В среднем во второй половине 2016 года каждый третий компьютер на промышленном предприятии ежемесячно подвергался кибератакам
Прокатившаяся недавно волна атак на казахстанские банки лишь видимая часть айсберга проблем безопасности, связанных с промышленными предприятиями и финансовыми организациями. Интерес преступников к Казахстану вырос, о чем говорят данные аудита специалистов по кибербезопасности. В среднем во второй половине 2016 года каждый третий компьютер на промышленном предприятии ежемесячно подвергался кибератакам. Всего же за этот период с вредоносным ПО сталкивалось 54% компьютеров, так или иначе относящихся к технологической сети предприятий. Такие данные приводятся в исследовании «Ландшафт угроз для систем промышленной автоматизации. Второе полугодие 2016» ICS CERT – центра реагирования «Лаборатории Касперского» на компьютерные инциденты на индустриальных и критически важных объектах.
Банки вынужденно, хотя и нехотя, заговорили о проблемах, и то только потому, что скрыть это было невозможно: слишком большой общественный резонанс получил ряд инцидентов. Этим отличаются подходы к безопасности у отечественного и западного бизнесов: местные специалисты, опасаясь за свои места, нередко до последнего скрывают случаи атак, подвергая вверенные им компании еще большему риску.
«На мой взгляд, рынок Казахстана и окружающих его стран все больше и больше повторяет путь России, где ландшафт информационных угроз для промышленных систем и ландшафт угроз для корпоративных сетей сблизились в последние несколько лет, – говорит управляющий директор Kaspersky Lab в Казахстане, Центральной Азии и Монголии Евгений Питолин. – Бизнес растет, государство и частные акционеры пристально следят за его эффективностью и в погоне за ее повышением приходят к появлению физических соединений сетей и сопряжению смежных информационных систем».
Все чаще мошенниками применяются схожие с промышленными наборы технологий, архитектурные решения и сценарии использования. Как следствие, можно ожидать не только появления новых угроз, специально разработанных для предприятий, но и развития традиционных. Уже сейчас в мире реализуются самые неожиданные и нетрадиционные сценарии – блокировка вымогателями транспортной системы в Сан-Франциско, активация сирен гражданской обороны в Далласе, взлом промышленных экранов через радиосигнал в Европе, порча продукции на крупнейшем предприятии по производству бумаги в Чикаго и т. д.
По результатам исследования, каждая четвертая целевая атака, обнаруженная «Лабораторией» в Казахстане в 2016 году, была направлена на предприятия различных индустрий – машиностроительной, энергетической, химической, транспортной и других. В общей сложности специалисты обнаружили в системах промышленной автоматизации 75 уязвимостей, 58 из которых максимально критичны для безопасности предприятий. Также ICS CERT нашел в технологических сетях порядка 20 тыс. модификаций вредоносного ПО.
Опыт расследования целевых (APT) атак показывает, что кибершпионаж часто является подготовкой к следующим атакам. APT – наиболее опасный вид кибератак. Во многих случаях их отличает высокий уровень злоумышленников, техническая сложность и продолжительность (могут длиться годами). Это тщательно продуманные и организованные атаки, требующие больших ресурсов, которые сегодня есть в основном именно у киберпреступников. Кроме того, физическая безопасность на промышленных предприятиях уже достаточно развита, поэтому все самые ценные данные уходят через интернет.
«Вне зависимости от технологии производства корпоративная сеть регулярно обновляет свою инфраструктуру, – поясняет Питолин. – Кроме того, особое внимание стоит уделить тому факту, что более чем в трети случаев (35%) киберугрозы на казахстанские промышленные компьютеры исходили из интернета, а значит, в промышленном сегменте активно идет развитие автоматизации. На 15% машин вредоносное ПО попало при подключении съемных носителей информации».
Доля попыток заражения вредоносным ПО с участием переносных носителей, заражений резервных копий, использование в сложных атаках изощренных способов переноса данных из изолированных сетей свидетельствуют о том, что невозможно избежать рисков путем простого отключения системы от интернета.
Собеседник обращает внимание, что помимо заражения машин в корпоративной сети у злоумышленников есть другие способы проникнуть в изолированную технологическую сеть, о которых не так часто говорят. Например, заражение USB-носителей с целью распространения зловредных программных модулей и переноса информации между компьютерами, преодоление «воздушного зазора». В качестве примеров в этом смысле можно отметить такие атаки, как Stuxnet, Flame, Equation и ProjectSauron.
В исследовании приводятся и другие способы проникновения в изолированную (без доступа в интернет) сеть. Это может быть компрометация локального ресурса в интранете, к которому есть доступ из технологической сети, или компрометация сетевого оборудования. В случае компрометации роутеров появляется возможность «слушать» трафик и извлекать различные учетные данные для дальнейшего доступа к компьютерам и ресурсам, как это было реализовано в атаках BlackEnergy2. Еще пример – заражение компьютеров подрядчиков промышленных компаний, которые подключают их в технологическую сеть. Бывают курьезы, связанные с конкретными исполнителями в цеху: например, один из рабочих большого завода установил на свой станок с встроенной операционной системой игры. Этот безрассудный поступок привел к заражению всей сети трояном.
Появление масштабных вредоносных кампаний, нацеленных на промышленные предприятия, говорит о том, что злоумышленники расценивают это направление как перспективное для себя. Это серьезный вызов для всего сообщества разработчиков промышленных систем автоматизации, владельцев и операторов этих систем, производителей средств защиты.
«К сожалению, опережать злоумышленников крайне непросто, но можно пытаться хотя бы не отставать от них. Для этого мы активно продвигаем в сфере бизнеса и особенно промышленности целевые программы защиты – комплекс мер АСУТП (по защите технологических процессов) и полноценную образовательную программу по кибербезопасности для сотрудников всех уровней», – отмечает Питолин.
Александр Воротилов
заместитель главного редактора Forbes Kazakhstan
Forbes.KZ, 24.06.2017