W drugiej połowie 2016 roku, prawie 40% komputerów powiązanych z infrastrukturą technologiczną było narażonych na cyberataki.

W drugiej połowie 2016 roku średnio dwa na pięć komputerów powiązanych z infrastrukturą technologiczną przedsiębiorstw przemysłowych były narażone na cyberataki. Dane pochodzą z raportu Kaspersky Lab poświęconego krajobrazowi cyberzagrożeń dla systemów przemysłowych. Odsetek atakowanych komputerów przemysłowych wzrósł z ponad 17% w lipcu 2016 r. do ponad 24% w grudniu 2016 r., przy czym trzy największe źródła infekcji obejmowały internet, wymienne urządzenia pamięci masowej oraz szkodliwe załączniki i skrypty osadzone w wiadomościach e-mail.

 

Wraz ze wzrostem integracji technologii i sieci korporacyjnych przedsiębiorstw przemysłowych coraz więcej cyberprzestępców zaczyna postrzegać takie firmy jako potencjalne cele. Wykorzystując luki w zabezpieczeniach sieci oraz oprogramowania stosowanego w przemyśle, atakujący może wykraść informacje dotyczące procesu produkcyjnego, a nawet zatrzymać funkcjonowanie danej placówki, wywołując ogromne straty. W celu określenia, jak szeroko rozpowszechnione jest to niebezpieczeństwo, specjaliści z Kaspersky Lab odpowiedzialni za badanie cyberzagrożeń dla środowisk przemysłowych (ICS CERT) przeprowadzili wyspecjalizowane badanie krajobrazu ataków, na jakie narażone są systemy przemysłowe systemy sterowania (ICS). Badacze ustalili, że w drugiej połowie 2016 r. pobieranie szkodliwego oprogramowania oraz otwieranie phishingowych stron internetowych zostało zablokowane na ponad 22% komputerów przemysłowych. To oznacza, że niemal co piąta maszyna co najmniej jeden raz była narażona na infekcję lub przechwycenie danych uwierzytelniających za pośrednictwem internetu.

 

Ze względu na ograniczenia sieci technologicznej, w której zlokalizowane są stacje robocze inżynierów i operatorów pracujących bezpośrednio z przemysłowymi systemami sterowania, maszyny te zwykle nie posiadają bezpośredniego dostępu do internetu. Istnieją jednak inni użytkownicy, którzy mają jednoczesny dostęp do internetu i systemów przemysłowych. Według badania Kaspersky Lab takie komputery — wykorzystywane prawdopodobnie przez administratorów systemów i sieci, programistów, integratorów systemów automatyzacji przemysłowej, jak również wykonawców zewnętrznych, którzy bezpośrednio lub zdalnie łączą się z sieciami technologicznymi — mogą swobodnie łączyć się z internetem, ponieważ nie są związane z jedną siecią przemysłową posiadającą konkretne ograniczenia.

 

Internet nie jest jedynym zagrożeniem dla cyberbezpieczeństwa systemów przemysłowych. Jak dostrzegli badacze z Kaspersky Lab, ryzyko stwarzają również zainfekowane wymienne urządzenia pamięci masowej. W okresie, w którym prowadzono badanie, 10,9% komputerów stosowanych do pracy z przemysłowymi systemami sterowania (lub podłączonych do maszyn wykorzystywanych do tego celu) nosiło ślady szkodliwego oprogramowania, po tym jak podłączono do nich urządzenie wymienne.

 

Szkodliwe załączniki do wiadomości e-mail oraz osadzone w ich treści skrypty zostały zablokowane na 8,1% komputerów przemysłowych. W większości przypadków atakujący wykorzystują wiadomości phishingowe w celu przyciągnięcia uwagi użytkownika i zamaskowania szkodliwych plików. Szkodliwe oprogramowanie było najczęściej dystrybuowane w postaci dokumentów biurowych, takich jak pliki pakietu MS Office czy dokumenty PDF. Przy pomocy różnych technik przestępcy zadbali o to, aby użytkownicy pobrali i uruchomili szkodliwe oprogramowanie na komputerach organizacji przemysłowej.

