Основные положения
По оценкам экспертов из области кибербезопасности, прогнозы о ландшафте угроз в мире на 2021 год оправдались уже по итогам его первого квартала. Действия хакерских группировок с помощью вирусов-вымогателей против АСУТП и IIoT, включая системы управления критически важными объектами, уже годом ранее набирали обороты, эта же тенденция стала ключевой и на протяжении всего 2021 года. Хакеры поняли, что предприятия не могут допустить остановку производства и, скорее всего, заплатят выкуп вымогателям. Их ожидания оправдались: лишь исходя из опубликованных случаев, в 2021 году сумма уплаченного выкупа за один инцидент достигала $11 миллионов, а экономические потери составляли одного предприятия — до $600 миллионов.
Актуальные исследования по теме кибербезопасности
Согласно исследованию, проспонсированному компанией Dragos, занимающейся вопросами кибербезопасности АСУТП, средняя стоимость одного инцидента с АСУ ТП обходится компании почти в $3 миллиона. В эту сумму входят лишь расходы на устранение самого инцидента и не включают упущенную выгоду и штрафы.
Стоит также отметить, что в отличие от атак, которые затрагивают ИТ-сети, атаки на производственные системы (ОТ-сети) позволяют получить доступ к управлению технологическими процессами, и в лучшем случае это лишь приостановит производство, а в худшем — станет реальной угрозой для жизни человека.
В связи с продолжением пандемии COVID-19 одной из самых привлекательных целей для киберпреступников оставалось здравоохранение.
Ущерб вследствие таких атак неминуем, однако не всегда пострадавший оглашает размер своих потерь. В данном обзоре мы собрали, в том числе, те случаи, когда ущерб был оглашен спустя месяцы после совершения кибератак.
Далее приведены примеры самых значимых киберинцидентов за 2021 в сфере управления производством с точки зрения последствий и экономических потерь. © Экспертно-Аналитический центр InfoWatch. 2022 г.
Самые значимые киберинциденты
Одной из атак, с которой начался 2021 год, стала атака с помощью программы-вымогателя на австрийского производителя кранов-манипуляторов Palfinger. В результате серьезно пострадали ИТ-системы большинства филиалов по всему миру: с компанией было невозможно связаться по электронной почте, компания не могла получать и обрабатывать заказы и совершать отгрузки.
В тот же день была совершена атака и на крупного производителя упаковки WestRock Company (США), из-за чего был нарушен график поставок с некоторых его предприятий. Компания подтвердила, что инцидент с программой-вымогателем затронул «некоторые ее операционные и информационные системы», хотя и не опубликовал точных сведений о влиянии инцидента на OT- и ИТ-системы.
Тогда же, в январе, по сообщению ФБР из-за вируса-вымогателя сельскохозяйственная ферма в США потеряла $9 миллионов, поскольку атака парализовала ее работу. Доступ в сеть фермы был осуществлен с помощью скомпрометированной учетной записи администратора.
В США произошел инцидент с системой управления водоснабжением: 5 февраля в Олдсмаре (штат Флорида) хакер, воспользовавшись установленной программой удаленного доступа TeamViewer, получил доступ к системе очистки воды и попытался отравить целый город с населением 15 000 человек, повысив щелочность воды в 100 раз. Сотрудник компании вовремя заметил вторжение в систему и успел снизить уровень содержания гидроксида натрия.
В феврале был атакован французский производитель лодок Bénéteau, в результате чего нарушилась работа производственных площадок в Бордо и Вандее. Если в день атаки производство шло в обычном режиме, поскольку необходимые детали были уже привезены, но на следующий день заводы прекратили свою работу до устранения последствий атаки.
От вируса-вымогателя в марте 2021 в США пострадала пятая по величине пивоварня в мире Molson Coors (производит бренды Pilsner, Miller, Blue Moon, Grolsch, Foster’s, Killian’s и др.). Кибератака привела к значительным нарушениям бизнес-операций, включая производство и отгрузку продукции. Несмотря на то, что компания приняла все возможные меры по ликвидации последствий инцидента, даже спустя месяц после атаки она все еще сталкивалась со сбоями в работе, включая функционирование систем пивоваренного завода. Потери продукции вследствие инцидента компания оценила на $140 миллионов. © Экспертно-Аналитический центр InfoWatch. 2022 г. В том же месяце был атакован и немецкий химический завод по производству краски Remmers в Лёнингене, из-за чего пришлось остановить большую часть производства. Компания воздержалась от предоставления дополнительной информации о кибератаке.
В апреле в итальянском Винченце из-за хакерской атаки приостановлено производство на заводе фармацевтической компании Zambon. Атаку быстро идентифицировали и изолировали, однако простой завода, на котором работает 217 человек, продлился 5 дней.
