Согласно аналитическому отчёту ГК «Солар», треть всех кибератак, нацеленных на промышленную инфраструктуру в России, имеет признаки промышленного шпионажа. Кроме того, в рамках расследований эксперты часто сталкиваются со случаями заражения «массовым» вредоносным ПО.
В ходе исследования была проанализирована статистика за последние три года. За этот период российские промышленные предприятия столкнулись почти с 600 тысячами кибератак. Пик пришёлся на IV квартал 2022 года, после чего последовал небольшой спад, но затем атаки вновь начали набирать темп. Сейчас показатели почти достигли пиковых значений 2022 года.
Рост кибератак в 2022 году объяснялся стремлением злоумышленников нанести максимальный ущерб критической инфраструктуре страны. Затем активность снизилась, поскольку методы, которые успешно применялись в менее защищённых отраслях, в промышленности оказались неэффективными. Поэтому злоумышленники сосредоточились на активном исследовании ИТ-периметров компаний (простукивание сканерами, поиск новых уязвимых сервисов и серверов, использование киберразведки). Сейчас они стараются максимально эффективно использовать все возможности, найденные за 2023 год, для развития атак, что приводит к увеличению числа сложных ИБ-инцидентов.
Основная часть инцидентов в промышленности связана с операциями с пользовательскими учётными записями и контролем над ними. Это попытки подбора пароля (в том числе от критичных систем), административный доступ за пределы сети (указывает на использование средств ОС для удалённого доступа), многочисленные блокировки учётных записей (говорит о множественных попытках брутфорса).
Срабатывание критичной сигнатуры СЗИ возглавляет перечень подтверждённых инцидентов (доля составляет 20 % против 11 % в остальных отраслях). Всё это говорит о высоком уровне зрелости ИБ на промышленных предприятиях.
Распределение подтверждённых инцидентов показывает, что основной проблемой в рамках мониторинга и реагирования на киберугрозы является различное вредоносное программное обеспечение на конечных устройствах разной критичности, а также нелегитимное ПО, например, майнеры. Это связано с масштабами распределённых инфраструктур и сложностью контроля соблюдения политик ИБ в них. При этом мощности используемого на предприятиях оборудования дают злоумышленникам достаточно ресурсов для добычи криптовалюты.
Кибератаки, направленные на отрасль телекома, также содержат признаки шпионажа. Кроме того, в одном случае, помимо несанкционированного доступа к конфиденциальным данным, злоумышленникам удалось уничтожить часть важных данных атакованной организации. В целом телеком чаще промышленности сталкивается с попытками деструктивных действий. В 2023 году в двух из трёх инцидентов атакующие пытались вывести из строя системы жертвы.
Такое распределение целей злоумышленников вполне логично. Деструктивные действия в отношении телеком-компаний могут вызвать широкий общественный резонанс (т. к. будет недоступна связь, телевидение, интернет). В то же время вывести из строя промышленное предприятие крайне сложно — промышленные сегменты и системы хорошо защищены, к тому же они часто работают в закрытом режиме и не имеют связи с внешним ИТ-периметром.
