91,1% dintre sistemele industriale de control, care pot fi accesate de la distanta, sunt expuse amenintarilor cibernetice
Pentru a putea reduce riscul de aparitie a unui atac cibernetic, sistemele industriale de control (ICS) ar trebui sa functioneze intr-un mediu fizic izolat. Cu toate acestea, nu se intampla mereu asa. In raportul despre amenintarile din domeniul industrial, expertii Kaspersky Lab au dezvaluit 13.698 de servere ICS conectate la Internet, care, mai mult ca sigur, apartin unor organizatii mari. Printre organizatii se numara institutii din domeniul energetic, aerospatial, transporturi, industria petrolului si a gazului, industria chimica, industria auto si producatoare, industria alimentara si de bauturi, institutii guvernamentale, financiare si medicale. 91,1% dintre aceste servere ICS au vulnerabilitati care pot fi exploatate de la distanta. Dar cel mai grav este ca 3,3% dintre serverele ICS, aflate in respectivele organizatii, contin vulnerabilitati de importanta critica, posibil de activat de la distanta.
Expunerea componentelor ICS la Internet are multe avantaje, dar ridica si numeroase probleme de securitate. Pe de o parte, sistemele conectate sunt mai flexibile in ceea ce priveste reactia rapida la situatii de urgenta si implementarea actualizarilor. Dar pe de alta parte, dezvoltarea Internetului le da infractorilor cibernetici posibilitatea sa controleze de la distanta componente ICS vitale, ceea ce poate afecta echipamentul, in mediul fizic, si este un potential pericol pentru intreaga infrastructura critica.
Atacurile sofisticate asupra sistemelor ICS nu sunt ceva nou. In 2015, un grup organizat de hackeri, denumit BlackEnergy APT, a atacat o companie de electricitate din Ucraina. In acelasi an, au mai avut loc doua incidente, care par sa aiba legatura cu atacuri cibernetice: unul intr-o otelarie din Germania si altul pe Aeroportul Frederic Chopin din Varsovia.
Pe viitor, vor aparea mai multe atacuri de acest fel, din moment ce oportunitati sunt multe. Cele 13.698 de servere, localizate in 104 tari, sunt doar o mica parte din numarul total de servere ce au componente ICS si pot fi accesate prin intermediul Internetului.
Pentru a ajuta organizatiile care lucreaza cu sisteme industriale de control sa identifice potentiale puncte slabe, expertii Kaspersky Lab au realizat o investigatie despre amenintarile in domeniul industrial. Analiza lor s-a bazat pe informatii de tip OSINT (Open Source Intelligence) si informatii din surse publice, cum sunt organizatiile CERT, si s-a limitat la anul 2015.
Cele mai importante rezultate ale raportului sunt:
- In total, au fost identificate 188.019 de servere care au componente ICS ce pot fi accesate prin intermediul Internetului, in 170 de tari.
- Majoritatea serverelor care au componente ICS si pot fi accesate la distanta, sunt localizate in SUA (30,5% – 57.417) si Europa. In Europa, Germania ocupa primul loc (13,9% – 26.142), urmata de Spania (5,9% – 11.264) si de Franta (5,6% – 10.578).
- 92% (172.982) dintre serverele ICS accesibile la distanta au vulnerabilitati. 87% dintre acestea contin vulnerabilitati cu grad mediu de risc, iar 7% au vulnerabilitati de mare risc.
- Numarul de vulnerabilitati in componentele ICS a crescut de zece ori in ultimii cinci ani: de la 19 vulnerabilitati, in 2010, la 189, in 2015. Cele mai vulnerabile componente ICS au fost interfetele om-masina, dispozitivele electrice si sistemele SCADA.
- 91,6% (172.338 de servere diferite) dintre toate dispozitivele ICS disponibile in mediul extern folosesc protocoale de conexiune la Internet care le dau atacatorilor ocazia sa realizeze atacuri de tip “man in the middle”.Pentru a proteja mediile ICS de posibile atacuri cibernetice, expertii Kaspersky Lab recomanda companiilor:
- «Cercetarea noastra arata ca probabilitatea de a avea hibe de securitate serioase creste odata cu dimensiunea infrastructurii ICS. Aceasta nu este o scapare a unui singur producator de sisteme hardware sau software. Prin insasi natura sa, mediul ICS este imbinarea a diferite componente interconectate, multe dintre ele avand conexiune la Internet si probleme de securitate. Nu exista nicio garantie ca o anumita instalatie ICS nu va avea cel putin o componenta vulnerabila la un anumit moment. Totusi, acest lucru nu inseamna ca nu exista nicio modalitate de a proteja o fabrica sau o centrala energetica de atacuri cibernetice. Simpla constientizare a vulnerabilitatilor existente in componentele folosite in interiorul unei asezari industriale este o cerinta de baza pentru managementul de securitate din locul respectiv. Acesta a fost unul dintre obiectivele raportului nostru: sa crestem gradul de constientizare asupra riscurilor, in randul celor interesati», a spus Andrey Suvorov, Head of Critical Infrastructure Protection, Kaspersky Lab.
- Sa realizeze un audit de securitate: astfel, pot identifica si inlatura bresele de securitate descrise in raport.
- Sa solicite informatii dintr-o sursa externa: astazi, industria de securitate IT se bazeaza pe cunoasterea potentialilor vectori de atac. Obtinerea unor astfel de informatii, de la companii prestigioase, ajuta organizatiile sa prevada atacurile viitoare asupra infrastructurii industriale a companiei.
- Sa ofere protectie in interior si in exteriorul perimetrului. Pot aparea erori, dar o strategie adecvata de securitate trebuie sa aloce resurse semnificative pentru detectie si raspuns, astfel incat sa blocheze un atac inainte sa afecteze obiecte de importanta critica.
- Sa evalueze metodele avansate de protectie: un scenariu Default Deny pentru sistemele SCADA, verificarea cu regularitate a sistemelor de control si monitorizarea retelelor specializate, pentru a creste nivelul de securitate a unei companii si a reduce riscul aparitiei unei brese de securitate, chiar daca anumite puncte vulnerabile nu pot fi remediate sau eliminate.
Puteti citi raportul integral despre amenintarile in domeniul sistemelor industriale de control pe Securelist.com.