Журнал "Information Security/ Информационная безопасность" #5, 2018

Если год назад, в первом полугодии 2017 г., Интернет стал источником угроз, заблокированных на 20,6% компьютеров АСУ, с которых ЛК получали обезличенную статистику, то в первом полугодии 2018 г. – уже на 27,3%. Показатели стран внутри отдельных регионов могут значительно отличаться. Так, на фоне большинства стран Африки наиболее благополуч- ная обстановка наблюдается в ЮАР, а среди стран Среднего Востока заметно лучше дело обстоит в Израиле и Кувейте. Факторы, влияющие на кибербезопасность компьютеров АСУ Анализ соответствия процен- та атакованных компьютеров АСУ в каждой из стран и их позиций в рейтинге по уровню ВВП на душу населения проде- монстрировал, что между этими показателями существует высо- кая положительная корреляция (c множественным коэффици- ентом корреляции R = 0,84 и коэффициентом значимости P < 0,001). За некоторыми исключениями в странах с высо- ким уровнем ВВП на душу насе- ления (первые места в соответ- ствующем рейтинге) процент атакованных компьютеров АСУ меньше, чем в странах с низким уровнем ВВП. Семь из десяти самых небла- гополучных стран (рис. 5) по проценту атакованных компью- теров АСУ в 2017 г. не попали в первую сотню стран по уровню ВВП на душу населения. Высокий показатель процента атакованных компьютеров АСУ в развивающихся странах может быть связан с тем, что их промышленность относи- тельно молодая. Как известно, зачастую при проектировании и введении в эксплуатацию индустриальных объектов пер- воочередное внимание уделяет- ся экономическим аспектам их работы и физической безопас- ности технологического процес- са, а обеспечению информа- ционной безопасности ставится значительно более низкий прио- ритет. Вероятно, те несколько при- меров, которые отмечены на диаграмме (рис. 6), – это неко- торые страны, в которых доступ- ные ресурсы используются для защиты промышленных активов от кибератак более (над пунк- тирной линией) или менее (под пунктирной линией) эффектив- но, чем в других странах. Чтобы оценить уровень вре- доносной активности в разных странах, мы посчитали процент всех атакованных компьютеров (домашних, корпоративных пользователей и компьютеров АСУ) в каждой стране (рис. 6). Обнаружили, что существует высокая положительная корре- ляция (c множественным коэф- фициентом корреляции R = 0,89 и коэффициентом значимости P < 0,001) между процентом атакованных компьютеров АСУ и показателем вредоносной активности в стране (процентом всех атакованных компьюте- ров). Эти данные согласуются с предположением, что компью- теры в инфраструктуре техно- логических сетей, сопряженные с корпоративной сетью и/или подключающиеся к Интернету даже эпизодически, в подав- ляющем большинстве случаев подвергаются атакам вредонос- ного ПО в той же мере, в кото- рой им подвергаются такие тра- диционные для злоумышленни- ков мишени, как офисные ком- пьютеры организаций и частных лиц в той же стране. Отметим, что почти во всех странах, где в течение полуго- дия было атаковано не менее половины всех компьютеров АСУ (рис. 5), процент атакован- ных машин в инфраструктуре технологических сетей оказался выше, чем показатель по всем атакованным компьютерам в стране. Такая ситуация вызы- вает особую тревогу, учитывая, что, по данным Всемирного банка и Организации экономи- ческого сотрудничества и раз- вития, восемь стран из этого списка – Индонезия, Китай, Индия, Иран, Саудовская Ара- вия, Мексика, Филиппины и Малайзия – в 2017 г. по объему промышленного производства вошли в топ-30. Основные источники заражения Основные источники зараже- ния компьютеров в технологи- ческой инфраструктуре органи- заций – Интернет, съемные носители и электронная почта. Интернет за последние годы стал основным источником заражения компьютеров техно- логической инфраструктуры организаций. Более того, про- цент компьютеров АСУ, на кото- рых были заблокированы попытки загрузки вредоносного ПО из Интернета, доступ к известным вредоносным и фишинговым Web-ресурсам, фишинговые письма и вредо- носные вложения, открываемые в почтовых Web-сервисах через браузер, растет. Если год назад, в первом полугодии 2017 г., Интернет стал источником угроз, забло- кированных на 20,6% компью- теров АСУ, с которых мы полу- чаем обезличенную статистику, то в первом полугодии 2018 г. – уже на 27,3% (рис. 7). Современные технологиче- ские сети трудно назвать изо- лированными от внешних систем. В настоящее время сопряжение технологической сети с корпоративной сетью необходимо как для управле- ния производством, так и для администрирования промыш- ленных сетей и систем. Вынуж- денной необходимостью может быть и доступ к Интернету из технологической сети, напри- мер, для сопровождения и тех- нической поддержки систем промышленной автоматизации сотрудниками организаций- подрядчиков. Компьютеры под- рядчиков, разработчиков, интеграторов, системных/сете- вых администраторов, которые подключаются к технологиче- ской сети обслуживаемого предприятия извне (напрямую или удаленно) и при этом часто имеют свободный доступ к • 15 ЗАЩИТА АСУ ТП www.itsec.ru Рис. 5. Топ-20 стран по проценту атакованных компьютеров АСУ, первое полугодие 2018 г. Рис. 6. Процент атакованных компьютеров АСУ в стране (ось X) и ее место в рейтинге стран по ВВП на душу населения (ось Y), первое полугодие 2018 г.