Об экспертах:
- Александр Познякевич, руководитель направления по защите промышленных инфраструктур «Лаборатории Касперского»;
- Владимир Дащенко, эксперт по кибербезопасности Kaspersky ICS CERT.
Атаки стали скоординированными
Для этого года характерен новый подход злоумышленников к атакам. Если раньше хактивисты взламывали системы ради собственного интереса, то сейчас их атаки координируются и становятся более целевыми. Выглядит это примерно так: низкоквалифицированные атакующие получают от инициаторов атаки специализированное ПО, проходят обучение и начинают массово атаковать выбранную цель.
В первые месяцы года сильнее всего росло количество DDoS-атак. Злоумышленники пытались вывести из строя сайты и приложения, чтобы ими нельзя было воспользоваться. В феврале число атак этого типа выросло в пять раз по сравнению с 2021 годом, а в марте — в 8,5 раз. Как правило, подобные угрозы связаны с политическими взглядами и идеологическими мотивами.
«Текущий кибершторм может отразиться на всех. Нападать стали не только на корпорации, но и на малый и средний бизнес. Поскольку у многих злоумышленников задача не финансово обогатиться, а просто сломать и насолить, на радар попадают практически все компании», — отмечает Владимир Дащенко, эксперт по кибербезопасности Kaspersky ICS CERT.
Кибератаки геополитизировались
Как отмечается в отчете Kaspersky ICS CERT «Киберугрозы для АСУ и промышленных предприятий в 2023 году», наиболее значимые изменения в ландшафте угроз для промышленности будут определяться прежде всего геополитическими и связанными с ними макроэкономическими факторами.
«Если мы вернемся назад, в середине нулевых началась балканизация интернета, когда он из глобальной Сети распадался на обособленные сектора. Сейчас это явление закрутилось с какой-то феноменальной скоростью. Мы, к сожалению, движемся в направлении кластеризации сегментов интернета — Сеть становится геополитизированной», — рассказывает Владимир Дащенко.
Кроме того, на фоне геополитических событий негативные последствия вызывают уход зарубежных вендоров с рынка (российские пользователи могут столкнуться с проблемами при обновлении пакетов безопасности), разрыв отношений с иностранными исследователями кибербезопасности (выявлять новые типы атак или вредоносное ПО станет сложнее), а также отсутствие кооперации между правоохранительными органами разных государств (киберпреступники смогут «безопасно» атаковать цели из «недружественных» стран). Как поясняет эксперт, это будет оказывать дополнительное давление и на отдельные отрасли реального сектора экономики.
Стало больше атак на промышленную автоматизацию
Количество атак на системы промышленной автоматизации во втором полугодии 2022-го, по предварительным данным «Лаборатории Касперского», выросло на 10% по сравнению с первым полугодием. Всего же в 2022 году 43% компьютеров автоматизированных систем управления (АСУ) в России были атакованы вредоносным программным обеспечением.
Атакующие находят брешь в IT-инфраструктуре, например, уязвимый сервер, и развивают атаку таким образом, что находят сопряжение корпоративной и промышленной сети и далее получают доступ к контроллерам и исполнительным механизмам. Либо же они сразу получают доступ к промышленному узлу, имеющему выход в интернет. При этом основными источниками угроз для компьютеров автоматизированных систем управления остаются интернет, съемные носители и почтовые клиенты.
Основные цели злоумышленников — кража пользовательских данных, проектной документации, шифрование или уничтожение данных, промышленный шпионаж. В то же время эти атаки могут носить киберфизический эффект, то есть оказывать влияние не только на IT-инфраструктуру, но и на технологический процесс — например, остановить станок или вызвать аварию.
Как защититься. Промышленные узлы часто атакуют типовым вредоносным ПО — вроде троянцев или шифровальщиков, то есть неспециализированными зловредами, от которых можно защититься. При этом на каждом третьем промышленном предприятии в мире отключают защитное решение, если оно мешает производственным процессам из-за конфликта совместимости с операционной системой или вынужденной остановкой рабочей станции для обновления.
«Важная составляющая системы обеспечения информационной безопасности — мониторинг промышленной сети и обнаружение вторжений. Данный класс решений позволяет выявлять самые передовые целенаправленные атаки на промышленный сегмент. Так, например, наши решения для мониторинга промышленного сегмента видят, если техпроцесс пошел не так: глубоко анализируют промышленные протоколы, видят команды, которые идут к контроллерам, позволяют повысить видимость промышленного сегмента через визуализацию карты сетевых взаимодействий», — отмечает Александр Познякевич, руководитель направления по защите промышленных инфраструктур «Лаборатории Касперского».
По его словам, мониторинг — это еще и некая защита от «дурака», от вредительства, от неверных действий операторов, что особенно важно в промышленном сегменте, где могут быть внутренние нарушители, а системы регулярно обслуживаются подрядчиками.
