Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» (187‑ФЗ) действует уже два года. Его появление принесло надежду на то, что весьма запущенная ситуация с обеспечением безопасности значимых для страны объектов начнет исправляться. При этом и опасений, связанных с реализацией предусмотренных законом технических и организационных мер, было не меньше. Но главного достичь удалось: в 2019 году серьезных инцидентов на объектах, относящихся к критической инфраструктуре, отмечено не было.
Принятый 26 июля 2017 года 187‑ФЗ вступил в силу 1 января 2018 года. И хотя с момента его появления осталось немало нерешенных проблем, в стране идет реальная работа по наведению порядка не только в ИТ, но и в производственной инфраструктуре.
При этом проблемы, связанные с атаками на промышленную инфраструктуру, являются глобальными. Часто объектами внимания злоумышленников становятся не отдельные компании, пусть даже крупные транснациональные, а целые отрасли. При этом сложности, с которыми сталкиваются как российские, так и зарубежные предприятия, в целом схожи.
Интенсивный рост
В 2018‑2019 годах произошло несколько громких инцидентов, которые нанесли крупным промышленным компаниям существенный ущерб. Так, заражение шифровальщиком ИТ-и производственной инфраструктуры норвежского холдинга Norsk Hydro привело к переводу в ручной режим некоторых процессов и полной остановке нескольких предприятий. Ущерб компании, по минимальной оценке, превысил $41 млн. Аналогичной атаке в июне 2019 года подвергся бельгийский производитель авиационного оборудования ASCO Industries. На время восстановления работоспособности инфраструктуры предприятию пришлось отправить в незапланированный отпуск без малого 1,5 тыс. сотрудников. По данным исследования Positive Technologies, по итогам трех кварталов 2019 года в мире зафиксировано 92 атаки на промышленные компании против 25 за аналогичный период 2018 года.
Согласно опросу, проведенному группой «Альфа Страхование» среди 200 российских компаний разного размера, 76 % из них сталкивались с инцидентами в области безопасности. Большинство участников опроса среди наиболее актуальных угроз назвали вредоносное ПО, фишинг, хищение данных или денежных средств, промышленный шпионаж, спам. 59 % респондентов сталкивались с инцидентами безопасности от одного до десяти раз, у 17 % – более десяти подобных случаев.
Как отметил руководитель практики промышленной кибербезопасности АО «Позитив Текнолоджиз» (Positive Technologies) Дмитрий Даренский, в первых трех кварталах 2019 года в 83 % атак на промышленные компании применялся фишинг и в 89 % атак использовалось вредоносное ПО. «Основной целью киберпреступников в атаках на промышленные и энергетические компании остается шпионаж: хакеры стремятся на максимально возможное время закрепиться в инфраструктуре компании и получить контроль не только над ИТ-системами, ключевыми компьютерами и серверами, но также над технологической сетью с промышленным оборудованием», – так Дмитрий Даренский обозначает цели атак. Прямая кража денег и прочих активов встречается намного реже. Монетизируются такого рода акции за счет продажи услуг по организации доступа в инфраструктуру взломанной компании.
Бенефициарами, по мнению руководителя практики промышленной кибербезопасности Positive Technologies, выступают, например, конкуренты: такие случаи чаще всего имеют место в энергетике и нефтегазовой отрасли. Причем активность злоумышленников заметно растет накануне крупных тендеров. Также к помощи киберпреступников активно прибегают производители разного рода контрафакта (в частности, всевозможных запасных частей), готовые платить внушительные суммы за техническую документацию, согласно которой производится оригинальная продукция. Естественно, злоумышленники стремятся сохранить контроль над инфраструктурой таких заказчиков как можно дольше, и часто им это удается. Как показывает практика, в среднем хакеры сохраняют контроль над инфраструктурой в течение 17 месяцев, а максимальный срок, как показал реальный случай из практики Positive Technologies, составил восемь лет.
По итогам 2019 года, наибольшее количество атак Национальному координационному центру по компьютерным инцидентам (НКЦКИ) удалось отразить в ракетно-космической, оборонной и химической отраслях. «Именно там злоумышленники ищут любую возможность получить закрытую информацию, в том числе составляющую коммерческую или иную охраняемую законом тайну», – пояснил заместитель директора НКЦКИ Николай Мурашов на пресс-конференции, посвященной двухлетним итогам работы центра.
Также заместитель руководителя НКЦКИ обратил внимание на активизацию в конце 2015 года группировок, занимающихся DDoS-атаками. Именно тогда появились ботнеты, состоящие из некомпьютерных устройств и позволяющие проводить атаки невиданной раннее мощности. Главной целью таких ботнетов являются web-сайты госструктур, но известны примеры атак на объекты КИИ. Совокупность атак с использованием бот-сетей может быть настолько велика, что может привести к нарушению работы Интернета в целом регионе, предупреждает Николай Мурашов. Есть примеры, когда с помощью не самого мощного по нынешним меркам ботнета Mirai удавалось парализовать работу сети в целой стране (атака на Либерию 2016 года) на несколько дней или в крупном макрорегионе большого развитого государства (атака на Dyn в 2016 году, которая привела к невозможности войти в Интернет для 40 млн жителей Восточного побережья США и Канады).
Надо отметить, что некоторые структуры столкнулись с атаками раньше, в том числе российские. Так, первый заместитель руководителя Департамента информатизации и связи Краснодарского края Денис Бережной в своем выступлении на конференции SOC Forum 2019 обратил внимание на то, что массированные атаки, в том числе класса DDoS, на ресурсы Краснодарского края начались в 2013 году, накануне зимних Олимпийских игр в Сочи.
Ведущий эксперт центра международной информационной безопасности и научно-технологической политики МГИМО МИД РФ Алексей Бирюков на конференции «Киберстабильность: подходы, перспективы, вызовы» отметил, что в 2018 году ущерб мировой экономике от кибератак, по данным экспертов ООН, составил $1,5 трлн. Причем, по мнению эксперта МГИМО, данная величина сильно занижена. По его расчетам, по итогам 2019 года ущерб вполне может превысить $5 трлн.
Николай Мурашов также обратил внимание на то, что в России участилось использование вредоносного ПО, применяемого для захвата чужих ресурсов с целью майнинга криптовалют: «Стоимость виртуальных денег высока, поэтому желающих их легко заработать становится много. Майнеры взламывают компьютеры обычных пользователей и используют их вычислительные ресурсы в своих целях. Для генерации виртуальных монет может использоваться до 80 % мощности захваченного компьютера. Очень часто легальные пользователи об этом не знают».
По мнению Дмитрия Даренского, криптомайнеры широко задействованы в массовых атаках. Отмечались случаи, когда для майнинга использовались производственные системы. Так, в 2017 году был арестован сотрудник аэропорта Внуково, который для «добычи» криптовалют применял серверные мощности центра управления воздушным движением. В 2018 году были арестованы два сотрудника Российского федерального ядерного центра – ВНИИ Экспериментальной физики из Сарова. Они «майнили» криптовалюту на суперкомпьютере, который они к тому же подключили к публичному Интернету. Один из злоумышленников получил реальный срок лишения свободы, второй отделался крупным штрафом.
Читайте продолжение в следующей публикации...