A Kaspersky Lab idén is elkészítette az energetikai szervezetek és az ipari irányítástechnikai- és vezérlőrendszerek (ICS – Industrial Control Systems) elleni támadások tavalyi második félévére vonatkozó jelentését. A Kaspersky Lab ICS CERT kutatói szerint szeptembertől kezdődően ugrásszerűen megnőtt a bányász támadások száma köszönhetően a kriptovaluták árfolyamának piaci növekedésének és a bányászok fellendülésének.
A Kaspersky Lab termékek által védett energetikai vállalatok 38,7% legalább egyszer szenvedett el kibertámadást tavaly a második félévben, ezt szorosan követik 35,3%-kal a mérnöki- és integrált ICS rendszerek elleni támadások. Más szektorok intézményeinek átlagosan 26-30%-át érte támadás.
Az indusztriális létesítmények kiberbiztonsága továbbra is egy kiemelten kezelt kérdés, hiszen egy lehetséges támadásnak nagyon komoly következményei lehetnek nemcsak a vállalkozásra, hanem az ipari folyamatokra is. A Kaspersky Lab ICS CERT részlege miközben elemezte az adatokat arra jutott, hogy szinte minden iparág rendszeresen tapasztal vezérlő rendszerei ellen támadásokat.
A szakértők szerint az energetikai szektor volt az első iparág, ahol széles körben elterjedt az automatizálási megoldások használata. Manapság pedig majdhogynem teljesen számítógép által vezérelt. A kiberbiztonsági incidensek és a célzott támadások az elmúlt években olyannyira jelentősek lettek, hogy a különböző szabályozási kezdeményezésekkel kiegészítve a energiaszolgáltatók kénytelenek alkalmazkodni a kiberbiztonsági trendekhez és működési rendszereikbe (OT – operational technologies) aktívan adoptálni a különböző kiberbiztonsági- termékeket és mérőeszközöket.
Továbbá a modern villamosenergia hálózat az egyik legkiterjedtebb összekapcsolt ipari architektúra, amelyhez óriási mennyiségű számítógép kapcsolódik és ezáltal viszonylag magas szintű a kiberfenyegetettségi rátája. Másrészt komoly probléma az ICS rendszerekben használt számítógépek elleni támadások magas aránya tekintettel arra, hogy a lánctámadások során használt támadási vektort számos más pusztító támadás során használták fel az elmúlt években. Lánctámadásnak nevezzük az olyan kibertámadást, amikor az adott szervezet hálózatának a legkevésbé biztonságos elemei ellen indítanak támadást.
Tavaly az év második felében az építőiparban lehetett azonosítani a legtöbb ICS számítógép elleni támadást, az első félévhez képest 31,1%-os növekedéssel. Más iparág (gyártás, szállítás, közművek, egészségügyi ellátás stb.) is tapasztalt növekedést, átlagosan 26%-ról 30%-ra nőtt az eloszlás.
Az építőiparban tapasztalt nagy arányú megtámadott számítógép azt is jelezheti, hogy a szektor még nem készült fel eléggé a kibertámadások kivédésére. Az automatizáció még egy viszonylag új fejlemény ezen a területen és a kiberbiztonsági kultúra is további fejlesztésre vár.
A legkisebb százalékban az ICS szoftverek fejlesztésére specializálódott vállalkozásokat támadták meg, ami azt jelenti, hogy őket sem kerülik el a támadások, csak nem olyan gyakran. A Kaspersky Lab ICS CERT kutatói felhívják a figyelmet az ICS gyártók informatikai biztonságának jelentőségére, mivel a beszállító partnerek és/vagy alvállalkozók hálózatán és ügyfélbázisán terjedő támadások következményei ugyanannyira tragikusak lehetnek, például tapasztalhattuk az ExPetr-malware járvány kapcsán.
A különböző iparágakban megtámadott ICS számítógépek százalékos aránya
Már említettük, hogy új trendként megjelentek a bányászó támadások az ICS számítógépek ellen szemperben, párhuzamosan a kriptovaluta piac fellendülésével. Ez az új típusú támadás amiatt jelenthet komoly veszélyt, mivel jelentősen terheli és befolyásolja a gépek teljesítményét, amely veszélyeztetheti az egész rendszer stabilitását.
A jelentés az alábbi eredményeket emeli ki:
A Kaspersky Lab termékei az általuk védett ICS rendszerek 37,8%-án blokkolt fertőzést.
Az ICS számítógépek támadásainak fő forrása még mindig az internet, amely a készülékek 22,7%-át támadta meg ezen a csatornán.
Az ICS rendszerek elleni támadások TOP 5 országa: Vietnám (69,6%), Marokkó (60,4%), Indonézia (60,1%), és Kína (59,5%).
Tavaly az ICS rendszerek 10,8%-át támadták meg botnet segítségével, egy olyan rosszindulatú programmal, amely észrevétlen fertőz és tartalmaz egy távoli hozzáféréssel rendelkező végrehajtó parancsot.
A Kaspersky Lab ICS CERT részlege 63 sérülékenységet azonosított az ipari- és/vagy IoT rendszereken, ebből 26-ot időközben javítottak a gyártók tavaly.
A megtámadott ICS rendszerek földrajzi eloszlása, 2017. II. félév
„A különböző ipari szektorokban megtámadott ICS számítógépekkel kapcsolatos kutatásaink eredménye meglepett minket. Például az áramszolgáltatók elleni támadások magas aránya azt mutatja, hogy annak ellenére, milyen óriási befektetéssel fejlesztik automatizálási rendszereiket, mégiscsak kevés figyelmet fordítanak azok kiberbiztonságára. Úgy tűnik ez a néhány támadás még mindig nem volt elegendő ahhoz, hogy megfelelő védelmet biztosítsanak rendszereiknek és még számtalan olyan kiskaput találhatunk, amit a kiberbűnözők kihasználhatnak.” – magyarázta Evgeny Goncharov, a Kaspersky Lab ICS CERT részlegének vezetője. „Összességében egy pici csökkenést láthatunk az ICS számítógépek elleni támadások számában, ami jó jel és arra utal, hogy néhány vállalat több figyelmet fordít kiberbiztonsági kérdésekre, a hálózatok ellenőrzésére és az alkalmazottak képzésére. Fontos, hogy egy vállalkozás megelőző intézkedéseket tegyen és ezzel elkerüljék a jövő támadásait.” – folytatta Evgeny Goncharov.
A Kaspersky Lab ICS CERT az alábbi műszaki intézkedéseket javasolja azért, hogy ipari hálózata védett legyen:
– Rendszeresen frissítsék az operációs rendszert, az alkalmazásokat, és a biztonsági megoldásokat, amelyek az ipari hálózat rendszerén találhatóak.
– Korlátozzák a portok, routerek és belső hálózatok forgalmát.
– Ellenőrizzék az ICS rendszer elemeinek hozzáférési köreit.
– Használjanak hatékony végpontvédelmi megoldást az ICS szerveren, a munkaállomásokon és HMI-ken.
– Használjanak hálózati adatforgalom figyelő, elemző és detektáló megoldást.