Чтобы обеспечить защиту и не останавливать техпроцесс, важно использовать специализированные решения для защиты промышленного сегмента. Например, решение Kaspersky Industrial CyberSecurity for Nodes работает в том числе на устаревших операционных системах, не требует от рабочих станций высокой производительности и имеет более 80 сертификатов совместимости с решениями вендоров АСУ ТП. Кроме того, компания предлагает и комплексное решение — Kaspersky OT CyberSecurity. Это целая промышленная экосистема, объединяющая защитные решения для кибербезопасности, специализированные решения для промышленных объектов, отраслевую экспертизу и сервисы.
Злоумышленники могут использовать и специфические способы атак: например, с помощью дронов подбросить флешку или «подсмотреть» график работы персонала. Для защиты от рисков, связанных с несанкционированным проникновением беспилотников, «Лаборатория Касперского» предлагает систему мониторинга Kaspersky Antidrone.
Атакуют не только крупные компании, но и их поставщиков
Как отмечает Владимир Дащенко, у крупных промышленных компаний уже сформировался достаточно зрелый подход к обеспечению безопасности. Все больше компаний проводят обучение, создают сценарии реагирования на атаки и лучше разбираются в том, какие тактики используют злоумышленники. Кроме того, сейчас в промышленность приходят молодые мотивированные управленцы с хорошим техническим образованием, которые понимают суть кибербезопасности.
Тем не менее, по данным опроса «Лаборатории Касперского», на каждом пятом предприятии в мире все еще не хватает специалистов в области промышленной кибербезопасности.
Однако злоумышленники могут атаковать не только крупных промышленников, но и всю цепочку поставщиков: уровень их киберзащиты ниже, поэтому проще взломать компанию поменьше и уже через нее получить доступ к гиганту.
В каких отраслях будет больше кибератак
Сельское хозяйство, производство удобрений и агропромышленный комплекс. С точки зрения геополитической борьбы различным государствам станет более важной информация о том, кто что выращивает, кто куда отправляет провизию и в каких объемах.
«Мы уже стали фиксировать таргетированные атаки с целью промышленного кибершпионажа на агрокомплекс со стороны хакерских групп, которые связывают с разными странами. Эти злоумышленники пытаются выяснить, что производят компании, кому продают, в каких объемах», — рассказывает Владимир Дащенко.
ТЭК и альтернативная энергетика. Ситуация аналогичная: на фоне мирового энергокризиса государства хотят лучше понимать ситуацию относительно чужих энергозапасов, технологий и цепочек поставщиков.
Логистика и транспорт. Дефицит полупроводников привел к удорожанию высокоточной техники, увеличению сроков изготовления, а вместе с пандемией — еще и к сбою в цепочке поставок. Логистика как важнейшее связующее звено глобальных торговых связей и раньше была одной из целей промышленного кибершпионажа, сейчас же под удар могут попасть многие логистические компании.
Фармацевтика. Шлейф промышленного кибершпионажа на старте пандемии, связанного с поиском рецептуры вакцин, тянется до сих пор. В опасном положении могут оказаться хайтек-компании и производители медицинского оборудования, которые важны для обеспечения технологической независимости.
Впрочем, традиционными целями хакеров останутся военно-промышленный комплекс, госучреждения и критическая инфраструктура.
Информационные вызовы этого года вынудили организации как минимум пересмотреть подходы к защите периметра. Однако кибербезопасность — это процесс, и даже если в 2022-м этой сфере удалось уделить достаточно внимания, расслабляться в 2023-м не стоит. Сохранять темпы развития по ключевым бизнес-векторам и при этом оставаться в курсе событий мира кибербезопасности помогут комплексные защитные решения и экспертиза признанных поставщиков ИБ. Не стоит забывать и о базовых правилах безопасности для OT-инфраструктур:
- использовать защитные решения для конечных устройств промышленного сегмента и сетей, чтобы обеспечить всестороннюю защиту всех критически важных систем;
- регулярно обновлять операционные системы и приложения, которые являются частью инфраструктуры промышленной сети, и устанавливать патчи сразу, как только они выходят;
- проводить тренинги для ИБ-специалистов для улучшения качества реагирования на различные, в том числе новые и продвинутые, вредоносные техники;
- регулярно проводить аудит безопасности промышленных систем для своевременного распознавания и устранения проблем безопасности;
- предоставлять специалистам, ответственным за защиту АСУ ТП, современные средства аналитики киберугроз;
- использовать решения для мониторинга сетевого трафика компьютеров АСУ ТП, анализа и детектирования киберугроз для наиболее эффективной защиты от атак, потенциально угрожающих технологическому процессу и главным активам предприятия.