Специалисты «Лаборатории Касперского» подготовили отчет об угрозах средствам промышленной автоматизации в России за первое полугодие 2022 года. По данным компании, возросла доля атакованных компьютеров АСУ в нефтегазовом бизнесе, а также в Интернете, съемных накопителях и почтовые покупатели стали основными источниками угроз.

В целом компании построения систем автоматизации в России и во всем мире являются лидерами по доле компьютеров АСУ, на которых было заблокировано вредоносное ПО. Вредоносные объекты в таких системах могут быть использованы для проведения целенаправленных кибератак, и консультанты пишут, что уже фиксировали такие примеры: одновременно атаке подвергались все средства автоматизации зданий и информационные системы организаций, расположенных в этих зданиях.

Если рассматривать процент атакованных компьютерных систем АСУ в России в первом полугодии 2022 года с более ранними полугодиями, то существенных изменений нет. В глобальном масштабе этот процент довольно безопасен.

Только в феврале и марте 2022 года исследователи отметили снижение доли атакованных компьютеров АСУ, что нетипично для предыдущих лет. Фирма связывает это с началом конкретной операции в Украине и отмечает, что идентичная картина наблюдалась при анализе угроз для ИТ-сектора.

«Видимо, часть нападавших была вынуждена ненадолго притормозить или ограничить свои действия. Однако к апрелю показатель вернулся к показателям прошлого года», — говорится в сообщении.

Самый распространенный способ проникновения вредоносных программ в компьютерные системы АСУ ТП — через Интернет. Доля таких угроз значительно увеличилась в первой половине 2022 года: вредоносные интернет-ресурсы — на 44%; троянские шпионские программы до 18%; вредоносных документов на 80%.

В нем также подчеркивается, что процент компьютеров АСУ, заблокированных программами-вымогателями в первой половине 2022 года, был самым высоким с 2020 года. Этот процент увеличился на 0,2 коэффициента доли. Хотя разница может показаться незначительной, исследователи подчеркивают, что «на самом деле это означает повышенную угрозу значительных денежных потерь для множества атакованных промышленных компаний».

Угрозы обычно попадают на компьютеры АСУ через Интернет и съемные носители. Эксперты поясняют, что экономическая сеть содержит компьютерные системы и ноутбуки инженеров, разработчиков программного обеспечения и сетевых директоров, а также SCADA/OPC/Historian/HMI. Именно эти персональные машины часто (явно или тайно) используют доступ в Интернет, электронную почту и другие услуги, а также имеют доступ к автоматизированным системам управления и повышенным привилегиям.

То же самое относится к подрядчикам, строителям, интеграторам, системным или общественным администраторам, которые подключаются к экономической сети сразу или удаленно извне.

«Не все автоматизированные методы контроля курса действительно изолированы от Интернета. Для этого вредоносное ПО обычно проникает в промышленные сети. Корпоративная электронная почта в компьютерных системах промышленного сообщества, например, прокладывает путь для шпионского ПО, которое распространяется посредством фишинговых списков рассылки, часто от одной промышленной компании к другой в письмах, замаскированных под корреспонденцию пострадавших организаций. Но даже для систем, изолированных от мира скинов, угрозы подключенной флешки более чем актуальны. Игнорировать их невозможно, и не может быть уверенности, что вы сможете защитить себя от них только организационными мерами. Важно использовать комплексные и специализированные средства безопасности нового поколения, которые, в том числе, обеспечивают защиту ИТ- и ОТ-сегментов в рамках единой системы информационной безопасности», — комментирует Евгений Гончаров, директор ICS CERT Лаборатории Касперского. .