Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Prognozy dotyczące bezpieczeństwa przemysłowego w 2018 roku

Tagi:

Krajobraz w 2017 roku

Rok 2017 był najintensywniejszym okresem pod względem incydentów mających wpływ na bezpieczeństwo informatyczne systemów przemysłowych. Badacze zajmujący się bezpieczeństwem wykryli i zgłosili setki nowych luk, ostrzegli przed nowymi wektorami zagrożeń w systemach kontroli przemysłowej (ICS) i procesach technologicznych, jak również dostarczyli dane dotyczące przypadkowych infekcji systemów przemysłowych i wykrytych ataków ukierunkowanych (na przykład Shamoon 2.0/StoneDrill). Ponadto, po raz pierwszy od czasu kampanii cyberprzestępczej  Stuxnet wykryli zestaw szkodliwych narzędzi, określany przez niektórych jako „cyber-broń”, wykorzystywany do atakowania systemów fizycznych: CrashOverride/Industroyer.

Jednak najpoważniejsze zagrożenie dla systemów przemysłowych w 2017 roku stanowiły ataki przy użyciu oprogramowania ransomware szyfrującego dane.  Według raportu Kaspersky Lab ICS CERT firmy, w pierwszej połowie roku eksperci wykryli oprogramowanie szyfrujące dane należące do 33 różnych rodzin. Liczne ataki zostały zablokowane w 63 państwach na całym świecie. Wydaje się, że destrukcyjne ataki ransomware WannaCry i ExPetr na zawsze zmieniły podejście przedsiębiorstw przemysłowych do problemu ochrony istotnych systemów przemysłowych.

Czego możemy spodziewać się w 2018 roku?

