Индустрия 4.0

Инфраструктура 91% промышленных компаний открыта для хакерских атак

Эксперты Positive Technologies провели исследование, в рамках которого отметили низкую защищенность компаний промышленного сектора. Вектор атаки для доступа к критически важным системам может быть простым, а потенциальный ущерб — серьезным. Так, получение доступа к системам управления технологическим процессом злоумышленником может привести к остановке производства, выводу из строя промышленного оборудования, порче продукции или аварии.
29 октября 2021

В мае этого года тема киберпреступности потеснила в заголовках СМИ даже проблемы пандемии, а в июне была одной из главных на саммите глав России и США. Виной тому стали две масштабные кибератаки, которые наглядно показали, насколько уязвимы промышленность и критическая инфраструктура.

Сначала группировка DarkSide совершила крупнейшую в истории США успешную кибератаку на нефтяную инфраструктуру. В результате взлома трубопроводной системы Colonial Pipeline на всем Восточном побережье возникла острая нехватка бензина, цены выросли, а президент Джо Байден ввел чрезвычайное положение. Компания выплатила вымогателям $4,4 млн в криптовалюте, а уже в августе сообщила, что DarkSide похитила данные 6 тысяч человек.

В конце мая корпорация JBS — крупнейший в мире производитель мяса — стал жертвой кибервымогателей REvil. Из-за кибератаки компания приостановила производство в Австралии и США, а затем выплатила киберпреступникам выкуп в размере $11 млн, чтобы предотвратить новые потери.

В 2020 году промышленная сфера была второй по популярности у хакеров после госучреждений: по данным Positive Technologies, на нее было направлено 12% атак. В первой половине 2021 ситуация почти не изменилась. Шпионаж и финансовый ущерб — основные киберугрозы для промышленных компаний. В 2020 получение данных было мотивом 84% атак, а финансовая выгода интересовала 36% хакеров.

Опыт Positive Technologies показывает, что уровень защищенности большинства компаний в промышленности очень низок. Согласно нашим исследованиям в 2020 году, в 91% организаций этой сферы внешние злоумышленники могли проникнуть в корпоративную сеть, где в 100% случаев им были доступны учетные данные пользователей и была возможность развить атаку до получения полного контроля над инфраструктурой, а в 69% случаев преступники могли похитить конфиденциальные документы и данные. Еще важнее, что в 75% промышленных компаний экспертам удалось проникнуть в технологический сегмент сети и затем в 56% случаев — получить доступ к системам управления технологическими процессами.

Упрощенная схема сценария реализации рисков ИБ для газораспределительной станции в рамках The Standoff 2021

Последствия кибератак

Промышленность привлекает киберпреступников своими масштабами, влиянием на окружающий мир и жизнь граждан. Из-за кибератаки производство может быть остановлено, качество выпускаемой продукции нарушено, оборудование сломано, продукция или сырье поставляться с перебоями. Техногенная катастрофа, нанесшая вред окружающей среде и человечеству – это также возможный сценарий развития событий после атаки.

В Венесуэле в 2019 масштабная авария на неделю оставила без электричества почти всю страну. Власти обвинили США в кибератаке на энергосистему страны.

В 2020 году из-за обычного шифровальщика, запущенного кибервымогателями в корпоративную сеть автоконцерна Honda, компании пришлось на целый день остановить производство на нескольких заводах

В Хорватии кибератака парализовала работу нефтяной компании INA: программа-вымогатель Clop зашифровала данные на внутренних серверах, что привело к нарушению бизнес-процессов — в частности, INA не могла выставлять счета-фактуры и принимать плату за топливо. В феврале 2021 в США киберпреступник проник в систему водоочистных сооружений небольшого города, а затем изменил и химический состав воды.

После такого вмешательства у компаний уйдет много времени и ресурсов, чтобы возобновить полноценную работу технологических и бизнес-систем, а также предотвратить повторное вторжение.

