Сферу производства, а также подрядчиков организаций в России атаковали чаще, чем в среднем по миру
Во втором квартале 2024 года, по данным центра исследования безопасности промышленных систем и реагирования на инциденты Kaspersky ICS CERT, Россия заняла 6-е место (из 14) среди регионов мира* по доле компьютеров автоматизированных систем управления (АСУ)**, на которых были заблокированы вредоносные объекты. Эта доля составила 22,5%, на 1,1 п. п. ниже, чем в 1 квартале. При этом при сравнении 1 полугодия 2024 года и 2 полугодия 2023 года доля атакованных систем выросла на 0,7 п. п. и составила 31,7%. Несмотря на то, что доля атакованных систем в России остаётся ниже, чем в среднем по миру, фиксируются сложные атаки, которые могут нанести серьёзный ущерб. Об этом рассказали на Kaspersky Industrial Cybersecurity Conference, которая проходит в Сочи.
В ряде отраслей в России доля промышленных компьютеров, на которых были заблокированы вредоносные объекты, была выше, чем в среднем по миру, — например, в производственной сфере (18,8% в РФ против 18% по миру), в инжиниринге и у интеграторов АСУ (24,9% против 23%). Злоумышленники активно атакуют интеграторов, доверенных партнёров и подрядчиков, и в России риск атаки через доверенного партнёра и поставщика продуктов и услуг велик.
Россия находится на 3-м месте среди других регионов по доле компьютеров АСУ, на которых были заблокированы угрозы из интернета (11.9%, в среднем по миру — 11,3%).
Фишинг через интернет-страницы и письма электронной почты остаётся одним из наиболее распространённых способов первоначальной компрометации системы для злоумышленников, которые проводят атаки промышленных объектов. По итогам второго квартала 2024 года Россия — на 1-м месте среди других регионов по доле компьютеров АСУ, на которых были заблокированы вредоносные интернет-ресурсы (7,8%, в среднем по миру — 6,6%). Значительная часть таких ресурсов используется для распространения вредоносных скриптов и фишинговых страниц (они были заблокированы на 4,6% компьютеров АСУ в России, в среднем по миру на 5,7% устройств).
«В России серьёзной проблемой остаётся доступность интернета с компьютеров АСУ. Систематическое решение этой проблемы существенно снизит поверхность атаки промышленных предприятий в России. Все известные последние случаи, когда злоумышленникам удавалось добраться до управления производственными активами и что-то отключить, имели одной из причин недостатки сегментирования сети и изоляции наиболее важных систем. Усиление сетевой безопасности позволит снизить актуальный для России риск атак хактивистов, — комментирует Евгений Гончаров, руководитель Kaspersky ICS CERT. — Чтобы научиться эффективно использовать имеющиеся средства защиты и правильно спланировать развитие системы безопасности, абсолютно необходимо знать приёмы злоумышленников и типичные ошибки жертв. В текущей ситуации всем промышленным предприятиям стоит для улучшения защиты начать использовать специализированную аналитику угроз — данные промышленной киберразведки (ICS Threat Intelligence). Не менее важно и обдуманно подходить к выбору поставщиков решений для АСУ — атаки через цепочку поставки актуальны в России как никогда ранее. Мы активно сотрудничаем с разработчиками систем автоматизации и готовы помогать им в улучшении уровня зрелости безопасности их продуктов».
«Хотя АСУ определённо требуют отдельного подхода к защите, зачастую атакующим даже не нужно пробиваться до уровня Operation Technology — им достаточно нанести ущерб корпоративной части инфраструктуры в „правильном” месте. Например, в одном из инцидентов, расследованных Solar 4RAYS, атаке подвергся разработчик систем управления промышленным оборудованием. Взломщики атаковали сервер, где было развёрнуто веб-приложение, позволяющее контролировать работу промышленных систем. В результате клиенты компании столкнулись с некорректной работой оборудования. При этом сервер был лишь одним из перечня ресурсов, зашифрованных с целью выкупа. Если бы атака была целевой, то ущерб был бы намного больше, а последствия более фатальными. Также мы сталкивались со случаями использования очень старых компьютеров с уязвимыми операционными системами в промышленных организациях. Это делается ради поддержки специфического оборудования и ПО, которые работают только, например, на Windows XP, но в то же время создаёт серьёзную угрозу безопасности для таких сетей. Поэтому в условиях постоянно нарастающей киберугрозы для всей критической инфраструктуры страны предприятиям стоит особенно внимательно относиться к защите не только сегмента АСУ ТП, но и корпоративных сетей», — комментирует Геннадий Сазонов, инженер группы расследования инцидентов центра исследования киберугроз Solar 4RAYS ГК «Солар».
