Cercetarea Kaspersky Lab asupra amenințărilor cibernetice la adresa sistemelor industriale de automatizare, în cea de-a doua jumătate a anului 2017, a arătat că cel mai mare număr de atacuri a avut loc împotriva organizațiilor din domeniul energiei și împotriva integratorilor de sisteme industriale de control. Cercetătorii Kaspersky Lab ICS CERT au descoperit, de asemenea, o creștere a atacurilor de mining, care a început în septembrie și a fost urmată de o creștere a pieței de critpo-monede și miner-e, în general.  

38,7% dintre toate sistemele industriale de control (ICS) din organizațiile din domeniul energiei, protejate de soluțiile Kaspersky Lab au fost atacate de malware cel puțin o dată în ultimele șase luni din 2017, urmate îndeaproape de 35,3% dintre rețelele de inginerie și integratorii de sisteme industriale de control. Alte domenii s-au confruntat, în medie, cu atacuri asupra a 26-30% dintre computerele ICS. Marea majoritate a atacurilor detectate au fost lovituri accidentale.

Securitatea organizațiilor industriale rămâne o problemă care poate duce la consecințe serioase, afectând procesele industriale. În timp ce analiza amenințările din diferite industrii, echipa Kaspersky Lab ICS CERT a remarcat că aproape toate industriile se confruntă cu regularitate cu atacuri cibernetice asupra computerelor ICS.

Potrivit experților, sectorul energetic a fost unul dintre primele care au început să folosească la scară largă diverse soluții de automatizare, iar acum este unul dintre cele mai computerizate. Incidentele de securitate cibernetică și atacurile direcționate din ultimii ani, împreună cu inițiativele de reglementare sunt argumente serioase pentru companiile din domeniul energiei electrice, de a începe să adopte produse de securitate cibernetică și măsuri pentru sistemele lor de OP (tehnologie operațională).

În plus, rețeaua de electricitate modernă este una dintre cele mai extinse sisteme de obiecte industriale interconectate, cu un mare număr de computere conectate la rețea și un grad relativ mare de expunere la amenințări cibernetice, după cum arată statisticile Kaspersky Lab ICS CERT. La rândul său, procentul mare de computere ICS atacate în domeniul ingineriei și al integratorilor de sisteme industriale de control este o altă problemă gravă, având în vedere faptul că vectorul de atac care exploatează lanțul de furnizori a fost folosit în unele atacuri mari, în ultimii ani.

În sectorul construcțiilor a avut loc cea mai evidentă creștere a numărului de computere ICS atacate în H2 2017 (comparativ cu H1 2017) – de 31,1%. Alte industrii (producție, transporturi, servicii, alimentară, sănătate etc.) s-au situat între 26 și 30%, în medie.

Procentul relativ mare de computere ICS atacate în domeniul construcțiilor, comparativ cu H1 2017, ar putea indica faptul că aceste organizații nu sunt neapărat suficient de mature pentru a acorda atenția cuvenită protejării computerelor industriale. Sistemelor lor computerizate de automatizare s-ar putea să fie relativ noi și fără o cultură a securității cibernetice industriale.

Cel mai scăzut procent de atacuri ICS a fost descoperit în companiile specializate în dezvoltarea de software ICS – 14,7%, ceea ce înseamnă, totuși, că cercetarea lor ICS / laboratoarele de dezvoltare, platformele de teste, standurile de demo și mediul de training sunt, de asemenea, atacate de un software periculos, chiar dacă nu atât de des ca în cazul computerelor ICS ale marilor companii industriale. Experții Kaspersky Lab ICS CERT subliniază importanța securității în companiile ICS, deoarece consecințele răspândirii unui atac asupra sistemului de parteneri ai furnizorului și asupra bazei de clienți ar putea să fie dramatice, după cum s-a văzut în cazurile de infectare cu ExPetr, de exemplu.

