Хакерам под силу взрывать заводы с помощью мобильных приложений

Два специалиста в области безопасности — Александр Большев из IOActive и Иван Юшкевич из Embedi — провели прошлый год в поиске уязвимостей. Они проверили около 34 приложений от крупных компаний, включая Siemens и Schneider Electric. В ходе тестирования было найдено около 147 дыр в безопасности. Количество брешей, которые приходятся на каждую контору, специалисты раскрывать не стали, но сообщили, что только у двух участников из 34 с безопасностью все было в норме.

Воспользовавшись недочетами, найденными в софте, хакеры могут вмешиваться в процесс обмена данными между приложением и оборудованием. Таким образом, злоумышленникам ничего не стоит доставить массу серьезных проблем. Одним из менее безобидных последствий вмешательства может стать хаос, который воцарится на сборочной линии. В худшем случае — настоящий взрыв на нефтеперерабатывающем заводе. Как это может произойти? Например, благодаря уязвимости в ПО хакер получит доступ к редактированию данных оптимальных температурных режимов. То есть машина будет абсолютно уверена в том, что действует согласно всем пунктам ТБ, а на самом деле будет сильно перегреваться.

Александр Большев отмечает, что сочетание приложений и промышленных систем управления является «очень опасным коктейлем». Чтобы снизить риск воздействия извне, компании нередко реализуют многоуровневую систему безопасности и используют сразу несколько источников данных. Однако и эта подстраховка не гарантирует полной безопасности.