Во второй половине 2023 года в России вредоносные объекты были заблокированы на 31,1% компьютеров автоматизированных систем управления (АСУ)*. В ряде отраслей доля АСУ с заблокированными вредоносными объектами выросла, например, в сферах энергетики (33,1%, рост на 0,5 п.п. во втором полугодии по сравнению с первым), нефти и газа (25,5%, рост на 2,1 п.п.), автоматизации зданий (34,7%, рост на 0,4 п.п.), инжиниринга (36,3%, рост на 0,5 п.п.). Кроме того, Россия оказалась на втором месте среди регионов мира по доле компьютеров АСУ, на которых были заблокированы майнеры — вредоносные программы, предназначенные для использования вычислительной мощности устройства пользователя злоумышленниками. Таковы данные нового отчёта Kaspersky ICS CERT.
Главными источниками угроз для промышленности остаются интернет и электронная почта.
По итогам второго полугодия 2023 года Россия оказалась в числе регионов с самой высокой долей компьютеров АСУ, на которых были заблокированы угрозы из интернета. В России вредоносные интернет-ресурсы были заблокированы на 11,7% устройств. Это на 1,6 п.п. выше среднего общемирового показателя (то есть в России операторы и инженеры АСУ заходили на опасные веб-ресурсы чаще, чем в среднем по миру). Значительная часть таких ресурсов используется для распространения вредоносных скриптов и фишинговых страниц (они были заблокированы на 8,9% устройств).
Эксперты Kaspersky ICS CERT отметили рост по сравнению с первым полугодием (на 0,2 п. п. до 1,7%) доли компьютеров АСУ, на которых были заблокированы майнеры — исполняемые файлы для OC Windows. По этому критерию Россия оказалась на втором месте среди регионов мира.
Доля компьютеров АСУ, на которых заблокированы угрозы из почты — 1,5%, это в 2,7 раза меньше среднемирового показателя (4%). Доля устройств, на которых были заблокированы угрозы при подключении съёмных носителей — 0,8%, это чуть более 1/3 среднемирового показателя (1,9%). Соотношение между показателями распространения угроз через почту и съёмные носители относит Россию к списку стран, где в среднем сетевая связность различных технологических участков и объектов весьма высокая, сотрудники на местах могут пользоваться электронной почтой и прочими корпоративными ресурсами и не затруднены необходимостью часто пользоваться флэшками для переноса информации между системами.
«Уровень зрелости информационной безопасности промышленных предприятий постепенно улучшается — и в части кибергигиены и осведомлённости персонала об угрозах, и в части покрытия технологической инфраструктуры автоматизированными средствами защиты. Однако злоумышленники продолжают совершенствовать свои тактики и инструменты, и по-прежнему велик риск киберинцидента. В России явно сказывается роль высокой цифровизации и относительно лёгкой доступности ресурсов интернета для сотрудников промышленных предприятий, в том числе и изнутри технологического контура. Поэтому необходимо одновременно и внедрять больше средств защиты, и продолжать тренировать сотрудников. В частности, нужно вырабатывать у них навыки распознавать фишинг — это всё ещё один из наиболее распространённых способов первоначальной компрометации системы для злоумышленников, сосредоточенных на целевых атаках. Уже с текущим уровнем цифровизации предприятиям нужно строить комплексную систему защиты, которая способна обеспечить безопасность одновременно OT-сегмента и IT-инфраструктуры», — комментирует Евгений Гончаров, руководитель Kaspersky ICS CERT.
С полной версией отчёта команды Kaspersky ICS CERT «Ландшафт угроз для систем промышленной автоматизации во втором полугодии 2023 года» можно ознакомиться по ссылке.
Для защиты компьютеров АСУ от киберугроз «Лаборатория Касперского» рекомендует:
* Серверы управления и сбора данных (SCADA), серверы хранения данных, шлюзы данных, стационарные рабочие станции инженеров и операторов, мобильные рабочие станции инженеров и операторов, компьютеры, используемые для администрирования технологических сетей и разработки ПО для систем промышленной автоматизации.