Рынок безопасности АСУ ТП
Каталог АСУ ТП - систем и проектов доступен на TAdviser
Содержание |
2022: Злоумышленники заражают АСУ ТП вредоносным ПО с помощью инструмента для сброса паролей
Злоумышленники заражают АСУ ТП вредоносным ПО с помощью инструмента для сброса паролей. Об этом стало известно 18 июля 2022 года. Подробнее здесь.
2021
120 уязвимостей АСУ ТП передано за 2 года в Банк данных ФСТЭК России
«Ростелеком-Солар» 22 июля 2021 года поделился итогами двух лет сотрудничества с Банком данных угроз безопасности информации ФСТЭК России. Эксперты «Ростелеком-Солар» Илья Карпов, Евгений Дружинин и Константин Кондратьев передали регулятору информацию о 120 обнаруженных уязвимостях программного обеспечения, 115 из которых связаны с компонентами АСУ ТП зарубежных и отечественных вендоров.
Среднее значение показателя «важность» по найденным специалистами «Ростелеком-Солар» уязвимостям составляет 8,88 из 10. Он определяется в соответствии с объектом исследования, то есть типом программного обеспечения. Высокий балл по этому показателю обусловлен тем, что значительная часть обнаруженных уязвимостей относится к встроенному ПО компонентов промышленных систем. Среднее значение критичности уязвимостей, выявленных специалистами «Ростелеком-Солар», которое рассчитывается в соответствии с международной системой оценки уязвимостей CVSS 3.0, составляет 7,67 балла.
Среди уязвимостей, которые наиболее часто выявляют наши исследователи, проблемы, связанные с управлением доступом, – рассказывает Ян Сухих, руководитель отдела кибербезопасности АСУ ТП компании «Ростелеком-Солар». – В ряде случаев это уязвимости, позволяющие повысить пользовательские привилегии, а иногда и полностью обойти механизмы аутентификации и авторизации. Кроме того, мы видим проблемы с реализацией криптографии: ненадежные криптоалгоритмы позволяют злоумышленнику получить контроль над трафиком того или иного устройства. Если мы говорим об оборудовании, которое используется в жизненно важных отраслях, например топливно-энергетическом комплексе, подобные уязвимости могут привести к серьезным авариям. Поэтому для нас очень важно способствовать повышению защищенности российских промышленных предприятий. |
Лаборатория кибербезопасности АСУ ТП компании «Ростелеком-Солар» сотрудничает с зарубежными и отечественными вендорами промышленного оборудования в части выявления и устранения уязвимостей в их решениях. В 2020 году эксперты «Ростелеком-Солар» помогли устранить критические уязвимости в промышленном оборудовании таких крупных международных вендоров, как Schneider Electric и MOXA. После получения информации от исследователей производители элементов промышленных систем выпустили обновления безопасности для своих продуктов.Импортозамещение ПО в России: ключевые поставщики, крупные проекты, оценки и перспективы. Обзор TAdviser
Большой вклад в процесс выявления и устранения уязвимостей вносит и Национальный киберполигон. В рамках киберполигона эксперты «Ростелеком-Солар» также проверяют на защищенность программное обеспечение и компоненты промышленных систем.
Информация об уязвимостях попадает в Банк данных угроз ФСТЭК России после того, как ее подтверждает вендор. После этого она может передаваться в другие базы, например, MITRE.
ФСТЭК отсеяла ИБ-компании на конкурсе по созданию ресурса уязвимостей АСУ ТП. Работу выполнит ее подвед
В марте 2021 года ФСТЭК России выбрала подрядчика для разработки отечественного ресурса с уязвимостями уровня АСУ ТП и промышленного интернета вещей критически важных, потенциально опасных и опасных производственных объектов. С помощью этого ресурса можно будет информировать владельцев вышеуказанных объектов об уязвимостях.
Победителем стала подведомственная ФСТЭК организация – Государственный научно-исследовательский испытательный институт проблем технической защиты информации (ГНИИИ ПТЗИ ФСТЭК России). По совокупной оценке разных факторов она набрала максимальный общий балл из всех поданных заявок. Максимальная цена закупки, объявленной в феврале, составляла 300 млн рублей[1]. ГНИИИ ПТЗИ выполнит работы за сумму чуть ниже – на 33,5 тыс. рублей меньше максимальной.
Помимо ГНИИИ ПТЗИ к участию в тендере были допущены еще семь организаций: Positive Technologies, «Ростелеком», НИИ «Рубин», «Уральский центр систем безопасности», «Высокие технологии и стратегические системы», «Телеком интеграция» и «Необит». А на финишную прямую вышли пять: НИИ «Рубин», «Высокие технологии и стратегические системы» и «Необит» сошли с дистанции. Наименьшую цену контракта – 215 млн рублей – из оставшихся участников предлагал «Ростелеком».
В техническом задании к тендеру указано, что целями создания ресурса являются снижение социальных и экономических последствий от компьютерных атак на критическую информационную инфраструктуру за счет своевременного выявления уязвимостей АСУ ТП, совершенствование систем защиты информации АСУ ТП и промышленного интернета вещей критически важных, потенциально опасных и опасных производственных объектов.
Еще одна цель – повышение квалификации специалистов, занимающихся вопросами контроля за уровнем защищенности АСУ ТП и промышленного интернета вещей указанных объектов.
Начало работы по проекту запланировано на апрель 2021 года, а ее окончание – на декабрь 2023 года, говорится в техзадании.
