Производство же работает, зачем нам эти сказки про хакеров?
Или реальные киберинциденты в промышленности
Авторы:
Евгений Баклушин, старший аналитик
Наталья Григорьева, помощник аналитика
Когда к руководителю предприятия приходят специалисты по информационной безопасности с целью согласовать бюджет на проведение работ или внедрение системы защиты, первый вопрос, который появляется у руководителя: «Сколько это стоит?». ИБшники называют сумму и в ответ получают утверждение, что это обязательно нужно согласовать с «бизнесом». Далее следует планирование собрания, приглашение всех заинтересованных лиц, оглашение повестки и, наконец, встреча. Обсуждение длится несколько часов и в конце «бизнес» говорит: «Это дорого, вырастет наценка на продукцию – потеряем клиентов. Да и сказки все это, фильмов про хакеров насмотрелись. Посмотрите, работает же все!». У второй стороны существенного контраргумента нет.
В чем же ошибка сотрудников ИБ в этой ситуации? Нужен был реальный кейс, понятый руководителю и «бизнесу». Он должен содержать знакомые названия (организации, оборудования, продукции) и накладываться на их предприятие (виды деятельности должны быть одинаковыми или довольно приближенными друг к другу), а еще его должно быть легко проверить. Источник не должен находиться на каких-то небольших узконаправленных форумах или кружках по интересам.
Отлично. С необходимостью кейса и его критериями разобрались, но, добавив его в защитную презентацию по бюджету для ИБ, можно услышать: «Ну где-то раз что-то случилось, но мы тут причем…». И что нужно в ответ? Правильно – много кейсов. Но где их взять? Подразделение ИБ на предприятиях обычно не обладает такими ресурсами и временем, чтобы потратить их на серьезные поиски. Да, раньше была база RISI, но она не обновляется с 2014 года. Аргументы-то нужны свежие.
Выше описана достаточно типовая проблема и боль специалистов по информационной безопасности, которую мы слышим. Действительно, сложно проводить подобный анализ сотрудникам, не обладающим источниками и временем. Да и на предприятии могут не так понять, ведь зачем это делать, если ждут согласования заявки на предоставление прав доступа?
Поэтому мы решили проанализировать ситуацию с инцидентами информационной безопасности на мировом поле за последние 5 лет. Актуалочка! Отбор производился из наиболее резонансных случаев. Например, как следующие:
«В мае 2021 года американский производитель автозапчастей Toyota Auto Body, входящий в группу Toyota Motor, сообщил о проведении кибератаки на компанию. В результате взлома была похищена секретная информация. Как сообщает деловое издание Nikkei со ссылкой на заявление Toyota Auto Body, украдены и выложены в интернет финансовая информация и данные клиентов компании Auto Parts Manufacturing Mississippi, которая изготавливает комплектующие в том числе для седанов Toyota Corolla. Это не первая хакерская атака на подразделение Toyota. Ранее стало известно, что европейская компания Toyota Boshoku Corporation лишилась более $37 млн из-за мошенников и так называемой компрометации посредством деловой переписки» © Tadviser (источник по ссылке).
«Громкий взлом всемирно известной компании Garmin, которая производит умные часы и навигационную технику. В результате этого инцидента бизнес потерял миллионы долларов, а клиенты Garmin в течение нескольких дней не могли использовать устройства Garmin и даже дозвониться в службу поддержки. Чтобы сохранить бизнес, компания была вынуждена заплатить мошенникам крупный выкуп» © Lenta.ru (источник по ссылке)
Уверены, что для многих руководителей предприятий известны такие названия, как «Toyota» или «Garmin», они слышат их довольно часто, и доверие к презентации растет.
Соблюдая конфиденциальность и условия договоров, мы не раскрываем кейсы наших Заказчиков. Но мы активно помогаем им не только с устранением последствий, но и с предупреждением возникновения таких ситуаций. Подробнее с решениями по информационной безопасности можно ознакомиться по ссылке.
Далее представлена сводная информация, которую мы собрали в рамках данного микроисследования. Вся информация находится в открытых источниках.
