16/12/2018 год
Согласно исследованию «Лаборатории Касперского», в первой половине 2018 года почти 45% компьютеров автоматизированной системы управления технологическим процессом (АСУ ТП) хотя бы раз подвергались атаке.
При этом российские компании не спешат тратить деньги на кибербезопасность: на защиту от вирусов и кибератак они выделяют менее 50 млн рублей в год. На крупных предприятиях в такую сумму обойдется как минимум один день простоя.
И хотя компании отличаются друг от друга процессами и типом управления, среди руководителей популярны одни и те же мифы об информационной безопасности.
Наша система не подключена к интернету
Многие считают, что достаточно изолировать производство от интернета, тогда вирусу будет неоткуда взяться и распространяться он тоже не сможет. Но интернет — далеко не единственный источник вредоносных программ.
Они могут попасть в компьютер, например, через USB-флешку или другой накопитель. Так, исследование компании Honeywell показало, что 44% флешек на промышленных предприятиях содержат хотя бы один вирус.
Известны случаи, когда хакеры атаковали компанию через сотрудника. Обычно ничего не подозревающий работник получает флешку якобы с рабочими файлами (правки по документу, материалы для распечатки).
Далее он подключает ее к своему компьютеру, где файлы не открываются. Сотрудник пробует получить файлы через компьютеры своих коллег или еще хуже — руководителя. Так вирус проникает с одного устройства на другое, а если в компании есть локальная сеть, то распространяется и по ней.
У нас специфичное оборудование и программное обеспечение
Не обязательно, чтобы вредоносное программное обеспечение было адаптировано под определенное предприятие. Будет достаточно, если оно просто вмешается в процессы компьютера. Абсолютное большинство заражений носит случайный характер, поскольку инициировано вредоносными программами, которые изначально не создавались для атаки именно на промышленные объекты.
Так произошло и с WannaCry: вирус проникал в компьютер и шифровал все данные. За расшифровку информации вымогатель просил 300 долларов, но расшифровка была невозможна из-за ошибки в коде вредоносного ПО.
Вирус заразил компьютеры в 200 странах и заблокировал работу не только частных пользователей, но и коммерческих и государственных организаций. Например, на производствах останавливались процессы, а во многих британских больницах пришлось перенести важные обследования и срочные операции.
Есть и другие случаи, когда злоумышленники целенаправленно атакуют определенные промышленные отрасли. Прошло время, когда хакеры представляли собой вчерашних студентов, которые гонятся за сиюминутной наживой.
Сейчас это подготовленные специалисты с большим опытом. Целевая атака объединяет множество этапов: сначала определяется марка оборудования жертвы, и в зависимости от этого подбирается подходящий вредоносный файл.
Яркий пример — сложная вредоносная программа Industroyer. В 2016 году она пыталась перехватить управление на различных промышленных объектах — электрических подстанциях, комплексах водоснабжения — и в логистических компаниях.
Эксперты считают, что вирус мог стать причиной масштабного отключения электроэнергии на западе Украины.
Производитель уже предусмотрел защитную систему
Конечно, производители оборудования и программного обеспечения в курсе современной ситуации с киберугрозами. При разработке они предусматривают определенные меры защиты.
Более того, производители проводят тестирования на совместимость защитных решений с их оборудованием, что помогает обеспечить кибербезопасность и бесперебойную работу.
Причем это касается не только компьютеров, но и других устройств, по которым вредоносные программы распространяются не менее активно (роутеры, беспроводные камеры).
То же самое касается программного обеспечения. Например, разработчики Windows в последнее время очень часто просят обновить систему, в том числе в целях кибербезопасности.
Как считают специалисты «Лаборатории Касперского», управление обновлениями играет крайне важную роль, ведь уязвимости в системе и программном обеспечении могут использоваться вредоносами для получения киберпреступниками повышенных прав и возможности совершать на устройствах любые злонамеренные действия.
Однако в связи с объективными причинами этот процесс на промышленных предприятиях не всегда происходит оперативно, именно поэтому необходимо внедрять , в том числе средства контроля запуска приложений и мониторинг журналов операционной системы.
Вирусом можно заразиться только по невнимательности
Рядовой сотрудник может легко подвергнуться атаке. Угроза иногда скрывается в деловых документах и рабочих файлах. Злоумышленники тщательно готовятся к атаке и продумывают все возможные пути заражения.
В качестве отправителя могут быть указаны имена действительных руководителей. Или адрес почты может содержать домен, который напоминает название компании-партнера.
В 2018 году эксперты «Лаборатории Касперского» зафиксировали волну рассылок фишинговых писем с вредоносными вложениями. С их помощью были атакованы по меньшей мере 400 промышленных компаний преимущественно на территории России.
