Три четверти, или 72%, уязвимостей, найденных в программном обеспечении, которое используется в промышленности, могут парализовать работу предприятия, следует из отчета компании «Ростелеком-Солар».

Речь идет об уязвимостях, которые относятся к высокому или критическому уровню опасности. Такие «ошибки» могут дать злоумышленнику контроль над технологическими процессами, пояснил руководитель направления кибербезопасности автоматизированных систем управления технологическим процессом компании «Ростелеком» Владимир Карантаев. «Итогом могут стать, например, вред жизни и здоровью людей, остановка производства или снижение качества продукции (финансовые риски), потеря коммерческой тайны (например, рецептуры препаратов)», — сказал он.

Эксперты анализировали софт и устройства, которые используются в промышленном интернете вещей, автоматизированных системах управления производством, роботизированных системах и др. Большая часть проанализированного программного обеспечения и оборудования используется в электроэнергетическом секторе, а также в нефтегазовой и химической промышленности.
Основные выводы отчета — в материале «РБК Pro».

Топ-3 уязвимостей

Самая распространенная уязвимость (выявлена в 28% случаев) связана с управлением доступом: в большинстве исследованных решений были обнаружены проблемы с аутентификацией и авторизацией пользователя, следует из отчета. В некоторых случаях эти ошибки позволяют полностью обойти требования идентификации и попасть в промышленную систему практически любому пользователю.

Еще 22% уязвимостей связаны с разглашением информации, в том числе критической. Доступ к ней стал возможен из-за того, что учетные данные хранились в открытом виде. Эта ошибка позволяет злоумышленнику получить информацию об устройстве и его конфигурации, благодаря чему можно найти слабые места в защите оборудования.

Замыкают тройку уязвимости, позволяющие внедрить вредоносный код в веб-страницу, которую открывает пользователь системы (XSS-инъекции). В случае успешной атаки в зависимости от типа инъекции злоумышленник может получить различные преимущества — от доступа к конфиденциальной информации до полного контроля над системой.

Криптография с ошибками

Отдельно авторы исследования указывают на проблему реализации криптографических методов защиты. По данным экспертов, слабая защита присутствовала в трех четвертях исследованных устройств и ПО, то есть практически везде, где применялась криптография для защиты данных. «Производители используют устаревшие криптографические алгоритмы и примитивные шифры, которые вскрываются за несколько секунд», — отмечается в отчете.

Кроме того, довольно часто встречается уязвимость, которая позволяет извлечь криптографический ключ из ПО, что полностью нивелирует само наличие криптографической защиты.

Причины ошибок

Обеспечить безопасность промышленных систем действительно крайне сложно, считает ведущий аналитик Российской ассоциации электронных коммуникаций (РАЭК) Карен Казарян. «Это очень специфическая отрасль. Ошибки и угрозы возникают постоянно на фоне быстрого изменения технологий и сложности написания ПО. Но исправить эти ошибки не всегда возможно по ряду причин», — отметил он.
По словам Казаряна, часто необходимое обновление программного кода невозможно по архитектурным причинам. Например, на устройства класса промышленного интернета вещей (IIoT) трудно установить сложное ПО из-за ограничения памяти или практически невозможно обновить софт, который управляет турбиной на подстанции, так как это может потребовать временной остановки оборудования. Кроме того, производители устройств пытаются минимизировать издержки, а это означает ограниченный цикл поддержки и недостаточное внимание к исправлению найденных ошибок — им проще заменить все устройство, чем вносить какие-то точечные изменения.

Консультант по информационной безопасности Cisco Systems Алексей Лукацкий называет две причины того, что промышленные системы обновляются гораздо реже, чем корпоративные. «Во-первых, потребители не так активно устраняют эти уязвимости, потому что нет гарантии, что после установки обновления система будет продолжать работать так же, как и до этого, а бесперебойность процесса всегда находится на первом месте. Во-вторых, оборудование, которое применяется на многих объектах, создавалось еще в те времена, когда разработчики не уделяли должного внимания вопросам безопасного программирования и выпускали достаточно уязвимые продукты. Вывести из эксплуатации это оборудование нельзя, так как его срок жизни может исчисляться десятилетиями», — указал эксперт.

При этом для многих промышленных организаций риски со стороны хакеров не столь очевидны, как угроза нарушения процессов в результате обновления сложного оборудования, подчеркнул Лукацкий. «Наличие уязвимости совсем не означает, что хакеры обязательно ею воспользуются. При этом важно понимать, насколько та или иная уязвимость критична непосредственно для владельца конкретной инфраструктуры», — уверен он.

Источник: РБК