ما انتظار تغییرات سریع در چشمانداز تهدیدات سایبری صنعتی همچون تهدیدات ICS و OT را در سال ۲۰۲۴ نخواهیم داشت. بسیاری از روندهای شرح داده شده در این مقاله که به استناد از اطلاعات منتشر شده از سوی کسپرسکی میباشد، پیشتر و برخی از آنها به مدت چندین سال مشاهده شدهاند. با این حال، برخی از آنها میتوانند منجر به تغییرات بحرانی شوند و چشم انداز تهدید را در سال جدید به چالش بکشند.
باج افزار
- باج افزارها، به عنوان اصلیترین تهدید سایبری برای شرکتهای صنعتی در سال ۲۰۲۴ باقی خواهند ماند. حملات باجافزاری در سال ۲۰۲۳، جایگاه خود را در صدر رتبهبندی تهدیدات امنیت اطلاعات برای شرکتهای صنعتی تثبیت کردند. همانطور که از بیانیههای رسمی سازمانهای متاثر از رخدادهای سایبری در نیمه اول ۲۰۲۳ مشاهده میشود، حداقل یک حمله از هر شش باج افزار باعث توقف در مرحله تولید یا تحویل محصول شده است. در برخی موارد خسارات این حملات، صدها میلیون دلار برآورد شده است. در حال حاضر، به نظر میرسد هیچ دلیلی وجود ندارد که احتمال دهیم این تهدید در آینده نزدیک کاهش خواهد یافت.
- حملات باج افزاری به سازمانهای بزرگ، تامین کنندگان محصولات منحصر به فرد (تجهیزات، مواد)، یا شرکتهای بزرگ لجستیکی و حمل و نقل میتواند عواقب اقتصادی و اجتماعی شدیدی به دنبال داشته باشند.
طبق شواهد، کمتر از ۱۸ درصد از حملات باجافزارها به شرکتهای صنعتی منجر به اختلال در تولید و/یا تحویل محصول میشود. علاوه بر این، مجرمان سایبری به وضوح در انتخاب قربانیان خود “بازارهای بالا و پرمخاطب” را هدف قرار داده و ترجیح میدهند سازمانهای بزرگی را هدف قرار دهند که قادر به پرداخت باج قابل توجه هستند.
این، وضعیتی را ایجاد میکند که در آن، پیامد حملات مهاجمان به زیرساخت شرایطی را ایجاد خواهد کرد که فراتر از آن چیزی است که تصور میکردند، مانند حمله سایبری به خط لوله کولونیال و یا حمله اخیر به DP World، پایانه بینالمللی کانتینری مستقر در دبی و اپراتور زنجیره تامین که کار در بنادر ملبورن، سیدنی، بریزبن و فریمانتل را متوقف کرد و مانع از تحویل حدود ۳۰,۰۰۰ کانتینر گردید.
- بازار باج افزارها به سمت اوج پیش میرود که ممکن است با افت یا رکود همراه باشد. بعید به نظر میرسد، قربانیان احتمالی به این زودیها از حملات مصون بمانند. با این حال، آنها میتوانند بیاموزند که تأثیر حملات و سوء قصدها را به طور مؤثرتری کاهش دهند (به عنوان مثال، از طریق ایمن سازی بهتر دادههای محرمانه، پشتیبان گیری مناسب و طرحهای پاسخ به رخداد).
اگر این رویکرد، منجر به پرداخت کمتر باج توسط قربانیان شود، آنگاه مجرمان سایبری به انواع جدیدی از اهداف و طرحها برای کسب درآمد از حملات روی خواهند آورد. راههای بالقوه توسعه:
۱. حمله به شرکتهای لجستیک و حملونقل ممکن است بجای زیرساختهای فناوری اطلاعات، خود ماشینها (خودروها، کشتیها) را مورد هدف قرار دهد. در نگاه اول، به نظر میرسد تنوع زیاد وسایل نقلیه در ناوگانها مانع اجرای چنین حملهای میشود و تا حد زیادی بر هزینههای توسعه مهاجمان میافزاید. با این حال، این حمله میتواند به جای یک مالک یا اپراتور خاص، چندین وسیله نقلیه از یک نوع خاص را هدف قرار دهد که دارای سیستمهای کنترل داخلی یکسان یا مشابه هستند.
عامل دیگری که حمله را تسهیل میسازد این است که مالکان و اپراتورهای ناوگان، خودروها را به سیستمهای جمع آوری تله متری سفارشی خود مجهز میکنند که اغلب به طور پیش فرض دارای قابلیت کنترل از راه دور هستند (به عنوان مثال برای فلش مجدد از راه دور سیستم عامل یا تغییر مجموعه دادههای جمع آوری شده). سازندگان خودرو و ارائه دهندگان خدمات گاهی اوقات همین کار را انجام میدهند. در نتیجه این بردار حمله، امکان پذیر خواهد شد.