Надо сказать, что с 2015 года действует банк данных угроз безопасности информации ФСТЭК, в котором собирается информация, в том числе, об угрозах АСУ ТП. Он ориентирован, в первую очередь, на информационные системы в госсекторе и ОПК. По данным на 23 февраля, в этом банке содержится информация о более 31,2 тыс. уязвимостей и 222 угрозах.
Из тендерной документации по созданию нового ресурса следует, что это работа в рамках федерального проекта «Информационная безопасность» нацпрограммы «Цифровая экономика». Президент InfoWatch, руководитель рабочей группы по информационной безопасности в рамках нацпрограммы «Цифровая экономика» Наталья Касперская ранее высказывала озабоченность отсутствием необходимых сведений об уязвимостях в АСУ ТП и в технологиях интернета вещей, которые широко используются не только организациями ОПК, но и в других отраслях.
А в декабре 2020 года Касперская приводила данные, что в первом полугодии во всем мире выявлено 365 уязвимостей в области АСУ ТП – на 10% больше, чем за аналогичный период 2019 года. Значительная часть этих уязвимостей имеет удаленное управление. Под уязвимостями тут подразумеваются особенности ПО: это могут быть ошибки или специально заложенные разработчиком «закладки»[2].
По информации TAdviser, именно рабочая группа, возглавляемая Натальей Касперской, сформулировала задачу создания отдельного ресурса об угрозах АСУ ТП. И, учитывая, что у ФСТЭК уже есть опыт по организации банка данных угроз, и что это ее профильное направление деятельности, ведомство взяло на себя организацию работы по созданию ресурса. Он будет предназначен для широкого круга пользователей.
Но сам ресурс в данном случае – это вершина айсберга, это только то, что видит конечный пользователь. Для того чтобы он сформировался и пополнялся на ежедневной основе, необходимы аппаратно-программные комплексы поиска информации об уязвимостях в различных источниках, формирование коллектива специалистов, постоянно занимающиеся этим вопросом. Также необходимы стенды, на которых найденные уязвимости будут тестироваться и проверяться.
Что касается информирования владельцев критически важных, потенциально опасных и опасных производственных объектов о найденных уязвимостях АСУ ТП и промышленного интернета вещей, то, в частности, в уже существующем банке угроз ФСТЭК есть функция подписки на соответствующие рассылки и новости. Кроме того, все отечественные средства контроля анализа защищенности ориентированы на этот источник уязвимостей и позволяют в автоматическом режиме объявлять уязвимость в конкретной системе и автоматически оповещать владельца системы.
Помимо ресурса с уязвимостями уровня АСУ ТП и промышленного интернета вещей ФСТЭК в феврале 2021 года объявила еще один крупный тендер – на создание центра исследований безопасности ОС, созданных на базе ядра Linux. Как и в случае с ресурсом уязвимостей, начальная цена этой закупки также составляет ровно 300 млн рублей.
2020
Эксперты обнаружили более 43 тыс. незащищенных SCADA-систем по всему миру
Количество IoT-устройств и SCADA-систем, подключенных к Сети без соответствующих мер безопасности, продолжает увеличиваться, что делает критически важные устройства уязвимыми к потенциальным атакам и попыткам взлома. Исследователи A&O IT Group сообщили, что несмотря на ряд громких атак на SCADA-системы, большинство устройств и протоколов не имеют надежной защиты[3].
Увеличение количества незащищенных устройств, как полагают эксперты, может быть следствием предоставления доступа к системам удаленным сотрудникам из-за пандемии коронавирусной инфекции (COVID-19). По результатам поисковых запросов Shodan было выявлено 43 546 незащищенных устройств: Tridium (15 706), BACnet (12 648), Ethernet IP (7 237), Modbus (5 958), S7 (1 480) и DNP (517).
Как выявили специалисты, больше всего уязвимых устройств находятся в США — 25 523. Из шести проанализированных групп, на территории США меньше всего было обнаружено устройств S7, однако многие из них являются ханипотами Conpot, что указывает на более высокий уровень бдительности местных ИБ-экспертов. Другие страны, возглавляющие список по количеству незащищенных устройств, включают Канаду, а также Испанию, Германию, Францию и Великобританию.
«Критически важная инфраструктура работает в устаревших сетях, которые раньше были изолированы от IT-сети. Растет спрос на подключение и возможность удаленной работы, в результате чего подключаются устаревшие сети, которым часто более 25 лет. В результате инфраструктура, управляющая глобальными операциями, уязвима и содержит ряд проблем в области кибербезопасности», — пояснили исследователи. |
Более 70% уязвимостей в АСУ ТП могут быть проэксплуатированы удаленно
Более 70% уязвимостей в АСУ ТП, обнаруженных в первой половине 2020 года, можно использовать удаленно. Исследовательская группа из компании Claroty представила отчет, который включает[4] оценку 365 уязвимостей в АСУ ТП, опубликованных в Национальной базе данных по уязвимостям (NVD), и 139 сообщений, выпущенных командой экстренного реагирования на киберугрозы промышленных систем управления (ICS-CERT), которые затрагивали 53 поставщика АСУ ТП[5].
По сравнению с первым полугодием 2019 года количество уязвимостей в АСУ ТП увеличилось на 10,3%, в то время как количество сообщений ICS-CERT увеличилось на 32,4%. Более 75% уязвимостей были оценены как опасные (53,15%) или критические (22,47%) по шкале CVSS.
Как отметили эксперты, более 70% уязвимостей, опубликованных NVD, можно эксплуатировать удаленно. Кроме того, наиболее частым потенциальным воздействием было удаленное выполнение кода, возможное путем эксплуатации 49% уязвимостей, за которым следует чтение данных приложений (41%), вызов отказа в обслуживании (39%) и обход механизмов защиты (37%).
