Промышленные сети страдают от устаревшего ПО
В 2018 г. значительно выросло количество атак, направленных на устаревшее программное обеспечение промышленных сетей (OT-систем). При этом в своих интересах киберпреступники использовали отсутствие стандартизированного протокола для OT-сетей. К таким выводам пришли эксперты компании Fortinet, проведя исследование Fortinet Operational Technology Security Trends Report, посвященное угрозам в области OT-систем.
Как указали в Fortinet, в рамках исследования эксперты компании проанализировали сводные данные FortiGuardLabs, чтобы оценить степень защищенности программного пакета для диспетчерского управления и сбора данных (SCADA), а также других систем управления производством (ICS). По результатам исследования, специалисты Fortinet сделали несколько выводов относительно активности киберпреступников в области OT-систем в 2018 г.
Так, согласно результатам исследования, в 2018 г. значительно выросло количество атак, направленных на устаревшее программное обеспечение OT-систем. При этом в своих интересах киберпреступники использовали отсутствие стандартизированного протокола для OT-сетей. Также результаты исследования указывают на то, что атаки на OT-системы в 2018 г. не дифференцировались по географическому или отраслевому признаку. При этом 85% новых угроз были обнаружены на устройствах с OPC Classic, BACnet и Modbus.
Проводя исследование, эксперты Fortinet выявили множество имевших место в 2018 г. атак с использованием IT-сетей (IT-based), направленных в первую очередь на промышленные сети, программное обеспечение которых давно не обновлялось. С другой стороны, как показало исследование, подобные действия в отношении IT-систем в 2018 г. не являлись эффективными. Также, согласно результатам исследования, в 2018 году наблюдался рост количества атак, направленных на SCADA и ICS. Такие угрозы зачастую были нацелены на самые уязвимые части OT-сетей и использовали сложности, вызванные отсутствием стандартизации протоколов. При этом подобные атаки не дифференцировались по географическому или отраслевому признаку - в 2018 г. наблюдался рост по всем направлениям и во всех регионах мира. "Также в 2018 г. имела место тенденция увеличения распространенности эксплоитов практически для каждого поставщика ICS/SCADA. При этом, в дополнение к атакам на необновленные OT-системы, 85% новых угроз в 2018 г. были обнаружены на устройствах с OPC Classic, BACnet и Modbus", - рассказали об исследовании в Fortinet.
В компании также добавили, что, согласно результатам исследования, в 2018 г. киберпреступники использовали в своих интересах широкий спектр OT-протоколов, не имеющих единого стандарта и отличающихся в зависимости от функционала системы, географии и индустрии. Это создает сложности в разработке решений по безопасности OT-систем для вендоров по всему миру.
"В целом исследование показало, что риски, связанные с конвергенцией IT/OT, вполне реальны и должны серьезно восприниматься любой организацией, которая начала подключать свои промышленные системы к ИТ-сетям. Злоумышленники продолжат использовать более медленные циклы замены и обновления технологии на предприятиях. Такая тенденция, вероятно, будет сохраняться на протяжении многих лет. Лучший способ противостоять новым угрозам - принять и внедрить комплексный стратегический подход, который упростит функционирование OT-систем и задействует всех имеющихся в организации экспертов в области IT и ОТ", - указали в Fortinet.
Говоря о проведенном Fortinet исследовании, ведущий аналитик "Доктор Веб" Вячеслав Медведев, сказал следующее: "Прежде всего, обратим внимание на интересную особенность отчета. Несколько фраз: "значительно выросло число атак", "85% новых угроз", "множество атак", "наблюдается рост количества атак". Значительно выросло - со скольких и до скольких? 85%... а 100% - это сколько угроз? В примерах же атак фигурируют WannaCry и NotPetya. Первый - это атаки на системы Windows - и никакой связи с промышленными протоколами. Второй - заражение системы документооборота".
Однако далее Вячеслав Медведев заметил: "При этом мы не утверждаем, что атак на промышленные сети нет. Естественно, они есть. Но в подавляющем числе случаев это случайные атаки - широкомасштабные рассылки вредоносных файлов по принципу "а вдруг получится". Если бы заражения промышленных сетей по промышленным протоколам с использованием специально созданных вредоносных программ были масштабны - СМИ обязательно это бы заметили. Да, недавно было заражение сети "Боинга". Но это был все тот же WannaCry без всякой связи с промышленными сетями. Скорее всего, обычное заражение Windows машин".