در صورت وقوع چنین حملهای، قربانی نمیتواند به تنهایی عملیات را بدون متحمل شدن هزینه، بازگرداند. بازیابی عملکرد سیستمهای فناوری اطلاعات رمزگذاری شده (مثلاً از بک آپ) بسیار سادهتر از حل کردن یک مشکل فنی ساده است که بر وسایل نقلیه پراکنده در یک منطقه گسترده تأثیر میگذارد (مثلاً حذف بدافزارهایی که از روشن شدن موتور کامیون جلوگیری میکنند یا برق داخل کشتی را قطع میکنند). شرکتها ممکن است نتوانند بهموقع و بدون ضرر مالی غیرقابل قبول، عملیات را به حالت عادی بازگردانند.
۲. همین بُردار حمله به طور یکسان در مورد صاحبان و اپراتورهای تجهیزات تخصصی مختلف که در مکانهای دور از دسترس، مانند معدن یا کشاورزی، کار میکنند، صدق خواهد کرد.
۳. مشکل امنیت سایبری چندین سایت که به سختی در دسترس هستند نیز برای شرکتهای نفت و گاز، شرکتهای خدمات عمومی و به طور کلی، هر سازمانی با زیرساخت OT بسیار توزیع شده مرتبط است. حمله به یک سایت دور از دسترس که امکان بازیابی از راه دور را ندارد (به عنوان مثال، به دلیل مسدود شدن کانال دسترسی از راه دور متداول توسط بدافزار)، پرداخت باج را تضمین میکند.
روشهای غیر متعارف حملات سایبری برای کسب درآمد (به عنوان مثال، از طریق سفتهبازی بازار سهام) به شرکتهای مهم اقتصادی همچون سازمانهای حملونقل و لجستیک بزرگ، شرکتهای بزرگ معدن، تولیدکنندگان و تامینکنندگان مواد (مانند فلزات، آلیاژها یا کامپوزیتها)، محصولات کشاورزی و غذایی، تامین کنندگان محصولات منحصر به فرد/در تقاضا که به سختی میتوان به سرعت کمبود آنها را پوشش داد (مانند ریزتراشهها یا کودها) می تواند به طور قابل توجهی بر قیمت بازار آنها تأثیر بگذارد. علاوه بر پیامدهای مستقیم، ممکن است واکنش های زنجیره ای و عوارض جانبی غیرمستقیم وجود داشته باشد.
هکتیویستها
- هکتیویسم با انگیزه سیاسی در امتداد خطوط گسلهای ژئوپلیتیکی، دندانهای تیزتر و پیامدهای مخربتری خواهد داشت.
حملات هکتیویست ها به راه آهن و پمپ بنزین ایران در سال ۲۰۲۱ را به یاد داریم که گروه هکری طرفدار اسرائیل مسئولیت آن را بر عهده گرفت، زمانی در تیتر خبرها قرار گرفت و ما شاهد موارد بسیار بیشتری در سال گذشته بودیم: حمله سیستم های آبیاری در اسرائیل، حملات به راه حل های Unitronics Vision یکپارچه (PLC با HMI یکپارچه) ساخت اسرائیل که قربانیان خود را در ایالات متحده و ایرلند به دنبال داشت و یک حمله دیگر به پمپ بنزینهای ایران در سال ۲۰۲۳. از تأثیر روابط عمومی که بگذریم، مقیاس واقعی پیامدهای منفی در همه این موارد بسیار کم بود.
گفته میشود، حملات هکتیویستی اخیر توانایی دسترسی به سیستمهای OT را نشان دادهاند. تشدید تنشها ممکن است حملات هکتیویستی با انگیزه سیاسی را به سطح تهدید کاملاً جدیدی برساند.
- علاوه بر جنبشهای اعتراضی در داخل کشورها در مقابل پسزمینه تنشهای اجتماعی فزاینده (ناشی از درگیریهای مذهبی و قومی و بیثباتی اقتصادی فزاینده در بسیاری از مناطق کره زمین)، شاهد رشد فزاینده هکتیویسم اعتراضی جهانسیاسی خواهیم بود.
- افزایش کلی هکتیویسم در سراسر جهان، افراد و گروههای بیشتری را تشویق میکند تا مبارزه خود را برای «هر چیزی»، حتی «فقط برای سرگرمی» آغاز کنند، مشابه حمله به آزمایشگاه ملی آیداهو توسط گروه هکری SiegedSec در سال جاری.
