Кибермошенники и хактивисты все чаще выбирают целью своих атак промышленные предприятия. Компаниям приходится тратить огромные средства на киберзащиту. Как распознать угрозу, и какие меры предпринять, чтобы избежать последствий? Об этом ответственному редактору радио «Business FM Челябинск» Ивану Сухоносову рассказал эксперт по кибербезопасности «Лаборатории Касперского» Владимир Дащенко.
— Владимир, в Челябинской области много промышленных предприятий, которые нуждаются в защите, в том числе в киберзащите. А если в целом поговорить, чем опасны киберугрозы для промышленных предприятий?
— Кибератака может нести не очень разрушительные последствия. Например, компания может лишиться каких-то конфиденциальных данных, финансовой, технологическая информации. Но также кибератака может привести к разрушительным последствиям. Например, остановке производства. Такие случаи, к сожалению, были, когда злоумышленники целенаправленно пытались проникнуть на предприятие, взломать, обойти защиту и нанести максимальный ущерб, то есть остановить производство.
Все делается удаленно с использованием кибератак. Первоначально злоумышленники получают доступ либо при компрометации периметра, то есть находят какую-то уязвимость или эксплуатируют уязвимость, так называемую нулевого дня, ранее неизвестную на периметре. Пытаются поднять привилегии и дальше получить максимальный доступ во всей сети предприятия.
Бывают случаи с использованием атак методом социальной инженерии, когда присылается, например, письмо какое-то от имени друга, знакомого или же контрагента. Бывают случаи, когда взламывают сначала контрагента и через легитимный доступ к контрагенту попадают в само предприятие. Например, есть какой-то подрядчик, у него есть легитимный доступ в сеть, он занимается, допустим, пуско-наладкой или сопровождением компьютерных систем. Вот этого подрядчика взломали, закрепились в его компьютерных системах, получили все логины и пароли, и потом злоумышленники дальше развивают атаку в системе крупного предприятия.
— Были ли такие прецеденты, когда на территории России предприятия останавливали производство? Если про металлургию говорить, остановка доменных печей приведет к катастрофе.
— Совершенно верно. Без деталей. К сожалению, были такие случаи, когда приходилось останавливать технологический процесс либо для того, чтобы локализовать атаку, либо когда кибератака приводила как раз к остановке предприятия. Такое, к сожалению, было.
— Это не в Челябинске?
— Нет, нет, нет. Это просто на территории Российской Федерации.
— За какое время получалось решить вопрос?
— Это все зависит от команды на предприятии. Есть классные команды, которые в случае кибератаки знают, что делать и как можно быстро локализовать угрозу. И там счет идет, условно, на часы. Были и контрпримеры, когда команда неподготовленная рассуждает, что их никогда не будут атаковать, они никому не нужны. Это неправда, это ошибка выжившего. Тогда компании переставали работать на дни, недели. Все зависит от подготовки команды. Насколько персонал обучен, как хорошо и регулярно проходит тренинги по кибербезопасности, проводятся ли у них киберучения, как действовать в случае, если произошла кибератака.
— Вы изучали статистику по России?
— Мы собрали статистику по кибератакам на системы промышленной автоматизации, на промышленные предприятия за 2023 год и за первый квартал 2024 года. В 2023 году у нас зафиксировано более 34% компьютеров, которые относятся к АСУ — автоматизированным системам управления, на которых были заблокированы те или иные кибератаки. За первый квартал нападению подверглись около 20% таких компьютеров.
Есть несколько отраслей из реального сектора экономики и в целом из промышленности, которые с нашей точки зрения могут быть более подвержены кибератакам по тем или иным причинам. Металлургия — да, потому что это, во-первых, компании, где есть деньги. Компании могут атаковать какие-нибудь шифровальщики, чтобы пошифровать данные и потом просить выкуп. Мировой транспорт и логистика — это тоже одна из отраслей, на которую могут целиться атакующие, потому что тут важно именно получать доступ к информации о том, какие грузы, куда перевозятся глобально, какими компаниями, какими странами, через каких подрядчиков и так далее. То есть тут скорее история про кибершпионаж.
— В России такие атаки фиксировались? Без подробностей. В каких сферах?
— Везде помаленьку. Нет такого, что в России атакуют исключительно, например, производство молока. Всех понемножку атакуют.
— В каких секторах успешные кибератаки?
— Тоже разные примеры. Мы занимались исследованием атак, которые относятся к металлургии. Были из агрокомплекса, из логистики. То есть тоже везде понемножку.
— Как владельцам, акционерам крупных предприятий избежать таких проблем? Первый момент, насколько понимаю, должна быть система безопасности. Потом грамотная команда, которая должна где-то стажироваться у профессионалов. А что еще?
— Есть продукты Threat Intelligence — это информация об актуальных угрозах. Отчеты технические, не просто интересное чтиво. Там есть так называемые индикаторы компрометации, которые можно брать и использовать у себя в сети для поиска новых актуальных и ранее неизвестных кибератак. Такие отчеты помогают более грамотно выстраивать защиту и находить ранее неизвестные угрозы. То есть обучение, технологии, люди, внешние знания. И главное — здравое принятие решений со стороны менеджмента.