Системи автоматичного контролю і збору інформації (SCADA) активно використовуються для диспетчерського контролю в промисловості та енергетиці, тому атаки на SCADA-системи можуть становити суттєву загрозу для різних об'єктів критичної інфраструктури. Людино-машинний інтерфейс (Human Machine Interface, HMI) є одним з важливих компонентів SCADA і його компрометація дозволить зловмисникам отримати доступ до критичної інфорастурктуре. Експерти компанії Trend Micro проаналізували попередження ICS-CERT за період з 2015 по 2016 роки, пов'язані з HMI уразливими, і прийшли до невтішних висновків.
Як з'ясувалося, 20% досліджених вразливостей спричинені пошкодження пам'яті (переповнення буфера, уразливості читання \ запису за межами поля (out-of-bounds read / write) і т. ); 19% проблем були пов'язані з обліковими даними (вшиті паролі, приховані облікові записи з повними правами, зберігання паролів у відкритому вигляді); 23% вразливостей виникали в зв'язку з відсутністю механізмів авторизації; 9% проблем дозволяли впровадження коду.
Примітно, що за останні чотири роки оперативність усунення вразливостей залишилася практично на колишньому рівні - близько 140 днів. Як зазначається, виробники SCADA-систем основну увагу приділяють встаткування технологічному, а не програмного забезпечення, оскільки саме апаратні засоби приносять їм великий прибуток.
Доповідь також вказує на помилки, які роблять компанії. Наприклад, багато хто з них усувають тільки певні уразливості (замінюють вразливі API, відключають проблемні функції і т. ), Але не більше того.
«Виробникам HMI і SCADA-рішень слід взяти до уваги практики безпеки життєвого циклу, реалізовані розробниками ОС і додатків за останні десять років. До того ж їм варто очікувати, що їхні продукти будуть використовуватися не за призначенням, наприклад, будуть підключені до публічної мережі.
З урахуванням найгірших сценаріїв, розробники можуть реалізувати комплексні заходи щодо забезпечення безпеки », - наголошується в звіті дослідників.
SCADA (Supervisory Control And Data Acquisition, диспетчерське управління і збір даних) - програмний пакет, призначений для розробки або забезпечення роботи в реальному часі систем збору, обробки, відображення та архівування інформації про об'єкт моніторингу або управління. SCADA-системи використовуються у всіх галузях господарства, де потрібно забезпечувати автоматичне керування технологічними процесами в режимі реального часу.