حرکت از منطقه خاکستری به سمت سایهها
استفاده گسترده از “امنیت سایبری تهاجمی” برای جمع آوری اطلاعات تهدیدات سایبری، پیامدهای مثبت و منفی خواهد داشت.
ما از یک سو، شاهد بهبود در وضعیت امنیت شرکتها خواهیم بود، زیرا اطلاعات تهاجمی تهدیدات سایبری از زیرساختهای کنترل شده توسط مهاجم به کاربر نشانههایی از نفوذ بالقوه میدهد تا امنیت سیستم را سریعتر و کارآمدتر بازیابی کند.
از سوی دیگر، توسعه اطلاعات سایبری تهاجمی با تبدیل شدن به هنجار جدید (البته به طور رسمی قانونی نشده، اما با رضایت ضمنی دولت ها اعمال می شود)، نیز پیامدهای منفی برای مرز بین منطقه خاکستری و سایهها که ممکن است بسیار باریک باشد، به همراه خواهد داشت.
به دنبال ایالتها، برخی از شرکتهای تجاری ممکن است تلاش کنند و از کمک ارائهدهندگان خدمات و راهحلهای اطلاعاتی تهاجمی تجاری، از جمله برای اهداف امنیت سایبری، بهرهمند شوند و برخی شرکتهای صنعتی نیز ممکن است در این بازی حضور داشته باشند. این ممکن است به ویژه در مورد اکوسیستم های تکامل یافته مانند ساخت و ساز، معدن و انرژی، و سایر بخشهای صنعتی صدق کند.
این فعالیتهای سایبری «سود محور»، حتی بیشتر از آنچه در کمپینهای APT مشاهده میکنیم مشخص خواهند شد. کمپینها عمدتاً به ابزارهای تجاری و منبع باز مجهز میشوند و در نتیجه، عملیات حتی کمتر از کمپینهای APT شناسایی و بررسی خواهند شد.
تهدیدات مربوط به لجستیک و حمل و نقل
اتوماسیون و دیجیتالی سازی مداوم و سریع لجستیک و حمل و نقل منجر به موارد زیر خواهد شد:
۱. درهم تنیدگی بیشتر جرایم سایبری و سنتی، به ویژه در زمینه های جنایی قدیمی مانند:
- سرقت خودروها، قابل اجرا برای همه خودروهای مدرن، اما به ویژه مربوط به برندهای آسیایی و مورد انتظار برای برندهای خودروهای جدید به دلیل استراتژی سریع و تهاجمی بازار است که معمولاً بلوغ امنیت سایبری را به عنوان یکی از اولین چیزهایی که باید قربانی شود، در اولویت قرار میدهد.
- دزدی دریایی و اختلالات لجستیکی با استفاده از ابزارهای سایبری – به عنوان ادامه منطقی تاکتیک ها و فناوری های حمله شناخته شده، مانند آخرین ضربه زدن به AIS (سیستم های ردیابی خودکار) در دریای سرخ و اقیانوس هند یا حمله به پایانه بندر شهید رجایی ایران در سال ۲۰۲۰.
- سرقت کالا با استفاده از وسایل سایبری.
- قاچاق با ابزارهای سایبری – به عنوان توسعه تاکتیک های مورد استفاده در پرونده بدنام “Ocean’s Thirteen” در بندر آنتورپ.
- سایر تقلبهای لجستیک و حملونقل برای مثال، دریافت پول در رابطه با مطالبات بیمهای/ جریمههای ابطال، و بسیاری از طرحهای دیگر، که پیشبینی برخی از آنها دشوار است، مانند درهمخوردن با DRM به عنوان وسیلهای برای رقابت ناعادلانه که اخیراً در لهستان دیدیم.
۲. افزایش احتمال عواقب فیزیکی حملات غیر هدفمند. در حال حاضر موارد شناخته شده ای از آلوده شدن وسایل نقلیه از انواع مختلف به بدافزار وجود دارد. اگر به آینده نزدیک نگاه کنیم، به دلیل پذیرش سیستمعاملهای «سنتی» مانند اندروید و لینوکس در حملونقل، ادغام گسترده اجزای استاندارد فناوری اطلاعات و پروتکلهای ارتباطی، و افزایش تعداد موارد استفاده مربوط به اتصال به سرویسهای ابری، به نظر می رسد چنین عفونت هایی در حال افزایش هستند. این احتمال وجود دارد که برخی ممکن است منجر به خرابی سیستمهای نظارت و کنترل حیاتی با عواقب غیرقابل پیشبینی شوند. مهمتر از همه، خطر مربوط به رودخانه، دریا، کامیون و حمل و نقل اضطراری است – امنیت اطلاعات در چنین وسایل نقلیه ای اغلب پایین تر از خودروهای سواری است.