По данным нового отчёта Kaspersky ICS CERT, доля компьютеров АСУ ТП*, на которых были заблокированы вредоносные объекты, снова начала расти. Во втором полугодии 2020 года она составила 33,4% в мире и 34,6% в России. Доля атакованных систем АСУ ТП выросла в 62% стран. Особенно сильно этот показатель увеличился в индустрии инжиниринга и интеграции АСУ ТП, сфере автоматизации зданий и в нефтегазовой отрасли — почти на 8, 7 и 6 процентных пункта соответственно.
Атаки на промышленные компании могут оказаться разрушительными для производства, а также привести к финансовым потерям. Кроме того, такие предприятия — привлекательная мишень для злоумышленников, поскольку там хранится критически важная конфиденциальная информация. Однако начиная со второй половины 2019 года эксперты «Лаборатории Касперского» наблюдали падение доли компьютеров АСУ ТП, на которых блокировалось вредоносное ПО. При этом одновременно увеличивалось его разнообразие — атаки в среднем становились менее массовыми и более узконаправленными. Тенденция увеличения разнообразия вредоносного ПО, заблокированного на компьютерах АСУ ТП, сохранилась и во втором полугодии 2020 года — количество семейств, использованных в атаках, выросло на 30% по сравнению с первым полугодием. И мы снова увидели увеличение процента атакованных АСУ ТП — на 0,85 п.п.
В некоторых отраслях эта тенденция оказалась более выраженной. Так, в сфере автоматизации зданий и в нефтегазовой отрасли доля компьютеров АСУ ТП, на которых были заблокированы вредоносные объекты, во втором полугодии 2020 года составила 46,7% и 44% соответственно, что значительно выше показателей прошлого полугодия.
Также по сравнению с первым полугодием увеличился процент атакованных компьютеров, используемых для инжиниринга и интеграции АСУ ТП, в энергетическом секторе и на автомобильном производстве.
Решения «Лаборатории Касперского» заблокировали киберугрозы, относящиеся к 5 365 вредоносным семействам, число которых выросло на 30% по сравнению с первым полугодием 2020 года. Стало заметно больше семейств бэкдоров, троянцев-шпионов, вредоносных скриптов и документов, а также вредоносного ПО на платформе .NET.
Процент компьютеров АСУ, на которых были заблокированы почтовые вложения, вырос в 73,4% стран. Это втрое больше по сравнению с аналогичным показателем второго полугодия 2019 года (23,6%).
«2020-й был необычным годом во всех смыслах, и это привело к некоторым неожиданным изменениям в ландшафте угроз для АСУ ТП. Например, обычно летом и в декабре происходит спад вредоносной активности. Но в прошлом году значительных сезонных колебаний процента атакованных компьютеров мы не зафиксировали. Вероятно, это произошло потому, что многие решили отказаться от отпусков во время локдауна, ограничений на перемещение и закрытых границ. Или, в то время как во всём мире снижается процент атакованных программами-вымогателями компьютеров АСУ ТП, в США и Западной Европе он, наоборот, значительно растёт. Возможно, злоумышленники делают расчёт на то, что в период экономического спада предприятия в богатых странах остаются более финансово стабильными и имеют больше возможности заплатить выкуп. Пандемия продолжается, мир стремительно меняется, и киберзлоумышленники не дремлют. Важно научиться активно и, хорошо бы, проактивно реагировать на новые вызовы и угрозы», — комментирует Евгений Гончаров, руководитель Kaspersky ICS CERT (центра реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского»).
Полная версия отчёта «Ландшафт угроз для систем промышленной автоматизации во втором полугодии 2020 года» доступна по ссылке: https://ics-cert.kaspersky.ru/reports/2021/03/25/threat-landscape-for-industrial-automation-systems-statistics-for-h2-2020/.
Для защиты компьютеров АСУ от киберугроз эксперты «Лаборатории Касперского» рекомендуют:
· использовать защитные решения для конечных устройств ОТ и сетей, такие как Kaspersky Industrial CyberSecurity, чтобы обеспечить всестороннюю защиту всех критически важных промышленных систем;
· регулярно обновлять операционные системы и приложения, которые являются частью инфраструктуры промышленной сети, и устанавливать патчи сразу, как только они выходят;
· регулярно проводить аудит безопасности ОТ-систем для своевременного распознавания и устранения возможных уязвимостей;
· использовать решения для мониторинга сетевого трафика компьютеров АСУ ТП, анализа и детектирования киберугроз для наиболее эффективной защиты от атак, потенциально угрожающих технологическому процессу и главным активам предприятия;
· проводить тренинги для ИБ-специалистов и ОТ-инженеров для улучшения скорости и качества реагирования на новые и продвинутые вредоносные техники;
· предоставлять специалистам, ответственным за защиту АСУ ТП, современные средства аналитики киберугроз. Сервис ICS Threat Intelligence Reporting аккумулирует данные о текущих киберугрозах и векторах атак, а также о наиболее уязвимых элементах в ОТ и АСУ ТП и о том, как повысить их устойчивость.
*Серверы управления и сбора данных (SCADA), серверы хранения данных, шлюзы данных, стационарные рабочие станции инженеров и операторов, мобильные рабочие станции инженеров и операторов, компьютеры, используемые для администрирования технологических сетей, и компьютеры, используемые для разработки ПО для систем промышленной автоматизации.