  1. Wzrost liczby ogólnych i przypadkowych infekcji szkodliwym oprogramowaniem. Poza kilkoma wyjątkami ugrupowania cyberprzestępcze nie odkryły jeszcze prostych i niezawodnych sposobów zarabiania na atakach, których celem są przemysłowe systemy informatyczne. W 2018 roku nadal będziemy obserwować przypadkowe infekcje oraz incydenty w sieciach przemysłowych na skutek działania „normalnego” (ogólnego) szkodliwego kodu, stworzonego z myślą o bardziej tradycyjnych celach cyberprzestępczych, takich jak sieci korporacyjne. Jednocześnie, tego rodzaju sytuacje będą prawdopodobnie miały poważniejsze konsekwencje dla środowisk przemysłowych. Mimo licznych ostrzeżeń pochodzących ze środowiska związanego z bezpieczeństwem problem regularnej aktualizacji oprogramowania w systemach przemysłowych, tak jak ma to miejsce w przypadku sieci korporacyjnej, nadal pozostaje nierozwiązany,
  2. Większe ryzyko ukierunkowanych ataków ransomware. Ataki WannaCry i ExPetr pokazały zarówno ekspertom ds. bezpieczeństwa jak i cyberprzestępcom, że systemy technologii operacyjnej są bardziej podatne na ataki niż systemy IT i często można uzyskać do nich dostęp za pośrednictwem internetu. Ponadto szkody wyrządzone w takich systemach przez szkodliwe oprogramowanie mogą przewyższyć szkody w sieci korporacyjnej, a „gaszenie pożaru” w przypadku technologii operacyjnej jest znacznie trudniejsze. Firmy przemysłowe obnażyły nieudolność swojej organizacji i personelu w przypadku cyberataków na ich infrastrukturę technologii operacyjnej. Wszystkie te czynniki sprawiają, że systemy przemysłowe stanowią doskonały cel ataków ransomware.
  3. Więcej incydentów szpiegostwa przemysłowego.  Rosnące zagrożenie dotyczące zorganizowanych ataków ransomware na firmy przemysłowe może przyczynić się do rozwoju innego, powiązanego obszaru cyberprzestępczości: kradzieży danych dotyczących przemysłowych systemów informatycznych, które są następnie wykorzystywane do przygotowywania i przeprowadzania ataków ukierunkowanych (łącznie z ransomware).        
  4. Nowy obszar działalności na nielegalnym rynku obejmujący usługi związane z atakami oraz narzędzia hakerskie.  W ostatnich latach wzrósł popyt na czarnym rynku na exploity dnia zerowego wykorzystywane do atakowania systemów kontroli przemysłowej. Można z tego wnioskować, że przestępcy pracują nad kampaniami ataków ukierunkowanych. Spodziewamy się, że w 2018 roku zwiększy się zainteresowanie w tym obszarze, przyśpieszając wzrost czarnych rynków oraz pojawienie się nowych segmentów opartych na wykradzionych z firm przemysłowych danych dot. konfiguracji systemów kontroli przemysłowej oraz danych uwierzytelniających te systemy. Opracowanie i przeprowadzenie zaawansowanych cyberataków, których celem są obiekty i systemy fizyczne, wymaga specjalistycznej wiedzy na temat systemów kontroli przemysłowej oraz poszczególnych sektorów przemysłowych. Spodziewamy się, że popyt będzie napędzał wzrost w takich dziedzinach jak „szkodliwe oprogramowanie jako usługa", „wektor ataku zaprojektowany jako usługa", „kampania ataków jako usługa" itp.  
  5. Nowe rodzaje szkodliwego oprogramowania i szkodliwych narzędzi. Prawdopodobnie pojawi się nowe szkodliwe oprogramowanie wykorzystywane do atakowania sieci i zasobów przemysłowych. Jego wachlarz funkcji będzie obejmował ukradkowość i możliwość pozostania w stanie nieaktywnym w sieci IT w celu uniknięcia wykrycia oraz aktywowania się jedynie w gorzej zabezpieczonej infrastrukturze technologii operacyjnej. Kolejną możliwością jest pojawienie się oprogramowania ransomware, które atakuje urządzenia ICS i zasoby fizyczne niższego poziomu (pompy, przełączniki zasilania itd.).
  6. Przestępcy wykorzystają publikowane przez producentów rozwiązań bezpieczeństwa analizy zagrożenia dotyczącego systemów kontroli przemysłowej. Badacze wykonali świetną pracę, identyfikując i upubliczniając różne wektory ataków na zasoby przemysłowe i infrastruktury, jak również analizując znalezione zestawy szkodliwych narzędzi. Z drugiej strony, mogli w ten sposób stworzyć nowe możliwości przestępcom. Na przykład, ujawnienie zestawu narzędzi CrashOverride/Industroyer może zainspirować haktywistów do przeprowadzania ataków typu odmowa usługi (denial-of-service) na przedsiębiorstwa użyteczności publicznej sektora energetycznego. Przestępcy mogą też stworzyć ukierunkowane oprogramowanie ransomware, a nawet wymyślić, jak zarobić na awarii sieci energetycznej. Koncepcja robaka PLC (dla sterownika programowalnego) może zachęcić przestępców do opracowania realnych szkodników tego typu, podczas gdy inni przestępcy mogą próbować zaimplementować szkodliwe oprogramowanie przy użyciu jednego ze standardowych języków programowania sterowników programowalnych (PLC). Ponadto, przestępcy mogą odtworzyć koncepcję infekowania samych sterowników PLC. Oba te rodzaje szkodliwego oprogramowania mogą być niewykrywane przez obecne rozwiązania bezpieczeństwa.
  7. Zmiany w regulacjach krajowych. W 2018 roku konieczne będzie wdrożenie wielu różnych regulacji w zakresie cyberbezpieczeństwa dla systemów przemysłowych. Na przykład, obiekty obsługujące krytyczną infrastrukturę oraz posiadające aktywa przemysłowe zostaną zmuszone do przeprowadzania częstszych ocen w zakresie bezpieczeństwa. Bez wątpienia przyczyni się to do zwiększenia ochrony i świadomości. Dzięki temu zostaną prawdopodobnie wykryte nowe luki i zagrożenia.
  8. Coraz większa dostępność cyber-ubezpieczeń przemysłowych oraz inwestycje w tym obszarze.  Ubezpieczenie od cyberryzyka przemysłowego staje się integralną częścią zarządzania ryzykiem w przedsiębiorstwach przemysłowych.  Wcześniej ryzyko incydentu naruszenia cyberbezpieczeństwa nie stanowiło przedmiotu umów ubezpieczeniowych - podobnie jak ryzyko ataku terrorystycznego. Jednak sytuacja zmienia się i firmy z branży cyberbezpieczeństwa i ubezpieczeniowej podejmują nowe inicjatywy. W 2018 roku spowoduje to wzrost liczby przeprowadzanych audytów/ocen oraz podejmowanych reakcji na incydenty, zwiększając świadomość odnośnie cyberbezpieczeństwa wśród liderów i operatorów obiektów przemysłowych.