Цифровая трансформация принесла киберугрозы

Кражи чертежей и угрозы для инфраструктуры. С какими кибератаками сталкивается промышленность и как противостоит им
Unsplash
Unsplash

Цифровая трансформация бизнеса, помимо разнообразных преимуществ, влечет за собой очевидный риск: чем больше программ и цифровых сервисов использует предприятие, тем выше вероятность хакерских атак. С усилением геополитической напряженности их число на российскую промышленность будет расти. И бизнесу предстоит научиться работать в условиях непрерывных и целенаправленных атак, ожидают эксперты по ИТ-безопасности. Выработка эффективных стратегий обеспечения киберустойчивости в условиях растущих цифровых угроз стала темой для дискуссионной сессии промышленно-энергетического форума TNF.

Киберустойчивость российского нефтегазавого сектора регулярно проходит проверку на прочность. Почти треть (32%) отечественных компаний, обладающих критической информационной инфраструктурой (к таким относят в том числе компании энергетики, нефтегазового сектора, транспортные и промышленные. – Прим. «Ведомости. Технологии»), сталкивались с инцидентами безопасности в 2023 г., говорит директор по развитию бизнеса в нефтегазовой и химической промышленности «К2Тех» Игорь Зельдец.

По данным ГК «Солар» (ее сервис мониторинга киберинцидентов Solar JSOC отслеживает 300 крупных компаний), за последние три года российские промышленные предприятия столкнулись почти с 600 000 кибератак. Их пик пришелся на IV квартал 2022 г., а после небольшого спада атаки вновь начали набирать темп.

Почти каждый десятый успешный инцидент (8%) произошел на промышленном предприятии; чаще хакеры атаковали только госсектор, медицинские, финансовые и образовательные организации, следует из отчёта компании Positive Technologies, которая разрабатывает решения для кибербезопасности. По ее подсчетам, результатом 69% атак на промышленные предприятия в 2023 г. стала утечка конфиденциальных данных. Почти половина (48%) киберпреступлений произошла в результате социальной инженерии (психологическое манипулирование людьми, как, например, письма на корпоративный e-mail. – Прим. «Ведомости. Технологии»). Вредоносное программное обеспечение, в том числе шифровальщики, было использовано в 67% инцидентов.

В 2023 г. сервис Solar AURA зафиксировал 420 инцидентов, связанных с утечками конфиденциальной информации российских компаний. А за первые четыре месяца 2024 г. их количество составило 270 (против 128 за тот же период в 2023 г.).

Интенсивность атак на инфраструктуру промышленных предприятий растёт: до 2022 г. количество киберпреступлений увеличивалось в среднем на 20% в год, в последние два года – на 40–50%, утверждает директор практики «Информационная безопасность» интегратора «ТерраЛинк» Евгений Суханов. «Если ранее атаки совершались с целью компрометации информации, похищения данных пользователей или других конфиденциальных данных и дальнейшей их продажи на черном рынке либо же с целью требования выкупа, то сейчас внимание хакеров обращено на инфраструктуру промышленных предприятий. Цель – вывести из строя конкретное производство, чтобы оно одномоментно несло финансовые потери и остановило технологический процесс», – говорит Суханов.

Контрагенты под прицелом вымогателей

Хакеры-вымогатели, требующие выкупа за разблокировку данных или систем, – одна из главных опасностей для киберустойчивости промышленного сектора, утверждает директор центра промышленной безопасности компании «Информзащита» Дмитрий Рычков. По данным «Информзащиты», около 17% всех киберпреступлений с помощью программ-вымогателей приходится именно на промышленные предприятия, и это самый большой процент среди всех отраслей экономики. В первом полугодии ущерб от таких киберпреступлений в России вырос примерно на 25%.

Вымогатели проникают в систему компании, шифруют часть данных и требуют деньги за то, чтобы снять блокировку и вернуть доступ к информации компании. «Атаки особенно опасны для предприятий, которые работают по принципу непрерывного цикла. Остановка их работы несет опасность для экономики, жизни и здоровья людей, для функционирования целых населенных пунктов. Именно на это и рассчитывают хакеры», – объясняет Рычков.

В последние годы атакующие выбирают «верхний сегмент» бизнеса – крупные организации, способные заплатить большой выкуп, отмечают эксперты Kaspersky ICS CERT в отчете «Киберугрозы для промышленных предприятий 2024». В качестве примера они приводят атаку на логистическую компанию DP World, атака привела к частичной остановке портов Сиднея, Мельбурна и Брисбена, где оказалось заблокировано около 30 000 контейнеров.

Мишенями для преступлений зачастую становятся дочерние компании крупных предприятий, связанных единой корпоративной сетью и инфраструктурой с материнским холдингом, рассказывает Суханов из «Терра Линк». Внедряя вредоносное ПО в систему «дочки», хакеры могут получить доступ к IT-инфраструктуре головной компании, чтобы затем попытаться повлиять изнутри на процессы в ней. «Поэтому важно иметь качественную защиту от киберугроз, рассчитанную на весь контур холдинга, безотносительно к отрасли основного предприятия. Компрометация цепочек поставок – главный вектор атак на сегодняшний день в отрасли», – уверен Суханов.

Для крупных промышленных компаний растет опасность атак через контрагентов и подрядчиков, которые часто относятся к сегменту малого и среднего бизнеса, подтверждает Владимир Карпенко, руководитель направления Enterprise «МТС Линк». Этот подход позволяет атакующим через одну организацию получить доступ к десяткам компаний-заказчиков, говорит он. «Для обнаружения таких инцидентов нужно больше времени, так как для пострадавшей стороны действия атакующих часто выглядят как легитимные действия подрядной организации», – объясняет Карпенко.