«Защита информации в промышленности сопряжена с рядом вызовов: географическая распределённость и труднодоступные локации производственных объектов, использование специализированного оборудования и промышленных сетевых протоколов, конвергенция IT- и OT-инфраструктур, интеграция систем ERP, MES и АСУ ТП, а также нарастающее применение технологий создания цифровых двойников технологических процессов и пограничных вычислений, внедрение IIoT-устройств и технологий беспроводной связи на производстве. В результате классические процессы ИБ в технологических сетях усложняются: системы управления активами должны поддерживать инвентаризацию OT-устройств и промышленные протоколы сетевого взаимодействия, сканеры уязвимостей — использовать только безопасные методы сканирования и позволять обнаруживать уязвимости в ОС, ПО и микропрограммах устройств, применяемых на производстве, а системы управления конфигурациями — поддерживать специализированные наборы рекомендуемых безопасных настроек для компьютеров АСУ», — комментирует Роман Овчинников, директор департамента внедрения Security Vision.
Подробный отчёт о ландшафте угроз для систем промышленной автоматизации во втором квартале доступен по ссылке: https://securelist.ru/industrial-threat-landscape-q2-2024/110704/.
Для защиты компьютеров АСУ от киберугроз «Лаборатория Касперского» рекомендует:
· регулярно обновлять операционные системы, приложения и прошивки устройств в составе ОТ-инфраструктуры и устанавливать патчи или принимать компенсирующие меры сразу, как только об уязвимости становится известно;
· проводить аудит безопасности ОТ-систем для своевременного распознавания и устранения проблем безопасности;
· использовать решения для мониторинга сетевого трафика компьютеров АСУ, анализа и детектирования киберугроз и уязвимостей технологической сети — для наиболее эффективной защиты от атак, потенциально угрожающих технологическому процессу и главным активам предприятия;
· усиливать решения машиночитаемыми потоками данных об угрозах и уязвимостях для АСУ и других систем, часто используемых в промышленных средах — ICS Vulnerability Data Feed и ICS Hash Data Feed (подробнее об этих инструментах);
· проводить тренинги для ИБ-специалистов и ОТ-инженеров, чтобы улучшать качество реагирования на различные, в том числе новые и продвинутые, вредоносные техники;
· использовать современные средства аналитики киберугроз. Сервис ICS Threat Intelligence Reporting аккумулирует данные о текущих киберугрозах и векторах атак, а также об уязвимостях ОТ и о том, как повысить их устойчивость к атакам;
· использовать защитные решения для конечных устройств ОТ и сетей, такие как Kaspersky Industrial CyberSecurity, чтобы обеспечить безопасность всех критически важных промышленных систем;
· ограждать от киберугроз IT-инфраструктуру. Интегрированные продукты для защиты конечных устройств предоставляют возможности для детектирования киберугроз и реагирования на них.
В течение 2023 года решения компании принимали участие в 100 независимых тестированиях защитных технологий по различным параметрам, в том числе 93 раза заняли первые места.
О Kaspersky ICS CERT
Kaspersky ICS CERT — это центр исследования безопасности промышленных систем и реагирования на инциденты информационной безопасности, созданный «Лабораторией Касперского». Узнать больше можно на сайте https://ics-cert.kaspersky.ru/.
* Больше доля атакованных компьютеров, чем в России, зафиксирована в Африке, Юго-Восточной Азии, Центральной Азии, на Ближнем Востоке, в Восточной Европе.
** Серверы управления и сбора данных (SCADA), серверы хранения данных, шлюзы данных, стационарные рабочие станции инженеров и операторов, мобильные рабочие станции инженеров и операторов, компьютеры, используемые для администрирования технологических сетей и разработки ПО для систем промышленной автоматизации.