Примеры угроз
Вот яркие инциденты, когда хакеры воспользовались дырами в безопасности и учинили хаос.
• Нацеленный на промышленные контроллеры сетевой «червь» Stuxnet уничтожил примерно пятую часть ядерных центрифуг Ирана более десяти лет назад.
• В 2016 году вредоносная программа Industroyer поразила промышленные системы управления и отключила на час электричество в некоторых районах Киева.
• В 2021 году хакер на короткое время смог повысить до опасного уровень щёлочи на водоочистной станции в Олдсмаре, штат Флорида. Однако оператор станции заметил взлом системы и смог быстро помешать злому умыслу.
Чего боятся аналитики
В Microsoft опасаются, что связка операционных технологий (OT) и информационных технологий в устройствах «интернета вещей» (IoT) повысит угрозы ещё больше.
Так, компания ICS Village специализируется на обучении компонентам безопасности промышленных систем управления. Её соучредитель Брайсон Борт на конференциях любит начинать любой разговор о промышленных системах управления с шутки, раскрывая суть проблемы.
Что такое промышленная система управления? Это любой компьютер, которому не менее 20 лет
— Брайсон Борт, соучредитель ICS Village.
Возраст этих систем означает, что они иногда работают на программном обеспечении (ПО), которое производители больше не обновляют и не поддерживают, пояснил Брайсон Борт.
Промышленные контроллеры работают на платформах с более низким энергопотреблением и ограничениями относительно памяти, что затрудняет запуск сложного ПО. И это ещё больше усугубляет проблему зависимости от устаревших операционных систем, добавил Дэвид Атч, руководитель отдела исследований безопасности IoT / OT в подразделении Microsoft по безопасности.
Но не всё так плохо
В Microsoft также выяснили, что опасных уязвимостей в промоборудовании управления выявили с 2020 по 2022 год на 78% больше. Что означает, что их стали обнаруживать всё чаще.
Агентство по кибербезопасности и безопасности инфраструктуры (CISA) выдаёт предупреждения об уязвимостях в блоках управления, которые могут привлечь хакеров. CISA пригласило отраслевых экспертов в области промышленных систем управления присоединиться к программе для совместной работы. Директор Джен Истерли заявила, что кибербезопасность питьевой воды будет в центре внимания в 2023 году.
А что в Европе
Между тем, в Европе предлагают регулировать цифровую безопасность с помощью Закона о киберустойчивости. Закон потребует, чтобы ПО и аппаратные продукты соответствовали определённым критериям.
Речь идёт о перечне наиболее важных свойств, если дело касается использования в промышленной системе управления
— Лорена Буа Алонсо, директор по кибербезопасности Европейской комиссии.
