Кибератаки на промышленность становятся многочисленнее и изобретательнее. Для защиты приходится искать отечественные аналоги импортного программного обеспечения.
Согласно данным "Лаборатории Касперского", среди всех российских государственных и частных структур именно промышленные предприятия чаще всего подвергаются кибератакам. Угрозы разнообразны и могут быть нацелены как на сами компании, так и на их клиентов или посторонних людей, у которых выманивают деньги под видом инвестиций в привлекательные отрасли.
Шифры и фишеры
Аналитики подсчитали, что в первом полугодии 2022–го в 2 раза выросла доля атакованных систем промышленной автоматизации в транспортно–логистической отрасли. На компьютерах, обеспечивающих работу автоматических систем управления (серверы управления, сбора и хранения данных, шлюзы, стационарные и мобильные рабочие станции инженеров и операторов), стали чаще выявлять и блокировать программы–шпионы и ПО для скрытого майнинга криптовалют. Параллельно с этим активизировались фишеры, которые спекулируют на инвестициях в ресурсодобывающие компании. За июль–август 2022 года "Лаборатория Касперского" заблокировала в 5,5 раза больше URL–адресов мошеннических сайтов с ложными обещаниями дохода от инвестиций в природные ресурсы, чем за первые 6 месяцев года суммарно. Всего с января эксперты обнаружили около 3 тыс. подозрительных ресурсов.
Неприятный для промышленности тренд чётко обозначился ещё в прошлом году: тогда на неё было совершено 33% из всех нападений хакеров. Помимо промышленников преступников интересовали государственный сектор (19,35%), финансовые организации (12,9%) и IT–компании (11,83%).
Среди наиболее вероятных угроз называются шифровальщики (программы–вымогатели, шифрующие пользовательские файлы и требующие выкуп за их расшифровку). Также часто совершаются кражи данных, саботаж, DDos–атаки и supply–chain attack (атаки на поставщика и потребителя программного обеспечения).
Внутри периметра
Эксперт Kaspersky ICS CERT Владимир Дащенко отмечает, что у атак на промышленный сектор существуют особенности. "У большинства компаний есть условный внешний IT–сектор, который отвечает за бухгалтерию, делопроизводство, менеджмент. По сути, это классический офис. И есть внутренний периметр — само производство. Туда входит технологическое оборудование, управляющие протоколы, программируемые логические контроллеры и так далее. Кибератаки увеличились по внешнему периметру. То есть нападению подвергается то, что граничит с внешним интернетом. Те же DDos–атаки набили всем оскомину — здесь рост практически на 400%, увеличились также попытки классического bruteforce — атака через перебор паролей", — объясняет он.
Если говорить про атаки на внутренний промышленный периметр, там количество угроз выросло в пределах статистической погрешности. При этом значительная часть проблем связана с человеческим фактором, а не с изобретательностью хакеров. Например, когда операторы во время долгой многочасовой ночной смены подключают личные мобильные телефоны к промышленной связи и заражают промышленный сектор.
Кроме того, уязвимости могут образовываться из–за политики обновления программного обеспечения для IT–части. "Допустим, есть какая–либо установка, которую сделал определённый вендор, то есть там функционируют его собственные контроллеры, SCADA–системы для операторского контроля и т. п. Вендор даёт гарантию на 15 лет на конкретные версии контроллеров, SCADA, операционной системы. Если владелец предприятия начинает самостоятельно устанавливать какие–то обновления, это автоматически снимает гарантию. И получается тупиковая ситуация: для установки обновления нужно запросить у вендора данные о том, были ли протестированы эти обновления в соответствии с этой системой. То же самое касается стороннего программного обеспечения. Можно с точностью сказать, что в промышленных сетях существуют уязвимые версии операционных систем или ПО, но это связано не с тем, что компании относятся к этому безалаберно, а с ограничениями, которые могут быть наложены со стороны вендоров", — рассказал Дащенко.
Однако эта проблема может быть компенсирована средствами защиты, наложенными извне. Если в компании грамотно конфигурированы файерволы и организована парольная политика, сообщение между внутренним и внешним периметрами, эти риски практически нивелируются.
Всё под контролем
На предприятиях Петербурга и Ленинградской области актуальность проблемы киберугроз подтверждают. Но не считают, что это критически угрожает стабильности работы предприятий.
"С фактами атак сталкивались, но успешно с ними справлялись. Этого удалось достичь своевременным применением рекомендуемых средств и мер защиты", — утверждает Антон Холькин, начальник отдела системного администрирования мебельной компании "Ангстрем". При этом о конкретных методах защиты в компании предпочитают не рассказывать, ссылаясь на коммерческую тайну.
В АО "Машиностроительный завод “Армалит”" рассказали "ДП", что на предприятии установлена система обнаружения и предотвращения вторжений, соответствующая требованиям Федеральной службы по техническому и экспортному контролю (ФСТЭК). "Система позволяет осуществлять контроль входящего и исходящего сетевого трафика, идущего через информационную систему, а также сбрасывать соединения или перенастраивать межсетевой экран для блокирования трафика от злоумышленников. Также она позволяет повысить уровень безопасности рабочих мест и сети", — объяснили в пресс–службе завода.
Сейчас там для защиты от внешних вторжений используется межсетевой экран (средство для контроля и фильтрации сетевого трафика) ПАК Cisco Firepower. Но в связи с тем, что американская корпорация объявила о прекращении работы в России, "Армалит" планирует перейти на отечественный аналог. Для этого уже тестируются программно–аппаратные решения производителей, имеющих сертификацию ФСТЭК России, таких как User Gate UTM, Ideco UTM и др.
"За последнее время ощутимого повышения активности киберугроз на предприятии не происходит. Сотрудники отдела информационной безопасности отслеживают возникающие угрозы и своевременно реагируют на инциденты. Периодически предприятие сталкивается с сетевыми атаками типа DoS. Generic.Flood (попытка перегрузить сервер бесконечными входящими запросами, сделав его недоступным для легитимного трафика. — Ред.). Количество срабатываний средств защиты информации в сети — 300–500 в сутки. Большая часть инфицированных объектов выявляется штатными средствами защиты при использовании экспертного и облачного анализа поступающей информации", — добавили в компании.