Число кибератак на российскую промышленность сократилось, но они стали более хитрыми, изощрёнными и точечными.
За первые 3 месяца 2024 года на 23,6% компьютеров автоматизированных систем управления (АСУ), установленных на российских промышленных предприятиях, были обнаружены и заблокированы вредоносные объекты. При этом если сравнить с I кварталом прошлого года, то интенсивность атак заметно уменьшилась. Тогда этот показатель составил 27,9%, а за весь 2023 год — 34,4%. Об этом "Деловому Петербургу" рассказали аналитики Kaspersky ICS CERT.
Ловят на живца
В некоторых отраслях промышленности России количество атак было выше, чем в среднем по миру. Так, в строительстве этот показатель составил 24,2% против 23,7% по миру. Такая же ситуация наблюдается в инжиниринге и у интеграторов АСУ (27,2% в России против 24% по всему миру). Особенно в России заметен новый тренд — хакеры активно атакуют интеграторов, доверенных партнёров и подрядчиков.
Среди сфер промышленности, которые в России в начале 2024 года хакеры атаковали чаще всего, аналитики отмечают автоматизацию зданий (24,4%), энергетику (24,4%), строительство (24,4%), производство (19,1%) и нефтегазовую отрасль (17,5%).
Кроме того, в I квартале 2024 года под самым пристальным вниманием злоумышленников оказались организации, работающие в сфере биометрии (27,5%), инжиниринга и интеграции АСУ (27,2%).
Самый популярный вид атак — банальный фишинг через фейковые интернет–страницы. За первые 3 месяца 2024 года в России подобные вредоносные интернет–ресурсы были заблокированы на 7,5% компьютеров АСУ. Чаще всего подобные ресурсы злоумышленники используют для распространения вредоносных скриптов и фишинговых страниц.
Вредоносный рейтинг
Инженер департамента информационной безопасности "Имба ИТ" Андрей Ефимов отмечает, что чаще всего злоумышленники используют для атаки на промышленность социальную инженерию и фишинг, а также уязвимости в программном обеспечении и оборудовании.
Эти данные в некоторой степени подтверждают в Positive Technologies. Здесь в первую очередь стоит упомянуть использование вредоносного программного обеспечения (ВПО), так как именно этот метод атаки применялся злоумышленниками в 76% успешных атак в 2023 году, рассказала руководитель исследовательской группы Positive Technologies Ирина Зиновкина.
"В 69% успешных атак с применением ВПО были использованы шифровальщики, каждая пятая атака содержала программное обеспечение для удалённого управления. Кроме того, стоит отметить, что в каждой второй атаке была использована социальная инженерия (53%), а замыкает топ–3 методов атак на промышленные предприятия эксплуатация уязвимостей (32%)", — поясняет она.
Также, по данным Positive Technologies, утечкой конфиденциальной информации закончились 68% процентов успешных атак на организации в сфере промышленности. При этом в 42% случаев это были сведения, составляющие коммерческую тайну, в 36% — персональные данные.
"Zero–Day уязвимости (так называют уязвимости, которые появились недавно и против которых ещё не разработали методов защиты. — Ред.) позволяют им получить несанкционированный доступ до выпуска патча и до того момента, когда будет разработана сигнатура для обнаружения атаки. Атаки на цепочку поставок также становятся всё более распространёнными — когда злоумышленники проникают в системы менее защищённых поставщиков и используют этот доступ для атаки на основное предприятие", — подчёркивает в свою очередь Андрей Ефимов.
"Атакующие всё чаще используют непопулярные фреймворки, что позволяет обходить наиболее распространённые средства защиты. Например, в 2023 году на промышленную компанию была совершена кибератака, получившая название Mysterious Werewolf. Это была фишинговая псевдорассылка от министерства промышленности и торговли РФ, которая содержала заражённые архивы. С их помощью на устройства конечных пользователей устанавливался агент, который запускался каждые 10 минут и блокировал работу", — напоминает директор по развитию продуктов "Нота купол" Мария Зализняк.
Атаки хакеров становятся всё более таргетированными, заметил директор центра компетенций по информационной безопасности "Т1 Интеграция" Виктор Гулевич. "Это могут быть как отдельные организации, так и конкретные сотрудники. В последнем случае атаки методом социальной инженерии проводятся в отношении администраторов АСУ и эксплуатационного персонала, у которого есть привилегии в ПО", — описывает он тактику киберпреступников.
Улучшили гигиену
Большинство опрошенных экспертов подтверждают, что количество атак на промышленность действительно могло уменьшиться в начале текущего года. Для этого имеются вполне объективные основания, так что можно говорить о тенденции, а не о временном явлении.
"В процентном отношении есть тенденция снижения атак. Причин две. Первая — большее внимание к обеспечению информационной безопасности со стороны руководителей реального сектора промышленности существенно влияет на развитие и эффективность защиты. Вторая — реальное импортозамещение заставляет злоумышленников тратить время на поиск решений взлома, а не идти проторённым путём известных им уязвимостей импортного оборудования", — считает директор дирекции кибербезопасности IBS Олег Босенко.
Ведущий эксперт Aktiv.consulting Александр Моисеев, напротив, считает, что само по себе снижение имеет скорее количественный, а не качественный характер. Помимо улучшения информационной безопасности на предприятиях влияет на это повышение уровня осведомлённости сотрудников в вопросах кибергигиены. А также концентрация усилий злоумышленников на более приоритетных целях, к примеру на финансовых организациях, у которых условный путь к выводу денег гораздо короче.
Директор Ideco Дмитрий Хомутов считает, что об уменьшении количества атак на промышленность говорить сложно.
"Скорее можно отметить, что количество массовых атак уменьшилось. Но в то же время наблюдается увеличение таргетированных. Это произошло из–за усиления мер безопасности. Вендоры в свою очередь разрабатывают более эффективные решения для кибербезопасности, специально предназначенные для защиты промышленных предприятий. Они связаны с искусственным интеллектом, машинным обучением и системами обнаружения и реагирования на вторжения (IDS/IPS)", — подчёркивает эксперт.
Шантаж не пройдёт
Андрей Ефимов говорит, что злоумышленников в первую очередь интересует кража коммерческих секретов, патентов, финансовых данных и клиентской базы. Эти данные могут быть использованы для промышленного шпионажа или проданы на чёрном рынке.
Олег Босенко добавляет, что, учитывая характер российской промышленности, вряд ли в случае кибератаки будет идти речь о шантаже или вымогательстве. Такие примеры единичны.
Можно выделить две другие главные цели: срыв или остановка производства, а также хищение критичной информации (производственной и проектной). Это особенно чувствительно, если речь идёт про оборонные предприятия.
Даже если шантаж и применяется, то в данном случае имеет свою, довольно чётко выраженную специфику.
"Наиболее экономически уязвимой для промышленности остаётся остановка производства. Особенно критически важных производств. Таким образом, шантаж может быть выстроен именно на угрозах, связанных с остановкой производства. Но и тут нужно сопоставлять риски, так как высокий сторонний ущерб может привести к более жёсткому наказанию. Что также может являться стоп–фактором для злоумышленников", — объясняет руководитель отдела промышленного интернета вещей UMNO digital Дмитрий Серов.