| Компания | Деятельность | Год | Краткое описание атаки | Последствия | Источник |
| Toyota Auto Body, входящий в группу Toyota MotorT | Американский производитель автозапчастей | 2021 | Неизвестно | Украдены и выложены в интернет финансовая информация и данные клиентов компании Auto Parts Manufacturing Mississippi | Источник: TAdviser |
| Luma Energy | Основной поставщик электроэнергии в Пуэрто-Рико | 2021 | DDOS-атака | После атаки на подстанции в Сан-Хуане началось возгорание, из-за которого сотни тысяч местных жителей лишились электричества | Источник: TAdviser |
| Gigabyte | Крупнейший Тайваньский производитель компьютерных комплектующих | 2021 | Компания подверглась атаке вымогательской группы RansomEXX | В настоящее время хакеры угрожают опубликовать более 112 ГБ данных, украденных у компании, если та не заплатит выкуп | Источник: «Хакер» |
| Shell | Англо-нидерландская нефтегазовая компания | 2021 | Компания сообщила о взломе своей системы обмена файлами, работающей на базе ПО Accellion File Transfer Appliance (FTA) | В ходе атаки хакеры получили доступ к информации, принадлежащей крупным акционерам и дочерним компаниям | Источник: SecurityLab.ru |
| Adata | Тайваньская компания, занимающаяся производством DRAM, USB-накопителей, жестких дисков, твердотельных накопителей, карт памяти, мобильных аксессуаров | 2021 | На своем сайте хакеры заявили, что перед шифрованием файлов они похитили у компании 1,5 ТБ конфиденциальных данных | Хакеры опубликовали более 700 ГБ заархивированных данных, украденных у Adata | Источник: «Хакер» |
| Kia Motors America | Автомобилестроительная компания | 2021 | Неизвестно | Хакеры выслали требование выкупа в размере 404 биткойна ($20 млн) | Источник: TAdviser |
| ЕВРАЗ | Металлургическая и горнодобывающая компания | 2020 | Неизвестно | Согласно информации, полученной от источника в ЕВРАЗ, кибератака остановила производство на большинстве заводов | Источник: Anti-Malware.ru |
| Garmin | Производитель фитнес-браслетов и систем навигации самолетов | 2020 | Хакерам удалось на несколько дней парализовать работу систем производителя | Требование от компании $10 млн за восстановление работы, выкуп был заплачен | Источник: Lenta.ru |
| LG | Южнокорейская компания, производитель потребительской электроники и бытовой техники | 2020 | Неизвестно | Хакерам далось похитить свыше 40 Гбайт данных, включая исходные коды на Python, связанные с крупнейшими компаниями США. Участники Maze готовы обнародовать все файлы на своем сайте, если компания не выплатит им выкуп | Источник: «Хакер» |
| Canon | Занимается оптико-механическим и электронным производством устройств для фиксации, обработки и печати изображений, медицинского диагностического оборудования | 2020 | Неизвестно | По словам хакеров, более 10 ТБ данных, включая приватные базы данных, было похищено у компании | Источник: SecurityLab.ru |
| Hoa Sen Group | Крупнейший производитель стальных листов во Вьетнаме | 2020 | Maze, вымогательство | В ходе атаки были похищены персональные данные сотрудников, внутренняя переписка и другая конфиденциальная информация. В сеть выложено 1,64 ГБ файлов, что составляет 5% от общего объема украденных данных | Источник: TechNadu |
| Enel Group | Итальянская энергетическая компания, представленная в 40 странах мира и занимающейся производством и распределением электроэнергии и газа | 2020 | Неизвестно | Было похищено около 5 ТБ данных, и требовалась сума выкупа в размере $14 млн | Источник: «Хакер» |
| Whirlpool | Производитель бытовой техники | 2020 | Неизвестно | Группировка Nefilim опубликовала похищенные у Whirlpool файлы, включая документы сотрудников, связанные с выплатами, запросами на трудоустройство, медицинской информацией, проверками биографических данных и пр. | Источник: SecurityLab.ru |
| Light S.A | Бразильская электроэнергетическая компания | 2020 | Атака ПО Sodinokibi (revil) | Операторы вымогательского ПО Sodinokibi (revil) требовали выкуп в размере $14 млн | Источник: SecurityLab.ru |
| Embraer | Бразильская компания - производитель самолетов | 2020 | Embraer отказалась вести переговоры и решила самостоятельно восстановить системы из резервных копий, не заплатив выкуп | Файлы Embraer были размещены на web-сайте в даркнете, которым управляет киберпреступная группировка RansomEXX. Опубликованные данные включали сведения о сотрудниках, деловые контракты, фотографии симуляций полетов и исходный код | Источник: SecurityLab.ru |
| Colonial Pipeline | Оператор крупнейшего трубопровода в США | 2020 | Атака остановила работу всех трубопроводов системы на несколько дней | Атака привела к прекращению работы почти половины заправок в некоторых штатах юго-востока США. В 17 штатах и в столице был введен режим ЧС. Colonial Pipeline выплатил взломавшей его системы группировке хакеров DarkSide около $5 млн в качестве выкупа | Источник: 3DNews |
| Foxconn | Тайваньский производитель электроники | 2020 | Неизвестно | Хакерская группировка DoppelPaymer потребовала у компании $34,7 млн в биткойнах за доступ к заблокированным серверам и резервным копиям. Операторы DoppelPaymer опубликовали на своем сайте файлы, принадлежащие Foxconn NA. Эта утечка включает лишь бизнес-документацию и отчеты и не содержит какой-либо финансовой информации или личных данных сотрудников | Источник: «Хакер» |
| Compal | Производитель электроники | 2020 | Неизвестно | Шифровальщик затронул около 30% компьютерной сети Compal. Хакеры потребовали у компании $17 млн выкупа | Источник: TAdviser |
| Brown-Forman | Пищевая промышленность | 2020 | Неизвестно | Хакерам удалось похитить 1 ТБ корпоративных данных. Хакеры также опубликовали скриншоты записей резервных копий базы данных за июль 2020 года. Revil запросила выкуп, сумма которого не разглашается | Источник: TAdviser |
| «Эль-Гури» | Крупнейшая ГЭС в Венесуэле | 2019 | Неизвестно | Масштабные проблемы с электроснабжением в 23 из 24 штатов. В результате по меньшей мере 17 человек погибли, а местные предприниматели потеряли около $400 млн | Источник: TAdviser |
| ASCO | Один из крупнейших в мире поставщиков запчастей для авиационной техники | 2019 | Неизвестно | Компания прекратила на некоторое время производство на заводах в четырех странах из-за вируса-вымогателя, появившегося на производственной площадке в Завентеме, Бельгия. Атака вируса привела к убыткам на сумму около $40 млн | Источник: TAdviser |
| Norsk Hydro | Один из крупнейших мировых производителей алюминия | 2019 | Неизвестно | Сбой в работе производственных объектов. Спустя неделю после кибератаки ущерб составил около $35-41 млн | Источник: TAdviser |
| Энергетика | 2017 | Вирус-стиратель notpetya атаковал компании по всему миру | В США потери от кибератаки с помощью вируса-стирателя оценили в $10 млрд | Источник: Газета.ru |
| - | 2017 | В результате атаки вымогателя Wannacry пострадали более 230 000 компьютеров по всему миру | Убытки в глобальном масштабе оцениваются в $4 млрд | Источник: Kaspersky |