Человеко-машинный интерфейс представляет угрозу безопасности SCADA-систем
Использующиеся на многих предприятиях критической инфраструктуры системы HMI легко доступны через интернет.
Во вторник, 30 октября, компания Trend Micro опубликовала доклад о методах эксплуатации киберпреступниками систем человеко-машинного интерфейса (HMI), использующихся на предприятиях критической инфраструктуры по всему миру. Человеко-машинный интерфейс представляет собой инженерные решения, обеспечивающие взаимодействие человека-оператора с управляемыми им машинами, и играет ключевую роль в управлении SCADA-системами. Успешно взломав HMI, злоумышленник теоретически может получить контроль над SCADA-системой.
Согласно докладу, промышленные предприятия испытывают большие трудности в обеспечении безопасности SCADA-систем. Многие из них используют устаревшие системы, неспособные интегрироваться с современными решениями безопасности или получать обновления «по воздуху» (OTA) из-за ограниченного функционала памяти.
В нынешнем году в рамках проекта Trend Micro Zero Day Initiative было раскрыто почти 400 уязвимостей в SCADA-системах – на 200% больше, чем в прошлом году.
Помимо уязвимостей, предприятия находятся под угрозой из-за открытого доступа к их системам через интернет. Специалисты Trend Micro выявили целый ряд водоочистных и электростанций, к чьим системам можно получить доступ через интернет, включая ПО для протоколов удаленного рабочего стола, оборудование и системы виртуальных сетей.
Обнаружить такую систему очень легко – достаточно воспользоваться поисковиком Shodan или сопоставить IP-адрес с физическим (так называемый геосталкинг). К примеру, исследователи быстро нашли доступные через интернет HMI, использующиеся в системах водоснабжения в Швеции, геотермальных системах в Испании и водоочистном оборудовании в Колумбии.
Ни одна из описанных исследователями техник не предполагает непосредственного контакта с устройствами. По их словам, чаще всего HMI доступны через общие серверы VNC (для удаленного доступа к рабочему столу компьютеров) и не защищены механизмами аутентификации.