Globalnie prawie co trzeci przemysłowy system sterowania był w drugiej połowie 2017 roku narażony na cyberataki spowodowane występowaniem luk bezpieczeństwa. Najwięcej zagrożeń dotyczyło systemów w branży energetycznej oraz sektorze produkcyjnym. Przedstawiamy kluczowe informacje zawarte w raporcie Kaspersky Lab ICS CERT.

Wymieniona firma regularnie publikuje raporty dotyczące zagrożeń cybernetycznych dotyczących przemysłowych systemów sterowania (Industrial Control Systems, ICS). Wyniki z poprzedniego prezentowaliśmy tutaj, natomiast w bieżącym artykule omawiamy informacje zawarte w raporcie z drugiej połowy 2017 roku (w skrócie: 2H 2017). Cały raport znajduje się tutaj.

Energetyka i przemysł na celowniku

O ile wszystkie branże regularnie doświadczają cyberataków na swoje komputery i systemy sterowania, o tyle liczba pojawiających się zagrożeń różni się w zależności od sektora. W 2H 2017 dwie branże odnotowały znacznie większy odsetek wykrytych luk bezpieczeństwa i idących za nimi zagrożeń niż pozostałe – takimi były energetyka (38,7% wszystkich wykrytych luk) oraz firmy z branży przemysłowej, produkcyjnej (35,3%). Trzecim z obszarów o największej liczbie występujących zagrożeń był sektor wodociągowo-kanalizacyjny (i szerzej – ochrona środowiska). W przypadku innych rozpatrywanych branż (transportowa, obiektów komercyjnych, spożywcza i rolnicza) można mówić o umiarkowanej liczbie zagrożeń.

Liczba luk bezpieczeństwa w rozwiązaniach stosowanych w różnych branżach (wg klasyfikacji Kaspersky Lab ICS CERT, 2017)

Dlaczego energetyka?

Według ekspertów sektor energetyczny był jedną z pierwszych branż, która zaczęła szeroko stosować różne rozwiązania sterowania i kontroli, a obecnie należy do najbardziej zinformatyzowanych. Ponadto współczesna sieć energetyczna stanowi jeden z najbardziej rozbudowanych systemów współpracujących obiektów przemysłowych i składa się z ogromnej liczby połączonych z siecią komputerów, charakteryzując się stosunkowo wysokim stopniem podatności na cyberataki.

Geograficzna dystrybucja cyberataków na systemy automatyki; wartości procentowe dotyczą odsetka systemów atakowanych w każdym z krajów w drugiej połowie 2017 roku

Incydenty dotyczące naruszenia cyberbezpieczeństwa oraz ataki ukierunkowane, jakie miały miejsce na przestrzeni minionych kilku lat, jak również inicjatywy regulacyjne stanowią mocny argument za tym, aby firmy z branży energetycznej rozwijały środki w zakresie cyberbezpieczeństwa w swoich systemach IT oraz OT.

Odsetek atakowanych systemów komputerowych w przedsiębiorstwach w Europie

Jakie elementy systemów są atakowane najczęściej?

W 2H 2017 liczba różnych modyfikacji szkodliwego oprogramowania wykrytych przez rozwiązania Kaspersky Lab, które zostały zainstalowane w systemach automatyzacji przemysłowej wzrosła do blisko 19 tys. Najbardziej podatnymi na ataki elementami systemów sterowania i kontroli są: oprogramowanie SCADA/HMI, urządzenia sieciowe, oprogramowanie inżynierskie i, dopiero w czwartej kolejności, sterowniki programowalne (wykres poniżej).

Najbardziej podatne na cyberataki elementy elementy systemów sterowania i kontroli

„Stosunkowo wysoki odsetek atakowanych komputerów ICS w branży konstrukcyjnej w porównaniu z pierwszą połową 2017 r. może wskazywać na to, że organizacje te nie są wystarczająco dojrzałe, aby zwrócić uwagę na ochronę komputerów przemysłowych. Być może dopiero niedawno wprowadziły skomputeryzowane systemy automatyzacji i nie zbudowały jeszcze przemysłowej kultury cyberbezpieczeństwa” – stwierdzają autorzy raportu.

Liczba luk bezpieczeństwa zidentyfikowanych przez Kaspersky Lab ICS CERT w 2017

Źródła infekcji

Głównym źródłem infekcji pozostaje Internet, przy czym odsetek tego typu zablokowanych ataków jest w Europie i Ameryce Północnej jest znacznie niższy, niż w innych miejscach. W 2017 roku 10,8% wszystkich systemów ICS było atakowane przez botnety — szkodliwe oprogramowanie, które przyłącza je do sieci cyberprzestępczej w celu zdalnego wykonywania poleceń. Głównymi źródłami tego rodzaju ataków był: Internet, nośniki przenośne oraz wiadomości e-mail.

Źródła infekcji systemów komputerowych botnetami w 2017 roku

Koparki kryptowalut

Wśród nowych trendów w 2017 roku wskazać można wzrost liczby ataków na ICS w celu wydobywania kryptowalut. Ta tendencja wzrostowa została zapoczątkowana we wrześniu, wraz z ogólnym wzrostem na rynku kryptowaluty oraz liczby koparek. Jednak w przypadku przedsiębiorstw przemysłowych tego typu atak może stanowić większe zagrożenie ze względu na znaczące obciążenie komputerów oraz, w efekcie, negatywny wpływ na działanie systemu przedsiębiorstwa i zagrożenie ich stabilności. Łącznie w okresie od lutego 2017 do stycznia 2018 programy służące do kopania kryptowaluty atakowały 3,3% komputerów przemysłowych, w większości sytuacji przypadkowo.

Typowe rodzaje szkodliwego oprogramowania; wartości dotyczą odsetka zaatakowanych systemów komputerowych w przedsiębiorstwach w 2H 2017 roku

Raport i poprzednia publikacja

Pełny raport obejmujący drugą połowę 2017 r. jest dostępny na stronie firmy Kaspersky. Publikacja z poprzedniego roku poniżej – poniżej.

Raport Kaspersky Lab: Bezpieczeństwo systemów sterowania