По данным нового отчёта Kaspersky ICS CERT, в первом полугодии 2023 года в России вредоносные объекты были заблокированы на почти третьей части (32%) компьютеров АСУ. Россия, наряду с Ближним Востоком, оказалась в числе регионов, где зафиксирована самая значительная доля устройств АСУ, на которых были заблокированы вредоносные скрипты и фишинговые страницы. Что касается конкретных категорий киберугроз, то с января по июнь 2023 года в России выросла доля компьютеров систем автоматизации, на которых были заблокированы вредоносные документы (на 0,32 п. п.) и веб-майнеры (на 0,13 п. п.). Вредоносные документы злоумышленники рассылают в фишинговых электронных сообщениях для первичного заражения компьютеров.
Заражение промышленности
За первые 6 месяцев 2023 года электронная почта впервые оказалась более существенным источником угроз для компьютеров АСУ в России, чем съёмные носители. Доля компьютеров АСУ, которые пытались атаковать через почтовые клиенты, растёт начиная со второго полугодия 2021 года. Интересно, что показатели для почты и съёмных носителей изменяются в России в противофазе — рост одного сопровождается падением другого, и наоборот. Основным источником угроз в России остаётся интернет.
Вредоносные скрипты в фишинговой веб-странице применяются злоумышленниками для выполнения большого спектра задач — от сбора информации о жертве, трекинга и перенаправления браузера на вредоносный веб-ресурс до загрузки в систему или в браузер различных вредоносных программ – например, шпионского ПО и/или программ для скрытого майнинга криптовалюты.
В тройку отраслей в России, где фиксируется наибольшая доля атакованных автоматизированных систем управления, входят инжиниринг и интеграция АСУ (35,8%), автоматизация зданий (34,3%), энергетика (32,6%) – те отрасли, которые в России традиционно развиваются наиболее стремительными темпами. При этом рост доли атакованных компьютеров наблюдается только в производственной отрасли (на 0,8 п. п. — до 30,4%).
«Интернет по-прежнему остаётся основным источником киберугроз для промышленности — в первом полугодии Россия вошла в тройку лидеров в рейтинге регионов мира по доле заблокированных угроз из интернета на компьютерах АСУ, – подчеркнул руководитель Kaspersky ICS CERT Евгений Гончаров. – Организациям важно не просто уделять должное внимание киберзащите от веб-угроз, но и применять комплексный подход к безопасности инфраструктуры. Помимо всего прочего, он подразумевает проведение тренингов по повышению уровня киберграмотности, что позволит снизить риски возникновения инцидентов из-за человеческого фактора».
Рекомендации асушникам
Для защиты компьютеров АСУ эксперты «Лаборатории Касперского» рекомендуют регулярно обновлять операционные системы и приложения в составе ОТ-инфраструктуры и устанавливать исправления для ПО сразу, как только они выходят, что в условиях ограничений получается сделать не всегда, но стремиться к этому нужно. При этом каждое такое обновление должно быть проверено на его безопасность — атаки через цепочки поставок стали в АСУ нередки. Кроме того, стоит регулярно проводить аудит безопасности ОТ-систем для своевременного распознавания и устранения проблем безопасности, а также использовать специализированные решения для мониторинга сетевого трафика компьютеров АСУ, анализа и детектирования киберугроз и уязвимостей технологической сети.
Важным элементом защиты является человеческий фактор, поэтому настоятельно рекомендуется проводить тренинги для ИБ-специалистов и ОТ-инженеров, чтобы улучшать качество реагирования на различные, в том числе новые и продвинутые, вредоносные техники. Для своевременного предупреждения о современных угрозах стоит предоставлять специалистам, ответственным за защиту АСУ, доступ к TI-сервисам и современные средства аналитики киберугроз. Для защиты промышленных сетей также стоит использовать при их построении или модернизации кибериммунные элементы АСУ ТП, дизайн которых обеспечивает защиту от множества угроз по умолчанию.
