Почему промышленность оказалась в центре внимания киберзлоумышленников
И как компании могут защититься от киберугрозВо II квартале 2024 г. жертвы кибератак со всего мира в сфере промышленности публично подтвердили 35 инцидентов, на 16% больше, чем кварталом ранее, подсчитали аналитики Kaspersky ICS CERT, центра исследования безопасности промышленных систем и реагирования на инциденты информационной безопасности (данные опубликованы восьмого ноября 2024 г.). Большинство атакованных ‒ производственные предприятия из разных отраслей промышленности, отмечают эксперты Kaspersky ICS CERT.
Для России эта проблема также актуальна. По данным Национального координационного центра по компьютерным инцидентам (НКЦКИ), в 2023 г. количество атак на объекты критической информационной инфраструктуры увеличилось на 16% ‒ до 65 000. В топ-три векторов атак ‒ так называют действие, технологию или посредника, с помощью которого злоумышленники атакуют цель, ‒ входит эксплуатация уязвимостей на периметре. Уязвимые ресурсы есть, по данным НКЦКИ, в инфраструктуре трети организаций.
Развитие технологий, автоматизация процессов и интернет вещей не только позволяют модернизировать производство, но и несут определенные киберриски, отмечает Владимир Дащенко, эксперт Kaspersky ICS CERT.
Для России серьезная проблема также в том, что некоторые компьютеры, входящие в автоматизированные системы управления предприятий, имеют прямой доступ в интернет, отмечает он. И одним из самых распространенных способов реализации атак здесь уже долгое время является фишинг. Примером может служить атака якобы от имени крупной логистической компании, говорится на сайте «Лаборатории Касперского». Злоумышленники летом 2024 г. отправляли письма в компании из разных стран с сообщениями о запланированной доставке товара. К письму прилагались документы, при открытии которых человека автоматически перенаправляли на фишинговую страницу. Там для просмотра конфиденциальных документов его просили пройти авторизацию, введя логин и пароль от корпоративной почты. Так злоумышленники получали доступ к конфиденциальным корпоративным сведениям. В июле о письмах злоумышленников якобы от лица Минэнерго предупреждал НКЦКИ.
Среди других проблем кибербезопасности в промышленности Дащенко называет отсутствие надлежащих средств защиты или их неправильную настройку, отсутствие своевременных обновлений ПО, с помощью которых разработчики закрывают уязвимости, а также человеческий фактор.
Почему именно промышленность
В промышленном секторе многие предприятия не успевают обновлять свои системы безопасности или сталкиваются с проблемами с точки зрения мониторинга кибератак, говорили эксперты. А возросший уровень цифровизации увеличивает количество точек доступа для злоумышленников. Например, некоторые производители устройств интернета вещей до сих пор используют серийные номера для генерации ключей шифрования и аутентификационных данных, что упрощает подготовку атак на эти устройства, приводили пример эксперты Kaspersky ICS CERT.
Атаки могут привести к серьезным последствиям: от утечки конфиденциальной информации до остановки производственных процессов, что влечет за собой финансовые потери и репутационные риски, отмечает Дащенко. Например, немецкий производитель сельскохозяйственной техники Lemken 11 мая подвергся кибератаке, она вызвала сбои в производстве и удаленной работе сотрудников, затронув, в частности, обработку заказов на запасные части и производственные процессы на одном из ее заводов. Восстановить работу последнего удалось в самом конце мая, сообщала компания. В июне группа хакеров заблокировала ИТ-системы британского поставщика лабораторных услуг, используя зловредное ПО, и требовала $50 млн выкупа. Эта атака на несколько недель сильно усложнила работу крупным лондонским больницам.
Вымогательство относится к основным типам атак на промышленность, согласно данным Kaspersky ICS CERT. Злоумышленники шифруют данные и требуют значительные суммы за их расшифровку, что может привести к серьезному финансовому ущербу. В топ также входят DDoS-атаки, направленные на отключение сервисов и систем управления. Они могут парализовать производственные процессы и привести к убыткам из-за простоя, отмечают эксперты «Лаборатории Касперского».
В начале ноября 2024 г. французская Schneider Electric сообщила об атаке программы-вымогателя, которая привела к выходу из строя ее ИТ-системы. Ответственность за инцидент взяла на себя группа хакеров HellCat. Злоумышленники пригрозили раскрыть конфиденциальную информацию, если им не заплатят $125 000.
Выкупы хакерам-вымогателям в мире в 2023 г. достигли рекордных $1 млрд, свидетельствуют данные аналитической компании Chainalysis. При этом эксперты «Лаборатории Касперского» считают, что злоумышленники продолжат атаковать организации, способные выплатить значительный выкуп, что будет приводить к перебоям в производстве и поставках.
Слабое звено
Популярность среди хакеров набирают атаки через контрагентов и подрядчиков, отмечал Владимир Карпенко, руководитель направления Enterprise «МТС Линк». По его словам, этот подход позволяет атакующим через одну организацию получить доступ к десяткам компаний-заказчиков, говорил он. «Для обнаружения таких инцидентов нужно больше времени, так как для пострадавшей стороны действия атакующих часто выглядят как легитимные действия подрядной организации», – объяснял Карпенко.
