В ряде отраслей доля АСУ с заблокированными вредоносными объектами выросла, например, в сферах энергетики (33,1%, рост на 0,5 п.п. во втором полугодии по сравнению с первым), нефти и газа (25,5%, рост на 2,1 п.п.), автоматизации зданий (34,7%, рост на 0,4 п.п.), инжиниринга (36,3%, рост на 0,5 п.п.). Кроме того, Россия оказалась на втором месте среди регионов мира по доле компьютеров АСУ, на которых были заблокированы майнеры — вредоносные программы, предназначенные для использования вычислительной мощности устройства пользователя злоумышленниками. Таковы данные нового отчёта Kaspersky ICS CERT.
Доля компьютеров АСУ в России, на которых были заблокированы вредоносные объекты, в отраслях
Главными источниками угроз для промышленности остаются интернет и электронная почта.
По итогам второго полугодия 2023 года Россия оказалась в числе регионов с самой высокой долей компьютеров АСУ, на которых были заблокированы угрозы из интернета. В России вредоносные интернет-ресурсы были заблокированы на 11,7% устройств. Это на 1,6 п.п. выше среднего общемирового показателя (то есть в России операторы и инженеры АСУ заходили на опасные веб-ресурсы чаще, чем в среднем по миру). Значительная часть таких ресурсов используется для распространения вредоносных скриптов и фишинговых страниц (они были заблокированы на 8,9% устройств).
Доля компьютеров АСУ в России, на которых были заблокированы вредоносные объекты различных категорий (второе полугодие 2023 года)
Эксперты Kaspersky ICS CERT отметили рост по сравнению с первым полугодием (на 0,2 п. п. до 1,7%) доли компьютеров АСУ, на которых были заблокированы майнеры — исполняемые файлы для OC Windows. По этому критерию Россия оказалась на втором месте среди регионов мира.
Доля компьютеров АСУ, на которых заблокированы угрозы из почты — 1,5%, это в 2,7 раза меньше среднемирового показателя (4%). Доля устройств, на которых были заблокированы угрозы при подключении съёмных носителей — 0,8%, это чуть более 1/3 среднемирового показателя (1,9%). Соотношение между показателями распространения угроз через почту и съёмные носители относит Россию к списку стран, где в среднем сетевая связность различных технологических участков и объектов весьма высокая, сотрудники на местах могут пользоваться электронной почтой и прочими корпоративными ресурсами и не затруднены необходимостью часто пользоваться флэшками для переноса информации между системами.
«Уровень зрелости информационной безопасности промышленных предприятий постепенно улучшается — и в части кибергигиены и осведомлённости персонала об угрозах, и в части покрытия технологической инфраструктуры автоматизированными средствами защиты. Однако злоумышленники продолжают совершенствовать свои тактики и инструменты, и по-прежнему велик риск киберинцидента. В России явно сказывается роль высокой цифровизации и относительно лёгкой доступности ресурсов интернета для сотрудников промышленных предприятий, в том числе и изнутри технологического контура. Поэтому необходимо одновременно и внедрять больше средств защиты, и продолжать тренировать сотрудников. В частности, нужно вырабатывать у них навыки распознавать фишинг — это всё ещё один из наиболее распространённых способов первоначальной компрометации системы для злоумышленников, сосредоточенных на целевых атаках. Уже с текущим уровнем цифровизации предприятиям нужно строить комплексную систему защиты, которая способна обеспечить безопасность одновременно OT-сегмента и IT-инфраструктуры», — комментирует Евгений Гончаров, руководитель Kaspersky ICS CERT.
С полной версией отчёта команды Kaspersky ICS CERT «Ландшафт угроз для систем промышленной автоматизации во втором полугодии 2023 года» можно ознакомиться по ссылке.
Для защиты компьютеров АСУ от киберугроз «Лаборатория Касперского» рекомендует:
О Kaspersky ICS CERT
Kaspersky ICS CERT — это центр исследования безопасности промышленных систем и реагирования на инциденты информационной безопасности, созданный «Лабораторией Касперского». Узнать больше можно на сайте https://ics-cert.kaspersky.ru/.
* Серверы управления и сбора данных (SCADA), серверы хранения данных, шлюзы данных, стационарные рабочие станции инженеров и операторов, мобильные рабочие станции инженеров и операторов, компьютеры, используемые для администрирования технологических сетей и разработки ПО для систем промышленной автоматизации.