Прогнозы по развитию угроз в сфере промышленной безопасности на 2018 год

Ландшафт угроз в 2017 году

2017 год был одним из самых насыщенных в плане инцидентов, связанных с информационной безопасностью промышленных систем. Эксперты по безопасности обнаружили сотни новых уязвимостей, исследовали новые векторы атаки на АСУ ТП и технологические процессы, собрали и проанализировали статистику случайных заражений промышленных систем и обнаружили целевые атаки на промышленные предприятия (в частности, Shamoon 2.0/StoneDrill). Кроме того, впервые после Stuxnet был обнаружен и исследован вредоносный инструментарий, предназначенный для проведения атак на физические системы – CrashOverride/Industroyer. Некоторые специалисты стали относить его к категории кибероружия.

Однако наиболее значительной угрозой для промышленных систем в 2017 году стали атаки шифровальщиков-вымогателей. По данным Kaspersky Lab ICS CERT, в первой половине года промышленные информационные системы в 63-х странах мира подверглись множественным атакам с использованием программ-шифровальщиков, относящихся к 33 различным семействам. Судя по всему, разрушительные атаки программ-вымогателей WannaCry и ExPetr навсегда изменили отношение промышленных предприятий к проблеме защиты ключевых производственных систем.

Чего ожидать в 2018 году?

1. Рост числа случайных заражений вредоносным ПО. За редкими исключениями киберпреступные группировки пока не нашли простых и надежных схем монетизации атак на промышленные информационные системы. В 2018 году продолжатся случайные заражения и инциденты в промышленных сетях, вызванные «обычным» вредоносным ПО, предназначенным для атак на традиционные мишени, такие как корпоративные сети. Вероятно, в будущем последствия таких заражений для индустриальных сред будут все более серьезными. Проблема регулярного обновления ПО в промышленных системах по образцу корпоративных сетей остается нерешенной, несмотря на многократные предупреждения экспертов по информационной безопасности.
2. Увеличение риска целевых атак с применением программ-вымогателей. Атаки WannaCry и ExPetr показали как экспертам по безопасности, так и киберпреступникам, что технологические сети могут быть даже более уязвимыми для подобных атак, чем корпоративные, и также могут быть доступны из интернета. Более того, ущерб от активности вредоносного ПО в технологической сети может превышать вред, наносимый этим же ПО в корпоративной сети, а «тушить пожар» в промышленной сети гораздо труднее. Хуже всего, наверное, то, что, по опыту инцидентов стало понятно, насколько на промышленных предприятиях плохо организованы и неэффективны действия персонала в случае кибератаки на технологическую инфраструктуру. Все эти факторы делают промышленные системы привлекательными мишенями для атак с применением программ-вымогателей.
3. Увеличение числа инцидентов, связанных с промышленным кибершпионажем. Интерес киберпреступников к целевым атакам на промышленные компании с применением программ-вымогателей может стать локомотивом развития еще одного направления киберпреступной деятельности – кражи данных из промышленных информационных систем для подготовки и реализации целевых атак (в том числе с применением программ-вымогателей).
4. Новые сегменты подпольного рынка, обслуживающие атаки на промышленные системы. В последние годы на черном рынке растет спрос на эксплойты нулевого дня для систем АСУ ТП. Это говорит о том, что преступники готовят целевые атаки на промышленные предприятия. В 2018 году мы ожидаем активизации злоумышленников в этом направлении, что, вероятно, приведёт к появлению новых сегментов киберкриминального рынка, ориентированных на кражу сведений о конфигурации систем АСУ ТП и данных для доступа к этим системам. Кроме того, возможно, на рынке появятся предложения ботнетов с «промышленными» узлами. Подготовка и реализация сложных кибератак на физические объекты и системы требует экспертных знаний об АСУ ТП и о специфике отраслей, в которых они применяются. Спрос на такие дефицитные экспертные знания, вероятно, приведет к развитию таких услуг как «вредоносное ПО как сервис», «разработка векторов атаки как сервис», «организация атак на заказ» и т.д., ориентированных именно на атаки на промышленные предприятия.
5. Появление новых видов вредоносного ПО и вредоносных инструментов. Вероятно, появится новое вредоносное ПО, предназначенное для промышленных сетей и систем. Это ПО будет действовать скрытно, оставаясь в неактивном состоянии в корпоративных сетях, чтобы избежать обнаружения. Оно будет переходить в активный режим в технологической инфраструктуре, уровень защищенности которой значительно ниже. Возможно также появление программ-вымогателей, нацеленных на устройства полевого уровня АСУ ТП и физических систем (насосов, переключателей и т.п.).
6. Использование преступниками результатов анализа угроз, обнародованных исследователями безопасности. В 2017 году исследователи хорошо поработали: мы узнали о множестве новых векторов атак на промышленные системы и инфраструктуру, был проделан глубокий анализ обнаруженного вредоносного инструментария. Всё это, безусловно, полезно для защиты промышленных объектов. Но, возможно, этой информацией воспользуются и преступники. Например, хактивисты могут использовать опубликованные сведения об инструментах CrashOverride/Industroyer для организации DoS-атак на энергосистемы; преступники могут создать программы-вымогатели, предназначенные для проведения целевых атак или даже придумать схемы монетизации сбоев в электроснабжении. Концепт червя для ПЛК может вдохновить преступников на создание полнофункциональных вредоносных червей, распространяющихся с одного ПЛК на другой, а другие, возможно, попытаются создать вредоносное ПО с помощью одного из стандартных языков программирования для ПЛК. Возможно даже, что кто-то из злоумышленников попытается создать вредоносное ПО для ПЛК, работающее на низком уровне, используя подход, продемонстрированный исследователями ИБ. Оба последних подхода, вероятно, могут создать серьёзную проблему для разработчиков существующих защитных решений.
7. Изменения в нормативной базе. В 2018 году вступают в силу многие новые инициативы регуляторов, касающиеся промышленных систем автоматизации – как в России, так и в некоторых других странах. В числе прочих последствий это заставит компании, владеющие критически важными объектами инфраструктуры и промышленными объектами, уделять больше внимания оценке их киберзащищенности. Можно ожидать, что результатом этого станет обнаружение новых уязвимостей промышленных систем. Возможно, мы также узнаем об инцидентах на промышленных предприятиях и ранее неизвестных атаках.
8. Формирование рынка страхования промышленных предприятий от кибер-рисков и рост инвестиций в этот вид страхования. Страхование от рисков, связанных с киберугрозами, становится неотъемлемой частью системы управления рисками на промышленных предприятиях. До недавнего времени риски, связанные с инцидентами кибербезопасности, исключались из контрактов страхования – фактически, страховые компании ставили киберинциденты в один ряд с террористическими атаками. Однако ситуация меняется, и появляются новые инициативы – как со стороны компаний, специализирующихся на кибербезопасности, так и со стороны основных игроков страхового бизнеса. Как следствие, в 2018 году вырастет число проводимых аудитов/оценок защищенности промышленных систем автоматизации и число зарегистрированных и исследованных инцидентов кибербезопасности.