По данным «Лаборатории Касперского», в 2023 г. кибератаки через подрядчиков стали одним из самых распространенных способов проникновения злоумышленников в корпоративную сеть, доля таких инцидентов составила 7%. При этом самым распространенным методом начальной компрометации (в 42% случаев) в 2023 г. остались уязвимости в публично доступных приложениях: почтовых и веб-серверах, серверах удаленного доступа и т. д. На втором месте (29%) ‒ использование учетных данных пользователей, скомпрометированных методом перебора паролей.
Среди актуальных киберугроз в промышленности эксперты «Лаборатории Касперского» выделяют и фишинговые атаки, нацеленные на сотрудников, в результате которых предприятия могут столкнуться с кражей корпоративных учетных данных и несанкционированным доступом к корпоративным ресурсам. Это могут быть таргетированные фишинговые письма, поддельные ресурсы, используя которые злоумышленники пытаются выманить данные у работников организаций.
В августе 2024 г. мобильный оператор «Мегафон» и «Лаборатория Касперского» проанализировали данные тренировочных фишинговых рассылок в российских компаниях и выяснили: в среднем половина сотрудников российского бизнеса открывает письма из сымитированных рассылок, 35% переходят по ссылке, каждый третий из них (10%) вводит свои персональные данные на сторонних ресурсах. При этом в компаниях, которые провели обучение сотрудников, фишинговые письма открывают только 9% из них. За последний год число компаний, которые проводят обучение и тестовые фишинговые рассылки, увеличилось в 2,5 раза, и большая часть из них ‒ представители малого бизнеса, сообщал представитель «Мегафона».
Поэтому, подчеркивают эксперты «Лаборатории Касперского», необходимо особо тщательно подходить к защите критической и промышленной инфраструктуры: медицинских учреждений, производств, финансового сектора, транспортных систем, телекоммуникаций, энергетики, систем водоснабжения и т. д. ‒ в том числе уделять должное внимание повышению цифровой грамотности персонала. Издание TAdviser составило карту российского рынка информационной безопасности, на ней отмечено 230 разработчиков продуктов и поставщиков услуг в этой сфере, актуальных на 2023 г. Согласно этой карте, в России наибольшее число компаний работает в сегменте решений для защиты инфраструктуры, наименьшее ‒ предлагает услуги и сервисы в области информационной безопасности.
Как защищаться
Для защиты от кибератак и их последствий необходимо в первую очередь инвестировать в спецализированную киберзащиту, единодушны эксперты. Предприятия должны делать акцент на модернизации систем безопасности, включая использование современных антивирусных программ и фаерволов, отмечают эксперты «Лаборатории Касперского».
Одним из важнейших пунктов повышения устойчивости компаний к кибератакам они называют регулярное обучение сотрудников ‒ от рядовых до руководителей. И не только в тех вопросах, что касаются умения распознавать фишинговые атаки или внимательно относиться к паролям, но и в том, что сотрудники публикуют в соцсетях, как используют искусственный интеллект в работе, говорит Татьяна Шумайлова, эксперт направления повышения цифровой грамотности Kaspersky Security Awareness (решения для повышения осведомленности и киберграмотности сотрудников). В новых реалиях уровень защищенности компании от киберугроз будет напрямую зависеть и от того, подкован ли персонал в вопросах ИТ-безопасности, считает она.
На российском рынке есть компании, которые предоставляют тренинги для повышения уровня цифровой грамотности, например «Мегафон» и Beeline.
У «Лаборатории Касперского» есть платформа Kaspersky Kaspersky Automated Security Awareness Platform. Она предлагает компаниям интерактивные модули по всем основным темам и понятиям кибербезопасности, инструменты для тестовых фишинговых рассылок, актуальные курсы, в том числе соответствующие требованиям регулятора, и упражнения для закрепления пройденного материала, а также оценку знаний сотрудников.
«Это проактивный подход к обеспечению кибербезопасности, позволяющий сотрудникам получить навыки и знания, необходимые для выявления потенциальных угроз и реагирования на них, ‒ отмечает Шумайлова. ‒ Наши материалы основаны на почти 30-летнем опыте в области кибербезопасности и огромной накопленной базе данных и построены с учетом специфики обучения взрослых».
Программы повышения осведомленности в области кибербезопасности играют важную роль в укреплении общей устойчивости предприятий любого размера, поскольку позволяют всем сотрудникам стать активными защитниками от киберугроз, отмечает Шумайлова. Работники узнают о новых типах кибератак и методах злоумышленников, получают рекомендации по тому, как распознать угрозы и как защититься от них, а также о том, что делать, если допустили ошибку. Сотрудники меняют свое отношение к информационной безопасности, осознают свою роль и ответственность в этой области и ведут себя соответствующим образом. А компании, в свою очередь, снижают риски, защищают свои ценные активы и создают сильную культуру безопасности, которая защищает их бизнес.