Сегодня киберугрозы стали повседневной действительностью. По данным «Лаборатории Касперского», за 2024 год в России было зафиксировано 1 811 562 707 кибератак. Атаковать могут всех: от домохозяйки до министерства. Злоумышленники никогда не обходили стороной промышленные предприятия, объекты инфраструктуры и логистический сектор — те являются привлекательной целью и в финансовом, и в имиджевом плане.
Начиная с 2022 года риски для промышленных предприятий усилились кратно, так как фокус многих кибератак на объекты в России стал носить диверсионный характер. Под этим подразумевается остановка критически важных производств, причинение вреда критической инфраструктуре, нанесение ущерба экономике.
Чтобы подчеркнуть серьезность ситуации — два недавних примера атак на промышленность и логистику в других странах.
В марте кибератака хактивистов на иранские танкеры прервала коммуникации на более чем 100 судах. Была нарушена связь на корабле и спутниковая связь с берегом. Хакеры использовали уязвимости в морских системах спутниковой связи. Они смогли полностью контролировать систему связи, получив учетные данные, полный доступ к корабельным сетям и возможность удаленного выполнения вредоносного кода. Ответственность за атаку взяла на себя иранская антиправительственная группировка «Lab Dookhtegan». Эта атака показывает, что суда — это отличные мишени в кибервойне.
Кибератака на британского поставщика решений для отслеживания транспортных средств Microlise отключила системы отслеживания автомобилей и затронула, в частности, курьерские автомобили DHL м тюремные фургоны. В итоге Serco перевозила заключенных без отслеживания местоположения и уведомления о прибытии, а водители DHL потеряли доступ к геопозиции и не могли получать уведомления.
Далеко не все успешные кибератаки становятся достоянием общественности.
В свою очередь, диверсионный характер действий политически мотивированных хакеров может спровоцировать настоящие техногенные катастрофы. Например, химические заводы, нефтеперерабатывающие комплексы и сельскохозяйственные предприятия применяют ядохимикаты, токсичные и агрессивные химических соединения — такие как аммиак, хлор, кислоты и щелочи. Есть те, работа которых связана с производством, использованием, хранением и транспортировкой горючих материалов и взрывчатых веществ. Аварии на плотинах и гидроэлектростанциях могут привести к масштабному затоплению территорий. Стоит ли упоминать объекты вроде АЭС?
В реальном секторе производственный цикл управляется через АСУ ТП — автоматизированные системы управления технологическими процессами. Это комплекс технических и программных средств для автоматизации. Они обеспечивают сбор, обработку и передачу данных, управление оборудованием, выполняют контроль технологических операций реальном времени.
Что мы знаем про защиту промышленных предприятий?
Экспертно-аналитический центр InfoWatch провел два интересных исследования про защиту АСУ ТП.
Первое — «Тенденции развития киберинцидентов АСУ ТП за 2024 год». В нем — распределение киберинцидентов по векторам атак, преступным группировкам и отраслям, анализ инцидентов с устройствами АСУ ТП и приоритеты атак различных группировок.
Второй — «Тенденции в сфере обеспечения информационной безопасности АСУ ТП, 2024–2025 годы». В отчете говорится о применяемых технологиях, даны прогнозы роста сегментов, стратегии улучшения ИБ предприятий, отраслевые расходы на ИБ АСУ ТП и приведен сравнительный анализ российского и мирового рынков ИБ АСУ ТП.
Оба отчета базируются на большом наборе открытых данных. Источниками стали:
160 вендоров ИБ АСУ ТП;
32 аналитические и консалтинговые компании;
43 промышленные ассоциации;
65 информагентств в сфере ИТ и технологий.
Как в точности строится ИБ-защита предприятий мы не знаем — информация закрытая. Однако объем данных из разных источников, включая российские и зарубежные, позволяет посмотреть на ситуацию с разных сторон и сформировать реалистичную картину. К тому же нас больше интересуют не цифры статистики и тенденции — какие объекты и как атакуют злоумышленники.
