Featured

Казахстан привлекает все большее внимание киберпреступников

 

0916415c8eb4cb85df348b06458aeec3 smallВ среднем во второй половине 2016 года каждый третий компьютер на промышленном предприятии ежемесячно подвергался кибер­атакам

Прокатившаяся недавно волна атак на казахстанские банки лишь видимая часть айсберга проблем безопасности, связанных с промышленными предприятиями и финансовыми организациями. Интерес преступников к Казахстану вырос, о чем говорят данные аудита специалистов по кибербезопасности. В среднем во второй половине 2016 года каждый третий компьютер на промышленном предприятии ежемесячно подвергался кибер­атакам. Всего же за этот период с вредоносным ПО сталкивалось 54% компьютеров, так или иначе относящихся к технологической сети предприятий. Такие данные приводятся в исследовании «Ландшафт угроз для систем промышленной автоматизации. Второе полугодие 2016» ICS CERT – центра реагирования «Лаборатории Касперского» на компьютерные инциденты на индустриальных и критически важных объектах.

Банки вынужденно, хотя и нехотя, заговорили о проблемах, и то только потому, что скрыть это было невозможно: слишком большой общественный резонанс получил ряд инцидентов. Этим отличаются подходы к безопасности у отечественного и западного бизнесов: местные специалисты, опасаясь за свои места, нередко до последнего скрывают случаи атак, подвергая вверенные им компании еще большему риску.

«На мой взгляд, рынок Казахстана и окружающих его стран все больше и больше повторяет путь России, где ландшафт информационных угроз для промышленных систем и ландшафт угроз для корпоративных сетей сблизились в последние несколько лет, – говорит управляющий директор Kaspersky Lab в Казахстане, Центральной Азии и Монголии Евгений Питолин. – Бизнес растет, государство и частные акционеры пристально следят за его эффективностью и в погоне за ее повышением приходят к появлению физических соединений сетей и сопряжению смежных информационных систем».

Все чаще мошенниками применяются схожие с промышленными наборы технологий, архитектурные решения и сценарии использования. Как следствие, можно ожидать не только появления новых угроз, специально разработанных для предприятий, но и развития традиционных. Уже сейчас в мире реализуются самые неожиданные и нетрадиционные сценарии – блокировка вымогателями транспортной системы в Сан-Франциско, активация сирен гражданской обороны в Далласе, взлом промышленных экранов через радиосигнал в Европе, порча продукции на крупнейшем предприятии по производству бумаги в Чикаго и т. д.
По результатам исследования, каждая четвертая целевая атака, обнаруженная «Лабораторией» в Казахстане в 2016 году, была направлена на предприятия различных индустрий – машиностроительной, энергетической, химической, транспортной и других. В общей сложности специалисты обнаружили в системах промышленной автоматизации 75 уязвимостей, 58 из которых максимально критичны для безопасности предприятий. Также ICS CERT нашел в технологических сетях порядка 20 тыс. модификаций вредоносного ПО.

Опыт расследования целевых (APT) атак показывает, что кибершпионаж часто является подготовкой к следующим атакам. APT – наиболее опасный вид кибератак. Во многих случаях их отличает высокий уровень злоумышленников, техническая сложность и продолжительность (могут длиться годами). Это тщательно продуманные и организованные атаки, требующие больших ресурсов, которые сегодня есть в основном именно у киберпреступников. Кроме того, физическая безопасность на промышленных предприятиях уже достаточно развита, поэтому все самые ценные данные уходят через интернет.

«Вне зависимости от технологии производства корпоративная сеть регулярно обновляет свою инфраструктуру, – поясняет Питолин. – Кроме того, особое внимание стоит уделить тому факту, что более чем в трети случаев (35%) киберугрозы на казахстанские промышленные компьютеры исходили из интернета, а значит, в промышленном сегменте активно идет развитие автоматизации. На 15% машин вредоносное ПО попало при подключении съемных носителей информации».

Доля попыток заражения вредоносным ПО с участием переносных носителей, заражений резервных копий, использование в сложных атаках изощренных способов переноса данных из изолированных сетей свидетельствуют о том, что невозможно избежать рисков путем простого отключения системы от интернета.

Собеседник обращает внимание, что помимо заражения машин в корпоративной сети у злоумышленников есть другие способы проникнуть в изолированную технологическую сеть, о которых не так часто говорят. Например, заражение USB-носителей с целью распространения зловредных программных модулей и переноса информации между компьютерами, преодоление «воздушного зазора». В качестве примеров в этом смысле можно отметить такие атаки, как Stuxnet, Flame, Equation и ProjectSauron.

В исследовании приводятся и другие способы проникновения в изолированную (без доступа в интернет) сеть. Это может быть компрометация локального ресурса в интранете, к которому есть доступ из технологической сети, или компрометация сетевого оборудования. В случае компрометации роутеров появляется возможность «слушать» трафик и извлекать различные учетные данные для дальнейшего доступа к компьютерам и ресурсам, как это было реализовано в атаках BlackEnergy2. Еще пример – заражение компьютеров подрядчиков промышленных компаний, которые подключают их в технологическую сеть. Бывают курьезы, связанные с конкретными исполнителями в цеху: например, один из рабочих большого завода установил на свой станок с встроенной операционной системой игры. Этот безрассудный поступок привел к заражению всей сети трояном.

Появление масштабных вредоносных кампаний, нацеленных на промышленные предприятия, говорит о том, что злоумышленники расценивают это направление как перспективное для себя. Это серьезный вызов для всего сообщества разработчиков промышленных систем автоматизации, владельцев и операторов этих систем, производителей средств защиты.

«К сожалению, опережать зло­умышленников крайне непросто, но можно пытаться хотя бы не отставать от них. Для этого мы активно продвигаем в сфере бизнеса и особенно промышленности целевые программы защиты – комплекс мер АСУТП (по защите технологических процессов) и полноценную образовательную программу по кибербезопасности для сотрудников всех уровней», – отмечает Питолин.

Александр Воротилов
заместитель главного редактора Forbes Kazakhstan

Forbes.KZ, 24.06.2017

 

Статьи по теме

Это возврат активов или сделка с ворами?

Это возврат активов или сделка с ворами?

More details
Депутат требует запретить банкам, получившим помощь из Нацфонда, выплачивать дивиденды акционерам

Депутат требует запретить банкам, получившим помощь из Нацфонда, выплачивать дивиденды акционерам

More details
Эксперты Комитета против пыток высоко оценивают усовершенствование законодательства Казахстана

Эксперты Комитета против пыток высоко оценивают усовершенствование законодательства Казахстана

More details