В России резко выросло число атак на промышленные предприятия из глобальной сети

Эксперт

Интернет угрожает

В России резко выросло число атак на промышленные предприятия из глобальной сети

Николай Ульянов

Антон Шипулин

Цифровизация промышленности, безусловно, повышает эффективность производства, однако она имеет и оборотную сторону: злоумышленникам для нанесения вреда вовсе не обязательно даже приближаться к конкретному заводу или фабрике: получив удаленный доступ к управляющим производственными процессами контроллерам, можно нарушить их работу или вовсе остановить.

Число атак на промышленную инфраструктуру, в том числе относящуюся к критической, перебои работы которой несут явную угрозу жизни и здоровью людей, растет.

Один из последних примеров — атака на одного из крупнейших американских операторов трубопроводов — компанию Colonial Pipeline. Ее результат — остановка прокачки топлива, что стало причиной для введения режима чрезвычайного положения в четырех штатах США. При этом вредоносная программа проникла в ИТ-систему компании, зашифровала критические для работы данные и остановила бизнес-процессы, а дальше сотрудникам компании уже пришлось отключить ряд OT-систем (ОТ — операционные технологии), которые зависят от остановленных ИТ-систем, а также чтобы не допустить распространение программы-вымогателя в производственный сектор. В итоге работа по перекачке бензина, солярки, мазута как топлива для домохозяйств и прочего была остановлена. Возобновление работы произошло спустя пять дней после начала атаки. При этом компании пришлось заплатить хакерам выкуп в криптовалюте в размере, эквивалентном пяти миллионам долларов.

По мнению специалистов Центра реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского» (Kaspersky ICS CERT), исторически промышленные компании обеспечивали безопасность промышленной инфраструктуры за счет «воздушного зазора» между ИТ-средой, в которой работают бухгалтерия, продажи и прочие офисные подразделения компании, и OT-средой, в которой располагаются автоматизированные системы управления технологическим процессом (АСУ ТП). Обычно ОТ не имела связи с глобальной сетью, работая обособленно.

Однако процесс цифровизации промышленных компаний постепенно уменьшает этот «воздушный зазор», две среды начинают соприкасаться, что позволяет злоумышленникам, атаковав офисную ИТ-систему компании, добираться до систем управления производством. Впрочем, не исключен и риск случайного заражения АСУ ТП вредоносным ПО через те же флешки или фишинговые письма. Как не исключено и то, что управляющая производством система может быть атакована целенаправленно.

В своем обзоре ICS CERT «Лаборатории Касперского» фиксирует, что за первое полугодие 2021-го доля компьютеров АСУ, на которых было обнаружено вредоносное ПО, во всем мире составила 33,8%. Это на 0,4 п. п. больше, чем во втором полугодии 2020 года.

В России же в течение первого полугодия этого года вредоносное ПО было обнаружено хотя бы один раз на 39,4% компьютеров в составе систем управления производственными процессами. Это на 4,8 п. п. больше, чем во втором полугодии 2020 года, и на 7,2 п. п. больше, чем в первом полугодии. Основные источники проникновения вредоносного ПО в компьютеры технологической инфраструктуры — интернет, съемные носители и электронная почта. Наибольшее число атак исходит из интернета. При этом в России доля компьютеров АСУ, на которых были заблокированы угрозы из интернета, значительно вырос — на 6,7 п. п. Это привело к тому, что наша страна здесь вышла на первое место в мире.

Наиболее часто атакам в России подвергаются предприятия машиностроения — на 53,7% компьютеров АСУ в этой отрасли были обнаружены и заблокированы вредоносные объекты. В энергетике этот показатель составил 43,2%, в нефтегазовом секторе — 38,8%.

В целом в первом полугодии 2021 года защитными решениями «Лаборатории Касперского» на системах промышленной автоматизации было заблокировано более 20 тыс. модификаций вредоносного ПО из 5150 различных семейств.

«Эксперт» обсудил проблему защиты промышленности с директором экспертного центра по промышленной кибербезопасности «Лаборатории Касперского» Антоном Шипулиным.

— Как вы оцениваете уровень защиты промышленных предприятий и критической инфраструктуры в стране?

— Защита недостаточная. Мы видим, что большая часть промышленных предприятий и сетей легкодоступны. Мы два раза в год проводим исследования по результатам наших измерений и видим, что порядка сорока процентов систем, которые защищены нашими средствами, фиксируют обнаружение вредоносного кода.

