07 декабря 2019
Курсы валют по ЦБ РФ USD 63.7185 EUR 70.7594

Уязвимости в промышленных ИТ-решениях могут остановить производство

19.11.2019 12:07

72% найденных уязвимостей в ПО, которое используется в промышленных ИТ-решениях, могут нарушить работу предприятий. Об этом пишет РБК со ссылкой на отчет "Ростелеком-Солар". Эксперты анализировали софт и устройства, которые используются в промышленном Интернете вещей (IIoT), автоматизированных системах управления производством, роботизированных системах и др. Большая часть проанализированного ПО и оборудования используется в электроэнергетике, а также в нефтегазовом и химическом секторах.

Чаще всего (в 28% случаев) уязвимости связаны с управлением доступом: в большинстве исследованных решений были обнаружены проблемы с аутентификацией и авторизацией. В некоторых случаях эти ошибки позволяют полностью обойти требования идентификации и попасть в промышленную систему практически любому пользователю.

Еще 22% уязвимостей связаны с разглашением информации, в том числе критической. Доступ к ней стал возможен из-за того, что учетные данные хранились в открытом виде. Эта ошибка позволяет злоумышленникам получать информацию об устройствах и их конфигурации, благодаря чему можно найти слабые места в защите оборудования.

Замкнули тройку уязвимости, позволяющие внедрить вредоносный код в веб-страницу, которую открывает пользователь системы (XSS-инъекции). В случае успешной атаки в зависимости от типа инъекции злоумышленник может получить различные козыри - от доступа к конфиденциальной информации до полного контроля над системой.

Также аналитики указали на устаревшие алгоритмы криптографии и примитивные шифры. По данным "Ростелеком-Солар", слабая защита присутствовала в трех четвертях исследованных устройств и ПО. Кроме того, довольно часто встречается уязвимость, которая позволяет извлечь криптографический ключ из ПО, что нивелирует само наличие криптографической защиты.

По словам Карена Казаряна, ведущего аналитика Российской ассоциации электронных коммуникаций, обеспечить безопасность промышленных систем очень сложно. Например, на устройства класса промышленного Интернета вещей трудно установить усовершенствованное ПО из-за ограничения памяти или практически невозможно обновить софт, который управляет турбиной на подстанции, так как это может потребовать временной остановки оборудования.

Алексей Лукацкий, консультант по информационной безопасности Cisco, тоже заметил, что бесперебойность промышленного процесса всегда находится в приоритете. По его словам, во-первых, нет гарантии, что после установки обновления система будет продолжать работать как раньше, во-вторых, оборудование, которое применяется на многих объектах, создавалось в те времена, когда разработчики еще не уделяли должного внимания вопросам безопасности. Вывод из эксплуатации этого оборудования нерационален, так как его срок жизни может исчисляться десятилетиями. При этом для многих промышленных организаций риски со стороны хакеров не столь очевидны, как угроза нарушения процессов в результате обновления сложного оборудования, подчеркнул Лукацкий.



Источник: DailyComm

Обзор HP Device as a Service
Комплексное решение, объединяющее оборудование, информативную аналитику, средства упреждающего управления и услуги управления жизненным циклом устройств, призвано оптимизировать ИТ-активы Заказчиков.