В 2018 г. половина компьютеров промышленных предприятий России столкнулась с киберинцидентами. Причина как в росте интереса киберпреступности к индустриальным организациям, так и недооценка риска самими предприятиями.
Чаще всего источниками киберинцидентов являются непреднамеренные неквалифицированные действия сотрудников компаний: утечек информации и корпоративного мошенничества, а также хакерские атаки.
Наибольшему количеству атак подверглись компьютеры автоматизированных систем управления технологическим процессом (АСУ ТП). Для трети компьютеров (35%) источником угроз стал интернет, около 6% пытались заразить через съемные носители, чуть менее 3% – с помощью почтовых программ.
С целью повышения эффективности работы на предприятиях внедряются современные IT-технологии, однако при разработке АСУ ТП крайне редко учитывается факт возможного кибервмешательства, следовательно редко предусматриваются меры по информационной безопасности, что делает их более уязвимыми для компьютерных атак. Большинство атак не преследует цель остановить производство или повредить промышленное оборудование. Основной целью злоумышленников является кража денег у индустриальных организаций с использованием программ-вымогателей. Также рассматривается вариант, что за хакерами могут стоять зарубежные партнеры и конкуренты, целью которых могут быть промышленный шпионаж, данные о клиентах и репутационный ущерб предприятию. К примеру, атаковать производство можно так, что на повторный запуск понадобится несколько месяцев, а выгодные заказы получит другая компания, что повлечет к крупному материальному ущербу. В рамках операции злоумышленники рассылают фишинговые письма, содержащие вредоносный документ, загружающий вредоносное ПО, которое служит в качестве загрузчика модульного бэкдора. Последний предназначен для разведывательной деятельности на инфицированной системе, предоставляя атакующим доступ к различной информации, включая документы, логины, данные о конфигурации и настройках сети и пр. Собранные сведения отправляются на подконтрольный злоумышленникам сервер.
Многие предприятия не спешат устанавливать продукты безопасности, поскольку они способны замедлять работу софта – а это может быть критично. В текущем году лишь около 40% компаний увеличили бюджет на обеспечение мер информационной безопасности. Наиболее применяемыми средствами безопасности являются: антивирусные программы (установлены в 24% компаний), средства администрирования Windows (~23%) и Firewall (~19%). Только около 3,7% компаний устанавливают SIEM-системы, которые позволяют анализировать события безопасности и управлять ими в режиме реального времени. По подсчётам аналитиков российские промышленные компании тратят на информационную безопасность менее 50 млн. руб. в год, при том, что день простоя инфраструктуры из-за кибератаки оценен одной третьей экспертов в аналогичную сумму, другая треть оценивает ущерб около 2 млн. руб., 13% – от 2 млн до 10 млн. и 17% – от 10 млн. до 50 млн.
С целью повышения информационной безопасности на предприятиях эксперты Центра кибербезопасности рекомендуют предусматривать следующие минимальные меры безопасности: