Рекомендации по исправлению брешей АСУ ТП оказались нереалистичными

Анна Козонина 01 Марта 2018 - 17:20

...

Рекомендации по исправлению брешей АСУ ТП оказались нереалистичными

Публичные рекомендации, описывающие уязвимости автоматизированных систем управления (АСУ), часто не показывают реального значения недостатков. К такому выводу пришли специалисты фирмы Dragos, занимающейся кибербезопасностью АСУ ТП.

Dragos проанализировали 163 источника с рекомендациями, опубликованных в прошлом году ICS-CERT, и на их основе собрали интересную статистику. В частности, компания выяснила, что исправления для почти двух третей обнаруженных уязвимостей не полностью устраняют связанные с ними риски, так как затронутые ошибками системы являются небезопасными по своему дизайну. Кроме того, в отчете компании говорится, что 85% уязвимостей могут быть впоследствии использованы в комплексных кибератаках (так называемых kill chains).

После того, как уязвимость была использована хотя бы однажды, происходит “потеря зрения” (loss of view) — это приводит к тому, что жертва не может контролировать или адекватно считывать состояние уязвленной системы. Этот процесс происходит примерно в 30% случаев эксплуатации уязвимостей.

В 29% случаев использование злоумышленниками ошибок приводит к “потере контроля” (loss of control), что предотвращает любые изменения состояния системы. Примерно в таком же проценте случаев эксплуатация уязвимостей приводит к потере контроля и зрения одновременно. Такие уязвимости располагаются в ядре традиционных сетей управления, поэтому значительная доля брешей АСУ ТП может приводить к серьезным операционным последствиям.

Многие из недостатков, описанные в рекомендациях, затрагивают продукты, расположенные далеко от периметра сети операционных технологий (OT), что делает их эксплуатацию менее вероятной. Только 15% рекомендаций описывают уязвимости в компонентах, расположенных очень близко к периметру сети. Например, OPC-серверы, брандмауэры, продукты VPN и сотовые шлюзы часто напрямую доступны из рабочей сети и даже через интернет, что делает их более уязвимыми для кибератаки.

Примерно одна четверть недостатков воздействует на устройства, а 31% влияет на использование человеко-машинных интерфейсов.

ICS vulnerabilities

Dragos также опровергли общепринятое мнение, согласно которому большинство уязвимостей АСУ ТП обнаруживаются в демо или бесплатных версиях ПО, а не в реальных системах управления. Исследователи компании выяснили, что 63% прошлогодних недостатков, связанных с АСУ ТП, повлияли на программное обеспечение или железо, которые не могли быть получены бесплатно.

Кроме того, анализ фирмы показал, что 72% публичных рекомендаций, описывающих недостатки АСУ ТП, не дают адекватных альтернативных решений. Согласно Dragos, рекомендации по использованию VPN такими альтернативами считаться не могут.

Следующая главная новость »

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 03 Марта 2026 - 14:54

Утечки информации Умышленные утечки информации Кража данных Домашние пользователи Лаборатория Касперского

Опрос: половина россиян игнорирует риски утечек с фитнес-устройств

Каждый второй пользователь фитнес-браслетов, умных весов и других устройств для мониторинга здоровья опасается, что его данные могут оказаться у злоумышленников. К такому выводу пришли аналитики «Лаборатории Касперского» по итогам опроса.

В целом о безопасности информации переживают 65% россиян, которые пользуются спортивными гаджетами. При этом 47% прямо признаются: они боятся, что собранные устройствами данные могут попасть в чужие руки.

Больше всего пользователей волнуют личные сведения: ФИО, возраст, дата рождения (об этом сказали 74% опрошенных). Почти половина переживает за данные об устройстве (48%) и геолокации (43%). А каждый пятый опасается утечки информации о состоянии здоровья, которую собирают приложения и умные девайсы.

Главный страх — данные используют мошенники. 61% респондентов боятся, что злоумышленники получат доступ к другим важным аккаунтам. По 52% опасаются навязчивых звонков или попыток обмануть их родственников. 42% упоминают риск фишинга. Есть и более личные опасения: 22% не исключают шантажа, а 10% переживают, что кто-то из знакомых узнает подробности о здоровье, которыми они не готовы делиться.

При этом почти половина пользователей (45%) всё же предпринимают шаги для защиты. Например, 49% внимательно следят за тем, какие данные собирают приложения, и разрешают доступ только к необходимой информации. 63% запрещают передачу своих данных сторонним программам.

Около половины используют двухфакторную аутентификацию (51%), регулярно обновляют программное обеспечение и устанавливают защитные решения (по 45%). Треть обращает внимание на репутацию производителя или разработчика приложения перед установкой.

Как отмечает эксперт по кибербезопасности «Лаборатории Касперского» Андрей Сиденко, умные гаджеты, такие же цифровые устройства, как и смартфоны или ноутбуки, а значит, подвержены тем же рискам. Он рекомендует не делиться лишней конфиденциальной информацией, выдавать приложениям только необходимые разрешения и, по возможности, не публиковать автоматически данные о тренировках и маршрутах. Это поможет снизить вероятность того, что личная информация станет инструментом в руках мошенников.

Напомним, не так давно специалисты выяснили, что ряд фитнес-приложений вроде Strava сливает конфиденциальные данные пользователей даже в том случае, когда те настроили специальные «приватные зоны».

Показателен также случай, когда фитнес-приложение Fitify слило 138 тысяч фото юзеров в неглиже.

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!