По данным «Лаборатории Касперского», 42,05%* компьютеров АСУ** в Казахстане были атакованы вредоносным ПО с января по ноябрь 2023 года. Этот показатель в стране выше, чем в среднем по миру (39%).
Наибольший рост количества кибератак наблюдается в области инжиниринга и интеграции систем АСУ — с 46,3% в 2022 году до 49,2% за первые 11 месяцев 2023 года, а также в энергетике — с 48,9% до 49,1%. Среди самых распространённых угроз — фишинг, вредоносные скрипты, шпионское ПО и криптомайнеры.
В конце 2022 и начале 2023 года в Казахстане значительная доля компьютеров АСУ, используемых в области автоматизации зданий, инжиниринга и интеграции систем АСУ, а также в нефтегазовой сфере, столкнулись с вредоносными скриптами, размещёнными злоумышленниками на веб-сайтах. Ресурсы были заражены путём эксплуатации уязвимости в системах CRM Bitrix, исправление для которой было выпущено ещё в марте 2022 года.
Среди заражённых сайтов встречаются как развлекательные и новостные страницы, так и государственные, промышленные и медицинские ресурсы. Вредоносные скрипты, размещаемые злоумышленниками, использовались для заражения компьютеров пользователей шпионским ПО, майнерами и программами-вымогателями. Наибольший рост числа столкнувшихся с такими скриптами компьютеров АСУ в Казахстане в текущем году зафиксирован в сфере инжиниринга и интеграции систем АСУ: за первые 11 месяцев 2023 года показатель вырос на 2,7 процентных пункта по сравнению с 2022 годом.
Наибольший процент компьютеров АСУ, на которых было заблокировано шпионское ПО в 2022 и неполном 2023 году, показывают системы автоматизации зданий: 10,7% и 9,5% соответственно. Такие системы являются одними из наиболее доступных инфраструктур для базовых (общих) киберугроз, поскольку рабочие и бизнес-процессы часто требуют наличия доступа сотрудников к корпоративным и интернет-сервисам, что делает их более уязвимыми для атак по сравнению с другими индустриями.
«Довольно значительная часть угроз, которые блокируются на компьютерах АСУ, связаны с активностью пользователей. Человеческий фактор по-прежнему остаётся наиболее уязвимым звеном в обеспечении безопасности, поэтому необходимо регулярно проводить тренинги для сотрудников по основам информационной безопасности. Кроме того, важно понимать, что если вредоносное ПО было заблокировано на компьютере АСУ, а для Казахстана это 42% от всех компьютеров АСУ за 11 месяцев 2023 года, это значит, что защита как внешнего периметра промышленной организации, так и защита внутреннего контура АСУ оказались недостаточно эффективными — при должной комплексной защите инфраструктуры до узлов АСУ доходит малый процент атак. Поэтому, для обеспечения безопасности АСУ следует защищать промышленные предприятия на всех уровнях — не только компьютеры АСУ, но и другие рабочие станции и устройства, имеющие доступ к защищенному контуру технологической сети, включая компьютеры и сервисы в корпоративном сегменте сети: сервера электронной почты, файловые хранилища, базы данных, рабочие станции инженеров, сетевую инфраструктуру», — комментирует Валерий Зубанов, исполнительный директор «Лаборатории Касперского» в Казахстане, Центральной Азии и Монголии.
Для защиты компьютеров АСУ от киберугроз «Лаборатория Касперского» рекомендует:
регулярно обновлять операционные системы и приложения в составе ОТ-инфраструктуры, и устанавливать патчи сразу, как только они выходят;
регулярно проводить аудит безопасности ОТ-систем для своевременного распознавания и устранения проблем безопасности;
использовать решения для мониторинга сетевого трафика компьютеров АСУ, анализа и детектирования киберугроз для наиболее эффективной защиты от атак, потенциально угрожающих технологическому процессу и главным активам предприятия;
проводить тренинги для ИБ-специалистов и ОТ-инженеров, чтобы улучшать качество реагирования на различные, в том числе новые и продвинутые, вредоносные техники;
предоставлять специалистам, ответственным за защиту АСУ, современные средства аналитики киберугроз. Сервис ICS Threat Intelligence Reporting аккумулирует данные о текущих киберугрозах и векторах атак, а также о наиболее уязвимых элементах в ОТ и о том, как повысить их устойчивость;
использовать защитные решения для конечных устройств ОТ и сетей, такие как Kaspersky Industrial CyberSecurity, чтобы обеспечить безопасность всех критически важных промышленных систем;
ограждать от киберугроз IT-инфраструктуру. Интегрированные продукты для защиты конечных устройств предоставляют возможности для детектирования киберугроз и реагирования на них.
О Kaspersky ICS CERT
Kaspersky Industrial Systems Emergency Response Team — глобальный проект «Лаборатории Касперского», нацеленный на координацию действий производителей систем автоматизации, владельцев и операторов промышленных объектов, исследователей информационной безопасности при решении задач защиты промышленных предприятий и объектов критически важных инфраструктур. Эксперты Kaspersky ICS CERT предоставляют аналитические данные о киберугрозах и уязвимостях в информационных системах, а также делятся экспертизой в области соответствия законодательным нормам. Узнать больше можно на сайте https://ics-cert.kaspersky.ru/.
* По данным Kaspersky ICS CERT.
** Серверы управления и сбора данных (SCADA), серверы хранения данных, шлюзы данных, стационарные рабочие станции инженеров и операторов, мобильные рабочие станции инженеров и операторов, компьютеры, используемые для администрирования технологических сетей, и компьютеры, используемые для разработки ПО для систем промышленной автоматизации.