26 marca 2018

Branża energetyczna oraz integracji systemów ICS głównym celem cyberataków przemysłowych w II połowie 2017 r.

Prawie 40% wszystkich przemysłowych systemów sterowania (ICS) w organizacjach energetycznych chronionych przez rozwiązania firmy Kaspersky Lab zostało przynajmniej raz atakowane przez szkodliwe oprogramowanie w ciągu ostatnich sześciu miesięcy 2017 r., podczas gdy w przypadku sieci konstrukcyjnych oraz integracji systemów ICS odsetek ten wynosił 35,3%. Jest to jedno z kluczowych ustaleń zaprezentowanych w najnowszym raporcie Kaspersky Lab poświęconym krajobrazowi zagrożeń dla systemów automatyzacji przemysłowej w drugiej połowie 2017 r. W pozostałych sektorach przemysłowych liczba atakowanych systemów ICS wynosiła średnio 26-30%.


Cyberbezpieczeństwo obiektów przemysłowych to kwestia, która może prowadzić do niezwykle poważnych konsekwencji mających wpływ na procesy przemysłowe, jak również do strat ekonomicznych. Analizując krajobraz zagrożeń w różnych branżach, Kaspersky Lab ICS CERT odkrył, że niemal wszystkie branże regularnie doświadczają cyberataków na swoje komputery ICS.

Jednak dwie branże odnotowały więcej ataków niż pozostałe - organizacje z branży energetycznej (38,7%) oraz firmy z branży konstrukcyjnej i integracji systemów ICS (35,3%). W drugiej połowie 2017 r. największy wzrost pod względem liczby atakowanych komputerów ICS odnotował sektor konstrukcyjny (31,1%). W przypadku innych rozpatrywanych branż (produkcyjnej, transportowej, usług komunalnych, żywnościowej, opieki zdrowia itd.) odsetek zaatakowanych komputerów wahał się średnio od 26% do 30%.

Według ekspertów sektor energetyczny był jedną z pierwszych branż, która zaczęła szeroko stosować różne rozwiązania automatyzacji, i obecnie należy do najbardziej skomputeryzowanych. Incydenty naruszenia cyberbezpieczeństwa oraz ataki ukierunkowane, jakie miały miejsce na przestrzeni minionych kilku lat, jak również inicjatywy regulacyjne, stanowią mocny argument za tym, aby firmy z branży energetycznej zaczęły stosować produkty i środki w zakresie cyberbezpieczeństwa dla swoich systemów technologii operacyjnej (OT).

Ponadto współczesna sieć energetyczna stanowi jeden z najbardziej rozbudowanych systemów współpracujących obiektów przemysłowych i składa się z ogromnej liczby połączonych z siecią komputerów, charakteryzując się stosunkowo wysokim stopniem podatności na cyberzagrożenia, jak wynika ze statystyk Kaspersky Lab ICS CERT. Wysoki odsetek atakowanych systemów w firmach konstrukcyjnych oraz integracji systemów ICS stanowi kolejny poważny problem, biorąc pod uwagę fakt, że wektor ataków na łańcuch dostaw został wykorzystany w niektórych destrukcyjnych atakach w ostatnich latach.

Stosunkowo wysoki odsetek atakowanych komputerów ICS w branży konstrukcyjnej w porównaniu z pierwszą połową 2017 r. może wskazywać na to, że organizacje te nie są wystarczająco dojrzałe, aby zwrócić uwagę na ochronę komputerów przemysłowych. Być może dopiero niedawno wprowadziły skomputeryzowane systemy automatyzacji i nie zbudowały jeszcze przemysłowej kultury cyberbezpieczeństwa.

Najniższy odsetek ataków przemysłowych został zidentyfikowany w przedsiębiorstwach specjalizujących się w rozwoju oprogramowania ICS - 14,7%. Oznacza to, że laboratoria badawczo-rozwojowe ICS, platformy testowe oraz środowiska szkoleniowe są atakowane przez szkodliwe oprogramowanie, aczkolwiek nie tak często jak systemy funkcjonujące w przedsiębiorstwach przemysłowych. Eksperci z Kaspersky Lab ICS CERT podkreślają znaczenie bezpieczeństwa dostawców systemów ICS, ponieważ skutki rozprzestrzenienia się ataku w ekosystemie partnera producenta oraz bazie klientów mogą być dramatyczne, czego przykładem jest epidemia szkodliwego oprogramowania exPetr.

Wśród nowych trendów w 2017 r. badacze z Kaspersky Lab ICS CERT zidentyfikowali wzrost liczby ataków na systemy ICS w celu wydobywania kryptowaluty. Ta tendencja wzrostowa została zapoczątkowana we wrześniu, wraz z ogólnym wzrostem na rynku kryptowaluty oraz liczby koparek. Jednak w przypadku przedsiębiorstw przemysłowych tego typu atak może stanowić większe zagrożenie ze względu na znaczące obciążenie komputerów oraz, w efekcie, negatywny wpływ na działanie komponentów systemu ICS przedsiębiorstwa i zagrożenie ich stabilności. Łącznie, w okresie od lutego 2017 r. do stycznia 2018 r., programy służące do kopania kryptowaluty atakowały 3,3% komputerów przemysłowych systemów automatyzacji, w większości sytuacji przypadkowo.