Энергетическая сфера, критическое производство и инфраструктуры водоснабжения в наибольшей степени пострадали от уязвимостей, обнаруженных в первом полугодии 2020 года. Из 385 уникальных уязвимостей, занесенных в базу данных Common Vulnerabilities and Exposures, в энергетическом секторе было обнаружено 236 проблем, в критически важных производственных предприятиях — 197, а в системах водоснабжения — 171.
Многие точки доступа к АСУ ТП в США уязвимы ко взлому
Несмотря на растущие инвестиции в безопасность критической инфраструктуры, многие панели АСУ ТП, используемые государственными и частными предприятиями в США, не защищены и легко могут быть взломаны киберпреступниками. Как сообщила исследовательская команда ресурса CyberNews, автоматизированные системы управления технологическим процессом находятся в открытом доступе, и к ним легко может получить доступ любой злоумышленник[6].
Сканируя блоки IP-адресов в США на наличие открытых портов, эксперты обнаружили ряд незащищенных и доступных АСУ ТП. Многие точки доступа к АСУ ТП в США, особенно в водном и энергетическом секторах, уязвимы к атакам. С помощью поисковых систем, предназначенных для сканирования открытых портов, хакеры могут удаленно контролировать критически важную частную и государственную инфраструктуру США. Доступ к этим системам может получить кто угодно без каких-либо паролей.
Эксперты смогли получить доступ к открытой АСУ ТП береговой нефтяной скважины с возможностью контролировать несколько нефтяных резервуаров и нанести ущерб энергоснабжению США путем подавления сигналов тревоги, открытия и закрытия разгрузочных вентилей, изменения конфигураций и пр.
Незащищенные системы контроля морских нефтяных скважин также могли предоставить доступ к пяти объектам. Это невероятно опасно, поскольку морские нефтяные вышки особенно уязвимы к атакам из-за «перехода на беспилотные роботизированные платформы, где жизненно важные операции контролируются через беспроводные соединения с береговыми объектами».
Исследователи также обнаружили незащищенную систему водоснабжения общего пользования, позволявшая отключить водоснабжение для более чем 600 человек.
Доступ к нескольким водоочистным сооружениям мог получить кто-угодно, что позволяло вмешаться в очистительные процессы и потенциально сделать питьевую воду небезопасной к потреблению для более чем 7 тыс. человек.
В еще одном случае уязвимая панель управления позволила экспертам перехватить ручное управление канализационной насосной станцией в городе с населением более 18 тыс. жителей и потенциально повредить канализационную систему всего города, отрегулировав скорости потока сточных вод или полностью отключив систему.
Специалисты сообщили о своих находках CISA, CERT, а также государственными и частным владельцам, и доступ к данным системам был отключен[7].
Рынок безопасности АСУ ТП к 2026 году достигнет $12 млрд
К 2026 году объем рынка решений для обеспечения безопасности автоматизированных систем управления технологическими процессами (АСУ ТП) возрастет с текущих более чем $2 млрд до $12 млрд, прогнозируют влетом 2020 года специалисты Global Market Insights[8][9].
Распространение подключенных устройств и увеличение количества кибератак ускоряет глобальный рост рынка решений для обеспечения безопасности АСУ ТП. Решения безопасности для АСУ ТП в основном включают программные и аппаратные компоненты, которые используются для автоматизации и управления промышленными процедурами, такими как системы управления распределением и диспетчерский контроль.
Как правило, в случае кибератаки компания несет значительные финансовые потери. За прошедшие годы участились случаи кибератак на важнейшие производственные инфраструктуры. Решения безопасности для АСУ ТП помогают снизить подобные риски и обеспечивают безопасность данных и информации, отображаемой на экранах и на приборных панелях.
Растущая потребность в защите конечных сетевых устройств, таких как смартфоны, ноутбуки и ПК, от киберугроз существенно увеличивает рост сегмента безопасности АСУ ТП. Применение безопасности конечных точек выгодно, поскольку предлагает зашифрованную структуру для защиты сетевой инфраструктуры от утечек данных и других атак, которые могут привести к сбоям в работе сети.
Согласно прогнозам экспертов, на рынке решений для обеспечения безопасности АСУ ТП в Северной Америке доля отрасли составит более 30%, что обусловлено ростом финансирования и кибератаками в нефтегазовом секторе США, способствуя повышению спроса на решения в области безопасности АСУ ТП.
В сегменте систем идентификации и управления доступом (Identity and Access Management, IAM) в Великобритании эксперты прогнозируют 30%-й рост объема рынка решений для обеспечения безопасности АСУ ТП, в том числе за счет распространения концепции Bring Your Own Devices (BYOD), в рамках которой сотрудникам разрешено пользоваться личными устройствами для доступа к корпоративным системам.
Ожидается, что к 2026 году в США сегмент сетевой безопасности займет 20% рынка благодаря растущему спросу на средства защиты целостности и удобства использования данных и сетей, соединяющих различные промышленные приложения. Прогнозируется, что в Китае к 2026 году сегмент управляемых услуг на рынке решений для обеспечения безопасности АСУ ТП составит 20%, а сегмент критических промышленных систем в Мексике возрастет на 26% за счет стремительного внедрения "умных" решений, сенсорных технологий, IoT-стратегий и аналитики в производственных компаниях для повышения эффективности бизнеса.
2019: «Ростелеком» назвал основные киберриски для промышленности
19 ноября 2019 года компания «Ростелеком Солар» опубликовала результаты исследования, в котором назвала основные киберриски для промышленности.
Экспертами были проанализированы устройства и программное обеспечение, которые используются в промышленном интернете вещей, автоматизированных системах управления производством, роботизированных системах и др. Большая часть проанализированного софта и оборудования используется в электроэнергетическом секторе, а также в нефтегазовой и химической промышленности.
Как сообщает РБК со ссылкой на этой доклад, 72% уязвимостей, найденных в софте промышленных предприятий, могут дать злоумышленнику контроль над технологическими процессами и парализовать работу компаний. Это может привести к причинению вреда жизни и здоровью людей, остановке производства или снижение качества продукции, а также к потере коммерческой тайны.
По данным специалистов, самая распространенная брешь (28% случаев) была выявлена в системах аутентификации и авторизации пользователя — они позволяли полностью обойти требования идентификации и попасть в промышленную систему практически любому пользователю.
Еще 22% уязвимостей связаны с тем, что учетные данные хранились в открытом виде: это приводит к тому, что злоумышленник может получить информацию об устройстве и его конфигурации и найти слабые места в защите оборудования.
Кроме того, эксперты компании «Ростелеком-Солар» указали на уязвимости, позволяющие внедрить вредоносный код в веб-страницу, которую открывает пользователь системы (XSS-инъекции). В случае успешной атаки в зависимости от типа инъекции злоумышленник может получить различные преимущества — от доступа к конфиденциальной информации до полного контроля над системой. [10]
2018
Исследование "Лаборатории Касперского"
Исследователи из «Лаборатории Касперского» опубликовали летом 2018 года отчет о кибербезопасности систем промышленной автоматизации в 2018 году, в ходе которого были опрошены 320 руководителей на предприятиях с правом принятия решений по вопросам безопасности АСУ ТП со всего мира[11].
Как следует из доклада, более трех четвертей опрошенных руководителей промышленных предприятий считают, что безопасность АСУ ТП является серьезной проблемой, а кибератаки - весьма вероятным событием. При этом лишь 23% компаний хотя бы в минимальном объеме соблюдают государственные или отраслевые нормативы и рекомендации, относящиеся к кибербезопасности АСУ ТП.
По словам специалистов, 35% российских компаний не боятся стать жертвой кибератак, однако 13% фирм отмечают высокий риск хакерской атаки. Компании с Ближнего Востока встревожены куда сильнее: 63% из них считают, что с высокой долей вероятности могут стать жертвами кибератак.
Кроме того, исследователи заявили о критической нехватке специалистов в сфере защиты АСУ ТП от киберугроз.
«58% опрошенных компаний считают одной из первостепенных проблем наем опытных специалистов по кибербезопасности промышленных систем. Эта проблема имеет международный характер», - отметили эксперты.
Об отсутствии киберинцидентов за последние 12 месяцев заявил 51% респондентов. По сравнению с 2017 годом количество таких организаций несколько выросло, в минувшем году оно составляло 46%.
«На этом основании можно предположить, что меры по обеспечению кибербезопасности АСУ ТП, принятые в течение последнего года, дали значительные результаты», - подчеркнули специалисты.
2017
Исследование Dragos
Исследователи безопасности из компании Dragos опубликовали в конце 2017 года отчет об уязвимостях в автоматизированных системах управления технологическими процессами (АСУ ТП)[12]. Согласно докладу, в 2017 году было опубликовано 163 рекомендации с описанием различных уязвимостей, затрагивающих АСУ. 63% данных уязвимостей позволяли злоумышленникам вызвать сбои в работе целевой системы. При этом, только 15% проблем могут быть проэксплуатированы для получения непосредственного доступа к сети[13].
По словам исследователей, одной из основных проблем являются трудности, с которыми сталкиваются организации при исправлении уязвимостей в АСУ ТП. Определенные особенности данных систем часто приводят к задержкам при установке исправлений – иногда на неопределенный срок. Как считают исследователи, организациям необходимо работать более интенсивно, чтобы разрабатывать более совершенные тестовые системы, на которых можно будет надежно проверять патчи.
«Инженеры получат от этого выгоду, поскольку смогут протестировать новые настройки, сократив тем самым время на техническое обслуживание. Система тестирования может действительно повысить прибыль во многих отношениях, это не просто расточительство», - отметили эксперты.
Однако, организации также нуждаются в более эффективной поддержке от поставщиков и сообщества исследователей безопасности. Общедоступные отчеты об уязвимостях предоставляют недостаточно информации об альтернативных способах снижения риска, помимо применения исправлений или изолирования систем, считают специалисты. При этом, в 12% случаев отчеты вообще не содержали информации по устранению проблемы.
Помимо этого, пользователям АСУ надо иметь в виду, что даже установленные исправления не устраняют риски полностью. По имеющимся данным, в 2017 году 64% уязвимостей, затрагивающих АСУ, были обнаружены в компонентах, которые изначально являлись небезопасными.
5 киберпреступных группировок
Согласно отчету, существует по меньшей мере 5 киберпреступных группировок, проявляющих усиленный интерес к АСУ ТП, либо осуществлявших непосредственные атаки на системы данного типа.
В частности, исследователи выделили группировку Electrum, использовавшую вредоносное ПО Crashoverride и Industroyer для атак на компьютерные сети компании «Укрэнерго» в декабре 2016 года. Как полагают эксперты, Electrum может быть связана с хакерской группировкой Black Energy (также известная как TeleBots и Sandworm Team), подозреваемой в причастности к атакам шифровальщика NotPetya и атакам на энергетические системы Украины в 2015 году. Согласно докладу, Electrum расширила список своих целей и вскоре может совершить новую кибератаку.
