Алексей Петухов, руководитель Kaspersky Industrial CyberSecurity в России
В первой половине 2018 года доля атак на компьютеры автоматизированных систем управления (АСУ) технологическим процессом в России составила 44,7%, а в мире — 41,2% (выросла на 3,5 п.п.). Россия вошла в топ-20 стран по проценту атакованных компьютеров АСУ ТП. В целом доля атакованных компьютеров АСУ растет, что связано с общим повышением вредоносной активности и увеличением цифровизации предприятий. Различным организациям важно помнить: отсутствие подключения устройств к сети вовсе не гарантирует их защищенности от киберугроз. Исследования «Лаборатории Касперского» показывают, что злоумышленники могут успешно атаковать множество промышленных компаний, даже используя простые техники атаки, известное вредоносное ПО, фишинговые письма, а также методы социальной инженерии и сокрытия вредоносного кода в системе. В этом году мы зафиксировали волну фишинговых писем с вредоносными вложениями, нацеленных преимущественно на промышленные компании в России. Вредоносная программа, используемая в атаках, устанавливала в систему легитимное ПО для удаленного администрирования, которое позволяло злоумышленникам получать удаленный контроль над атакованными системами. Также были предотвращены множественные попытки атак с использованием RAT (программ для удаленного администрирования) в технологических сетях компаний. В основном они были направлены на технологическую сеть автомобилестроительной или сервисной компании, в частности на компьютеры, предназначенные для диагностики двигателей и бортовых систем грузовиков и тяжелой техники. Потенциальный ущерб от кибератаки на промышленную инфраструктуру может быть грандиозным. Показательна статистика за 2017 год, согласно которой средние затраты для компаний, столкнувшихся с киберинцидентом, составили $347,6 млн. Очень интенсивно растет список уязвимостей, найденных в решениях для промышленного IoT, и пока нет эталонов его безопасной архитектуры. Атаки, связанные с IIoT, можно разделить на группы. Первая — когда объекты промышленного интернета являются инструментом атаки. Например, с их помощью организуется DDoS-атака или проникновение в периметр предприятия. Вторая — когда атаки направлены на сами объекты промышленного интернета вещей. В первом случае принципиальных отличий атак, связанных с IIoT, по сравнению с атаками, использующими принтеры или другие устройства на предприятии, нет. А вот второй случай, когда атакуют холодильные камеры в мясокомбинате, датчики давления на нефтеперерабатывающем заводе или на датчики системы мониторинга транспортных потоков города, последствия могут быть значительными как для предприятия (порча продукции, потеря денег из-за неплановой остановки оборудования), так и для целого города или региона (автомобильные пробки, ДТП) В целом интерес киберпреступников к промышленным компаниям можно объяснить тем, что информационной безопасности компьютеров АСУ не всегда уделяется должное внимание. Существует ошибочное мнение о том, что отсутствие подключения устройств к интернету гарантирует их защищенность от киберугроз. Существуют базовые меры кибербезопасности. В первую очередь промышленным компаниям следует защитить все узлы промышленной сети от вредоносных атак при помощи средств антивирусной защиты. Необходимо настроить правила сетевых экранов на границе технологической сети, защиту от спамовых и фишинговых рассылок на границе и внутри корпоративной сети, антивирусную защиту на периметре сети организации и контроль обращения к вредоносным и потенциально опасным интернет-ресурсом. Средства удаленного администрирования, поставляемые вместе с ПО АСУ ТП, следует отключить, если в их использовании нет производственной необходимости. Следует также провести аудит использования прочего ПО в технологической сети, которое существенно увеличивает поверхность атаки на АСУ, обеспечить безопасное и надежное резервное копирование и восстановление работоспособности узлов и сетевой инфраструктуры предприятия. Важно также уделить внимание повышению осведомленность персонала о киберугрозах и методах борьбы с ними.