В Kaspersky ICS CERT назвали основные угрозы для промышленности во втором полугодии 2023 года

Во второй половине 2023 года в России вредоносные объекты были заблокированы на 31,1% компьютеров автоматизированных систем управления (АСУ)*. В ряде отраслей доля АСУ с заблокированными вредоносными объектами выросла, например, в сферах энергетики (33,1%, рост на 0,5 п.п. во втором полугодии по сравнению с первым), нефти и газа (25,5%, рост на 2,1 п.п.), автоматизации зданий (34,7%, рост на 0,4 п.п.), инжиниринга (36,3%, рост на 0,5 п.п.). Кроме того, Россия оказалась на втором месте среди регионов мира по доле компьютеров АСУ, на которых были заблокированы майнеры — вредоносные программы, предназначенные для использования вычислительной мощности устройства пользователя злоумышленниками. Таковы данные нового отчёта Kaspersky ICS CERT.

Главными источниками угроз для промышленности остаются интернет и электронная почта.

По итогам второго полугодия 2023 года Россия оказалась в числе регионов с самой высокой долей компьютеров АСУ, на которых были заблокированы угрозы из интернета. В России вредоносные интернет-ресурсы были заблокированы на 11,7% устройств. Это на 1,6 п.п. выше среднего общемирового показателя (то есть в России операторы и инженеры АСУ заходили на опасные веб-ресурсы чаще, чем в среднем по миру). Значительная часть таких ресурсов используется для распространения вредоносных скриптов и фишинговых страниц (они были заблокированы на 8,9% устройств).

Эксперты Kaspersky ICS CERT отметили рост по сравнению с первым полугодием (на 0,2 п. п. до 1,7%) доли компьютеров АСУ, на которых были заблокированы майнеры — исполняемые файлы для OC Windows. По этому критерию Россия оказалась на втором месте среди регионов мира.  

Доля компьютеров АСУ, на которых заблокированы угрозы из почты — 1,5%, это в 2,7 раза меньше среднемирового показателя (4%). Доля устройств, на которых были заблокированы угрозы при подключении съёмных носителей — 0,8%, это чуть более 1/3 среднемирового показателя (1,9%). Соотношение между показателями распространения угроз через почту и съёмные носители относит Россию к списку стран, где в среднем сетевая связность различных технологических участков и объектов весьма высокая, сотрудники на местах могут пользоваться электронной почтой и прочими корпоративными ресурсами и не затруднены необходимостью часто пользоваться флэшками для переноса информации между системами.

«Уровень зрелости информационной безопасности промышленных предприятий постепенно улучшается — и в части кибергигиены и осведомлённости персонала об угрозах, и в части покрытия технологической инфраструктуры автоматизированными средствами защиты. Однако злоумышленники продолжают совершенствовать свои тактики и инструменты, и по-прежнему велик риск киберинцидента. В России явно сказывается роль высокой цифровизации и относительно лёгкой доступности ресурсов интернета для сотрудников промышленных предприятий, в том числе и изнутри технологического контура. Поэтому необходимо одновременно и внедрять больше средств защиты, и продолжать тренировать сотрудников. В частности, нужно вырабатывать у них навыки распознавать фишинг — это всё ещё один из наиболее распространённых способов первоначальной компрометации системы для злоумышленников, сосредоточенных на целевых атаках. Уже с текущим уровнем цифровизации предприятиям нужно строить комплексную систему защиты, которая способна обеспечить безопасность одновременно OT-сегмента и IT-инфраструктуры», — комментирует Евгений Гончаров, руководитель Kaspersky ICS CERT.

С полной версией отчёта команды Kaspersky ICS CERT «Ландшафт угроз для систем промышленной автоматизации во втором полугодии 2023 года» можно ознакомиться по ссылке.

Для защиты компьютеров АСУ от киберугроз «Лаборатория Касперского» рекомендует:

• регулярно обновлять операционные системы и приложения в составе ОТ-инфраструктуры и устанавливать патчи сразу, как только они выходят;
• проводить аудит безопасности ОТ-систем для своевременного распознавания и устранения проблем безопасности;
• использовать решения для мониторинга сетевого трафика компьютеров АСУ, анализа и детектирования киберугроз и уязвимостей технологической сети — для наиболее эффективной защиты от атак, потенциально угрожающих технологическому процессу и главным активам предприятия;
• проводить тренинги для ИБ-специалистов и ОТ-инженеров, чтобы улучшать качество реагирования на различные, в том числе новые и продвинутые, вредоносные техники;
• предоставлять специалистам, ответственным за защиту АСУ, современные средства аналитики киберугроз. Сервис ICS Threat Intelligence Reporting аккумулирует данные о текущих киберугрозах и векторах атак, а также о наиболее уязвимых элементах в ОТ и о том, как повысить их устойчивость к атакам;
• использовать защитные решения для конечных устройств ОТ и сетей, такие как Kaspersky Industrial CyberSecurity, чтобы обеспечить безопасность всех критически важных промышленных систем;
• ограждать от киберугроз IT-инфраструктуру. Интегрированные продукты для защиты конечных устройств предоставляют возможности для детектирования киберугроз и реагирования на них.

* Серверы управления и сбора данных (SCADA), серверы хранения данных, шлюзы данных, стационарные рабочие станции инженеров и операторов, мобильные рабочие станции инженеров и операторов, компьютеры, используемые для администрирования технологических сетей и разработки ПО для систем промышленной автоматизации.