WannaCry wyeliminował działanie części systemów ochrony zdrowia i ratownictwa w Wielkiej Brytanii, fragmentu infrastruktury hiszpańskiego operatora Telefónica, systemów chińskich linii lotniczych Hainan, a nawet komputerów w rosyjskim MSW. Chociaż więcej strat uczyniły w zeszłej dekadzie robaki takie jak Conficker, MyDoom czy ILOVEYOU, pojawienie się WannaCry dobitnie przypomniało o fakcie, że cyberbezpieczeństwo jest tematem, którego nie można odkładać na później.
Cyberzagrożenia w przemyśle są coraz bardziej zbliżone do tych, jakie spotyka się w korporacyjnych systemach IT. Sprzyja temu rosnąca integracja obydwu obszarów, wykorzystanie podobnych technologii oraz zbliżone scenariusze użytkowania. W naszej branży dodatkowo regularnie pojawia się złośliwe oprogramowanie wycelowane w urządzenia stricte przemysłowe, takie jak sterowniki programowalne.
Analizę zagrożeń komputerów i innych urządzeń stosowanych w ICS, czyli przemysłowych systemach sterowania i kontroli, opublikował niedawno Kaspersky Lab ICS Cert (ics-cert.kaspersky.com). W drugiej połowie 2016 roku znaleziono w nich około 20 tys. próbek złośliwego oprogramowania, a jeden na cztery wykrywane cyberataki dotyczyły właśnie ICS. W przemyśle najbardziej rozpowszechnione są trojany, zaś najczęstszym skutkiem ich działania - blokada usług (atak DoS), rzadziej zdalne wykonanie kodu (RCE).
Najciekawszą statystyką publikowaną w analizie jest ta dotycząca pochodzenia i kanałów wnikania złośliwego oprogramowania (schemat na rysunku). W przypadku 22% ataków były to strony internetowe, drugie miejsce zajęły przenośne pamięci masowe. Z kolei złośliwe załączniki do wiadomości e-mail i skrypty osadzone zostały zablokowane w przypadku 8% systemów. Atakujący bardzo często korzystają z phishingu, tj. podszywania się pod inną osobę lub instytucję, zaś złośliwe oprogramowanie rozpowszechniane jest najczęściej w formie plików DOC oraz PDF.
Kluczowym stwierdzeniem autorów raportu jest to, że zagrożenia pochodzą nie tylko z zewnątrz, ale cały czas mają źródło również wewnątrz organizacji. O ile bowiem komputery przemysłowe mogą być jedynie podłączone do Intranetu, o tyle w sieciach pojawia się też wielu innych użytkowników - administratorów, programistów, integratorów systemów, itd., którzy mają swobodny dostęp do Internetu. Stąd też strategia izolowania sieci firmowych, w szczególności tych produkcyjnych, na pewno nie jest dzisiaj wystarczająca.
Koniecznością jest posiadanie całościowej polityki bezpieczeństwa, w ramach której regularnie przeprowadzane są audyty, zapewniana jest ochrona wielopoziomowa - szczególnie w przypadku infrastruktury krytycznej, a także prowadzone szkolenia personelu. Wskazane są również wspólne działania specjalistów IT z pracownikami innych działów, w tym produkcyjnych. "Według naszych obserwacji ataki niemal zawsze zaczynają się od najsłabszego ogniwa systemów, tj. od ludzi" - konkludują przedstawiciele Kaspersky Lab.
W powyższym kontekście pojawienie się WannaCry może mieć pozytywny wydźwięk. Jest to głośny dzwonek ostrzegawczy, że tematyki cyberbezpieczeństwa nie można bagatelizować. Niezależnie od branży i skali działalności firmy, organizacje muszą zajmować się bezpieczeństwem systemów IT tu i teraz, traktując wirtualne zagrożenia jako w pełni realne ryzyka dla swojego biznesu.
Zbigniew Piątek
