80% критически важных компаний национальной инфраструктуры столкнулись с нарушением безопасности электронной почты в прошлом году

Киберзлоумышленники постоянно используют вредоносные электронные письма для проникновения в критически важную национальную инфраструктуру. Согласно новому отчету поставщика решений безопасности OPSWAT, до 80% компаний CNI столкнулись с нарушением безопасности, связанным с электронной почтой, в прошлом году.

Компрометация CNI, таких как коммунальные услуги, транспорт, телекоммуникации, а теперь и центры обработки данных, может привести к масштабным сбоям, что делает их главной целью для кибератак. Недавний отчет Malwarebytes показал, что сфера услуг больше всего страдает от программ-вымогателей, на долю которых приходится почти четверть глобальных атак.

Отчет OPSWAT, в котором были опрошены 250 руководителей ИТ и безопасности из глобальных организаций CNI, показал, что атаки на основе электронной почты оказываются выгодными для злоумышленников. На каждые 1000 сотрудников организации CNI столкнулись с:

5,7 успешных фишинговых инцидентов в год. 5,6 компрометаций аккаунтов. 4,4 инцидента утечки данных.

Однако, несмотря на значительное количество атак с использованием электронной почты, нацеленных на их сектор, 50,4% и 52,8% респондентов продолжают считать, что электронные сообщения и вложения соответственно по умолчанию безвредны.

Почему злоумышленники выбирают электронную почту своей целью

Электронная почта предоставляет злоумышленникам простой способ развертывания фишинговых атак, вредоносных ссылок и вредоносных вложений, которые предоставляют доступ к целевой системе. Более 80% организаций CNI ожидают, что уровни угроз всех типов атак по электронной почте возрастут или останутся прежними в течение следующих 12 месяцев, причем наиболее вероятными являются фишинг, кража данных и атаки с использованием вредоносного ПО нулевого дня.

Авторы отчета заявили, что, поскольку операционные технологии и ИТ-системы становятся «все более связанными», крайне важно, чтобы безопасность электронной почты стала приоритетом.

Они написали: «Значительно меньше сетей OT все еще изолированы, и деятельность по цифровой трансформации последнего десятилетия привела к тому, что сети OT были подключены к Интернету. Это означает, что успешная кибератака по электронной почте может распространиться на сеть OT организации, чтобы нанести ущерб и инициировать новые атаки изнутри сети OT.

«Учитывая ожидаемый рост уровня угрозы, исходящей от атак по электронной почте, в течение следующих 12 месяцев, организации критической инфраструктуры, намеревающиеся усилить безопасность своей электронной почты, должны принять радикальный подход, который делает упор на профилактику и устранение угроз, распространяемых по электронной почте».

Великобритания считает, что центры обработки данных CNI помогут повысить их безопасность

На прошлой неделе правительство Великобритании объявило, что отныне центры обработки данных будут считаться CNI, что стало первым новым обозначением с 2015 года. Это было сделано для повышения безопасности страны, поскольку они становятся все более важными для бесперебойной работы основных служб, о чем свидетельствует сбой CrowdStrike в июле.

СМ.: Как хакеры проникают в критическую инфраструктуру

Центры обработки данных в Великобритании теперь получат большую государственную поддержку в восстановлении после и предотвращении критических инцидентов. Специальная группа старших должностных лиц правительства будет координировать доступ к агентствам безопасности, таким как Национальный центр кибербезопасности, и аварийно-спасательным службам при необходимости. Назначение также может сработать для сдерживания киберпреступников.

Напротив, организации CNI в Великобритании сталкиваются с повышенным контролем со стороны регулирующих органов. Например, Правила сетей и информационных систем применяются к операторам основных услуг в секторах CNI, а Закон о безопасности телекоммуникаций должен соблюдаться поставщиками телекоммуникационных услуг.

Центры обработки данных, вероятно, будут более тщательно контролироваться на предмет соответствия существующему и будущему законодательству, которое может включать требования к мерам физической безопасности, аудиту, планам действий в чрезвычайных ситуациях, отчетности о рисках и программному обеспечению безопасности.

К сожалению, компании CNI не преуспевают в соблюдении требований, что играет свою роль в высокой частоте кибератак по электронной почте. Отчет OPSWAT показал, что 65% руководителей CNI утверждают, что их организации не соблюдают нормативные стандарты. Этот процент снижается до 28%, если рассматривать только респондентов из EMEA.

Организации CNI все чаще подвергаются атакам киберпреступников

Последний Threat Pulse от NCC Group обнаружил, что 34% атак с использованием программ-вымогателей в июле были направлены на CNI, что на 2% больше, чем в июне. Фактором, способствующим этому, может быть то, что злоумышленники стали меньше опасаться последствий со стороны правоохранительных органов.

По словам экспертов WithSecure, после действий, предпринятых против группировки DarkSide после того, как она нарушила работу компании Colonial Pipeline, были предприняты «скоординированные усилия коллективов, занимающихся разработкой программ-вымогателей, с целью избежать санкций».

«Группы, занимающиеся вредоносным ПО, пытались опуститься ниже предполагаемой черты, которая, по их мнению, повлечет за собой действия компетентного органа, при этом многие группы публично заявляли, что не будут атаковать больницы», — пишут исследователи в отчете Ransomware Landscape.

Однако множество атак на CNI с 2023 года свидетельствуют о том, что теперь у них «нет никаких сомнений относительно нападения на любую западную организацию», поскольку последующие действия правоохранительных органов «могут восприниматься преступниками как неизбежные», независимо от выбранной цели.

СМ.: Кибервласти Великобритании, США и Канады предупреждают об атаках пророссийских хактивистов на операционные технологические системы

Устаревшие технологии обеспечивают легкий доступ

В своем ежегодном отчете за 2023 год NCSC заявила, что «весьма вероятно», что киберугроза для CNI Великобритании возрастет в 2023 году, отчасти из-за ее зависимости от устаревших технологий.

Организации, которые управляют критической инфраструктурой, хорошо известны тем, что укрывают устаревшие устройства, поскольку сложно и дорого заменять технологии, поддерживая при этом нормальную работу. В доказательствах от Thales, представленных для отчета правительства Великобритании об угрозе программ-вымогателей национальной безопасности, говорится: «В секторе CNI нередко встречаются [стареющие] системы с длительным сроком эксплуатации, которые не обновляются, не контролируются и не оцениваются регулярно».

Согласно другим данным NCC Group, «системы ОТ с гораздо большей вероятностью включают компоненты, которым 20–30 лет, и/или используют устаревшее программное обеспечение, которое менее безопасно и больше не поддерживается».

Отчет Microsoft за май подтверждает это, описывая их меры безопасности как «часто недостаточные», что делает «OT-атаки не только привлекательными для злоумышленников, но и относительно простыми в реализации». Исследователи безопасности из Редмонда также подчеркивают, что количество атак на водные и другие ключевые системы критической инфраструктуры растет с конца 2023 года.