Najważniejsze ustalenia z raportu

  • Produkty firmy Kaspersky Lab zablokowały próby infekcji na 37,8% chronionych komputerów ICS.
  • Głównym źródłem infekcji pozostaje internet (22,7% atakowanych komputerów ICS). Odsetek zablokowanych ataków rozprzestrzenianych za pośrednictwem sieci WWW w Europie i Ameryce Północnej jest znacznie niższy niż w innych miejscach.
  • Ranking pięciu państw o najwyższym odsetku zaatakowanych komputerów ICS pozostał niezmieniony od pierwszej połowy 2017 r. i obejmuje Wietnam (69,6%), Algierię (66,2%), Maroko (60,4%), Indonezję (60,1%) oraz Chiny (59,5%).
  • W drugiej połowie 2017 r. liczba różnych modyfikacji szkodliwego oprogramowania wykrytych przez rozwiązania Kaspersky Lab, które zostały zainstalowane w systemach automatyzacji przemysłowej, wzrosła z 18 000 do ponad 18 900.
  • W 2017 roku 10,8% wszystkich systemów ICS było atakowane przez agenty botnetów - szkodliwe oprogramowanie, które ukradkowo infekuje maszyny i przyłącza je do cyberprzestępczej sieci w celu zdalnego wykonania poleceń; głównymi źródłami tego rodzaju ataków był internet, nośniki wymienne oraz wiadomości e-mail.
  • W 2017 roku Kaspersky Lab ICS CERT zidentyfikował 63 luki w zabezpieczeniach w systemach przemysłowych oraz systemach IIoT/IoT, z czego 26 zostało załatanych przez producentów.
Wyniki naszego badania obejmującego atakowane komputery ICS w różnych branżach były dla nas zaskoczeniem. Na przykład, wysoki odsetek komputerów ICS atakowanych w firmach sektora energetycznego pokazuje, że działania podejmowane przez przedsiębiorstwa w celu zapewnienia cyberbezpieczeństwa swoim systemom automatyzacji po poważnych incydentach w branży nie wystarczą i nadal istnieje wiele luk, które cyberprzestępcy mogą wykorzystać - powiedział Jewgienij Gonczarow, szef Kaspersky Lab ICS CERT. Ogólnie, w porównaniu z 2016 r. miał miejsce nieznaczny spadek liczby ataków na systemy ICS. Prawdopodobnie oznacza to, że przedsiębiorstwa zaczęły zwracać większą uwagę na kwestie dotyczące cyberbezpieczeństwa i sprawdzają segmenty przemysłowe swoich sieci, szkolą pracowników itd. To dobry znak, ponieważ niezwykle ważne jest, aby firmy podjęły proaktywne działania i nie musiały gasić pożarów w przyszłości.

Zalecenia bezpieczeństwa

Kaspersky Lab ICS CERT zaleca stosowanie następujących środków technicznych:
  • Regularna aktualizacja systemów operacyjnych, oprogramowania oraz rozwiązań bezpieczeństwa w systemach, które wchodzą w skład sieci przemysłowej przedsiębiorstwa.
  • Ograniczenie ruchu sieciowego na portach i protokołach wykorzystywanych na routerach brzegowych oraz wewnątrz sieci OT organizacji.
  • Wdrożenie wyspecjalizowanych rozwiązań ochrony punktów końcowych na serwerach ICS, stacjach roboczych oraz interfejsach człowiek-maszyna (HMI) w celu zabezpieczenia infrastruktury OT i przemysłowej przed przypadkowymi cyberatakami.
  • Wdrożenie rozwiązań monitorowania ruchu sieciowego, analizy i wykrywania w celu zapewnienia lepszej ochrony przed atakami ukierunkowanymi.
Pełny raport obejmujący drugą połowę 2017 r. jest dostępny na stronie https://r.kaspersky.pl/SS2z1.

Informacje o Kaspersky Lab ICS CERT

Kaspersky Lab Industrial Control Systems Cyber Emergency Response Team (Kaspersky Lab ICS CERT) to globalny projekt uruchomiony przez Kaspersky Lab w 2016 r. w celu koordynacji działań producentów systemów automatyzacji, właścicieli i operatorów obiektów przemysłowych, jak również badaczy bezpieczeństwa IT ukierunkowanych na ochronę przedsiębiorstw przemysłowych przed cyberatakami. Kaspersky Lab ICS CERT koncentruje się głównie na identyfikowaniu potencjalnych i istniejących zagrożeń, których celem są systemy automatyzacji przemysłowej oraz przemysłowy Internet Rzeczy. W swoim pierwszym roku działania zespół zidentyfikował ponad 110 krytycznych luk w zabezpieczeniach produktów największych globalnych producentów przemysłowych systemów sterowania. Kaspersky Lab ICS CERT jest aktywnym członkiem i partnerem czołowych międzynarodowych organizacji, które opracowują rekomendacje dotyczące ochrony przedsiębiorstw przemysłowych przed cyberzagrożeniami. Więcej informacji znajduje się na stronie ics-cert.kaspersky.com.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie https://www.kaspersky.pl/nowosci.