В минувшем году хакеры с удвоенной силой пытались взламывать инфраструктуру заводов и крупных производств. В 2024 году центр противодействия кибератакам Solar JSOC зафиксировал более 110 тыс. киберинцидентов на промышленных предприятиях. Треть из них была связана с попытками использования разного рода вредоносного программного обеспечения (ПО), сообщили «Про Металлу» в пресс-службе группы компаний «Солар». В лаборатории «Касперского» наблюдают рост таргетированных атак и большую активность со стороны «хактивистов». Злоумышленники активно ищут уязвимости, причём необязательно для получения финансовой выгоды. Часто хакеры работают для проявления своей политической позиции. Для такой активности даже придумали специальный термин «хактивизм». Как правило, такие группировки программистов работают на агентов из недружественных стран.
Что такое хактивизм?
Хактивизм — привлечение внимания общественности к социальным, политическим и другим вопросам при помощи кибератак. Термин происходит от слияния английских слов hack (взлом) и activism (активизм) и появился он ещё в 1996-м году. Мишенью обычно становятся крупные организации, государственные структуры или публичные лица, чьи действия противоречат идеологии хактивистов.
С какими угрозами сталкиваются сегодня в сети металлурги и удаётся ли им побеждать в цифровой битве?
Как атакуют промпроизводства хакеры?
Самыми актуальными техниками атак, к которым прибегают хакеры в попытках взломать систему безопасности промышленных предприятий, в 2024 году стали изучение системной информации, эксплуатация уязвимостей публичных приложений, веб-протоколы, декодирование файлов или информации. Также пользовались популярностью фишинговые ссылки и вредоносные файлы, вложенные в электронные письма, или, например, ключи запуска реестра.
Металлурги стали чаще обучать сотрудников кибербезопасности
По информации экспертов одного из лидеров рынка кибербезопасности — «Солара», наибольшую угрозу для отрасли представляют инструменты удалённого доступа. Такие вредоносы позволяют злоумышленнику дистанционно управлять атакованной системой: менять и выгружать данные, делать скриншоты, менять настройки оборудования и т.п. Среди основных «зараз» также вирусы-стиллеры и программы для незаконного майнинга. Помимо массового вредоносного программного обеспечения хакеры используют для атак на промышленные инфраструктуры специализированный софт, который предназначен именно для уничтожения сегментов АСУ ТП. Такие вирусы хорошо известны: Industroyer, Trisis, Nikowiper, Fuxnet и др.
Еще 17% инцидентов в отрасли было связано с несанкционированным созданием и изменением учётных записей, а 15% — с их компрометацией. «Эта проблема актуальна для многих российских компаний, так как за последние два года в сеть утекло множество корпоративных учётных данных и сейчас хакеры активно используют старые утечки для проникновения в целевые инфраструктуры», — подчеркнули в пресс-службе компании «Солар».
Киберзащиту хотят систематизировать на государственном уровне
На опасную тенденцию обратило внимание государство и уже начало действовать: последнее решение правительства и одно из первых в этом году — 9 января была опубликована концепция госсистемы противодействия преступлениям, совершаемым с помощью информационных технологий. Суть в том, что появится единая платформа, которая должна помочь оперативно останавливать мошеннические трансакции. Согласно документу, будет создана «специализированная цифровая платформа» для оперативного обмена информацией между правоохранительными органами, ЦБ РФ, банками и операторами связи «для установления всех обстоятельств и лиц, причастных к мошенничеству». Документ закрепляет общие принципы построения защиты IT-инфраструктуры в стране.
Также Минпромторг России выделит 553 млн рублей на создание центра компетенций по информационной безопасности для борьбы с участившимися хакерскими атаками.
Его основная задача — создание подсистем раннего предупреждения о киберугрозах, чтобы собирать информацию о потенциальных атаках и направлять её в компании, относящиеся к критической информационной инфраструктуре (КИИ). То есть металлурги скоро смогут получать такие предупреждения «сверху».