Вооружившись данными двух исследований, давайте взглянем на ситуацию с киберзащищенностью АСУ ТП в России и мире.
Рост числа атак
Количество атак на АСУ ТП в последние годы выросло в разы. Об этом свидетельствуют данные из базы инцидентов АСУ ТП ГК InfoWatch и других исследований, в частности Waterfall.
Рост атак застал врасплох многие промышленные предприятия. К такому мало кто был готов, хотя авторитетные прогнозы роста ИБ-угроз публиковались уже 10-15 лет назад.
В России рост количества киберинцидентов АСУ ТП составил 160% за последние два года и значительно превышает общемировой показатель за тот же период — 17%.
Ключевые тенденции 2024:
Фокус на машиностроительных предприятиях и предприятиях пищевой, фармацевтической, химической промышленности, нефтегаза и металлургии.
Рост использования вредоносного ПО, как услуги: RaaS программ-вымогателей как услуги, DDoS-атак как услуги. Грубо говоря, это хакерство на аутсорс и приобретение ОЕМ-решений.
Киберпреступниками больше используют ИИ и ML.
Использование тактики двойного вымогательства, заключающегося в шифровании и краже данных.
Рост многовекторных атак, мощности и продолжительности атак.
Кого атакуют и с какими целями
Экспертно-аналитический центр InfoWatch приводит результаты анализа инцидентов на АСУ ТП за прошедшие пять лет. Изучение в этот отрезок времени позволяет сделать вывод о росте атак как на машиностроение, так и на процессное производство, в первую очередь — пищевую промышленность, нефтеперерабатывающую и нефтехимическую промышленность, металлургию, фармацевтику. Заметно вырос рост атак на энергетику, что связано с усилением геополитической напряженности.
Ситуация в мире привела к увеличению активности взломов хактивистами и APT-группировками.
Хактивисты
От слов «хакер» и «активист» — это злоумышленники, которые используют методы хакерства для продвижения политических, социальных или идеологических целей. Хактивизм может быть направлен против государств, корпораций, правительств или других организаций, которые, по мнению хактивистов, ведут себя неправильно или несправедливо. Известные группы хактивистов включают Anonymous и LulzSec.
Наиболее привлекательными для киберпреступников являются распределенные структуры – энергетические, транспортные, а также компании с удаленными площадками. Почему именно удаленные площадки становятся лакомой целью злоумышленников поговорим позже.
Отрасль |
Цели атак |
Результат атак |
Машиностроение |
Системы безопасности, развертывания IIoT, цеха, контроллеры сборочных линий, ЧМИ, системы мониторинга, ПЛК, DCS, преобразователи протоколов и полевые устройства, системы связи, контроллеры, системы технического обслуживания вооружения, SCADA, системы, подключенные к мониторингу ситуации, системы вооружения, военно-морские суда, радары, системы питания и очистки воды, системы определения местоположения, навигации и синхронизации (PNT). |
Кража данных, выкуп, крупномасштабные сбои, изменение параметров безопасности, нарушение управления, сбои в работе систем обнаружения, нарушение передачи информации о местоположении и навигации. |
Процессное производство |
Сборочные линии, контроллеры производственных систем и ЧМИ, лабораторная информация, система управления, системы упаковки, лабораторные системы менеджмента качества (LQMS). |
Нарушение производства критически важных компонентов, кража данных, манипулирование технологиями производства, кража денег, сбои в работе, кража запатентованных технологий и последовательности производства. |
Энергетика |
ЧМИ, SCADA, системы управления на различных уровнях и системы мониторинга, системы релейного распределения сетевых функций системы управления (DMS) и дистанционного управления терминальные устройства, измерители мощности, счетчики энергии, системы мониторинга турбин, DCS, системы электрораспределения, система сбора данных, системы ядерного охлаждения. |
Кража данных, манипулирование счетами, отключение электрической подстанции, повреждение энергосистемы, неконтролируемые реакции на атомных станциях. |
Транспорт |
Телематика и GPS-навигация, инфраструктура для зарядки электромобилей, ПО, используемое для отслеживания и управления транспортными средствами и грузами, платформы, обеспечивающие сквозную визуализацию отправлений. Системы, идентифицирующие по номерным знакам, ПО и системы, управляющие работой аэропортов, расписанием рейсов и безопасностью, ПО, используемое для управления запасами и оптимизации движения товаров, аналитические платформы, которые поддерживают принятие решений в сфере транспорта. |
Атаки программ-вымогателей, пиратство, манипулирование сетью видеонаблюдения, манипулирование данными AIS или ECDIS, приводящее к столкновению и ложным сигналам бедствия, нарушение связи. |
На что направлены атаки
Абсолютные данные количества киберинцидентов АСУ ТП в России ЭАЦ InfoWatch не приводит. Это связано с закрытостью большинства киберинцидентов в сфере операционных технологий, как на корпоративном, так и на государственном уровнях.