Выяснилось, что основная цель киберпреступников — кража денежных средств со счетов организаций. Как правило, мошенники рассылали по электронной почте письма, имеющие вид рабочей переписки на тему оплаты услуг, проведения платежей, сверки документов и других финансовых вопросов.
Вредоносные вложения либо были упакованы в архивы, либо вообще отсутствовали (во втором случае пользователя провоцировали перейти по ссылке на сторонний сайт и скачать вредоносный объект оттуда).
При этом киберпреступники обращались к каждому сотруднику по фамилии, имени и отчеству, формировали индивидуальные письма и учитывали специфику атакуемых организаций.
Похожий случай произошел с дипломатами из стран, некогда входивших в СССР. Вирус «Красный Октябрь» пять лет шпионил за пользователями: в распоряжении хакеров были все пароли и электронные переписки.
Чтобы проникнуть в компьютер, «Красный Октябрь» маскировался под разные рекламные и информационные письма для обеспеченных людей, например, под объявление о продаже автомобиля.
Мы провели проверку в прошлом году, сейчас компьютеры работают нормально
Надежную киберзащиту обеспечивают только регулярные проверки. Ведь заражение может произойти в промышленной инфраструктуре в любую минуту.
Кроме того, вредоносные программы могут существовать на компьютере незаметно. Обычно это программы для шпионажа и удаленного управления. Злоумышленники получают доступ к промышленным системам, не проявляя при этом признаков присутствия.
Например, подобный случай произошел на японской атомной станции «Мондзю» в 2014 году. Специалисты обнаружили многократные подключения к компьютеру для управления ядерным реактором. Вирус проник в систему, когда сотрудник установил бесплатный видеоплеер.
К незаметным заражениям также относят вредоносные программы, живущие в оперативной памяти. Они удаляются при перезагрузке, поэтому киберинцидент могут принять за обычное зависание компьютера из-за множества открытых программ.
Однако до перезагрузки заражение обычно успевает добраться до промышленной сети. Такие заражения хорошо известны с 2001 года, но до сих пор они приносят своим жертвам значительные убытки.
На наших компьютерах уже установлены обычные антивирусы
Традиционные антивирусные программы не учитывают специфику промышленных систем, поэтому не могут в полной мере защитить предприятие. Более того, при определенной конфигурации могут ему даже навредить.
У каждой отрасли свои особенности. Например, для IT-среды в первую очередь важна защита конфиденциальных данных. А у промышленности в приоритете бесперебойная работа, ведь любой сбой может обернуться серьезными убытками.
Выводы и статистика
В первом полугодии 2018 года защитными решениями «Лаборатории Касперского» в системах промышленной автоматизации было обнаружено более 19 400 модификаций вредоносного ПО из 2800 различных семейств.
По-прежнему в подавляющем большинстве случаев попытки заражения компьютеров АСУ ТП носят случайный характер, а не происходят в ходе целевой атаки.
Количество киберинцидентов в АСУ ТП только растет, так же, как и значимость их последствий для бизнеса. Пора уделить им должное внимание.
Как защитить бизнес?
В начале развертывания защитной системы изучается специфика предприятия: структура и рабочие процессы. Такой анализ дает понять, откуда может прийти угроза и как лучше выстроить систему безопасности.
Не менее важный этап — обучение сотрудников. Каждый работник должен знать правила кибербезопасности и понимать, как действовать при обнаружении заражения. Если пренебречь этим шагом, все усилия по усовершенствованию защитной системы будут напрасны: сотрудник может стать слабым звеном в цепи.
Завершающий этап — адаптация технологий и сервисов под особенности предприятия. Набор может отличаться, например, у нефтехимического завода и телекоммуникационной компании. Так или иначе, система должна быть отказоустойчивой и в любое время способной работать в условиях физической изоляции.
Для безопасности промышленных систем у «Лаборатории Касперского» есть несколько решений, которые объединены в портфель Kaspersky Industrial CyberSecurity. В него входят технологии и сервисы для комплексной защиты промышленного сегмента:
агенты для защиты серверов SCADA, панелей HMI, инженерных рабочих станций и станций операторов; система анализа промышленных сетей; тренинги для сотрудников всех уровней промышленного предприятия; сервисы по анализу защищенности предприятия и разбору инцидентов.
Все эти компоненты защитной системы можно организовать по отдельности: запустить обучение, закупить сервисы, ознакомиться с технологиями и методами отражения атаки. Но эффективнее всего использовать единое комплексное решение.
Также читайте
Не витать в облаках: как защитить облачные сервисы от киберугроз
источник: http://cyber.rbc.ru/article2
Оценили 0 человек
0 кармы