Компания «Ростелеком-Солар» подвела итоги двух лет сотрудничества с «Банком данных угроз безопасности информации» ФСТЭК России. За это время небольшая группа исследователей выявила в промышленном ПО и оборудовании большое количество высококритичных уязвимостей: эксперты «Ростелеком-Солар» Илья Карпов, Евгений Дружинин и Константин Кондратьев передали регулятору информацию о 120 обнаруженных уязвимостях программного обеспечения, 115 из которых связаны с компонентами АСУ ТП зарубежных и отечественных разработчиков. Это позволило занять «Ростелеком-Солар» первое место в рейтинге исследователей «Базы данных уязвимостей» ФСТЭК России.
Работа над ошибками
Лаборатория кибербезопасности АСУ ТП компании «Ростелеком-Солар» сотрудничает с зарубежными и отечественными производителями промышленного оборудования в части выявления и устранения уязвимостей в их решениях. В 2020 году эксперты «Ростелеком-Солар» помогли устранить критические уязвимости в промышленном оборудовании таких крупных компаний как Schneider Electric и MOXA. После получения информации от исследователей производители элементов промышленных систем выпустили обновления безопасности для своих продуктов. Большой вклад в процесс выявления и устранения уязвимостей внес и Национальный киберполигон, в рамках которого эксперты «Ростелеком-Солар» также проверили на защищенность программное обеспечение и компоненты промышленных систем.
В результате проделанной работы среднее значение показателя «важность» по найденным специалистами «Ростелеком-Солар» уязвимостям составляет 8,88 из 10. Оно определяется в соответствии с объектом исследования, то есть типом программного обеспечения. Высокий балл по этому показателю обусловлен тем, что значительная часть обнаруженных уязвимостей относится к встроенному ПО компонентов промышленных систем. Среднее значение критичности обнаруженных уязвимостей, которое рассчитывается в соответствии с международной системой оценки уязвимостей CVSS 3.0, составляет 7,67 балла. Информация обо всех уязвимостях попадает в «Банк данных угроз» ФСТЭК России после того, как ее подтверждает производитель уязвимого продукта. Далее она уже может передаваться в другие базы, например, MITRE.
«Среди уязвимостей, которые наиболее часто выявляют наши исследователи, проблемы, связанные с управлением доступом, – пожаловался руководитель отдела кибербезопасности АСУ ТП компании «Ростелеком-Солар» Ян Сухих. – В ряде случаев это уязвимости, позволяющие повысить пользовательские привилегии, а иногда и полностью обойти механизмы аутентификации и авторизации. Кроме того, мы видим проблемы с реализацией криптографии: ненадежные криптоалгоритмы позволяют злоумышленнику получить контроль над трафиком того или иного устройства. Если мы говорим об оборудовании, которое используется в жизненно важных отраслях, например топливно-энергетическом комплексе, подобные уязвимости могут привести к серьезным авариям. Поэтому для нас очень важно способствовать повышению защищенности российских промышленных предприятий».
Индустрия уязвимостей
На заре становления индустрии работы с уязвимостями каждый исследователь безопасности информационных систем мог поделиться сведениями о найденных им уязвимостях. Однако очень быстро стала понятна опасность такого подхода — хакеры быстро разрабатывали инструменты для взлома систем и атаковали беззащитные продукты. Поэтому была выработана схема, при которой информация об уязвимостях публиковалась только после исправления ошибки производителем. Однако не все разработчики были готовы слушать отдельных исследователей, поэтому очень быстро возникли организации, которые собирали сведения об уязвимостях и настоятельно рекомендовали разработчикам исправлять уязвимости.
Естественно, что государство не захотело стоять в стороне и решило возглавить этого процесс. В России на базе ФСТЭК была создана «База угроз и уязвимостей», а в соответствии с требованиями нормативных документов по ГосСОПКА информация об обнаруженных российскими гражданами уязвимостях должна вначале направляться в соответствующую базу, а только потом разрешается передавать эту информацию в другие организации и ведомства, которые занимаются сбором информации по уязвимостям. Причем у ФСТЭК появилась и нормативная база требовать от разработчиков, как российских, так и иностранных, исправления ошибок в ПО — в противном случае будет отозвана лицензия. Так что сейчас именно государственные базы данных по уязвимостям становятся первоисточником подобных сведений. Частные исследователи, которые занимаются выявлением подобных проблем, вынуждены взаимодействовать с государственными структурами. Именно так и обеспечивается сейчас не только обнаружение ошибок в ПО, но и их своевременное исправление. Естественно, что разработчикам решений приходиться подчиняться требованиям законодательства.
