Kaspersky Lab: atacurile cibernetice incep aproape intotdeauna cu veriga slaba din orice protectie – oamenii

În medie, două din cinci computere care au legătură cu infrastructura tehnică a companiilor din domeniul industrial au fost ținta unor atacuri cibernetice în a doua jumătate a anului 2016. Aceasta este una dintre concluziile raportului Kaspersky Lab “Amenințările în domeniul sistemelor industriale de automatizare, în a doua jumătate a anului 2016”.

Procentul de computere industriale atacate a crescut de la peste 17%, în iulie 2016, ajungând să depășească 24% în decembrie 2016. Primele trei surse de infectare sunt Internetul, dispozitivele portabile de stocare și fișierele malware atașate la e-mail, împreună cu script-urile integrate în corpul e-mail-urilor.

Pe măsură ce rețelele companiilor industriale devin tot mai integrate, tot mai mulți infractori cibernetici își îndreaptă atenția către acestea, ca potențiale ținte. Exploatând vulnerabilitățile din rețelele și programele folosite de aceste întreprinderi, atacatorii ar putea să fure informații despre procesul de producție și chiar să oprească activitatea companiilor.

În acest context, specialiștii Kaspersky Lab ICS CERT au studiat riscurile la care sunt expuse sistemele industriale de control (Industrial Control Systems).  



Cercetarea a arătat că, în a doua jumătate a anului 2016, au fost blocate descărcări de programe malware și accesul la pagini web de phishing în peste 22% dintre computerele industriale. Acest lucru înseamnă că fiecare al cincilea aparat s-a confruntat cu riscul de a fi infectat cu malware și de a-i fi compromise date de autentificare, prin intermediul Internetului.

Computerele de tip desktop ale inginerilor și angajaților care lucrează direct cu ICS nu au, de regulă, acces direct la Internet din cauza constrângerilor reprezentate de rețeaua în care își desfășoară activitatea. Cu toate acestea, sunt alți utilizatori care au, simultan, acces la Internet și la ICS.

Potrivit cercetării Kaspersky Lab, aceste computere – probabil folosite de administratorii de rețea și de sistem, dezvoltatori și integratori de sisteme industriale de automatizare și de contractori terți care au nevoie de acces la rețelele tehnlogice, direct sau de la distanță – se pot conecta fără probleme la Internet pentru că nu sunt legate doar de o rețea industrială, cu limitările inerente.
Internetul nu e singurul lucru ce amenință securitatea cibernetică în cazul ICS.

Dispozitivele portabile de stocare infectate sunt o altă amenințare detectată de cercetătorii companiei. În timpul perioadei de studiu, 10,9% dintre computerele cu programe ICS instalate (sau conectate cu cele care au acest software) au prezentat urme de malware atunci când un dispozitiv portabil a fost conectat la ele.


Fișierele malware trimise ca anexă la e-mail-uri și script-urile integrate în corpul e-mail-urilor au fost blocate pe 8,1% dintre computerele industriale, ocupând locul al treilea. În majoritatea cazurilor, atacatorii folosesc e-mail-uri de tip phishing pentru a atrage atenția utilizatorului și a ascunde fișiere malware.

Acestea din urmă au fost distribuite cel mai frecvent în formatul unor documente office ca MS Office și fișiere PDF.

Folosind diferite tehnici, infractorii s-au asigurat că programele malware erau descărcate și instalate pe computerele organizațiilor industriale.


Conform cercetării Kaspersky Lab, programele malware, care reprezintă un pericol semnificativ pentru companii din toată lumea, sunt la fel de periculoase pentru cele industriale. Malware-ul include spyware, backdoors, programe de tip keyloggers, malware financiar, ransomware și “wipers” (programe care șterg fișiere).

Ele pot paraliza complet controlul organizației asupra sistemelor sale ICS sau pot fi folosite pentru atacuri cu țintă precisă. Acestea din urmă sunt posibile din cauza anumitor funcții care îi oferă unui atacator numeroase posibilități de a obține control la distanță.


Analiza noastră arată că încrederea oarbă în izolarea rețelelor tehnologice de Internet nu mai funcționează”, spune Evgeny Goncharov, Head of Critical Infrastructure Defense Department, Kaspersky Lab.

“Creșterea amenințărilor cibernetice asupra infrastructurii critice indică faptul că ICS ar trebui să fie asigurate corespunzător împotriva programelor malware, atât în interior, cât și în exteriorul sediului. Este, de asemenea, important de notat că, potrivit observațiilor noastre, atacurile încep aproape întotdeauna cu veriga slabă din orice protecție – oamenii.

Celelalte concluzii ale raportului Kaspersky Lab “Amenințările în domeniul sistemelor industriale de automatizare, în a doua jumătate a anului 2016” sunt:

  • Fiecare al patrulea atac cu țintă precisă detectat de Kaspersky Lab în 2016 a fost îndreptat către obiective industriale
  • Au fost descoperite aproximativ 20.000 de mostre diferite de malware în sisteme industriale de automatizare, aparținând unui număr de peste 2.000 de familii malware.
  • În 2016, Kaspersky Lab a descoperit 75 de vulnerabilități. 58 dintre ele au fost încadrate în categoria “vulnerabilități critice”
  • Primele trei țări cu computere industriale atacate: Vietnam (peste 66%), Algeria (peste 65%), Maroc (60%).


Pentru a proteja mediul ICS de potențiale atacuri cibernetice, experții Kaspersky Lab recomandă următoarele:        

Să realizeze o evaluare a securității pentru a identifica și îndepărta punctele slabe        
Să solicite informații din surse externe: informațiile provenite de la companii recunoscute ajută organizațiile să prevadă atacurile asupra infrastructurii industriale        
Să facă training-uri angajaților        
Să protejeze interiorul și exteriorul perimetrului organizației. O strategie eficientă de securitate trebuie să acorde resurse semnificative detecției și răspunsului în cazul unui atac și să îl blocheze înainte de a ajunge la obiective de importanță critică.        
Să evalueze metodele avansate de protecție: Un scenariu de tip Default Deny pentru sistemele SCADA, teste de integritate pentru sistemele de control, efectuate la intervale regulate, monitorizarea specializată a rețelei  - toate acestea vor reduce riscul unei breșe în securitatea companiei, chiar dacă unele puncte vulnerabile în mod inerent nu pot fi înlăturate.