Индустрия 4.0

Промышленность под угрозой

Промышленные предприятия уязвимы для кибератак: по итогам 2020-го число инцидентов в этом секторе увеличилось на 91%, доля хакинга относительно показателя 2019 года выросла в 2,6 раза, а шифровальщики стали основным вредоносным ПО в атаках.
26 июля 2021
Автор:

Проведя анализ инцидентов кибербезопасности за 2020 год, мы выяснили, что сегодня промышленность является одной из наиболее атакуемых отраслей (второе место после госучреждений). И если недавно проблема кибербезопасности промышленных предприятий носила умозрительный характер, сейчас она приобрела реальные очертания: были зафиксированы атаки на объекты критической информационной инфраструктуры (КИИ), например, приводившие к отключению электроэнергии, и попытки атак на системы водоснабжения. А это уже угрозы, выходящие за рамки финансового ущерба и потери репутации. 

Яна Юракова, аналитик Positive Technologies
Яна Юракова, аналитик Positive Technologies

Промышленность под прицелом злоумышленников 

Количество атак на промышленность увеличилось почти в два раза по сравнению с 2019 годом: прирост составил 91%. Особенно велика их опасность для предприятий, эксплуатирующих объекты критически важной инфраструктуры. 

positive technologies

В основном эту отрасль атаковали операторы программ-вымогателей, в частности, RansomExx, Netwalker, Clop, Maze, Ragnar Locker, LockBit, DoppelPaymer, Snake. Последний из них перед началом шифрования удаляет теневые копии, а также имеет функции, которые позволяют принудительно остановить процессы, связанные с АСУ ТП. Из-за атак некоторые компании, например, Huber+Suhner и Honda, были вынуждены приостановить производство. 

Интерес шифровальщиков спровоцировал и увеличение доли атак, мотивом которых была финансовая выгода, до 36% (на 26 п. п больше, чем в 2019 году). Еще одна деталь — увеличение доли атак с применением хакинга в 2,6 раза по сравнению с 2019 годом. 

positive technologies

Активность APT-группировок продолжает расти 

На промышленность нацелены и многие APT-группировки. К примеру, в III квартале прошлого года была обнаружена группировка TinyScouts, которая атакует российские предприятия в сфере энергетики. Для стран СНГ остаются актуальными атаки группировки RTM: за 2020 год эксперты PT Expert Security Center выявили более 100 фишинговых рассылок. 

Реализация рисков в промышленной отрасли влечет за собой глобальные последствия. Например, в ходе атаки на инфраструктуру водоснабжения и канализации в Израиле хакеры планировали изменить концентрацию хлора в подаваемой в жилые дома воде, что привело бы к массовому отравлению, а инцидент с отключением электроэнергии из-за кибератаки в Индии сказался на работе фондовой биржи, больниц и транспортной системы нескольких городов. 

Как противостоять угрозам 

Предугадать возможность реализации самых страшных рисков и оценить масштаб последствий на объектах критически значимой инфраструктуры сложно, поскольку даже самые опытные специалисты не могут дать гарантию, что все предусмотренные защитные механизмы сработают как нужно. Для адекватной оценки актуальных рисков предприятиям недостаточно тестов на проникновение, потому что на реальной инфраструктуре сбоев в работе допустить нельзя. Оптимальное решение — проверка рисков на киберполигоне, где есть возможность смоделировать атаки без ущерба для инфраструктуры, узнать, сработают ли механизмы защиты и успеет ли команда специалистов по безопасности вовремя увидеть инцидент и предотвратить его развитие. 

positive technologies

Чтобы обеспечить защиту на предприятии, в первую очередь необходимо контролировать безопасность систем: 

  • своевременно обновлять используемое ПО по мере выхода патчей; 
    Количество атак на промышленность
    Количество атак на промышленность
  • контролировать появление небезопасных ресурсов на периметре сети, регулярно проводить инвентаризацию ресурсов, доступных для подключения из интернета и анализировать защищенность таких ресурсов; 
  • обеспечить эффективную сегментацию сети, технологическая сеть должна быть строго отделена от корпоративных информационных систем и внешних сетей;

    Методы атак на промышленность
  • использовать современные решения для выявления атак, в том числе web application firewall, средства анализа сетевого трафика, песочницы, SIEM-системы; 
  • мониторить и анализировать трафик сетей АСУ ТП с помощью специальных систем – например, PT Industrial Security Incident Manager (PT ISIM) обнаруживает следы нарушений информационной безопасности в сетях АСУ ТП, помогает на ранней стадии выявлять кибератаки, активность вредоносного ПО и неавторизованные действия персонала, в том числе злоумышленные; 
  • определить ключевые системы, компрометация которых может привести к реализации недопустимых рисков, и в первую очередь обеспечить защищенность таких систем.