Металлурги попали в критическую инфраструктуру
О защите промышленных производств стали задумываться около десяти лет назад, когда пошли первые серьёзные нападения. Ещё в 2017-м в России был принят 187-й федеральный закон, в котором уточнялось, как должны защищаться объекты КИИ. Под требования законодательства о безопасности КИИ подпадают субъекты, работающие в сфере атомной, ракетно-космической, горнодобывающей, металлургической, химической и оборонной промышленности, здравоохранения, науки, энергетики, транспорта и связи.
Всё чаще хакеры нацелены не на получение материальной выгоды, а на то, чтобы нанести максимальный ущерб и нарушить рабочие процессы
Чтобы понять, нужно ли компании позаботиться о защите объектов КИИ, придётся проверить коды ОКВЭД, уставные документы и выданные на соответствующие виды деятельности лицензии. Если по формальным признакам организация не относится к указанным в ФЗ-187 отраслям, расслабляться не стоит — необходимо проанализировать бизнес-процессы и информационные системы (ИС, ИТКС и АСУ), работающие в регулируемых отраслях. Ведь по статистике лаборатории Касперского практически каждый третий компьютер, обслуживающий завод или предприятие, был атакован извне. При этом по данным эксперта Kaspersky ICS CERT Владимира Дащенко, в 2024 году количество случайных заражений вредоносными программами в промышленных компаниях сократилось.
«Это свидетельствует о том, что предприятия всё активнее внедряют принципы эшелонированной защиты и совершенствуют подходы к кибербезопасности, — говорит эксперт. — При этом наблюдается рост активности хактивистов и увеличение числа таргетированных атак. Эти целенаправленные атаки наносят наибольший ущерб бизнесу и производственным процессам. Кроме того, они могут привести к кибер-физическим последствиям, когда действия злоумышленников в цифровой среде вызывают реальные физические разрушения, что делает их особенно опасными для стратегически важных объектов».
По данным центра исследования безопасности промышленных систем и реагирования на инциденты Kaspersky ICS CERT, в России вредоносные объекты были заблокированы на 23,6% компьютеров автоматизированных систем управления только за первый квартал 2024 года
Как себя защитить?
В ИТ-контуре промышленных предприятий, как правило, наиболее уязвима автоматизированная система управления технологическим процессом (АСУ ТП). Она требует отдельной защиты, так как сбой промышленных процессов может не только нарушить непрерывность производства, но и спровоцировать опасные утечки и ЧП. Поэтому предприятиям стоит изолировать этот сегмент и не допускать бесконтрольный доступ к нему из корпоративной инфраструктуры.
Также в «Соларе» часто сталкиваются со случаями использования очень старых компьютеров с уязвимыми операционными системами в промышленных организациях. Это делается ради поддержки специфического оборудования и ПО, которые работают только, например, на Windows XP, но в то же время создаёт серьёзную угрозу безопасности. «Поэтому поиск уязвимостей и регулярный патч-менеджмент (обновление ПО — прим. ред.), где это возможно, необходим», — призывают эксперты «Солара». Важно регулярно делать бэкапы (копий данных), чтобы системы можно было относительно оперативно восстановить в случае успешной атаки и уничтожения ИТ-инфраструктуры. При создании бэкапов стоит придерживаться принципа «3-2-1», который предполагает наличие не менее трёх копий данных, хранение копии как минимум на двух физических носителях разного типа и наличие минимум одной копии за пределами основной инфраструктуры, подчёркивают специалисты «Солара».
Самим компаниям, не дожидаясь помощи сверху, ничего не остаётся, как действовать самим. Особое внимание уделять защите облачных сервисов, что требует новых стандартов безопасности для сетей и данных.
Важную роль играет и вопрос перехода на отечественное программное обеспечение в рамках законодательства по импортозамещению и защите информации.
Эксперты убеждены, что только совместными усилиями бизнеса и государства можно закрыть бреши в системах цифровой безопасности и защитить предприятия от внешних угроз. Главное — не терять время и внедрять на своих предприятиях уже разработанные отечественными «ибешниками» готовые решения.
Егор Петров