Printre noile tendințe ale anului 2017, cercetătorii Kaspersky Lab ICS CERT au descoperit o creștere a atacurilor de tip mining asupra ICS, care a început în septembrie, după o dezvoltare a pieței de cripto-monede și a miner-elor în general. Acest tip de atac poate reprezenta o și mai mare amenințare pentru marile companii industriale, prin crearea unei presiuni semnificative pe computere și, astfel, afectează funcționarea componentelor ICS și le amenință stabilitatea. Per ansamblu, în perioada cuprinsă între lunile februarie 2017 și ianuarie 2018, programele de mining de cripto-monede au atacat 3,3% dintre computerele de automatizare industrială, în majoritatea cazurilor, accidental.

Alte descoperiri din raport includ:

  • Produsele Kaspersky Lab au blocat tentative de infectare pe 37,8% dintre computerele ICS protejate de ele. Cifra este cu 1,4% mai mică decât în cea din a  doua jumătate a anului 2016.
  • Internetul rămâne principale sursă de infectare, cu 22,7% dintre computerele ICS atacate – cu 2,3% mai multe decât în primele șase luni din an. Procentul de atacuri blocate, care au ca sursă Internetul, este substanțial mai mic în Europa și America de Nord decât în alte părți.
  • Top 5 țări după procentul de computere ICS atacate a rămas neschimbat din H1 2017 și include Vietnam (69,6%), Algeria (66,2%), Maroc (60,4%), Indonezia (60,1%) și China (59,5%).
  • În cea de-a doua jumătate a anului 2017, numărul de versiuni de malware detectate de soluțiile Kaspersky Lab instalate pe sistemele industriale de automatizare a crescut de la 18.000, la peste 18.900.
  • În 2017, 10,8% dintre toate sistemele ICS au fost atacate de agenți botnet, un malware care infectează în secret aparate și le include într-o rețea de boți pentru a fi controlate de la distanță; principalele surse de atac de acest tip au fost Internetul, instrumentele de memorie portabilă și mesajele de e-mail.
  • În 2017, Kaspersky Lab ICS CERT au identificat 63 de vulnerabilități în sisteme industriale și sisteme IIoT/IoT, iar 26 dintre ele au fost rezolvate de companiile producătoare.

„Rezultatele cercetării noastre asupra computerelor ICS în diferite industrii ne-au surprins”, spune Evgeny Goncharov, Head of Kaspersky Lab ICS CERT. „De exemplu, un mare procent dintre computerele ICS atacate, aparținând companiilor din domeniul energiei, au demonstrat că eforturile acestora de a asigura securitatea cibernetică a sistemelor de automatizare nu sunt suficiente nici după câteva incidente serioase în industrie și există încă multe breșe pe care infractorii cibernetici le pot folosi.

Per ansamblu, în comparație cu 2016, am văzut o ușoară scădere a numărului de atacuri în domeniul ICS. Acest lucru indică probabil că, în general, marile companii au început să fie un pic mai atente la problemele de securitate cibernetică ICS și își auditează segmentele industriale din rețelelor lor, fac training angajaților etc. Este un semn bun, pentru că e foarte important pentru companii să ia măsuri preventive, astfel încât să evite problemele, pe viitor”, mai spune el.

Kaspersky Lab ICS CERT recomandă să fie luate următoarele măsuri tehnice:

  • Actualizarea cu regularitate a sistemelor de operare, a produselor software și a soluțiilor de securitate din sistemele care fac parte din rețeaua industrială a companiei.
  • Restricționarea traficului în rețea pe port-uri și protocoale folosite pe routerele de margine și în interiorul rețelelor OT ale organizației.
  • Auditarea controlului asupra accesului la componentele ICS în rețeaua industrială a rețelei și la granițele ei.
  • Activarea unor soluții dedicate de protecție endpoint pe serverele ICS, stațiile de lucru și sistemele HMI (human machine interface) pentru a securiza tehnologiile operaționale și infrastructura industrială de atacuri aleatorii.
  • Monitorizarea traficului de rețea, efectuarea de analize și implementarea unor soluții de detecție pentru o mai bună protecție împotriva atacurilor direcționate.

Raportul integral este disponibil pe site-ul Kaspersky Lab ICS CERT: https://ics-cert.kaspersky.com/reports/2018/03/26/threat-landscape-for-industrial-automation-systems-in-h2-2017/.