Более 40% интернет-доступных систем АСУ ТП может взломать хакер-любитель. Отчет компании Positive Technologies

Эксперты компании Positive Technologies провели исследование уязвимостей АСУ ТП (ICS/SCADA), обнаруженных в период с 2005 года по 1 октября 2012 года.

Эксперты компании Positive Technologies провели исследование безопасности систем АСУ ТП (ICS/SCADA). Сегодня трудно найти область, где бы не использовались такие системы: это скоростные поезда «Сапсан» и составы метрополитена, нефте- и газопроводы, атомные и гидроэлектростанции, сети распределения электроэнергии и водоснабжения. Нетрудно себе представить, к чему может привести сбой в работе подобных объектов в результате хакерской атаки. И количество таких угроз постоянно растет.

Предметом исследования стали уязвимости АСУ ТП (ICS/SCADA), обнаруженные в период с 2005 года по 1 октября 2012 года. Был выполнен анализ российского рынка компонентов АСУ ТП, а также тестирование интернет-доступности и защищенности подобных систем, расположенных в разных странах и регионах.

Стремительный рост числа новых уязвимостей — угроза всему миру

Как следует из результатов исследования, в период с 2005-го до начала 2010 года было обнаружено всего 9 уязвимостей в системах АСУ ТП, в то время как после появления червя Stuxnet за 2011 год было найдено уже 64 уязвимости. За первые восемь месяцев 2012 года появились сообщения о 98 новых уязвимостях: это больше, чем за все предыдущие годы. При этом около 65% уязвимостей относятся к высокой и критической степени риска. Этот показатель значительно превышает аналогичный показатель в прочих IТ-системах, что свидетельствует о низком уровне развития информационной безопасности систем АСУ ТП.

Наибольший интерес для злоумышленников могут представлять такие составляющие АСУ ТП, как системы SCADA и человеко-машинного интерфейса (HMI), в которых обнаружено 87 и 49 уязвимостей соответственно. В программируемых логических контроллерах различных производителей за отчетный период найдены 20 уязвимостей.

Множество инструментов для атаки: кибероружие в руках школьника

Информация об уязвимости или готовое средство для использования уязвимости (эксплойт) — значительно повышают вероятность успешной атаки. В период с 2011 года по сентябрь 2012 года было опубликовано 50 эксплойтов: это в шесть раз больше, чем за период с 2005 по 2010 год.

В настоящий момент 35% всех представленных уязвимостей АСУ ТП имеют эксплойты, которые свободно распространяются в виде отдельных утилит, входят в состав программных пакетов для проведения тестов на проникновение либо описаны в уведомлениях об уязвимости.

По оценкам экспертов Positive Technologies, количество доступных эксплойтов для АСУ ТП в разы превышает аналогичный показатель для других IТ-систем.

Удаленная атака: остановить завод, сидя на диване

Как минимум 42% доступных через Интернет систем АСУ ТП содержат уязвимости, которыми без труда может воспользоваться злоумышленник. Доля систем, безопасность которых была достоверно подтверждена в ходе исследования, составляет всего лишь 17%.

США и Европа лидируют по числу доступных из интернета систем АСУ ТП, при этом 54% доступных извне SCADA систем в Старом Свете и 39% в США — уязвимы и могут быть взломаны. На третьей позиции Азия (32%). В России уязвима ровно половина интернет-доступных систем АСУ ТП.

Большинство проблем безопасности доступных из Интернета систем АСУ ТП связаны с ошибками конфигурации (например, со стандартными паролями) и отсутствием обновлений.

Внимание производителей АСУ ТП к проблемам ИБ

Большинство недостатков безопасности оперативно ликвидируются производителями компонентов АСУ ТП — еще до того, как сведения о них становятся широко известны, или в течение 30 дней после нескоординированного разглашения информации. Однако примерно каждая пятая уязвимость «закрывалась» с серьезной задержкой, а в некоторых случаях так и не была устранена. Например, Siemens устранил и выпустил обновления для 92% уязвимостей, тогда как Schneider Electric ликвидировал только чуть больше половины (56%).

Российский рынок компонентов АСУ ТП

Согласно полученным данным, наиболее востребованными на российском рынке являются компоненты АСУ ТП компании Siemens. Самые распространенные технологии для передачи данных — Modbus (RTU и TCP/IP) и Profibus/Profinet, имеющие доли примерно по 33%, а далее следует OPC с 25%.

В сегменте программируемых логических контроллеров чаще всего требуются специалисты по решениям Siemens (31%). Далее следуют продукты Schneider Electric (11%), ABB (9%), Allen-Bradley (7%) и Emerson (5%). Среди используемых с АСУ ТП операционных систем с большим отрывом лидирует Microsoft Windows.

«Безопасность АСУ ТП окружена большим количеством мифов. Мнения об общем уровне защиты промышленных систем высказываются самые разные: кто-то говорит о полной беззащитности SCADA, другие утверждают, что нет необходимости в какой-либо защите, поскольку взломать их невозможно. Мы надеемся, что наше исследование позволит оценить реальные риски, связанные с безопасностью систем АСУ ТП, и сформировать план обеспечения безопасности критически важных объектов», — прокомментировал результаты исследования Сергей Гордейчик, технический директор Positive Technologies.