Globalnie prawie co trzeci przemysłowy system sterowania był w drugiej połowie 2017 roku narażony na cyberataki spowodowane występowaniem luk bezpieczeństwa. Najwięcej zagrożeń dotyczyło systemów w branży energetycznej oraz sektorze produkcyjnym. Przedstawiamy kluczowe informacje zawarte w raporcie Kaspersky Lab ICS CERT.
Wymieniona firma regularnie publikuje raporty dotyczące zagrożeń cybernetycznych dotyczących przemysłowych systemów sterowania (Industrial Control Systems, ICS). Wyniki z poprzedniego prezentowaliśmy tutaj, natomiast w bieżącym artykule omawiamy informacje zawarte w raporcie z drugiej połowy 2017 roku (w skrócie: 2H 2017). Cały raport znajduje się tutaj.
Energetyka i przemysł na celowniku
O ile wszystkie branże regularnie doświadczają cyberataków na swoje komputery i systemy sterowania, o tyle liczba pojawiających się zagrożeń różni się w zależności od sektora. W 2H 2017 dwie branże odnotowały znacznie większy odsetek wykrytych luk bezpieczeństwa i idących za nimi zagrożeń niż pozostałe – takimi były energetyka (38,7% wszystkich wykrytych luk) oraz firmy z branży przemysłowej, produkcyjnej (35,3%). Trzecim z obszarów o największej liczbie występujących zagrożeń był sektor wodociągowo-kanalizacyjny (i szerzej – ochrona środowiska). W przypadku innych rozpatrywanych branż (transportowa, obiektów komercyjnych, spożywcza i rolnicza) można mówić o umiarkowanej liczbie zagrożeń.
Dlaczego energetyka?
Według ekspertów sektor energetyczny był jedną z pierwszych branż, która zaczęła szeroko stosować różne rozwiązania sterowania i kontroli, a obecnie należy do najbardziej zinformatyzowanych. Ponadto współczesna sieć energetyczna stanowi jeden z najbardziej rozbudowanych systemów współpracujących obiektów przemysłowych i składa się z ogromnej liczby połączonych z siecią komputerów, charakteryzując się stosunkowo wysokim stopniem podatności na cyberataki.
Incydenty dotyczące naruszenia cyberbezpieczeństwa oraz ataki ukierunkowane, jakie miały miejsce na przestrzeni minionych kilku lat, jak również inicjatywy regulacyjne stanowią mocny argument za tym, aby firmy z branży energetycznej rozwijały środki w zakresie cyberbezpieczeństwa w swoich systemach IT oraz OT.
Jakie elementy systemów są atakowane najczęściej?
W 2H 2017 liczba różnych modyfikacji szkodliwego oprogramowania wykrytych przez rozwiązania Kaspersky Lab, które zostały zainstalowane w systemach automatyzacji przemysłowej wzrosła do blisko 19 tys. Najbardziej podatnymi na ataki elementami systemów sterowania i kontroli są: oprogramowanie SCADA/HMI, urządzenia sieciowe, oprogramowanie inżynierskie i, dopiero w czwartej kolejności, sterowniki programowalne (wykres poniżej).
„Stosunkowo wysoki odsetek atakowanych komputerów ICS w branży konstrukcyjnej w porównaniu z pierwszą połową 2017 r. może wskazywać na to, że organizacje te nie są wystarczająco dojrzałe, aby zwrócić uwagę na ochronę komputerów przemysłowych. Być może dopiero niedawno wprowadziły skomputeryzowane systemy automatyzacji i nie zbudowały jeszcze przemysłowej kultury cyberbezpieczeństwa” – stwierdzają autorzy raportu.
Źródła infekcji
Głównym źródłem infekcji pozostaje Internet, przy czym odsetek tego typu zablokowanych ataków jest w Europie i Ameryce Północnej jest znacznie niższy, niż w innych miejscach. W 2017 roku 10,8% wszystkich systemów ICS było atakowane przez botnety — szkodliwe oprogramowanie, które przyłącza je do sieci cyberprzestępczej w celu zdalnego wykonywania poleceń. Głównymi źródłami tego rodzaju ataków był: Internet, nośniki przenośne oraz wiadomości e-mail.
Koparki kryptowalut
Wśród nowych trendów w 2017 roku wskazać można wzrost liczby ataków na ICS w celu wydobywania kryptowalut. Ta tendencja wzrostowa została zapoczątkowana we wrześniu, wraz z ogólnym wzrostem na rynku kryptowaluty oraz liczby koparek. Jednak w przypadku przedsiębiorstw przemysłowych tego typu atak może stanowić większe zagrożenie ze względu na znaczące obciążenie komputerów oraz, w efekcie, negatywny wpływ na działanie systemu przedsiębiorstwa i zagrożenie ich stabilności. Łącznie w okresie od lutego 2017 do stycznia 2018 programy służące do kopania kryptowaluty atakowały 3,3% komputerów przemysłowych, w większości sytuacji przypadkowo.
Raport i poprzednia publikacja
Pełny raport obejmujący drugą połowę 2017 r. jest dostępny na stronie firmy Kaspersky. Publikacja z poprzedniego roku poniżej – poniżej.