По данным «Лаборатории Касперского», в 2023 г. кибератаки через подрядчиков стали одним из самых распространенных способов проникновения злоумышленников в корпоративную сеть, доля таких инцидентов составила 7%. Чаще всего (в 42% случаев) киберпреступники в 2023 г. использовали уязвимости в публично доступных приложениях: почтовых и веб-серверах, серверах удаленного доступа и т. д. На втором месте (29%) ‒ использование учетных данных пользователей, скомпрометированных методом перебора паролей.

Защита от импортных решений

В 2022 г. российский рынок покинули многие зарубежные поставщики решений для кибербезопасности, а в июне того же года вышел указ президента, который обязал все госструктуры, госкорпорации и субъекты критической информационной инфраструктуры перейти на отечественные решения для информзащиты к 2025 г., напоминает директор по развитию бизнеса «К2 Кибербезопасность» Андрей Заикин.

Почти половина компаний с критической инфраструктурой не успеют выполнить эти требования, говорит он. Эксперт ссылается на данные опроса «К2 Кибербезопасности» (летом 2024 г. она опросила 80 ИТ- и ИБ-директоров крупных компаний), согласно которым 59% компаний не успеют перейти на российское ПО и сервисы. Главной сложностью с выполнением требований законодательства 31% опрошенных назвали нехватку отечественных решений, а 28% ‒ несоответствующее качество. 14% указали на отсутствие бюджета и других ресурсов для перехода, 8% ‒ на нереалистичные сроки, 6% ‒ на неготовность инфраструктуры.

Крупные компании промышленного и нефтегазового сектора развивают защиту от киберугроз параллельно с общей цифровизацией бизнеса и делают цифровой суверенитет и кибербезопасность преимуществами своей цифровой экосистемы. К примеру, «Газпром нефть» взяла курс на цифровизацию всего производства еще в 2018 г. Компания создала единый ситуационный центр ИТ-кластера для мониторинга всех ИТ-систем в режиме реального времени.

У «Татнефти» с 2020 г. также действует единый центр компетенций по ИТ-процессам «Татнефть-Цифровое развитие», который обеспечивает кибербезопасность группы. «Агрессивное давление на системы информационной безопасности группы компаний «Татнефть» значительно возросло, что потребовало очень быстрого обновления систем безопасности, введения новых технологий и отказа от традиционных схем обеспечения информационной безопасности», – пишется на сайте подразделения.

«Большинству компаний (95%) важнее реальная защита от киберугроз, чем простое выполнение требований регуляторов», – рассказывает Заикин. Он называет это трендом на ИБ-осознанность: вместо разрозненных решений в разных ИТ-системах бизнес предпочитает создавать полноценные центры мониторинга кибербезопасности с профессиональной командой и системой для сбора и оперативного анализа информации от всех ИТ-процессов и сервисов.

Как компании защищают данные

«ТерраЛинк», выпускающая ИТ-решения для управления процессами на производстве, чтобы защитить критичные данные от утечек, а систему от взлома, использует однонаправленную передачу данных от машин на производстве в систему управления, утверждает Суханов. Кроме того, по его словам, компания использует только российские сертифицированные решения, отвечающие современным требованиям кибербезопасности. «МТС Линк» хранит данные в защищенных ЦОД на территории России, а также регулярно проводит программу Bug Bounty (награды за обнаружение уязвимостей) и пентесты (тестирование системы на наличие критичных уязвимостей), рассказывает руководитель направления Enterprise «МТС Линк» Владимир Карпенко. Компания входит в реестр операторов персональных данных Роскомнадзора, а её решения ‒ в реестр российского ПО Минцифры.

Российские компании тратят на обеспечение кибербезопасности в среднем 15% от общего ИТ-бюджета, говорится в исследовании Yandex Cloud «Безопасность в облаках и не только» (исследователи опросили 302 специалистов по информбезопасности). Примерно каждая четвёртая компания отметила рост затрат на проекты информационной безопасности в 2023 г. В среднем объем бюджета увеличился на 20%, подсчитали Yandex Cloud, не называя конкретных цифр. По оценкам «Лаборатории Касперского», бюджет на кибербезопасность в небольших организациях в 2022 г. (более поздних оценок нет) составлял $38 000, в крупных компаниях ‒ $375 000.

Дипфейки ждут сигнала

Усложнение политической ситуации по всему миру приведет к тому, что в ближайший год атаки на государственные и промышленные организации будут иметь более разрушительные последствия, а количество инцидентов будет расти, прогнозирует Positive Technologies.

Российские организации столкнутся с увеличением количества высококвалифицированных целевых атак, с ростом числа атак вымогателей и новыми утечками конфиденциальных данных. На теневом рынке распространены объявления о предоставлении различного рода уже готового инструментария для злоумышленников, что приведет к росту количества инцидентов в организациях в 2024 г., пишет Positive Technologies в прогнозе на 2024 г.

Технологии искусственного интеллекта дадут новый толчок развитию социальной инженерии, ожидает Карпенко из «МТС Линк». Преступники, у которых есть образцы голоса или видеозаписей с участием руководителя, могут создавать дипфейки на их основе и с их помощью вводить в заблуждение пользователей, объясняет он. И главным решением называет разъяснительную работу с сотрудниками, чтобы они могли самостоятельно противостоять попыткам взлома.

Промышленность движется в сторону осознанного подхода к информационной безопасности и комплексным проектам по защите данных с применением цифровых технологий, отмечает Зельдец из «К2 Тех» . По его словам, количество проектов по защите автоматизированных систем управления технологическими процессами выросло в 2,5 раза. Абсолютных цифр он не называет. В ближайшем будущем степень защищенности предприятий от атак будет увеличиваться, уверен Зельдец.