Хочу отметить, что большая часть этого вредоносного программного обеспечения туда попадает, не имея цели атаковать промышленные предприятия. И добирается через классические источники: почту, интернет, флешки. О чем это говорит? Если даже нецеленаправленные атаки добираются до технологического сегмента, вы сами можете представить, что может сделать более компетентный атакующий.

— А целенаправленных атак становится больше?

— Это мы тоже замечаем. Например, за два месяца «Лаборатория Касперского» предотвратила более ста целевых BEC-атак (Business Email Compromise) на российские компании в самых разных отраслях, среди которых авиаперевозки и промышленность.

BEC — это атака, при которой злоумышленники начинают переписку с сотрудником компании с целью завоевать его доверие и убедить выполнить действия, идущие во вред интересам компании или ее клиентам. Одна такая успешная атака может привести к многомиллионному ущербу для компании.

— Как я понимаю, велика роль человеческого фактора в том, что вредоносные программы проникают в сети.

— Без человеческого фактора никуда, да. Низкий уровень грамотности специалистов по вопросам кибербезопасности, низкая дисциплина информационной безопасности людей, которые работают в технологических сегментах.

Эти технологические сегменты годами не обращали внимания на проблему информационной безопасности, думали, что их это не коснется, что у них все системы изолированы. Но прогресс делал свое дело, и эти системы подключались к внешним источникам. Они стали настолько же уязвимы, как ИТ-сегменты.

Но ИТ-сегменты давно занимаются вопросами безопасности, а промышленные сегменты — нет. Их защита находится на уровне защиты ИТ-сегмента, какой она была десять лет назад.

— У предприятия есть две системы: одна просто ИТ, а вторая — производственная. Шлюз между ними существует, и проблема безопасности….

— Это условное деление. Есть процессы производственные, есть процессы офисные. И по-хорошему они должны быть отделены. Но наши аудиты и тесты на проникновение показывают, что иногда бывает так, что в одной сети находятся и бухгалтерия, и производство. И атакующий может легко дойти от одной рабочей станции до другого сетевого устройства, в том числе до контроллера.

По логике, конечно, нужно отделять сегменты друг от друга. Нужно делать управление потоками, фильтрацию потоков, мониторинг и анализ трафика.

В России существует законодательство по поводу безопасности промышленной критической инфраструктуры, которое диктует в том числе правильное сегментирование сетей, и многие другие требования по технической безопасности.

— Если все это прописано, то почему не делается?

— В законодательстве прописано, что необходимо идентифицировать объекты критической инфраструктуры, подать эту информацию регулятору, который присвоит объекту критической инфраструктуры категорию важности, и затем на основании этого строить систему защиты. Но даже это не делается.

Сейчас активно пытаются стимулировать: проверки, штрафы… К сожалению, многие промышленные предприятия не хотят присваивать себе высокие уровни важности объектов критической инфраструктуры, потому что это требует значительных затрат.

— В чем российская специфика в части обеспечения производственной безопасности, безопасности критической инфраструктуры?

— У нас есть закон «О безопасности критической информационной структуры РФ». Регулирование довольно жесткое, но, к сожалению, исполнение этого регулирования и контроль за ним пока не очень хороши.

— «Лаборатория Касперского» делает и распространяет продукты для защиты промышленных предприятий, критической инфраструктуры. Я так понимаю, что вы не единственные, кто этим занимается. Чем вы лучше других?

— Мы частная компания с 24-летним опытом в кибербезопасности. Наша компания начинала как антивирусная. Более десяти лет назад она начала расширять набор сервисов. Это не только антивирус, не только защита рабочих станций. Это сетевая защита, тренинги по повышению уровня цифровой грамотности, система онлайн-голосования и многое другое.

Наше преимущество в том, что мы предоставляем большой спектр технологий и сервисов, которые могут покрыть различные потребности предприятия. Взять, например, крупные промышленные предприятия, у которых есть и офисные сегменты, и технологические сегменты. Так вот, мы можем построить им единую среду на базе наших технологий, защищая офисный сегмент, технологическую сеть, контроллеры, рабочие станции в технологическом сегменте, в том числе обеспечивая их правильными сервисами, учитывающими специфику технологических сегментов.

Так или иначе, все наши продукты в своих категориях имеют конкурентов. Но у нас нет конкурентов, которые имеют такой широкий спектр продуктов, интегрированных между собой, которые позволяют заказчику бесшовно закрыть его потребности.

