отново
• Софтуерните защити в OT мрежите са по дизайн предсказуеми и уязвими
• Отчетливо се подчертава необходимостта от детерминистични, хардуерно-обезпечени контроли, като препоръчителни примери са:
  • NCSC Cyber-Informed Engineering (UK)
  • CISA secure remote access (US)

Софтуерните защити сами по себе си не са достатъчни за безопасност на критични процеси. Организациите трябва да оценят:

1. Колко дълго е допустимо атакуващ да контролира физически процеси
2. Кои реалистични сценарии не се смекчават надеждно при настоящата сигурност
3. Дали е разумно да се разчита само на софтуер за защита на индустриални операции

Високо автоматизираните и взаимосвързани индустриални среди изискват комбинация от софтуерни и детерминистични, „нехакваеми“ контроли за ефективна защита на физически процеси.