Эксперты ЕС: Системы контроля управления не могут совладать с современными киберугрозами

Эксперты ЕС: Системы контроля управления не могут совладать с современными киберугрозами

ics

Жизненно необходимые системы управления, используемые энергией, водой и транспортировкой, не готовы для того, чтобы справиться с кибертерроризмом и угрозами. Такое мнение высказали представители службы по информационной безопасности ЕС. Специалисты утверждают, что постоянный выпуск патчей и противоречивое тестирование могут стать катастрофой для инфраструктуры. Промышленные системы контроля (ПСК) «зачастую устаревшие», считают в ENISA. Кроме того, в ведомстве уверены, что системы не способны постоянно обеспечивать надежную защиту от киберугроз, несмотря на то, что они предназначены на 20 лет работы.

Они не готовы иметь дело с нынешними угрозами, подчеркивают в ENISA. Затем ведомство выпустило список рекомендаций для проведения тестирования на территории Европы. В представленном руководстве речь идет о плохом планировании, недостатке информации, настройках безопасности, а также исправлениях всех уязвимостей в SCADA-системах. Это касается не только новых брешей, но и уже хорошо известных.

К примеру, эксперты ENISA утверждают, что Европа сейчас нуждается в органе стандартизированного тестирования, который сможет взять на себя ответственность за программу «согласованного» анализа. Кроме того, необходимо создать исполнительный совет, способный обеспечить соблюдение программы, а также различные рабочие группы для решения отдельных ключевых проблем.

Риск несанкционированного доступа к инфраструктуре является весьма большим. Вирус Stuxnet является одной из наиболее известных кибеугроз. Этот вирус использовался для блокировки работы основных объектов по обогащению урана Ирана еще в 2007 году. После этого активность вредоноса была замечена на компьютерах американских пользователей – он распространялся посредством USB-накопителей.

Такого рода инфицирования являются одним из главных рисков, к которым обращены рекомендации ENISA. Кроме того, в ведомстве сообщают, что необходимо предоставлять больший объем информации по данному вопросу и проводить обучение.

К примеру, в 2011 году хакеры использовали метод социальной инженерии для того, чтобы получить данные некоторых сотрудников химических предприятий и защитных организаций. Это позволило узнать о существовании бэкдора, предоставившего доступ к секретам R&D, в том числе к проектам, формулам и данным о производственных процессах.