Тем не менее, собранная информация интересна в пропорциональных долях. По наблюдениям аналитиков, киберпреступники атакуют:
SCADA-системы (система диспетчерского управления и сбора данных) и ЧМИ (человеко-машинные интерфейсы) — 31% атак;
АРМы (автоматизированные рабочие станции) — 30%;
ПЛК (программируемые логические контроллеры) — 21%;
Приводы — 18%.
Это обусловлено большим комплексным эффектом при атаке на SCADA-сервера или инженерных рабочих станций.
Как показывает мировая практика, процессы подготовки к отражению кибератак в различных сегментах информационных и операционных технологий существенно различаются. Меньше всего тестируются на взлом устройства, подключенные к сети Интернет, и устройства уровня физических процессов — датчики, приводы, исполнительные механизмы. Об этом свидетельствуют различные опросы их пользователей.
Среди причин — к устройствам АСУ ТП приковано меньше внимания в тестировании на взлом, особенно в сравнении с основной корпоративной ИТ-инфраструктурой. Как правило, тестируют верхний уровень АСУ ТП — SCADA-системы, ЧМИ, а вот нижний уровень часто остается без внимания.
Наиболее уязвимы устройства на удаленных площадках. Оборудование на удаленных площадках может иметь менее строгий мониторинг и контроль доступа по сравнению с центральными офисами или более защищенными объектами. При этом именно удаленные объекты могут иметь прямое отношение к критическим узлам и механизмам.
Риск усугубляется в случае их подключения по беспроводной сети. Опасения справедливы также для расположенных на удаленных площадках ПЛК и терминальных блоков.
Значительная опасность для систем исходит от неуправляемых устройств и устройств без установленных агентов. Такие устройства часто не имеют даже базовых средств защиты и мониторинга. К ним относятся, например, системы кондиционирования и бесперебойного питания. Каждое неуправляемое устройство взаимодействует с несколькими другими устройствами, что увеличивает риск бокового перемещения. Значительное количество безагентных устройств встречается среди ПЛК.
Боковое перемещение
Lateral movement — техника, используемая хакерами для постепенного продвижения от взломанной точки входа к остальной части сети в поисках конфиденциальных данных.
За прошедшее пятилетие можно наблюдать существенное изменение предпочтений начального вектора взлома киберпреступниками, атакующими АСУ ТП. С фишинга и зараженных USB-устройств внимание злоумышленников переключилось на компрометацию учетных данных, атаки на устройства, подключенные к Интернет, и цепочки поставок.
Неуправляемые устройства, «невидимые» устройства, а также девайсы с большим количеством уязвимостей, небезопасное удаленное подключение, риски, связанные с устройствами, подключенными к Интернету — это самая большая «головная боль» ИБшников промпредприятий.
Кто стоит за атаками
Цифровизация производства при сохранении значительного количества промышленных устройств с уязвимостями, неуправляемых, без возможности мониторинга, привлекают к атакам на АСУ ТП все больше разнообразных киберпреступных группировок.