Технологический сегмент предъявляет очень жесткие требования: нужно не навредить. Защищая активы этого сегмента, нужно не создать им больше проблем. И задача как раз так настроить и так сделать средство защиты, чтобы оно само не становилось угрозой. Мы это сделали, этим и отличаемся от других ИТ-решений, используемых в технологическом сегменте.

— С этим продуктом вы выходите на внешние рынки?

— Мы продвигаем наши продукты во всех странах, где у нас имеются офисы и где мы ведем бизнес. Это буквально весь мир.

По ряду причин сейчас бизнес в Соединенных Штатах у нас меньше. Там введены ограничения на работу с госорганами. Но мы продолжаем работать в Северной Америке, в Канаде активно. Наши самые фокусные рынки — это Европа, Азия, Ближний Восток, Латинская Америка.

— В продажах доля российского и иностранных рынков как соотносятся?

— Большая часть, где-то девяносто процентов — это Россия и Европа.

Наиболее часто атакам в России подвергаются предприятия машиностроения — на 53,7% компьютеров АСУ в этой отрасли были обнаружены и заблокированы вредоносные объекты. В энергетике этот показатель составил 43,2%, в нефтегазовом секторе — 38,8%

— А если брать российский рынок, наши предприятия чаще выбирают российский продукт или иностранный?

— Смотрите: «российский», «не российский» — это диктует сейчас геополитическая ситуация и регулирование. У нас активно идет импортозамещение, если не на деле, то на словах. Люди осмысливают риски: если я сейчас инвестирую в иностранное, то меня потом заставят это поменять, зачем мне эти проблемы с регуляторами, лучше я сразу попробую найти что-то российское. Поэтому на российском рынке нет иностранных конкурентов, с которыми нам приходится серьезно драться за клиентов на других рынках. Тут господствуют наши, российские производители. А среди них доминируем мы.

— Какой эффект получает тот, кто использует ваш продукт для защиты своей промышленной инфраструктуры?

— Мы в прошлом и позапрошлом годах провели исследования вместе с компанией «Форестер» и с нашими заказчиками, которые используют наши решения, чтобы подсчитать общий экономический эффект от наших решений. Показатель ROI (Return of Investment) для использования нашего решения для мониторинга сети составил 135 процентов. ROI от использования KICS (Kaspersky Industrial CyberSecurity) for Networks составил 368 процентов. Наши решения помогли сократить ущерб от простоев промышленного оборудования более чем в три раза.

— Сейчас много говорят о закладках на уровне элементно-компонентной базы, закладках в операционных системах. Этот риск вы осознаете?

— Мы осознаем. И учитывая нашу международную направленность, стараемся поддерживать различные операционные системы, различное аппаратное обеспечение, для того чтобы у заказчика, у которого есть недоверие, был выбор.

Сейчас многие стараются не делать явных закладок, а делать ошибки в коде, которые позволяют осуществить удаленный доступ. Всегда можно сказать, что это было некачественное программирование, а не злой умысел.

Как показывает практика, иногда обнаруженные иностранными спецслужбами уязвимости не публикуются, производители о них не оповещаются. Многие уязвимости оставляются ими для своего использования. Они находят такую уязвимость и превращают ее в некий бэкдор для себя.

Фото: предоставлено «Лабораторией Касперского»

Хочешь стать одним из более 100 000 пользователей, кто регулярно использует kiozk для получения новых знаний?
Не упусти главного с нашим telegram-каналом: https://kiozk.ru/s/voyrl

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Социологи обнаружили в России социальную апатию Социологи обнаружили в России социальную апатию

Как исследователи раскрывают феномен социальной апатии и есть ли она вообще

Эксперт
Высчитываем биоритмы Высчитываем биоритмы

Как построить день так, чтобы не только всё успеть, но и преуспеть?

Лиза
Михаил Гордин: «Научно-техническую мысль невозможно остановить» Михаил Гордин: «Научно-техническую мысль невозможно остановить»

Россия подтвердила свое умение создавать современные авиадвигатели

Эксперт
8 самых красивых японских внедорожников в истории 8 самых красивых японских внедорожников в истории

Невероятные японские внедорожники, не получившие должного внимания

4x4 Club
«Не нужно нас дубинками загонять в рай» «Не нужно нас дубинками загонять в рай»

Какую угрозу массовые протесты несут стабильности Ирана

Эксперт
Как перестать заслуживать и выпрашивать любовь и избавиться от постоянного чувства голода по ней Как перестать заслуживать и выпрашивать любовь и избавиться от постоянного чувства голода по ней

Как удовлетворить свою потребность в любви?