При этом Вячеслав Медведев дал некоторое пояснение ситуации с киберпреступниками: "Дело в том, что современные злоумышленники работают ради прибыли, а атаковать крупные компании, к которым относятся промышленные предприятия, почти бессмысленно. Как показал вышеупомянутый NotPetya, "крупняк" не платит выкупы - при значительном числе заражений количество уплаченных вымогателям средств было ничтожно. Скорее, он нажмет на знакомого президента, и хакеры пойдут по этапу".
Относительно ситуации с информационной безопасностью промышленных сетей в России Вячеслав Медведев сказал: "Пока гром не грянул, мужик креститься не будет. Ситуация с защищенностью и в России, и в мире обстоит крайне плачевно. Бизнес не выделяет средств на защиту от угроз, примеров реализаций которых он не слышал". Что касается основных тенденций в области информационной безопасности промышленных сетей в России в 2018 г. Вячеслав Медведев сказал: "Множество предложений от компаний-производителей при минимуме закупок".
В качестве прогноза ситуации информационной безопасности промышленных сетей в России на 2019 г. Вячеслав Медведев озвучил следующее: "Несмотря на требования по защите критически важных инфраструктур бизнес будет по-прежнему стремиться выполнить требования на бумаге. Пример тому - защита персональных данных. По России идет вал взломов уязвимых баз с персональными данными. И никакой активности регуляторов в ответ на это. Однако можно ожидать увеличение активности государственных хакеров. Холодная война набирает обороты, и потенциальным противникам интересно, и чем занимаются военные предприятия, и то, как остановить их работу в час Х. Компания "Доктор Веб" уже обнаруживала заражения предприятий ВПК. И мы думаем, что это не последний случай".
Руководитель направления защиты АСУ ТП "Ростелеком-Solar" Владимир Карантаев, комментируя исследование Fortinet, сказал следующее: "В целом понятно, почему специалисты Fortinet в своем исследовании пришли к таким выводам. Во-первых, то обстоятельство, что в системах АСУ ТП выявляется много уязвимостей, давно не новость. Во-вторых, известно, что достаточно большой процент уязвимостей промышленных систем не закрываются силами вендоров систем АСУ ТП. В-третьих, существует временной лаг между обнаружением уязвимости той или иной системы и выпуском обновления. Кроме того, промышленные сети отличаются разным уровнем зрелости применяемых систем защиты. Зачастую используется минимальный набор средств ИБ".
Владимир Карантаев также отметил, что упомянутые промышленные протоколы, в частности Modbus, являются наиболее распространенными, но при этом не содержат функций безопасности. "А если учесть, что наложенные средства защиты применяются достаточно ограниченно, то риски возникновения инцидентов возрастают. При этом многие из применяемых в системах АСУ ТП протоколов являются проприетарными, их спецификации либо вовсе закрыты для разработчиков систем защиты, либо распространяются только под NDA. Соответственно, ИБ-вендорам требуется много времени, чтобы договориться с разработчиками протоколов об их исследовании, подробно изучить сами протоколы и разработать технологии защиты. Ну и, конечно, существует специфика реализации промышленных протоколов. В нашей практике мы сталкивались с ситуациями, когда стандартизация протокола сильно отличалась от его реализации. Все эти сложности, конечно, способствуют росту числа атак на промышленные объекты", - заявил Владимир Карантаев.