Примером громкой атаки с помощью программы-вымогателя на сектор здравоохранения стала некоммерческая организация Scripps Health (Сан-Диего, США), которая управляет пятью больницами и 19 амбулаторными учреждениями. Несмотря на то, что ИТ-системы продолжили работу в автономном режиме, из-за атаки стало невозможно оказывать услуги некоторым пациентам, а для экстренной помощи пострадавших пришлось перенаправлять в другие учреждения.
Спустя три месяца, квартальный отчет Scripps Health показал, что убытки из-за кибератаки составили почти $107 млн. Большую часть (около $92 млн) составила упущенная выгода за тот месяц, который потребовался для восстановления ИТ-систем после инцидента кибербезопасности.
В мае была совершена одна из крупнейших кибератак на системы управления критически важными объектами в США (объекты КИИ в терминологии РФ). Кибератака с помощью программы-вымогателя привела к остановке крупнейшего нефтепровода (протяженность — 8850 км) компании Colonial Pipeline, который ежедневно обеспечивал топливом все Восточное побережье США. Министерство транспорта США объявило чрезвычайное положение в нескольких штатах.
Таким образом, согласно информации Аналитического центра InfoWatch:
- Больше всего утечек информации связано с персональными данными – в 92% случаев утекала именно эта информация. Более 767 млн персональных данных были скомпрометированы из-за ошибок или намеренных действий внутренних нарушителей, вследствие внешних атак.
- В зафиксировано более 14 «мега-утечек». В результате каждой «утекло» более 10 млн персональных данных. На «мега-утечки» пришлось 89% всех скомпрометированных записей.
- Банки, наряду с интернет-сервисами, ретейлерами и медицинскими учреждениями, являются основным источником утечек персональных данных.
- В 55% случаев виновными в утечке информации оказались сотрудники компаний. В 1% случаев –высшие руководители организаций.
Выявленная статистика
При этом необходимо отметить, что статистика утечек за прошлые года показывает, что в общем пуле статистики мировых утечек доля «российских» утечек снизилась почти на треть по отношению с 2014 годом. Что говорит о специфике, прежде всего, геополитической ситуации и принимаемых мерах федеральных регуляторов в области совершенствования технических и организационных методов защиты информации ограниченного доступа.
Однако не стоит забывать и тот факт, что в результате введенных санкций государствами, политическими и экономическими партнерами России, существенно сократился трансграничный обмен информацией, в том числе содержащую ПДн (снижение зарубежных поездок гражданами РФ и, наоборот, зарубежных граждан в Россию). Разумно предположить, что после возобновления нормального до санкционного информационного обмена уровень соответствующих утечек вновь возрастет.
Итак, мы видим, что, как и прежде, лидером утечек являются ПДн. Понятно, что ПДн присутствуют фактически во всех ИС. Любая учетная запись, как и вся информация к ней относящаяся и обрабатываемая в ИС, может быть отнесена, согласно положение 152-ФЗ «О персональных данных», к иной категории ПДн.
Как показывает практика расследования инцидентов нарушения режима безопасности ПДн, такие нарушения происходят либо через инициативное сотрудничество нарушителей с лицами, обрабатывающими ПДн, либо от пренебрежения соответствующими лицами корпоративными регламентами безопасности и требований федеральных регуляторов безопасности. Результаты расследований, как правило, приводят к фатальному выводу о совершенной некомпетентности персонала в области ИБ. Как правило, виновники инцидентов нарушения режима ИБ не знают ни административной ни уголовной личной ответственности, которая может последовать за подобные нарушения. Но и это не самое главное. Отсутствие базовых знаний в области ИБ не позволяет персоналу, обрабатывающего информацию ограниченного доступа, ПДн, правильно оценить возможные угрозы и построить свою деятельность и информационную активность без ущерба собственному психологическому и рабочему комфорту при выполнении своих профессиональных обязанностей.
Таким образом, совершенно очевидно, что персонал, ответственный за организацию режима безопасности ПДн, должен пройти соответствующие курсы повышения квалификации или профессиональной переподготовки. В то же время, персонал ответственный за безопасную обработку ПДн должен пройти соответствующее обучение базовым основам ИБ. По окончанию обучения целесообразно провести тест, подтверждающий соответствующий уровень знаний в области нормативно-правового, организационного и инженерно-технического обеспечения безопасности ПДн, как при их обработке с использованием ИС (ИСПДн), так и без использования средств автоматизации.
При этом важно дать общее понимание применения технических средств защиты информации подразделениям информационной безопасности и лицам, уполномоченным проводить организационно-технические мероприятия по защите информации ограниченного доступа. Эти мероприятия можно решить развертыванием инженерно-технических средств стресс-тестирования, моделирующих возможные угрозы безопасности ПДн и позволяющих определить эффективность тестируемых программно-технических средств защиты информации ограниченного доступа.
Нужна работа по низкой цене? У нас вы можете заказать статью по информатике недорого!
Комментарии