Промышленные предприятия и производство — привлекательные мишени для злоумышленников, в том числе и в Азербайджане. Это подтверждает статистика «Лаборатории Касперского».
Так, в первом полугодии 2023 года в Азербайджане вредоносные объекты были заблокированы на 33,69% компьютеров АСУ. К компьютерам АСУ относятся серверы управления и сбора данных (SCADA), серверы хранения данных, шлюзы данных, стационарные и мобильные рабочие станции инженеров и операторов, компьютеры, используемые для администрирования технологических сетей и разработки ПО для систем промышленной автоматизации.
Как киберугрозы проникают в промышленные системы
Неверно думать, что промышленные предприятия надежно защищены, поскольку периметр технологической сети закрыт. Современные производственные предприятия проходят через активный этап цифровизации, а все, что оцифровано, потенциально подвержено киберугрозам. С учетом особенностей технологических сетей, например, редких обновлений ввиду безостановочной работы, в программном обеспечении на рабочих станциях, контроллерах, сетевом оборудовании и других цифровых активах встречается достаточно много уязвимостей, для которых известны механизмы эксплуатации. На промышленных предприятиях также бывает много источников внешних угроз: удаленные подключения вендоров, подрядчиков, неучтенные модемы и телефоны на рабочих местах. Как показывают исследования Kaspersky, атаки через доверенных партнеров, например, скомпрометированного подрядчика, — один из излюбленных механизмов проникновения злоумышленников.
До сих пор основными источниками киберугроз для компьютеров в технологической инфраструктуре организаций остаются Сеть, почтовые клиенты и съемные носители, причем в Азербайджане в первом полугодии 2023 года наиболее существенным источником был интернет. Доля компьютеров АСУ, которые пытались атаковать через него, составила 17,39%, через съемные носители и почтовые клиенты — 5,25% и 4,55% соответственно. Таковы данные Kaspersky ICS CERT — центра исследования безопасности промышленных систем и реагирования на инциденты информационной безопасности, созданного Kaspersky.
Чаще всего для первоначального проникновения в систему злоумышленники используют целевой фишинг. Это вид социальной инженерии, среди целей которой могут быть либо получение первоначального доступа к активам атакованной компании через учетные данные пользователей (логины и пароли), либо запуск вредоносного кода в целевой системе. Для этого злоумышленники проводят массовые или точечные рассылки электронных писем от имени популярных брендов, компаний-подрядчиков, якобы коллег, иных «заинтересованных» лиц. Также популярны атаки на пользователей через профили в социальных сетях или мессенджеры. Их цель — получение учетных данных или запуск вредоносного кода на корпоративных устройствах пользователя.
Помимо фишинга в качестве первоначального вектора атаки используются такие методы, как заражения сайтов различной степени популярности, распространение вредоносного ПО через социальные сети, «поломанные» дистрибутивы платного ПО и генераторы лицензионных ключей, сканирование интернета на предмет пограничных устройств с неисправленными уязвимостями, для которых у злоумышленников есть готовые методы эксплуатации.
Результативность попыток атаковать промышленные организации растет при том, что само количество попыток таких атак в мире падает. Это связано с тем, что, хотя уровень защиты предприятий повышается, злоумышленники не теряют времени и с большей эффективностью реализуют возможность пробраться внутрь промышленных предприятий таргетированными методами.
Зачем атакуют промышленные предприятия
Часть атак проводится с целью кибершпионажа, но в общем числе их немного. Действительно распространенная проблема для промышленных организаций — криминально мотивированные атаки, в первую очередь, атаки вымогателей. В 2023 году на промышленных предприятиях во всем мире выросло количество официально подтвержденных публично известных киберинцидентов такого рода. Они затрагивают большинство реальных секторов экономики и оказывают негативное влияние на повседневную жизнь людей. Так, с января по июнь 2023 года наиболее часто атаковывали предприятия электроэнергетики, в том числе производителей комплексов специализированного оборудования, программного обеспечения и поставщиков соответствующих сервисов.
Что касается политически мотивированных попыток хактивистов атаковать промышленные организации, то их количество выросло в отдельных регионах мира. Но эти редкие атаки теряются на общем фоне среди тысяч громких целенаправленных атак в год — совокупно APT-атак и вымогателей.
В целом любые кибератаки, в том числе на промышленные предприятия, делятся на случайные массовые и целевые. Подавляющее количество кибератак связано именно со случайными угрозами. Злоумышленники стремятся скомпрометировать любые системы, а уже потом решают, что с ними делать. Сначала они ищут вектор проникновения для организации постоянного удаленного доступа к инфраструктуре жертвы, затем закрепляются в системе, далее начинают исследовать, что в ней есть, собирают аутентификационные данные и ищут необходимые для монетизации артефакты.
Последствия атак
Последствия пропуска любой угрозы, даже случайной, могут оказаться весьма печальными для промышленного предприятия. Известны кейсы, когда производственный процесс был полностью парализован в результате случайного заражения распространенным зловредом.
На первом месте по уровню ущерба и масштабам последствий сейчас находятся атаки вымогателей. Они также приводили к частичной или полной остановке производства или поставки продукции промышленных предприятий в 2023 году. В одном из случаев организация (MKS Instruments — американский производитель электроники) публично заявила об убытках в 200 млн. долларов. В сентябре Британская логистическая компания KNP Logistics Group заявила о том, что из-за финансовых последствий кибератаки была вынуждена продать входившую в конгломерат компанию Nelson Distribution Limited и уволить значительную часть своих сотрудников.
Как защититься
Руководителям предприятий любого сектора и типа стоит держать риски кибербезопасности в фокусе внимания. Kaspersky рекомендует принимать следующие меры для защиты компьютеров АСУ от киберугроз:
- регулярно обновлять операционные системы и приложения в составе ОТ-инфраструктуры и устанавливать патчи сразу, как только они выходят;
- проводить аудит безопасности ОТ-систем для своевременного распознавания и устранения проблем безопасности;
- использовать решения для мониторинга сетевого трафика компьютеров АСУ, анализа и детектирования киберугроз и уязвимостей технологической сети — для наиболее эффективной защиты от атак, потенциально угрожающих технологическому процессу и главным активам предприятия;
- проводить тренинги для ИБ-специалистов и ОТ-инженеров, чтобы улучшать качество реагирования на различные, в том числе новые и продвинутые, вредоносные техники;
- предоставлять специалистам, ответственным за защиту АСУ, современные средства аналитики киберугроз;
- использовать специализированные защитные решения для конечных устройств ОТ и сетей, чтобы обеспечить безопасность всех критически важных промышленных систем;
- ограждать от киберугроз IТ-инфраструктуру.