Вторая заинтересовавшая исследователей группа известна под названием Covellite. О данной группировке, предположительно связанной с северокорейским правительством, стало известно после масштабной фишинговой кампании, направленной на энергетические предприятия США. Существуют подозрения, что Covellite также ответственна за серию кибератак на организации в Европе, Северной Америке и Восточной Азии. Неизвестно, есть ли в арсенале группировки вредоносное ПО, разработанное специально для АСУ ТП.
Эксперты также обратили внимание на хакерскую группировку Dymalloy, атаковавшую АСУ ТП в Турции, Европе и Северной Америке. Хакеры практически не проявляли активности с начала 2017 года из-за повышенного внимания СМИ и ИБ-экспертов к их деятельности.
Еще одна группировка, представляющая опасность для АСУ, известна как Chrysene. Ее деятельность в основном сосредоточена на компаниях и организациях в Северной Америке, Европе, Израиле и Ираке. По словам исследователей, используемое Chrysene вредоносное ПО достаточно сложное, однако предназначено не столько для атак на АСУ, сколько для шпионажа.
Последняя группировка, отмеченная Dragos, носит название Magnallium (APT33) и предположительно связана с иранским правительством. Основными целями хакеров являются предприятия аэрокосмической промышленности, энергетического сектора и военные объекты.
Исследование Positive Technologies
Исторически сложилось так, что подходы к обеспечению информационной безопасности промышленных объектов имеют свои особенности. Известные уязвимости в ИТ-системах зачастую не устраняются из-за нежелания вносить изменения и нарушать тем самым технологический процесс. Вместо этого основные усилия компании направляют на снижение вероятности их эксплуатации, например, путем отделения и изоляции внутренних технологических сетей от подключенных к интернету корпоративных систем . Как показывает практика тестирования на проникновение, подобная изоляция не всегда реализуется эффективно, и у нарушителя остаются возможности для атаки.
Так согласно собранной статистике, злоумышленники могут преодолеть периметр и попасть в корпоративную сеть 73% компаний промышленного сегмента. В 82% компаний возможно проникновение из корпоративной сети в технологическую, в которой функционируют компоненты АСУ ТП.
Одной из главных возможностей для получения взломщиком доступа к корпоративной сети оказались административные каналы управления. Часто администраторы промышленных систем создают для себя возможности удаленного подключения к ним — это позволяет им, например, не находиться все время на объекте, а работать из офиса.
В каждой промышленной организации, в которой исследователям Positive Technologies удалось получить доступ к технологической сети из корпоративной, были выявлены те или иные недостатки сегментации сетей или фильтрации трафика — в 64% случаев они были внесены администраторами при создании каналов удаленного управления.
Наиболее распространенными уязвимостями корпоративных сетей стали словарные пароли и устаревшее ПО — эти ошибки были обнаружены во всех исследуемых компаниях. Именно эти недостатки позволяют развить вектор атаки до получения максимальных привилегий в домене и контролировать всю корпоративную инфраструктуру. Важно отметить, что часто файлы с паролями к системам хранятся прямо на рабочих станциях сотрудников.
Количество доступных компонентов АСУ ТП в глобальной сети растет с каждым годом: если в 2016 году в России были обнаружены IP-адреса 591 подсистем, то в 2017 году уже 892. Такие результаты содержатся в исследовании[14] компании Positive Technologies, где проанализированы угрозы, связанные с доступностью и уязвимостями АСУ ТП за минувший год.
Наибольшее число компонентов АСУ ТП, присутствующих в интернете, обнаружено в странах, в которых системы автоматизации развиты лучше всего — США, Германия, Китай, Франция, Канада. За год доля США возросла почти на 10 % и теперь составляет примерно 42% от общего числа (175 632). Россия поднялась на три позиции и занимает 28 место.
Эксперты Positive Technologies обращают внимание на увеличение доли сетевых устройств (с 5,06 % до 12,86 %), таких как конвертеры интерфейсов Lantronix и Moxa (Мокса Россия). Доступность подобных устройств, несмотря на их вспомогательную роль, представляет большую опасность для технологического процесса. Например, в ходе кибератаки на «Прикарпатьеоблэнерго» злоумышленники удаленно вывели из строя конвертеры фирмы Moxa, в результате чего была потеряна связь с полевыми устройствами на электроподстанциях.
Среди программных продуктов в глобальной сети чаще всего встречаются компоненты Niagara Framework. Подобные системы управляют кондиционированием, энергоснабжением, телекоммуникациями, сигнализацией, освещением, камерами видеонаблюдения и другими ключевыми инженерными элементами, содержат немало уязвимостей и уже подвергались взлому.
Второе важное наблюдение исследователей касается растущего числа угроз в компонентах АСУ ТП. Число опубликованных уязвимостей за год выросло на 197, тогда как годом ранее стало известно о 115. Свыше половины новых недостатков безопасности имеют критическую и высокую степень риска. Кроме того, значительная доля уязвимостей в 2017 году пришлась на промышленное сетевое оборудование (коммутаторы, конвертеры интерфейсов, шлюзы и т.д.), которое все чаще встречается в открытом доступе. При этом, большинство обнаруженных за год недостатков безопасности в АСУ ТП могут эксплуатироваться удаленно без необходимости получения привилегированного доступа.
По сравнению с 2016 годом лидеры поменялись. Первую позицию вместо компании Siemens теперь занимает Schneider Electric. В 2017 году было опубликовано почти в десять раз больше уязвимостей (47), связанных с компонентами этого вендора, нежели годом ранее (5). Также следует обратить внимание на количество новых недостатков безопасности в промышленном сетевом оборудовании Moxa — их было опубликовано вдвое больше (36), нежели в 2017 году (18).
