Две трети полевых устройств АСУ ТП уязвимы

Компания Digital Security опубликовала результаты исследования компонентов промышленных систем АСУ ТП, реализующих низкоуровневый протокол взаимодействия исполнительных устройств HART. Исследователи для поведения анализа выбрали 119 таких компонентов, а установлены они были на 752 устройствах для промышленных систем, выпускаемых различными производителями.

Digital Security сфокусировалась на исполнительных устройствах с поддержкой протокола HART потому, что он позволяет вмешиваться в их работу – не только перехватывать передаваемые данные, но и посылать в канал HART сфабрикованные пакеты информации, которые могут передаваться в системы более высоких уровней. Во время исследования на систему, состоявшую из исполнительного устройства и управляющей им программы, проводилась атака с помощью навязывания сторонней информации. Обнаружилось, что 29 компонентов не просто пропускают эту информацию, но и позволяют исполнять сторонний код или встраивать информацию о сторонних устройствах. Это дает возможность через уязвимые компоненты атаковать промышленные системы, провоцировать аварии и создавать критические ситуации.

Как свидетельствует отчёт Digital Security, протокол HART позволяет атаковать до 67% поддерживающих его устройств. Самих же уязвимых компонентов, реализующих протокол HART, выявлено лишь 25%, но, как оказалось, достаточно часто в устройствах используются именно они.

Артём Баранов, ведущий вирусный аналитик ESET, отмечает: «Авторы исследования выбрали очень актуальную тему. К сожалению, и это не секрет, ПО на АСУ ТП может быть серьезно устаревшим. Для такого ПО зачастую не предусмотрены регулярные циклы обновления (как для ПО, предназначенного для персональных компьютеров), и оно не обновляется годами, а порой и десятилетиями. В результате, как свидетельствуют последние исследования, в АСУ ТП не исключено наличие множества уязвимостей. Безопасность ПО АСУ ТП обеспечивают лишь известные компании, которые специализируются на выпуске такого ПО».

Правда, в исследовании описаны скорее архитектурные особенности современных технологий построения промышленных информационных систем, нежели проблемы обновления ПО. Если низкоуровневый протокол, такой как HART, допускает возможность внедрения посторонних данных на канальном уровне, то защита на более высоких уровнях вряд ли справится. К сожалению, протоколы, которые используются и сейчас для построения сети исполнительных устройств, были спроектированы без учёта требований к безопасности. Перед разработчиками стояла цель защиты от случайных ошибок и потери части информации, но не от сознательного вмешательства.

«Тот факт, что программные архитектуры и отдельные компоненты многих современных АСУ ТП разрабатывались без учета требований информационной безопасности и уязвимы к кибератакам, уже ни для кого не секрет, – отмечает Сергей Минеев, антивирусный эксперт «Лаборатории Касперского». – За последние годы уязвимости, которые может использовать злоумышленник, были обнаружены практически во всех современных SCADA-системах, и сообщения о новых уязвимостях появляются еженедельно. Очевидно, что обычными «заплатками» ситуацию не исправить и что нужен принципиально иной подход к построению таких систем.»

Скорее всего, компаниям стоит отказаться от уязвимых протоколов низкого уровня в пользу более безопасных. Кроме того, перед внедрением компонентов промышленных сетей их не помешает тестировать на уязвимости.

По мнению Виталий Сергиенко, заместителя директора Центра информационной безопасности компании R-Style, «исследование претендует на определенную просветительскую функцию, но, к сожалению, не дает представления о способах выявления и «симптомах» уязвимостей, как и практических рекомендаций по «лечению заболевания». Исследование не поможет владельцам предприятий, находящихся в зоне риска, идентифицировать признаки кризиса и определить действия, необходимые для снижения уровня риска».

Впрочем, в исследовании как раз очень подробно, с указанием названий продуктов описана процедура тестирования на уязвимость, и, при наличии у промышленных предприятий специалистов с должной квалификацией, они смогут и сами проводить аналогичные исследования своего оборудования. Да и Digital Security предлагает услуги по оценке уязвимости сети предприятия, так что выявить уязвимые компоненты вполне реально, а уж заменить их в дальнейшем можно во время плановой модернизации.