Нельзя сказать, что сегмент АСУ ТП был в безопасности раньше. В прежние годы он был под прицелом от прогосударственных хакерских групп, цель которых шпионаж, кража информации, оценка возможности диверсий в случае роста напряжения между странами. Конечно, этот сегмент всегда интересовал киберпреступников с точки зрения получения выкупа. С ухудшением геополитической обстановки в мире сегмент АСУ ТП заинтересовал также группы хактивистов.
Количество APT-группировок, нацеленных на системы АСУ ТП, увеличивается ежегодно.
APT-группировки
От advanced persistent threat (APT, постоянная серьезная угроза) — термин кибербезопасности, означающий злоумышленников, обладающих современным уровнем специальных знаний и значительными ресурсами, которые позволяют им создавать целенаправленную угрозу опасных кибератак на определенные объекты.
Наблюдается расширение деятельности хактивистов — вместе с DDoS-атаками и взломами веб-сайтов, они включают в свой арсенал атаки на АСУ ТП.
Хактивисты не гнушаются использованием программ-вымогателей — несмотря на приоритет в подрыве функционирования систем предприятия, финансовый элемент также становится для них важен.
В отраслевом плане ситуация практически противоположная хакерам вымогателям. Атаки на производство занимают лишь малую долю, тогда как нарушение функционирования инфраструктуры — энергетической, транспортной — всегда в приоритете.
Приведенный в исследованиях ЭАЦ InfoWatch анализ атак различных типов группировок по отраслям за прошедшие пять лет позволяет отметить устойчивые интересы:
вымогателей — к промышленности и транспорту;
хактивистов — к энергетике и транспорту;
APT-группировок — к энергетике и промышленности.
APT-группировки продолжат атаки с целью шпионажа, взлома предприятий критической инфраструктуры с прицелом на возможные конфликты в будущем.
У хактивистов, осознавших возможности и суммы, которые они могут получать, будет расти финансовый интерес. Деньги нравятся всем — безотносительно идейно-политических пристрастий. Они будут увеличивать количество атак, включая не только политические и экологические, но и финансовые требования.
Чем и как атакуют
Технологически программы-вымогатели стали применять более сложные алгоритмы шифрования, улучшенные методы бокового перемещения внутри сетей и более эффективные механизмы уклонения от обнаружения.
Методы проникновения совершенствуются в сторону модульности и универсальности. Вредоносное ПО разрабатывается специально под АСУ ТП.
Основные уязвимости сетей промышленных предприятий:
слабая сегментация сетей — отсутствие разделения корпоративными и промышленными сетями;
аутентификация домена, охватывающая ИТ и АСУ ТП;
плохой мониторинг и видимость устройств АСУ ТП;
неуправляемые устройства, о которых говорилось выше.
Программы-вымогатели по-прежнему представляют серьезную угрозу для машиностроения, процессного производства, энергетики и транспорта. Отмечаются схожести программ-вымогателей высшего уровня, которые получают или используют уязвимости в общедоступных устройствах или ПО.
С точки зрения методов проникновения в промышленную сеть предприятий, отмечается фокус на использовании удаленных инструментов и сервисов. На них пришлось 50% при атаках вымогателей. В частности, для обеспечения первоначального проникновения в сети жертв, используются уязвимости устройств и систем создания защищенных каналов связи (VPN), уязвимости в гипервизорах систем виртуализации и протоколов доступа к удаленному рабочему столу (RDP).
Помимо использования уязвимостей сервисов удаленного доступа, группы программ-вымогателей активно используют стратегию LotL.
LotL
Living off the land — питание подножным кормом — тип кибератаки, когда злоумышленник использует легитимные программы и функции для выполнения вредоносных действий.
Киберпреступники также активно продолжают использовать тактику, основанную на компрометации учетных данных, инструменты для обхода систем с многофакторной аутентификацией.
ЭАЦ InfoWatch отмечает, что за последние несколько лет трендами в инцидентах с АСУ ТП стали вторжения:
через инфраструктуру облачных сервис-провайдеров;
из-за скомпрометированных учетных записей пользователей;
с сайтов компаний и внешних сайтов;
через сети Wi-Fi.