2016: Исследование Positive Technologies
15 июля 2016 года компания Positive Technologies (Позитив Текнолоджиз) представила результаты исследования уязвимостей и распространенности компонентов автоматизированных систем управления технологическим процессом (АСУ ТП).
Используя информацию из общедоступных источников (базы знаний уязвимостей, уведомления производителей, сборники эксплойтов, доклады научных конференций, публикации на специализированных сайтах и блогах), эксперты по итогам 2015 года обнаружили в общей сложности 212 уязвимостей в компонентах АСУ ТП, а их суммарное количество за пять лет достигло 743. Почти половина этих уязвимостей имеют высокую степень риска.
Наибольшее количество уязвимостей было найдено в продуктах известных производителей, таких как Siemens (147), Schneider Electric (85), Advantech (59), General Electric (27) и Rockwell Automation (26).
Наиболее уязвимыми и вместе с тем распространенными компонентами АСУ ТП являются SCADA-системы, на долю которых в 2015 году пришлась 271 уязвимость. Кроме того, не мало брешей было обнаружено в ЧМИ-компонентах, сетевых устройствах промышленного назначения и инженерном программном обеспечении.
В 2015 году лишь 14% уязвимостей были ликвидированы в течение трех месяцев. В 34% случаев устранение заняло больше этого временного отрезка. Больше половины (52%) ошибок либо остались, либо производители не сообщали о сроках их устранения.
Наибольшее количество компонентов, доступных в интернете, было обнаружено в странах, в которых системы автоматизации развиты лучше всего. Это США (38,85% от общего количества доступных компонентов), Германия (12,28%), Франция (5,43%), Италия (5,15%) и Канада (4,93%).
По распространенности компонентов АСУ ТП лидируют компании Honeywell, SMA Solar Technology, Beck IPC, Siemens и Bosch Building Technologies (Ранее Bosch Security Systems).
По результатам исследования в Positive Technologies пришли к выводу, что адекватная защита компонентов АСУ ТП отсутствует. Даже минимальные превентивные меры защиты, такие как использование сложных паролей и отключение компонентов АСУ ТП интернета, позволят в значительной степени снизить вероятность проведения атак, несущих заметные последствия, отмечают специалисты.
2013: Исследование "Информзащиты"
Аудит автоматизированных систем управления технологическими процессами промышленных предприятий, проведенный осенью 2013 года специалистами компании «Информзащита», свидетельствует об «удручающей» статистике в области выполнения требований информационной безопасности [15].
В процессе обследования использовались 25 наиболее значимых критериев безопасности, соответствие которым, как считают в «Информзащите», должно обезопасить АСУ ТП промышленных компаний. Эти требования сформированы на основе опыта реализации проектов в десятке крупных предприятий топливно-энергетического комплекса.
Обобщение полученных результатов показало, что в АСУ ТП большинства обследованных предприятий отсутствуют процедуры управления инцидентами безопасности и их анализа, а также не разработаны мероприятия, препятствующие повторному возникновению опасных событий.
Нигде не используются также системы обнаружения и предотвращения внешних вторжений и средства выявления сетевых аномалий, которые должны применяться в тех случаях, когда сеть АСУ ТП связана с коммуникационной инфраструктурой всего предприятия. Наряду с этим не проводятся аудит состояния информационной безопасности и анализ защищенности комплексов АСУ ТП.
Информирование персонала о проблемах, к которым может привести несоблюдение правил информационной безопасности, и обучение в этой сфере проводятся только в четверти организаций. А такое обучение становится жизненно необходимым в условиях, когда для незаконного проникновения в систему все шире применяются методы социальной инженерии, основанные на особенностях психологии человека. Эти методы используются для доступа к конфиденциальной информации, в том числе к данным, позволяющим осуществлять несанкционированные действия в АСУ ТП. Характерный пример — запрос пароля якобы от имени системного администратора.
Беспроводной доступ к комплексам автоматизации и поддерживающим их информационным системам, который может использоваться собственным персоналом и сотрудниками подрядных организаций, требует особо пристального внимания, поскольку чреват обилием уязвимостей. Отсутствие развитых мер защиты и неинформированность всех этих сотрудников может привести к весьма серьезным последствиям.
Среди причин технологического и организационного отставания в сфере информационной безопасности АСУ ТП от корпоративных информационных систем можно выделить специфику проектов промышленной автоматизации. При их реализации долгое время главным образом решались задачи повышения быстродействия, производительности, оптимизации стоимости, тогда как защите от потенциальных угроз не уделялось должного внимания. Кроме того, корпоративные информационные системы и комплексы АСУ ТП традиционно разрабатываются и эксплуатируются разобщенными подразделениями предприятий.
В крупных отечественных организациях промышленного сектора, в частности в нефтегазовой отрасли, начинается объединение ИТ-служб и подразделений АСУ ТП. Представители компании считают также, что результаты аудита состояния защиты АСУ ТП должны показать руководителям бизнес-подразделений, какую угрозу для непрерывности их бизнес-процессов несет несоблюдение политик безопасности. Кроме того, бизнес проявляет весьма заметный интерес к предотвращению хищений и к внедрению решений, препятствующих искажению учетных данных, поступающих в системы управления деятельностью предприятий. Характерно, что из более чем трех десятков специалистов предприятий ТЭК, принявших участие в работе семинара, около четверти представляли службы АСУ ТП.