Помимо того, он заметил, что вопрос информационной безопасности промышленных сетей, безусловно, актуален для России. "В прошлом году все внимание в данной сфере было сконцентрировано на реализации требований 187 ФЗ "О безопасности критической информационной инфраструктуры РФ", стартовали проекты инвентаризации, категорирования объектов КИИ и т.п. В текущем и следующем году мы ожидаем начала внедрения и построения систем защиты КИИ, в том числе путем подключения к центрам ГосСОПКА. Со своей стороны, наш центр мониторинга и реагирования на компьютерные инциденты SolarJSOС, оказывающий услуги по созданию центров ГосСОПКА, стремится к тому, чтобы выстроенная ИБ-система повышала надежность АСУ ТП наших заказчиков. Что касается тенденций в области промышленных угроз, то в прошлом году таргетированные атаки на системы АСУ ТП, к счастью, не стали массовыми. Однако текущий уровень защищенности промышленных предприятий невысок. Что хорошо видно на примере вирусов-шифровальщиков, которые в недавнем прошлом затронули и некоторые системы АСУ ТП. Мы ожидаем, что в будущем в России появится открытая статистика инцидентов в данной сфере, поскольку объекты КИИ будут подключаться к центрам ГосСОПКА", - указал Владимир Карантаев.
Менеджер по продукту компании "Код безопасности" Дарья Коваленко, беседуя об исследовании Fortinet, указала на следующее: "Код безопасности" исследует направление защиты АСУ ТП - объединим этим понятием все системы автоматизации управления на промышленных предприятиях, - и наши эксперты согласны с тем, что есть тенденция роста количества атак на АСУ ТП. Сейчас у нашей компании в работе большой проект с разработчиками SCADA и ICS, который позволит внедрить продукты "Кода безопасности" в эту инфраструктуру. Специфика работы АСУ ТП заключается в том, что внесение изменений в них довольно проблематично, так как, например, на производстве таймауты измеряются миллисекундами - если эта задержка увеличится, то многим устройствам и датчикам может потребоваться перенастройка. Поэтому внедрение системы безопасности осуществляется не в существующей инфраструктуре, а заранее с производителями ее компонентов".
Относительно ситуации с информационной безопасностью промышленных сетей в России Дарья Коваленко сказала следующее: "Сейчас нет какого-либо аврала по обеспечению ИБ промышленных сетей. Есть действующие приказы регуляторов, которые регламентируют правила работы АСУТП в вопросах обеспечения безопасности, например шифрования. На самих же системах существует "точечное" реагирование на конкретные инциденты. При этом стоит отметить, что число таких сложных систем растет, их работоспособность и безопасность критична для производства. Соответственно, внимания данной теме уделяется больше. Тенденцией 2018 г. можно назвать осознание того, что есть подобные сложные системы, а есть продукты для обеспечения безопасности, и необходимо их "скрещивать", чтобы они совместно работали, выполняли правила и регламенты регуляторов. Мы тщательно изучали прогноз ситуации с обеспечением информационной безопасности промышленных сетей в России в 2019 г., но на данный момент нет информации о том, что начнется массовое внедрение ИБ-систем на АСУ ТП. Постепенно все приходят к выводу, что это делать необходимо и важно, но практические действия по-прежнему предпринимаются точечно".
По мнению руководителя Kaspersky Lab ICS CERT Евгения Гончарова, вопрос информационной безопасности промышленных сетей в России стоит довольно остро. "Согласно отчету Kaspersky Lab ICS CERT, во втором полугодии 2018 г. в мире на 40,8% компьютеров АСУ, защищенных продуктами "Лаборатории Касперского", была хотя бы один раз обнаружена и предотвращена вредоносная активность. В России в течение этого периода этот показатель достиг 45,3%, что слегка превышает уровень, который наблюдался в первом полугодии 2018 г. (44,7%). Основными источниками угроз для компьютеров в технологической инфраструктуре организаций на протяжении последних лет являются интернет, съемные носители и электронная почта. Среди угроз 2018 г., которые не потеряют актуальность в ближайшие годы, можно назвать криминальные атаки на промышленные организации, большинство из которых используют фишинг как вектор проникновения. Злоумышленники применяют тщательно подготовленные письма с вредоносными вложениями и ссылками, замаскированные под деловую переписку, - коммерческие предложения, приглашения на участие в тендере и т.п.", - рассказал Евгений Гончаров.
Он также отметил, что существенную опасность для промышленных организаций, по оценкам Kaspersky Lab ICSCERT, представляют средства удаленного администрирования, широко используемые в том числе и внутри технологической сети. "В ряде случаев они открывают дорогу злоумышленникам не только к бухгалтерским системам предприятия, но и к системам автоматизированного управления, что ставит под угрозу непрерывность и целостность технологического процесса и безопасность производства", - указал Евгений Гончаров.