«Лаборатории Касперского» обнародовала результаты статистического анализа атак на АСУ в России в течении первого полугодия 2022 г. По данным компании доля атакованных промышленных систем практические не изменилась — в 1 полугодии этого года вредоносы были обнаружены на 30,2% защищаемых устройств, однако во второй половине прошлого года этот показатель был на уровне 30,0%, а в первой — вообще 39,4%. Причем в феврале и марте даже отмечается спад активности вредоносов в промышленном сегменте. Так что как не старались хактивисты атаковать критическую инфраструктуру РФ у них этого явно не получилось.
Источники угроз
В первом полугодии 2022 процент атакованных компьютеров АСУ вырос только в двух из шести отраслей – нефтегазовой и в автоматизации зданий. В остальных отраслях проценты уменьшились. По проценту компьютеров АСУ, на которых было заблокировано вредоносное ПО, среди исследованных отраслей автоматизация зданий лидирует не только в России, но и в мире в целом. Наблюдаются инциденты, в которых злоумышленники атаковали одновременно и системы автоматизации зданий, и информационные системы расположенных в этих зданиях организаций – к сожалению, далеко не всегда они достаточно надёжно изолированы друг от друга. В нефтегазе процент компьютеров АСУ, на которых было заблокировано вредоносное ПО, уменьшался с 2020 года. Однако в первом полугодии 2022 года он увеличился – и довольно заметно. Причем отрасль вышла на первое место по проценту компьютеров АСУ, на которых были заблокированы вредоносы на съемных носителях и в сетевых папках. А поскольку именно так распространяются черви, то обнаружилось и лидерство отрасли по заражению червями.
Основными источниками угроз для компьютеров АСУ остаются интернет, съемные носители и почтовые клиенты. Технологическая сеть помимо SCADA/OPC/Historian/HMI включает также компьютеры инженеров, разработчиков ПО и администраторов сети. Именно такие пользовательские машины часто используют доступ к интернету, почте и прочим сервисам, одновременно имея доступ к системам АСУ и обладая повышенными привилегиями. Стабильно высокий процент заблокированных интернет и почтовых угроз является следствием сопряжения корпоративной и технологической сетей, а также подключения к интернету компьютеров из технологической сети через сети мобильных операторов (с помощью мобильных телефонов, USB модемов и/или Wi-Fi роутеров с поддержкой 3G/LTE).
«Далеко не все АСУ ТП на самом деле изолированы от интернета, — сетует руководитель ICS CERT «Лаборатории Касперского» Евгений Гончаров. — Вот почему вредоносное ПО часто проникает в технологические сети. Например, корпоративная почта на компьютерах в технологической сети открывает дорогу шпионскому ПО, распространяемому через фишинговые рассылки, часто от одного промышленного предприятия к другому в письмах, замаскированных под корреспонденцию организаций-жертв. Но даже для изолированных от внешнего мира систем угрозы, попавшие с подключённой флешки, более чем актуальны. Нельзя ни игнорировать их, ни гарантированно защититься от них одними лишь организационными мерами. Важно использовать комплексные специализированные защитные решения нового поколения, которые в том числе позволят обеспечить защиту ИТ- и ОТ-сегмента в рамках единой системы ИБ».
Рекомендации
Эксперты «Лаборатории Касперского» рекомендуют соблюдать следующие меры предосторожности: установить на свои АСУ-компьютеры адекватные средства защиты; проверить системы на недоступность для интернет-угроз; использовать средства контроля съемных носителей; обучить сотрудников безопасной работе с почтой; внедрить средства мониторинга и интеллектуального анализа сетевого трафика внутри технологической сети; применять продвинутые средства защиты, реагирования на инциденты и расследования (EDR/XDR), не пренебрегая сервсиами Threat Intelligence. Все они как минимум помогут обнаружить попытки проникновения в промышленный сегмент, а в лучшем случае и заблокируют угрозу. В конце концов именно такие заблокированные угрозы и анализировались в отчете «Лаборатории Касперского».
