Добывающая промышленность становится одной из ключевых целей хакеров

Добывающая промышленность становится одной из ключевых целей хакеров

Добывающая промышленность становится одной из ключевых целей хакеров

Trend Micro опубликовала отчет «Киберугрозы в добывающей отрасли» (Cyber Threats to the Mining Industry), компания приходит к выводу о том, что в связи с растущим уровнем автоматизации процессов и зависимости экономики от природных ресурсов добывающая промышленность сегодня становится крайне привлекательной мишенью для киберпреступников.

Если раньше основной целью киберпреступников были банки, финансовые и медицинские учреждения, то теперь злоумышленники нацелены и на совершенно другие сферы, в частности, на предприятия добывающей промышленности. При этом проблема кибератак в этой отрасли также тесно связана с возрастающей степенью автоматизации ее процессов. На смену ручному труду и простым механизмам пришли электронные устройства, которые контролируются централизованно с помощью специального программного обеспечения. Сегодня на подобных предприятиях используются операционные технологии (Operational Technology, OT) – аппаратное и программное обеспечение, которое обнаруживает изменения в производственном процессе и управляет ими. При этом во многих организациях OT в лучшем случае слабо защищены от возможных кибератак. А все большее проникновение в отрасль облачных вычислений, систем бизнес-аналитики и Интернета вещей приводит к сращиванию IT и OT, что дает злоумышленникам широкий доступ к компонентам систем и критически важным процессам.

Важным фактором является и то, что большинство промышленных систем управления (Industrial Control Systems, ICS), которые используются сегодня, были разработаны десятилетия назад. В связи с новыми требованиями подключения к корпоративной сети и использования удаленного доступа, разработчики ICS, как правило, адаптируют соответствующие IT-решения для упрощения интеграции и снижения затрат на разработку. Однако это приводит к возникновению целого ряда новых уязвимостей. Ниже приводятся примеры некоторых крупных кибератак в добывающей промышленности:

  • В апреле и мае 2015 года канадская золотодобывающая компания Detour Gold Corp. подверглась атаке хакерской группировки, которая называла себя Angels_Of_Truth. В результате злоумышленниками было украдено более 100 Гб ценной информации. При этом 18 Гб из этих данных были размещены на торрент-трекере.
  • В феврале 2016 года Департамент промышленности, ресурсов и энергетики Нового Южного Уэльса также подвергся атаке хакеров. Злоумышленники безуспешно пытались получить доступ к конфиденциальной информации, касающейся разрешения на добычу полезных ископаемых.
  • В апреле 2016 года в канадской золотодобывающей компании Goldcorp произошла крупная утечка данных. Злоумышленники обнародовали 14.8 Гб данных, разместив соответствующий документ на Pastebin, популярном сайте для хранения и общего использования данных, с ссылкой на его скачивание. Архив содержал персональные данные работников и финансовую информацию.

Кибератаки в промышленности совершаются, в основном, для того, чтобы получить определенные технические знания для конкурентного преимущества, ослабить экономику другого государства, заполучить определённые данные (личную информацию (PII), финансовую составляющую или учетные записи) или даже с целью протеста против компаний в добывающей отрасли, как источника загрязнения окружающей среды. При этом среди тех, кто является инициатором таких атак можно выделить иностранные государства, организованные киберпреступные синдикаты, конкурентов компаний, хактивистов.

Кибератаки действительно способны оказывать большое влияние на бизнес компании, например, приводить к ухудшению финансовых показателей, краже интеллектуальной собственности, потере конкурентного преимущества и т.д. Все это становится возможным из-за способности киберпреступников получить доступ к необходимой информации. При этом в добывающей промышленности злоумышленников интересуют, прежде всего:

  • данные по ценообразованию на металлы и минералы;
  • интеллектуальная собственность, например, способ производства, обработки сырья, химических формул, программное обеспечение и т. д.;
  • информация о государственной политике, решениях и процессах принятия решений руководителями корпораций;
  • данные о новых потенциальных месторождениях;
  • информация о запасах руды и производственном процессе;
  • данные систем мониторинга шахт, которые используются для контроля производства, безопасности и мониторинга состояния окружающей среды в режиме реального времени.

Стоит отдельно отметить, что кибератаки в добывающей промышленности не только могут быть причиной потерь из-за простоев на производстве, но и оказать негативное влияние на стоимость акций компании, а также нанести ущерб экономике страны или региона, если она сильно зависит от подобного предприятия.

Наиболее часто используемыми методами совершения кибератак на сегодняшний являются:

  • фишинг и социальная инженерия;
  • эксплуатация уязвимостей;
  • заражение сайта, который сотрудники предприятия посещают чаще всего;
  • неправильная конфигурация системы эксплуатации;
  • скрытая загрузка;
  • вредоносная реклама;
  • компрометация сторонних вендоров;
  • атака «человек посередине» (MitM);
  • заражение оборудования;
  • инсайдеры.

Сегодня большинство предприятий добывающей промышленности не осознают важность защиты от кибератак, а тем временем в их деятельности обнаруживаются все новые уязвимости, которыми могут воспользоваться злоумышленники. Отдельное внимание специалистам по кибербезопасности стоит уделить крупным добывающим компаниям, чья деятельность напрямую связана с состоянием экономики отдельных регионов или стран. Им прежде всего необходимо внедрять передовые методы защиты на всех уровнях управления предприятием.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

NGFW от «Солара» теперь можно настраивать через единый интерфейс

Группа компаний «Солар» добавила в продукт Solar NGFW возможность централизованного управления (ЦУ). Новая функция появилась начиная с версии 1.6, вышедшей в мае 2025 года. Теперь администраторы могут управлять всеми установленными межсетевыми экранами Solar NGFW через один интерфейс.

Идея добавить централизованное управление возникла после анализа пилотных внедрений в госсекторе и корпоративной среде.

Как показала практика, во многих компаниях политики безопасности всё ещё настраиваются вручную на каждом устройстве. Это увеличивает нагрузку на специалистов и повышает риск ошибок в настройках, которые могут привести к уязвимостям в инфраструктуре.

Новое ЦУ позволяет:

  • централизованно управлять настройками и политиками NGFW на всех узлах сети,
  • искать и анализировать сессии по всем нодам — не только по метаданным, но и по содержимому,
  • управлять видеозаписями сессий через единый архив: экономится место и упрощаются расследования инцидентов.

Также обновление включает встроенную двухфакторную аутентификацию (TOTP) для всех компонентов системы. Поддерживается работа с учётными записями через LDAP, внутреннюю базу и RADIUS.

Централизованное управление позволяет:

  • объединять и группировать узлы,
  • применять единые политики ко всем экранам одновременно,
  • разграничивать роли и права доступа как в головной компании, так и в филиалах,
  • изолировать сегменты сети при инцидентах.

Связь между ЦУ и NGFW происходит по протоколу TLS 1.3, что обеспечивает защиту передаваемых данных, в том числе в инфраструктуре критически важных объектов.

Решение работает как в виртуальном виде, так и как программно-аппаратный комплекс. В первой половине 2025 года были выпущены два обновления — версии 1.5 и 1.6 — и представлена новая линейка NGFW для компаний с филиальной структурой и малого бизнеса.

По данным Solar JSOC, в 2024 году 27% всех подтверждённых инцидентов безопасности были связаны с сетевыми атаками. Больше всего атак фиксируется в госсекторе, банковской сфере и нефтегазовой отрасли.

Централизованное управление в составе NGFW также учитывает требования регуляторов к защите объектов КИИ — особенно по части скорости реагирования на инциденты и точности настройки трафика.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru