ICS-CERT: Наиболее серьезные уязвимости в SCADA - это особенности реализации устройства

image

Теги: SCADA, уязвимость

Эксперты по SCADA уведомляют о том, что действующий процесс обработки отчетов об уязвимостях в сфере критической инфраструктуры является не достаточно эффективным.

Исследователи информационной безопасности ICS-CERT при Министерстве внутренней безопасности США (Department of Homeland Security, DHS) в течение нескольких последних лет регулярно публикуют отчеты об уязвимостях в SCADA продуктах. Однако, согласно их недавнему заявлению, наличие огромного количества легко эксплуатируемых брешей все еще свойственно подавляющему большинству продуктов, даже несмотря на увеличивающееся количество выпускаемых исправлений.

Это, по мнению экспертов, связано с тем, что действующий механизм создания и обработки отчетов об уязвимостях, а также процесс создания уведомлений от ICS-CERT является недостаточно эффективным. К примеру, большие ICS и SCADA системы, контролирующие электростанции и химические заводы, не оповещаются об уязвимостях, а многие производители этих систем все еще не исправляют бреши в некоторых своих продуктах.

Отметим, что, согласно годовому отчету ICS-CERT, за весь 2012 год эксперты отреагировали на 177 сообщений о различных инцидентах безопасности в сфере критической инфраструктуры. Однако предпринятые ими меры по повышению уровня безопасности практически бесполезны, поскольку наиболее опасные бреши в SCADA – это особенности реализации устройства.

«Реальность такова, что наиболее серьезные уязвимости в системах управления представляют собой не ошибки, а конструктивные особенности, предусмотренные разработчиком», - констатируют исследователи.

Ознакомиться с отчетом ICS-CERT можно здесь


или введите имя

CAPTCHA
bordo hat
14-03-2013 12:26:26
в принципе все итак было ясно.. но, как я понял, суть не в том что механизмы уведомлений неправильные, а в том, что производители м№%аки..
0 |
АСУ
15-03-2013 08:08:54
заголовок считаю некорректным. "SCADA" не является синонимом АСУ ТП, это лишь "видимая" часть АСУ, реализующая человеко-машинный интерфейс. И "устройства" (PLC, приводы и т.п.) не входят в состав SCADA.
0 |