Хакерам под силу взрывать заводы с помощью мобильных приложений
09.10.2018 21:27
—
Разное
Воспользовавшись недочетами, найденными в софте, хакеры могут вмешиваться в процесс обмена данными между приложением и оборудованием.
Производства шагают в ногу с цифровым настоящим, а потому большинство техпроцессов завязано на использовании программ и приложений. Это просто, понятно и удобно, но вместе с тем и небезопасно. Каждый год злоумышленники находят бреши в ПО самых сильных и известных разработчиков, что уж говорить об остальных? Воспользоваться уязвимостью можно по-разному, совершенно различным может быть и масштаб катастрофы: от утечек информации до настоящей аварии, пишет MIT Technology Review.
Два специалиста в области безопасности — Александр Большев из IOActive и Иван Юшкевич из Embedi — провели прошлый год в поиске уязвимостей. Они проверили около 34 приложений от крупных компаний, включая Siemens и Schneider Electric. В ходе тестирования было найдено около 147 дыр в безопасности. Количество брешей, которые приходятся на каждую контору, специалисты раскрывать не стали, но сообщили, что только у двух участников из 34 с безопасностью все было в норме.
Воспользовавшись недочетами, найденными в софте, хакеры могут вмешиваться в процесс обмена данными между приложением и оборудованием. Таким образом, злоумышленникам ничего не стоит доставить массу серьезных проблем. Одним из менее безобидных последствий вмешательства может стать хаос, который воцарится на сборочной линии. В худшем случае — настоящий взрыв на нефтеперерабатывающем заводе. Как это может произойти? Например, благодаря уязвимости в ПО хакер получит доступ к редактированию данных оптимальных температурных режимов. То есть машина будет абсолютно уверена в том, что действует согласно всем пунктам ТБ, а на самом деле будет сильно перегреваться.
Александр Большев отмечает, что сочетание приложений и промышленных систем управления является «очень опасным коктейлем». Чтобы снизить риск воздействия извне, компании нередко реализуют многоуровневую систему безопасности и используют сразу несколько источников данных. Однако и эта подстраховка не гарантирует полной безопасности.