Смотрите также
Контроль и блокировки сайтов
- Цензура в интернете. Мировой опыт
- Цензура (контроль) в интернете. Опыт Китая, Компьютерная группа реагирования на чрезвычайные ситуации Китая (CERT)
- Цензура (контроль) в интернете. Опыт России, Политика Роскомнадзора по контролю интернета, ГРЧЦ
- Запросы силовиков на телефонные и банковские данные в России
- Закон о регулировании Рунета
- Национальная система фильтрации интернет-трафика (НаСФИТ)
- Как обойти интернет-цензуру дома и в офисе: 5 простых способов
- Блокировка сайтов в России
- Ревизор - система контроля блокировки сайтов в России
Анонимность
- Даркнет (теневой интернет, DarkNet)
- VPN и приватность (анонимность, анонимайзеры)
- VPN - Виртуальные частные сети
- СОРМ (Система оперативно-розыскных мероприятий)
- Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА)
- Ястреб-М Статистика телефонных разговоров
Критическая инфраструктура
- Цифровая экономика России
- Электронное правительство России
- Информационная безопасность цифровой экономики России
- Защита критической информационной инфраструктуры России
- Закон О безопасности критической информационной инфраструктуры Российской Федерации
- Основы государственной политики РФ в области международной информационной безопасности
- Доктрина информационной безопасности России
- Стратегия национальной безопасности России
- Соглашение стран СНГ в борьбе с преступлениями в сфере информационных технологий
- Автономный интернет в России
- Киберполигон России для обучения информационной безопасности
- Национальная биометрическая платформа (НБП)
- Единая биометрическая система (ЕБС) данных клиентов банков
- Биометрическая идентификация (рынок России)
- Каталог решений и проектов биометрии
- Единая сеть передачи данных (ЕСПД) для госорганов (Russian State Network, RSNet)
- Статья:Единая система программной документации (ЕСПД).
- Сеть передачи данных органов государственной власти (СПДОВ)
- Единая сеть электросвязи РФ
- Единый портал государственных услуг (ФГИС ЕПГУ)
- Гособлако - Государственная единая облачная платформа (ГЕОП)
- Госвеб Единая платформа интернет-порталов органов государственной власти
Импортозамещение
- Импортозамещение в сфере информационной безопасности
- Обзор: Импортозамещение информационных технологий в России
- Главные проблемы и препятствия импортозамещения ИТ в России
- Преимущества замещения иностранных ИТ-решений отечественными
- Основные риски импортозамещения ИТ
- Импортозамещение информационных технологий: 5 "За" и 5 "Против"
- Как импортозамещение ИТ сказалось на бизнесе иностранных вендоров? Взгляд из России
- Как запуск реестра отечественного ПО повлиял на бизнес российских вендоров
- Какие изменения происходят на российском ИТ-рынке под влиянием импортозамещения
- Оценки перспектив импортозамещения в госсекторе участниками рынка
Информационная безопасность и киберпреступность
- Киберпреступность в мире
- Требования NIST
- Глобальный индекс кибербезопасности
- Кибервойны, Кибервойна России и США, Кибервойна России и Великобритании, Кибервойна России и Украины
- Locked Shields (киберучения НАТО)
- Киберпреступность и киберконфликты : Россия, Кибервойска РФ, ФСБ, Национальный координационный центр по компьютерным инцидентам (НКЦКИ), Центр информационной безопасности (ЦИБ) ФСБ, Следственный комитет при прокуратуре РФ, Управление К БСТМ МВД России, МВД РФ, Министерство обороны РФ, Росгвардия, ФинЦЕРТ
- Число киберпреступлений в России, Русские хакеры
- Киберпреступность и киберконфликты : Украина, Киберцентр UA30, Национальные кибервойска Украины
- Национальный центр по защите данных системы здравоохранения Норвегии (HelseCERT)
- CERT NZ
- CERT-UZ Отдел технической безопасности в структуре государственного унитарного Центра UZINFOCOM
* Регулирование интернета в Казахстане, KZ-CERT
- Киберпреступность и киберконфликты : США, Пентагон, ЦРУ, АНБ, NSA Cybersecurity Directorate, ФБР, Киберкомандование США (US Cybercom), Министерства обороны США, NATO, Department of Homeland Security, Cybersecurity and Infrastructure Security Agency (CISA)
- Информационная безопасность в США
- Как США шпионили за производством микросхем в СССР
- Киберпреступность и киберконфликты : Европа, ENISA, ANSSI, Joint Cyber Unit, National Cyber Force
- Стратегия кибербезопасности ЕС
- Регулирование интернета в странах Евросоюза
- Информационная безопасность в Германии
- Информационная безопасность во Франции
- Информационная безопасность в Греции
- Информационная безопасность в Австралии
- Tactical Edge Networking (военный интернет)
- Киберпреступность и киберконфликты : Израиль
- Киберпреступность и киберконфликты : Иран
- Киберпреступность и киберконфликты : Китай
- Информационная безопасность в Китае
- Импортозамещение информационных технологий в Китае
- Киберпреступность и киберконфликты : КНДР
- Информационная безопасность в Молдавии
- Информационная безопасность в Японии
- Безопасность в интернете
