Как утверждают в Positive Technologies, более 40% интернет-доступных систем АСУТП может взломать хакер-любитель.
Как следует из результатов проведенного исследования, в период с 2005-го до начала 2010 года в системах АСУТП было обнаружено всего девять уязвимостей, в то время как после появления червя Stuxnet за 2011 год было найдено уже 64 уязвимости. За первые восемь месяцев 2012 года появились сообщения о 98 новых уязвимостях: это больше, чем за все предыдущие годы. При этом около 65% уязвимостей относятся к высокой и критической степени риска. Это значительно превышает аналогичный показатель в прочих ИТ-системах, что свидетельствует о низком уровне развития информационной безопасности систем АСУ ТП.
Наибольший интерес для злоумышленников могут представлять такие составляющие АСУТП, как системы SCADA и человеко-машинного интерфейсы.
Как известно, информация об уязвимости или готовое средство для ее использования (эксплойт) значительно повышают вероятность успешной атаки. В настоящий момент 35% всех представленных уязвимостей АСУТП имеют эксплойты, которые свободно распространяются в виде отдельных утилит, входят в состав программных пакетов для проведения тестов на проникновение, либо описаны в уведомлениях об уязвимости. По оценкам экспертов Positive Technologies, количество доступных эксплойтов для АСУТП в разы превышает аналогичный показатель для других ИТ-систем.
Как минимум 42% доступных через Интернет систем АСУТП содержат уязвимости, которыми без труда может воспользоваться злоумышленник. Доля систем, безопасность которых была достоверно подтверждена в ходе исследования, составляет всего лишь 17%.
Лидируют по числу удаленно доступных систем США и Европа, при этом 54% доступных извне систем SCADA в Старом Свете и 39% в США — уязвимы и могут быть взломаны. В России уязвима ровно половина доступных через Интернет систем АСУТП. Большинство проблем безопасности связаны с ошибками конфигурации (например, со стандартными паролями) и отсутствием обновлений.
Конечно, большинство недостатков безопасности оперативно ликвидируются производителями. Однако примерно каждая пятая уязвимость закрывалась с серьезной задержкой, а в некоторых случаях так и не была устранена. Например, в Siemens устранили и выпустили обновления для 92% уязвимостей, тогда как компания Schneider Electric ликвидировала только чуть больше половины (56%).