 

Z badania Kaspersky Lab wynika, że szkodliwe oprogramowanie, które stanowi poważne zagrożenie dla firm na całym świecie, jest również niebezpieczne dla przedsiębiorstw przemysłowych. Obejmuje ono oprogramowanie szpiegujące, trojany oferujące zdalny dostęp, narzędzia przechwytujące znaki wprowadzane z klawiatury, finansowe szkodliwe oprogramowanie, ransomware oraz programy bezpowrotnie niszczące dane ofiary. Mogą one całkowicie sparaliżować kontrolę organizacji nad jej systemem przemysłowym lub zostać wykorzystane w atakach ukierunkowanych.

 

Z naszej analizy wynika, że ślepa wiara w odizolowanie sieci technologicznych od internetu nie działa w każdym przypadku. Wzrost liczby cyberzagrożeń dla infrastruktury krytycznej sugeruje, że przemysłowe systemy sterowania powinny zostać odpowiednio zabezpieczone przed szkodliwym oprogramowaniem zarówno wewnątrz, jak i na zewnątrz sieci. Ponadto z naszych obserwacji wynika, że niezależnie od wyrafinowania systemu zabezpieczeń ataki niemal zawsze rozpoczynają się od najsłabszego ogniwa – od człowieka — powiedział Jewgienij Gonczarow, szef działu obrony infrastruktury krytycznej, Kaspersky Lab.

 

 

Raport Kaspersky Lab ujawnił także następujące informacje:

  • Co czwarty zaawansowany atak ukierunkowany wykryty przez Kaspersky Lab w 2016 r. był wymierzony w cele przemysłowe.
  • Zidentyfikowano około 20 000 różnych próbek szkodliwego oprogramowania w systemach automatyzacji przemysłowej należących do ponad 2 000 różnych rodzin szkodliwego oprogramowania.
  • W 2016 r. Kaspersky Lab wykrył 75 luk w zabezpieczeniach sprzętu i oprogramowania wykorzystywanego w przemyśle. 58 z nich zostało oznaczonych jako krytyczne.
  • Trzy państwa o największej liczbie zaatakowanych komputerów przemysłowych to Wietnam (ponad 66%), Algieria (ponad 65%) i Maroko (60%)

 

W celu zapewnienia ochrony środowiska przemysłowego przed potencjalnymi cyberatakami eksperci ds. bezpieczeństwa z Kaspersky Lab zalecają następujące działania:

  • Przeprowadzenie oceny bezpieczeństwa w celu zidentyfikowania i usunięcia luk w zabezpieczeniach.
  • Skorzystanie z zewnętrznej analizy zagrożeń — dane analityczne dostarczone przez renomowanych dostawców pomagają organizacjom przewidzieć przyszłe ataki na infrastrukturę przemysłową firmy.
  • Szkolenie całego personelu w zakresie cyberzagrożeń.
  • Zapewnienie ochrony wewnątrz i poza siecią. Odpowiednia strategia bezpieczeństwa zakłada przeznaczenie zasobów na wykrywanie ataków i reagowanie na nie, tak aby działania przestępców mogły zostać zablokowane, zanim wyrządzą szkody w obiektach o znaczeniu krytycznym
  • Zastosowanie zaawansowanych metod ochrony takich jak scenariusz odmowy domyślnej dla systemów SCADA, regularne sprawdzanie integralności sterowników oraz wyspecjalizowane monitorowanie sieci w celu zwiększenia ogólnego bezpieczeństwa firmy. Rozwiązania te zmniejszą prawdopodobieństwo przeprowadzenia skutecznego włamania, nawet jeśli nie można załatać ani usunąć niektórych podatnych na ataki węzłów.

 

 

Pełny raport poświęcony cyberzagrożeniom dla systemów przemysłowych w drugim kwartale 2016 r. jest dostępny na stronie https://kas.pr/WCk4.

Źródło: Kaspersky Lab