- Безопасность интернет-сайтов
- Безопасность программного обеспечения (ПО)
- Безопасность веб-приложений
- Безопасность мессенджерах
- Угрозы безопасности общения в мобильной сети
- Безопасность в социальных сетях
- Киберзапугивание (кибербуллинг, киберсталкинг)
- Информационная безопасность в банках
- Информационная безопасность в судах
- CERT-GIB Computer Emergency Response Team - Group-IB
- Мошенничество с банковскими картами
- Взлом банкоматов
- Обзор: ИТ в банках 2016
- Политика ЦБ в сфере защиты информации (кибербезопасности)
- Потери организаций от киберпреступности
- Потери банков от киберпреступности
- Тренды развития ИТ в страховании (киберстрахование)
- Кибератаки
- Threat intelligence TI киберразведка
- Число кибератак в России и в мире
- Кибератаки на автомобили
- Обзор: Безопасность информационных систем
- Информационная безопасность
- Информационная безопасность в компании
- Информационная безопасность в медицине
- Информационная безопасность в электронной коммерции
- Информационная безопасность в ритейле
- Информационная безопасность (мировой рынок)
- Информационная безопасность (рынок России)
- Информационная безопасность на Украине
- Информационная безопасность в Белоруссии
- Главные тенденции в защите информации
- ПО для защиты информации (мировой рынок)
- ПО для защиты информации (рынок России)
- Pentesting (пентестинг)
- ИБ - Средства шифрования
- Криптография
- Управление инцидентами безопасности: проблемы и их решения
- Системы аутентификации
- Закон о персональных данных №152-ФЗ
- Защита персональных данных в Евросоюзе и США
- Расценки пользовательских данных на рынке киберпреступников
- Буткит (Bootkit)
- Уязвимости в ПО и оборудовании
- Джекпоттинг_(Jackpotting)
- Вирус-вымогатель (шифровальщик), Ramsomware, WannaCry, Petya/ExPetr/GoldenEye, CovidLock, Ragnar Locker, Ryuk, EvilQuest Вредонос-вымогатель для MacOS, Ransomware of Things (RoT), RegretLocker, Pay2Key, DoppelPaymer, Conti, DemonWare (вирус-вымогатель), Maui (вирус-вымогатель), LockBit (вирус-вымогатель)
- Защита от программ-вымогателей: существует ли она?
- Big Brother (вредоносная программа)
- MrbMiner (вирус-майнер)
- Защита от вирусов-вымогателей (шифровальщиков)
- Вредоносная программа (зловред)
- APT - Таргетированные или целевые атаки
- Исследование TAdviser и Microsoft: 39% российских СМБ-компаний столкнулись с целенаправленными кибератаками
- DDoS и DeOS
- Атаки на DNS-сервера
- DoS-атаки на сети доставки контента, CDN Content Delivery Network
- Как защититься от DDoS-атаки. TADетали
- Визуальная защита информации - Визуальное хакерство - Подглядывание
- Ханипоты (ловушки для хакеров)
- Руткит (Rootkit)
- Fraud Detection System (fraud, фрод, система обнаружения мошенничества)
- Каталог Антифрод-решений и проектов
- Как выбрать антифрод-систему для банка? TADетали
- Security Information and Event Management (SIEM)
- Threat intelligence (TI) - Киберразведка
- Каталог SIEM-решений и проектов
- Чем полезна SIEM-система и как её внедрить?
- Для чего нужна система SIEM и как её внедрить TADетали
- Системы обнаружения и предотвращения вторжений
- Отражения локальных угроз (HIPS)
- Защита конфиденциальной информации от внутренних угроз (IPC)
- Спуфинг (spoofing) - кибератака
- Фишинг, Фишинг в России, DMARC, SMTP
- Сталкерское ПО (программы-шпионы)
- Троян, Trojan Source (кибератака)
- Ботнет Боты, TeamTNT (ботнет), Meris (ботнет)
- Backdoor
- Черви Stuxnet Regin Conficker
- EternalBlue
- Рынок безопасности АСУ ТП
- Флуд (Flood)
- Предотвращения утечек информации (DLP)
- Скимминг (шимминг)
- Спам, Мошенничество с электронной почтой
- Социальная инженерия
- Телефонное мошенничество
- Звуковые атаки
- Warshipping (кибератака Военный корабль)
- Антиспам программные решения
- Классические файловые вирусы
- Антивирусы
- ИБ : средства защиты
- Система резервного копирования
- Система резервного копирования (технологии)
- Система резервного копирования (безопасность)
- Межсетевые экраны
Примечания
- ↑ Закупка № 0173100005921000002
- ↑ ИНДУСТРИАЛИЗАЦИЯ 4.0: ВЫЗОВЫ И РИСКИ
- ↑ [Эксперты обнаружили более 43 тыс. незащищенных SCADA-систем по всему миру https://www.securitylab.ru/news/514840.php]
- ↑ FIRST CLAROTY ICS VULNERABILITY REPORT IDENTIFIES RISKS TO OT NETWORKS
- ↑ Более 70% уязвимостей в АСУ ТП могут быть проэксплуатированы удаленно
- ↑ Многие точки доступа к АСУ ТП в США уязвимы ко взлому
- ↑ Критически важная инфраструктура США может быть взломана кем угодно
- ↑ ICS Security Market size exceeded USD 2 billion in 2019 and is estimated to grow at a CAGR of over 20% between 2020 and 2026
- ↑ Рынок безопасности АСУ ТП к 2026 году достигнет $12 млрд
- ↑ «Ростелеком» назвал основные киберриски для промышленности
- ↑ Кибербезопасность систем промышленной автоматизации в 2018 г.
- ↑ INDUSTRIAL CONTROL VULNERABILITIES 2017 IN REVIEW
- ↑ Названы главные проблемы, связанные с уязвимостями в АСУ ТП
- ↑ БЕЗОПАСНОСТЬ АСУ ТП: ИТОГИ 2017 ГОДА
- ↑ Защита АСУ ТП