«Атаки могут остановить производственные цепочки»
Эксперт по кибербезопасности Kaspersky ICS CERT Владимир Дащенко — об угрозах для промышленности
Информационная инфраструктура современных предприятий промышленной отрасли представляет собой не разрозненные установки и станки, а связанные между собой производственные и административные сети. Бизнес получает из промышленного контура, в котором объединено оборудование, данные, позволяющие строить предикативную аналитику и планировать процессы. Но в организованном для офисных работников административном контуре при этом появляется больше уязвимостей для злоумышленников. Поэтому необходимо защищать и тот, и другой.
Фото: Kaspersky
Точкой входа для атаки на промышленную компанию может стать устройство в контуре автоматизированной системы управления предприятием (АСУП), например, станок с операционной системой, имеющий доступ в интернет и подключенный к общей сети предприятия. Через него возможно получить доступ к информационной инфраструктуре компании, к другому оборудованию, а затем — воспользоваться им в своих целях.
Получение современным станком зловредного пакета данных может как минимум превратить устройство стоимостью в десятки миллионов рублей в «кирпич», остановив затем целые производственные цепочки, в которых оно используется. Особенно велики риски для промышленников в случае работы на оборудовании западных производителей, с 2022 года прекративших поддержку российских покупателей. Эти устройства, будучи атакованным злоумышленниками, прекратят работу с концами, а восстановить их без участия изготовителя будет крайне сложно.
К примеру, некоторое время назад мы изучали популярные у российских предприятий станки одного из крупнейших немецких производителей. Они управляются немного урезанной операционной системой Windows и имеют все соответствующие уязвимости.
Да, пока случаев целенаправленных атак с целью остановки производственных линий за всю историю наших наблюдений были только единицы.
Но доступ к «умному» станку даст злоумышленнику точку входа в информационную систему всего предприятия, что позволит реализовать куда более распространенную схему с шифровкой данных компании и последующим вымогательством.
Подобные инциденты только за 2023 год, по нашим исследованиям, неоднократно происходили в российском промышленном секторе. Не могу раскрыть конкретных имен, но жертвами становились представители отраслей тяжелого машиностроения и металлообработки, в том числе одни из крупнейших холдингов. Злоумышленники, мотивированные исключительно финансово, атаковали компанию, в инфраструктуре которой находили уязвимость, а затем похищали и шифровали данные на серверах и устройствах, справедливо надеясь получить от большого бизнеса солидный выкуп за возобновление доступа.
Зачастую, к сожалению, пострадавшие действительно платят, но все зависит от того, насколько оперативно атаку удастся обнаружить и локализовать.
Одновременно в прошлом году продолжались атаки на российские предприятия со стороны злоумышленников, у которых на первом месте стоит политическая мотивация. Для так называемых хактивистов не столь важны деньги, сколько остановка или осложнение процессов на предприятии, по тем или иным причинам вызвавшем их недовольство.
Кейсов, мотивированных реальной конкурентной борьбой, промышленным шпионажем и диверсиями на российском рынке пока практически нет. Это не просто единицы, а один случай на миллиарды, если учитывать объем классических спама и фишинга, поступающий на корпоративные почтовые ящики. Атакующими в наиболее сложных случаях в мировой практике становятся организованные хакерские группировки, действующие в интересах иностранных государств. Они имеют практически неограниченные бюджеты и доступы — вплоть до бэкдоров, вшитых в маршрутизаторы и другие устройства еще на заводах-изготовителях. Члены группировки могут сидеть в сети крупного промышленного холдинга годами, ничем не выдавая, что имеют доступ к ней. Но когда они получат команду — очень избирательно превратят карету в тыкву, чтобы остановить производство чего-то очень важного.
Повторюсь, что через нашу команду за все время проходило буквально несколько таких случаев. Но каждый из них был крайне дорог с точки зрения последствий для жертвы.
Как промышленникам с этим бороться, защищать свое оборудование, умные станки и инфраструктуру? Самый очевидный и безопасный вариант — отсутствие у станка подключения к сети, как внешней, так и корпоративной.
Но это подходит только для небольших компаний, поскольку крайне замедляет работу специалистов АСУ ТП и производства в целом. Обычной практикой сегодня стало объединение устройств на производстве в сеть, чтобы оборудованием можно было управлять и обновлять его удаленно. Не на все станки и контроллеры в промышленной инфраструктуре можно поставить какие-то защитные решения, нужно быть реалистами, для определенного оборудования их может и не быть. Но эффективным способом защиты может стать хорошо реализованная корреляция событий, когда внутри IT-инфраструктуры компании возможно оперативно и квалифицированно детектировать аномалии, определять, какая цепочка событий является для бизнес-процессов нормой, а какая — требует обратить внимание, быстро остановить ее и устранить последствия.
Это задача для решений-корреляторов, которые возможно внедрять в промышленные системы.
В конечном итоге защищенность промышленной инфраструктуры от кибератак более всего зависит от квалификации сотрудников, отвечающих внутри самой компании за информационную безопасность, либо привлеченных к этому проекту. Крупные игроки рынка имеют возможность тратиться на дорогостоящие защитные решения, но они не будут работать эффективно без грамотной настройки с учетом особенностей конкретного предприятия.