Количество уязвимостей в системах управления технологическими процессами выросло на 30%

12 апреля 2019
Количество уязвимостей в системах управления технологическими процессами выросло на 30%

Согласно исследованию Positive Technologies, число новых уязвимостей АСУ ТП по сравнению с предыдущим годом увеличилось на 30%, причем доля недостатков критического и высокого уровня риска выросла на 17%.

Россия показала один из наиболее высоких темпов роста числа компонентов АСУ ТП, доступных из интернета, переместившись с 28-го на 12-е место. Если в 2017 году в Рунете были обнаружены IP-адреса 892 компонентов АСУ ТП, то в 2018 году исследователи зафиксировали уже 3993 устройства. 


Примечание редакции iEcp.ru: АСУ ТП - Автоматизированная система управления технологическим процессом — группа решений технических и программных средств, предназначенных для автоматизации управления технологическим оборудованием на промышленных предприятиях.


Общее количество компонентов АСУ ТП, доступных в интернете, с прошлого года выросло на 27% и теперь составляет более 220 тысяч.

Наибольшее число таких систем находится в США (95 661), Германии (21 449), Китае (12 262), Франции (11 007), Италии (9918) и Канаде (9580). Вновь наиболее распространенными стали устройства компании Honeywell, которых было обнаружено около 30 тысяч.

Эксперты Positive Technologies не раз сообщали об опасности доступности в интернете сетевых устройств, например таких, как коммутаторы или конвертеры интерфейсов для технологического процесса. За два года доля доступных из интернета сетевых устройств выросла с 5% до 19%. 

Второй год подряд лидером по количеству новых уязвимостей остается компания Schneider Electric (69 уязвимостей за 2018 год) — даже несмотря на то, что количество вновь обнаруженных уязвимостей в оборудовании производства Siemens возросло почти в два раза, до 66. Подобное лидерство этих двух компаний эксперты объясняют популярностью этих производителей: они имеют широкие линейки повсеместно используемых продуктов.

В целом в компонентах АСУ ТП было выявлено на 30% больше новых уязвимостей, чем в 2017 году, — 257.
Более половины уязвимостей (58%) позволяют атакующему оказывать комплексное воздействие на устройство — нарушить конфиденциальность, целостность и доступность. При этом среди них только для 4% сложность атаки была оценена как высокая: это означает, что в большинстве случаев злоумышленнику не требуется никаких специальных условий, чтобы нарушить защищенность элементов АСУ ТП.

Около 75% уязвимостей связаны с возможным нарушением доступности (полным или частичным) компонентов АСУ ТП. Эксплуатация таких уязвимостей, к примеру, в сетевом оборудовании может негативно повлиять на технологический процесс, нарушив передачу команд между компонентами. Значительная доля уязвимостей связана с некорректной аутентификацией или избыточными правами, при этом больше половины таких недостатков (64%) могут эксплуатироваться удаленно.

Эксперты Positive Technologies обращают внимание, что среднее время устранения уязвимостей вендорами остается достаточно долгим — более 6 месяцев. Иногда исправление отдельных недостатков (от уведомления производителя до выпуска обновлений) занимает более двух лет. Для конечного пользователя тот факт, что обновления не выпускаются оперативно, повышает риски возможной эксплуатации уязвимостей в принадлежащем ему оборудовании.

Источник: ITSec.Ru

Читайте также:

12 апреля 2019

Ростех и «Селдон» создают крупнейший в России удостоверяющий центр

Компания «РТ-Проектные Технологии» Госкорпорации Ростех и группа компаний «Селдон» подписали меморандум о сотрудничестве в области развития цифровых сервисов. Документ предполагает создание крупнейшего в России удостоверяющего центра. Он обеспечит клиентам поддержку на всех этапах бизнес-процессов – от получения электронной подписи до сдачи онлайн-отчетности в государственные органы. 

12 апреля 2019

ФАС России об обеспечении конкуренции на торгах при распределении права добычи водных биоресурсов

Министерство сельского хозяйства Российской Федерации утвердило новую методику определения количества и размера лотов аукционов по продаже права на вылов водных биоресурсов.