Эксперт «Лаборатории Касперского» предупредил о росте количества кибератак с критическими последствиями для предприятий

Компании-жертвы заявляют о рекордных убытках, исследователи — о рекордных суммах выплат кибервымогателям.

Количество кибератак на промышленные предприятия, результатами которых стали остановка предприятий или нарушение ключевых бизнес-процессов, за последние годы выросло в несколько раз. Такой вывод можно сделать, как минимум, если опираться на официальные подтверждения пострадавших организаций. Об этом на Kaspersky Industrial Cybersecurity Conference, которая прошла с 25 по 27 сентября в Сочи, сообщил руководитель ICS CERT «Лаборатории Касперского» Евгений Гончаров. По его словам, если до 2020 года киберинциденты с критическими последствиями подтверждались жертвами несколько раз в год, то теперь — десятки раз в квартал. Эксперт отметил, что в таких случаях полное восстановление предприятия может занимать до месяца и даже больше, например, когда жертвой оказывается крупная компания с разветвленной сетью региональных объектов. Это связано не только с шифрованием и удалением данных злоумышленниками, но и с необходимостью проведения досконального исследования систем предприятия в процессе расследования инцидента. Убытки в таких случаев могут измеряться миллионами и даже сотнями миллионов долларов. В качестве примера Евгений Гончаров привел рекордные потери американской компании Clorox. Производитель бытовой химии и профессиональных чистящих средств заявил об убытках в I квартале 2024 года в размере 356 млн долларов и связал это преимущественно с последствиями кибератаки в предыдущем году. Тогда злоумышленники повредили часть ИТ-инфраструктуры компании, что привело к серьезным сбоям в работе, в частности к существенным задержкам в обработке заказов.

Главной проблемой безопасности промышленных предприятий остаются сотрудники. Чаще всего злоумышленники добираются до систем автоматизации, используя зараженные интернет-ресурсы или вредоносные почтовые рассылки. По данным команды ICS CERT, которая ежеквартально публикует статистические отчеты об угрозах для систем промышленной автоматизации, атаки через интернет-браузер или электронную почту занимают верхние строчки рейтинга угроз. Так, доля компьютеров АСУ, на которых были заблокированы угрозы из интернета и почтовых клиентов, в II квартале 2024 года составила 11,25 и 3,04% соответственно.

Иногда вектором атаки является уязвимость в продуктах или недостаточно защищенная инфраструктура разработчика или поставщика услуг. В России ситуация осложнилась с уходом западных вендоров. С одной стороны, обновления стали труднодоступными и теперь их необходимо тщательнее проверять, ведь ушедший из страны вендор за возникшую несовместимость ответственности более не несет и экстренную помощь клиенту при возникновении критической проблемы оказать не сможет. Отчасти поэтому атаки на необновленные системы внутри корпоративной или промышленной сети и на их периметре происходят регулярно. С другой стороны, приходящие на смену разработчики или поставщики часто оказываются пока еще не в состоянии гарантировать высокие качества безопасности продуктов и защитить себя самих от атаки. Однако чаще всего злоумышленники проникают в сеть после того, как сотрудник предприятия или подрядчик кликнул по вредоносной ссылке в интернете или фишинговом письме.

Евгений Гончаров, руководитель ICS CERT «Лаборатории Касперского»

Эксперт отметил, что в России пользователи обращаются к вредоносным ресурсам, запрещенным продуктами Kaspersky особенно часто. Доля компьютеров АСУ, на которых были заблокированы ресурсы в интернете из списка запрещенных, в II квартале 2024 года составила 7,80%. По этому показателю Россия занимает первое место в соответствующем рейтинге.

Евгений Гончаров подчеркнул еще одну любопытную особенность: если в мире причиной наиболее тяжелых инцидентов чаще всего является вымогательство, то в России преобладающая мотивация в таких инцидентах — хактивизм. При этом по словам эксперта, нередко за кибератаками с разными целями стоят одни и те же персоналии или даже группировки. На выбор характера их деятельности влияет геополитическая ситуация. В последние годы наблюдается рост суммы выплат, полученных вымогателями в результате кибератак: с 220 млн долларов в 2019 году до 1,1 млрд долларов в 2023 году (эта сумма не учитывает экономические потери от нарушения производственных процессов и расходы на восстановление от последствий атаки). Тенденция была нарушена лишь в 2022 году (567 млн долларов). Это может свидетельствовать о том, что многие киберпреступники переключили свое внимание с вымогательской деятельности на политически мотивированные кибератаки. Но ненадолго и, как видно из данных, вернулись с новой силой.