Кибербезопасность автоматизированных систем управления технологическими процессами (АСУТП), SCADA-систем, устройств «интернета вещей» (Internet of Things, IoT) вызывают больше всего беспокойств насчет их защищенности у экспертов информационной безопасности (ИБ). Так, по информации из годового отчета Cyber Edge 2023, эксперты признают эти системы наименее защищенными из-за их подключения к сети Интернет, появления новых угроз, а также из-за известных случаев успешных атак на цепочки поставок.
Если обратиться к цифрам, то в соответствии с отчетом Лаборатории Касперского «Природа инцидентов информационной безопасности», промышленность входит в топ атакуемых секторов экономики России – 17,4% пострадавших от компьютерных атак.
Ниже приведена диаграмма, из которой видно количество компьютерных инцидентов по отраслям во всем мире. Диаграмма сформирована на основании данных из годового исследования компании Verizon с 1 ноября 2021 г. по 31 октября 2022 г.
Можно заметить, что по мировой статистике, отрасль производства (промышленности) также входит в топ отраслей, где зафиксированы киберинциденты.
К каким последствиям могут привести действия злоумышленника?
Нарушение функционирования АСУТП может привести к следующим последствиям:
- ущерб жизни и здоровью людей (при авариях в цехах с розливом едких веществ, жидких металлов и пр.);
- неоказание необходимых услуг для населения (например, предоставление тепла, электроэнергии);
- ущерб для экологии (при авариях с выбросами в окружающую среду вредных веществ);
- ущерб (остановка) деятельности организации, выражающийся в материальных издержках или недополученной прибыли;
- репутационные потери;
- штрафные санкции.
Например, взлом компании Colonial Pipeline Co в 2021 году привел к дефициту топлива на Восточном побережье США. И это весьма существенное последствие для населения части страны.
Факторы, которые могут привести к успеху хакеров
По нашему опыту тестирований на проникновение, можно выделить следующие факторы:
- Недостатки в безопасности сети: неправильная настройка сетевых устройств, использование слабых паролей и отсутствие изоляции между технологическими и пользовательскими (офисными) сетями. Отсутствие сегментации или возможность обхода изоляции позволяет хакерам легко проникнуть из менее защищенной офисной сети в сегменты, связанные с производством. Известны случаи, когда недобросовестные администраторы намеренно оставляют удаленный доступ из офисной сети в технологическую для удаленного управления или мониторинга, не обеспечивая достаточной защиты такого доступа.
- Использование устаревшего и уязвимого программного обеспечения: для устранения известных уязвимостей рекомендуется регулярно проводить обновление программного обеспечения. Однако специализированное программное обеспечение на промышленных предприятиях может иметь ограниченную поддержку обновлений, а иногда и вовсе не поддерживать новые версии. Это может привести к сложностям при обновлении, так как каждое обновление требует длительного тестирования перед установкой. В условиях непрерывного производственного процесса, где каждый час простоя может привести к значительным финансовым потерям, обновление программного обеспечения проводится редко или вовсе не проводится.
- Недостаточная осведомленность сотрудников и отсутствие обучения по информационной безопасности: низкая осведомленность о возможных угрозах делает сотрудников уязвимыми для атак, таких как фишинг, а недостаточное обучение в области безопасности информации может привести к ошибкам в работе и к инцидентам информационной безопасности. По данным годового исследования компании Verizon, человеческий фактор стал причиной более 80% взломов в 2022 году. Люди всегда были и пока еще остаются слабым звеном в системе обеспечения информационной безопасности.
- Отсутствие настроенного журналирования событий, а также отсутствие мониторинга и реагирования на инциденты ИБ.
По многочисленному опыту аудитов ИБ, можно сделать вывод, что ИБ-специалисты предприятий не всегда имеют достаточные знания, опыт и инструментарий для выявления и реагирования на инциденты ИБ. В связи с чем, наши «красные» команды могут с легкостью находить недостатки в системе ИБ.
Например:
- при оказании услуг по внутреннему анализу защищенности на территории предприятия наши сотрудники смогли получить беспрепятственный доступ в серверную предприятия, применив базовые инструменты социальной инженерии;
- на другом предприятии наши специалисты смогли получить доступ в офисный сегмент сети с улицы, используя только мобильный телефон. Эта атака возможна через эксплуатацию аппаратной уязвимости Mousejack ряда беспроводных устройств (мышей). Уязвимость обусловлена тем, что радиоканал некоторых беспроводных устройств не шифруется, что позволяет эмулировать на телефоне беспроводную клавиатуру и набирать текст через уязвимые адаптеры беспроводных мышек;
- еще в одном случае (далеко не единственном) наши специалисты смогли получить доступ к технологическому сегменту через уязвимость в маршрутизаторе и получение возможности изменять правила маршрутизации (ACL-листа).
Отсутствие патч-менеджмента, слабая зрелость в вопросах ИБ вендоров и разработчиков программного обеспечения (ПО) для нужд промышленности – всё это сильно упрощает пентесты и позволяет выявлять уязвимости «нулевого дня» в ПО.
Важно отметить, что тестирование на проникновение в технологический сегмент сети – задача далеко не простая, для таких работ необходимо привлекать квалифицированных специалистов, которые понимают возможные последствия от имитации хакерских действий.
Что можно сделать, чтобы создать киберустойчивую инфраструктуру?
Чтобы защититься от злоумышленников в первую очередь необходимо выполнить базовые мероприятия по защите:
- проводить инвентаризацию активов в ИТ и АСУТП-сегментах;
- проводить анализ уязвимостей, устранять обнаруженные уязвимости и ошибки в настройках средств защиты, это позволит минимизировать поверхность атаки;
- разъяснять сотрудникам базовые правила ИБ, периодически проверять сотрудников на их «стойкость» в фишинговым рассылкам;
- проводить резервное копирование для критичных компонентов и периодически проверять резервные копии на возможность восстановления;
- настроить регистрацию событий ИБ, они пригодятся для расследования причин возникновения инцидентов и для разработки мер по их предотвращению в будущем.
Также мы рекомендуем периодически проводить тестирование на проникновение и устранять обнаруженные недостатки ИБ. Дополнительно рекомендуется организовать мониторинг событий ИБ для своевременного обнаружения аномального поведения в системах.
Поддерживать базовый «гигиенический минимум» по ИБ компании могут самостоятельно. Достаточный уровень обеспечения ИБ может быть реализован только при наличии квалифицированной команды специалистов – собственной или внешней.
Необходимо помнить, что информационная безопасность – это процесс, а не результат, и заниматься ею нужно регулярно.
Авторы:
- Диана Лейчук, Директор Аналитического центра УЦСБ
- Прохор Садков, Руководитель направления анализа защищенности УЦСБ
Источник: Cyber Media