Исследователь Диллан Бересфорд был одним из группы экспертов, администраторов и промышленных специалистов, которые выступали на конференции Black Hat с докладами, посвященными уязвимостям программируемых логических контроллеров.
Даже в свете атаки червя, экспертная группа считает, что Siemens является одним из лучших производителей программного обеспечения, когда речь идет об обеспечении безопасности своих PLC систем. Джонатан Полет, основатель и главный консультант по вопросам безопасности и тестирования в фирме Red Tiget, утверждает, что многие производители не в состоянии обеспечить даже минимальную защиту своих контроллеров.
"Он открыл ящик Пандоры, с которым мы имеем дело в течение уже долгого времени", - говорит Полет об исследовании Бересфорда.
"Я думаю, что Siemens является одной из немногих компаний, которые используют пароли для отправки команд PLC".
Основная проблема, по словам Полета, состоит в том, что большая часть промышленного оборудования основана на устаревших платформах, которые никогда не предназначались для работы со сложными сетевыми инфраструктурами. Что касается контроллеров, то многие из них в силу конструкции просты в доступе и легки в обращении.
Тим Рокси, директор отдела оценки рисков и технологий в North American Electric Reliability Corporation, рассказал репортерам о том, что решение проблемы будет требовать гораздо больше усилий, чем просто бюллетени по безопасности и рекомендации администраторам.
"Это займет много времени", - отметил Рокси. "Характер данного вопроса выходит за рамки электроэнергетического сектора, это все важнейшие объекты инфраструктуры не только в США, но и по всему миру".
Однако, эксперты говорили не только в негативных тонах. Исследователи отмечали, что хотя инфраструктура и уязвима, большое количество и разнообразие различных действующих PLC обеспечивает безопасность, и причинить вред объекту или региону в целом крайне сложно.
Том Паркер, директор службы безопасности Securicon, сказал, что в крайних случаях, таких как Stuxnet, хакеры обладали узкоспециализированными знаниями систем, которые они собирались атаковать, в том числе и о том, как они вписываются в общую инфраструктуру объекта.
"Было бы намного сложнее, чем представляют себе люди, вывести из строя все электрические сети", - заявил Паркер. "Бесспорно, все еще существует масса проблем, но их масштаб немного преувеличен".
Xakep.ru