Важным рубежом защиты от кибератак в технологическом сегменте является мониторинг событий в АСУ ТП. Для этого используются специализированные системы глубокого анализа трафика — промышленные NTA-комплексы (например, такие как PT Industrial Security Incident Manager). Они помогают выявить признаки атаки еще до того, как она была реализована злоумышленниками. Промышленные NTA-системы помогают контролировать небезопасные действия персонала, сторонних подрядчиков (в том числе удаленных), а также проводить расследования происшествий.

Подобные серьезные кибератаки на инфраструктуру промышленности пока редки, ведь это требует высокого уровня квалификации. Главная задача экспертов по информационной безопасности — предотвратить регулярные аварии на производстве. Для этого нужно определить недопустимые для компаний события и гарантировать, что они не произойдут в результате кибератаки.

Результаты анализа защищенности промышленных компаний, выполненного экспертами Positive Technologies

Актуальные киберриски

Наши исследования показывают, что основные проблемы кроются в низкой защищенности как внешнего периметра сети предприятий, так и внутренних – от проникновения в технологическую сеть, в недостатках конфигурации устройств, сегментации сетей и фильтрации трафика, а также в использовании словарных паролей.

Кроме того, в промышленности часто используется устаревшее ПО, а количество уязвимостей в компонентах АСУ ТП неуклонно растет. В 2020 было выявлено на 25% больше уязвимостей, чем в 2019 году, прежде всего в энергетике, на производстве и водоочистных предприятиях. Проблема в том, что обновлять оборудование необходимо во время специального технологического окна, а это всего несколько часов в неделю или даже в месяц.

Вектор атаки на критически важные системы может быть прост. Например, во время анализа защищенности одной промышленной компании наши эксперты сначала проникли в корпоративную сеть и получили максимальные привилегии в домене, а затем собрали необходимую информацию о подключении оборудования и смогли получить доступ в технологическую сеть, используя связанный с сетью АСУ ТП компьютер.

Кибератака на АСУ ТП может привести к масштабным последствиям, однако проверить реализацию недопустимых событий, таких как остановка производства, выход из строя промышленного оборудования или порча продукции в реальной инфраструктуре невозможно. Такая проверка может негативно повлиять на технологические процессы, а значит руководство этого не допустит.

Оценка рисков на киберполигоне

Преодолеть эту проблему позволяет киберполигон. Эксперты по ИБ проводят на киберполигоне контролируемые атаки в реалистичных условиях. Киберучения помогают определить круг недопустимых событий, условия их реализации, а также возможные последствия, не опасаясь нарушить актуальные бизнес-процессы.

Кроме того, в течение всего нескольких дней таких киберучений ИБ-специалисты компаний могут испытать свои навыки и получить неоценимый опыт по выявлению инцидентов и реагированию на них. В реальной жизни на это порой уходят годы.

К примеру, в мае 2021 года на киберполигоне The Standoff команды атакующих испытали на прочность инфраструктуру газораспределительной станции. Условия были приближены к реальным, а защитники ежедневно фиксировали в офисе компании в среднем 32 инцидента.

На киберучениях атакующие смогли за два дня проникнуть в систему управления станции, остановить подачу газа и устроить взрыв. Если бы подобная атака произошла на самом деле, то она могла привести к жертвам. Моделирование этих атак позволило оценить серьезность недостатков в системе защиты компании и наглядно показать, к каким масштабным последствиям могут привести действия злоумышленников в кратчайшие сроки.

Промышленность все больше интересует киберпреступников. Их сценарии усложняются, атаки становятся успешнее, а масштабы последствий — пугающими. Увы, многие организации до сих пор питают иллюзии по поводу своей безопасности, а иногда слепо верят в надежность действующих систем защиты и не проверяют их эффективность. Моделирование рисков ИБ на киберполигоне — это передовое решение для обеспечения результативной кибербезопасности промышленных компаний.