Количество атак через зараженные съемные носители уменьшилось — отчасти это связано со снижением их распространения. Зато количество атак через электронную почту остается неизменным.
Человеческий фактор
Ключевым препятствием к более эффективному реагированию на киберугрозы является человеческий фактор — как в мире, так и в России.
Об этом говорится в одном из иных исследований ЭАЦ InfoWatch — «Причины утечек информации, представления о рисках и направлениях угроз». Указано, что чаще всего утечки происходят из-за невнимательности персонала и ошибок технических специалистов.
Не стоит забывать и про «агента внутри» — имея преступный умысел, сотрудник компании может нанести ощутимый вред.
В последнее время растет риск гибридных атак — когда к киберинциденту приводят совместные действия внутренних и внешних нарушителей.
Чем защититься
По приведенным специалистами ЭАЦ InfoWatch данным, самый эффективный инструмент в защите АСУ ТП — межсетевые экраны.
Сегодня в мире межсетевые экраны находятся в абсолютном фаворе. Большинство организаций для защиты АСУ ТП используют промышленные межсетевые экраны и межсетевые экраны нового поколения (NGFW), плюс пассивные средства обнаружения вторжений. Ряд компаний использует активные средства предотвращения вторжений, «песочницы» и однонаправленные шлюзы.
Для повышения защиты операторы АСУ ТП стремятся взять под контроль «зоопарк» технологий — провести инвентаризацию активов и систематизировать управление ими. Проводится сегментация — разбивка на сегменты корпоративной и промышленной сети. В них интегрируются современные системы управления уязвимостями и системы обнаружения и предотвращения угроз.
Выделенные центры мониторинга и реагирования на инциденты информационной безопасности (SOC) для АСУ ТП играют жизненно важную роль в защите критически важной инфраструктуры от киберугроз. Специализированные команды более эффективно отслеживают, анализируют и реагируют на кибератаки, направленные против промышленных систем управления, систем диспетчерского контроля и сбора данных (SCADA) и инфраструктуры промышленных сетей.
Тем не менее, лишь каждая десятая компания в мире имеет выделенный для АСУ ТП SOC, большая часть из имеющих SOC компаний используют его как для корпоративной (общей), так и промышленной сетей.
Заключение
Применение новых технологий в промышленности — ИИ, промышленного интернета вещей, облачных технологий, роботизации — открывает организациям как новые возможности, так и новые риски. Это приводит к росту спроса на ИБ-технологии, а также расширению их спектра.
Помимо технического ИБ-перевооружения, важная роль в обеспечении безопасности АСУ ТП отводится организационным мерам по внедрению стратегий и программ обеспечения кибербезопасности. Информирование, обучение, постоянное повышение квалификации персоналом, контроль цепочек поставок. Государству, бизнесу и промышленности важно слышать друг друга, обмениваться информацией и налаживать эффективное взаимодействие. Законодательное регулирование не должно идти в отрыве от внедрения технических мер защиты, и наоборот.
DDoS-атаки сменяются угрозой со стороны APT-группировок, которые длительно и целенаправленно отслеживают свои цели, готовят сложные атаки. Такие атаки могут включать инсайдерскую работу — когда внешним хакерам помогает внутренний агент. Последствия подобных атак особенно разрушительны.
Злоумышленники постоянно повышают свои компетенции и усиливают напор, а ставки растут. Это происходит независимо от их мотивации — политической или финансовой, тем более что жесткой привязки хакера через мотивацию нет. Вчерашний хактивист может переключиться на заработок через вымогательство или поменять идейные пристрастия.
Таким образом, вопрос защиты АСУ ТП в каждой стране требует комплексного подхода, который включает технические меры защиты, организационные мероприятия, повышение квалификации кадров и рост осведомленности персонала о реальных киберугрозах. Инвестиции в киберзащиту будут только расти.
zoomdv
Отличная статья, структурированное изложение с указанием отраслевых рисков. Огромное спасибо !