VOICE
Битва за «йеменский пирог» Битва за «йеменский пирог»

Что происходит в самом несчастном уголке планеты?

Эксперт
Новая эклектика Новая эклектика

Уникальные пространства разноуровневой квартиры в Санкт-Петербурге

SALON-Interior
Тимур и его столица Тимур и его столица

Как Тимур стал эффективным сити-менеджером

Вокруг света
8 самых интересных фильмов и сериалов с Любовью Аксеновой 8 самых интересных фильмов и сериалов с Любовью Аксеновой

Самые запоминающиеся роли Любови Аксеновой

Maxim
«Скелеты в шкафу: Как наша тайная жизнь управляет явной» «Скелеты в шкафу: Как наша тайная жизнь управляет явной»

В какой момент младенцы начинают хранить тайны лучше шимпанзе

N+1
Что такое речевой дресс-код и как вызвать доверие у собеседника Что такое речевой дресс-код и как вызвать доверие у собеседника

Как и по каким параметрам корректировать свою речь в зависимости от ситуации

РБК
Мама-предприниматель: какой бизнес чаще выбирают женщины в России Мама-предприниматель: какой бизнес чаще выбирают женщины в России

Почему в современном мире женщинам не нужно выбирать между семьей и карьерой

Inc.
Флаг Чехова Флаг Чехова

«Мелихово» — один из главных музеев, посвященных Антону Чехову

Отдых в России
Золотой голос Золотой голос

Оперная певица Екатерина Смолина — о непростом творческом пути

Отдых в России
Зимняя Башкирия Зимняя Башкирия

Башкортостан не зря называют «русской Швейцарией»

Отдых в России
Лебединый хрип Лебединый хрип

«Мария»: Анджелина Джоли в байопике Марии Каллас

Weekend
Потерянные и обретенные Потерянные и обретенные

Истории пропавших шедевров напоминают сюжеты самых невероятных фильмов

Вокруг света
Обзор Geely Tugella: плюсы и минусы, комплектации, фото Обзор Geely Tugella: плюсы и минусы, комплектации, фото

Купе-кроссовер Geely Tugella: что стоит знать о нем

РБК
10 маминых фраз, которые помогают во взрослой жизни 10 маминых фраз, которые помогают во взрослой жизни

Что говорить ребенку, чтобы он вырос гармоничным и счастливым человеком?

Psychologies
Сергей Снежкин: «Режиссерский голос над всем пространством съемочной площадки должен звучать как гром небесный» Сергей Снежкин: «Режиссерский голос над всем пространством съемочной площадки должен звучать как гром небесный»

Я взошел на трибуну и водрузил диктофон прямо у микрофона. Повисла пауза

Коллекция. Караван историй
Далекий гром: как распознать признаки грядущего разрыва с китайским партнером Далекий гром: как распознать признаки грядущего разрыва с китайским партнером

Как не потерять китайского партнера?

Forbes
Художник Артур Кривошеин: «Мне нравится ностальгировать» Художник Артур Кривошеин: «Мне нравится ностальгировать»

Художник Артур Кривошеин — об авангардистах и неизбежных изменениях

СНОБ
Спокойно, первоклассник Спокойно, первоклассник

Как первоклассникам и родителям прожить период адаптации и сохранить мотивацию?

Новый очаг
Сергей Вялов: «Прибегать к Сергей Вялов: «Прибегать к

Нужно ли чистить печень? Отвечает врач гепатолог-гастроэнтеролог

Здоровье
Через гены к экономической эффективности Через гены к экономической эффективности

В России создается собственная база данных для генотипирования КРС

Агроинвестор
Знали ли вы, что витамины можно «вдыхать» Знали ли вы, что витамины можно «вдыхать»

Почему мы чувствуем бодрость, когда вдыхаем свежий воздух на природе?

ТехИнсайдер
Заводские настройки Заводские настройки

Заводские настройки фэшн-индустрии

Grazia
На берегу Невы На берегу Невы

Интерьер с тонким петербургским настроением

SALON-Interior
Пятеро на одного Формана и Али против рестлера: самые странные бои в истории бокса Пятеро на одного Формана и Али против рестлера: самые странные бои в истории бокса

Шесть необычных боксерских поединков прошлого

Forbes
Открыть в приложении