МОСКВА, 19 ноя /ПРАЙМ/. Около 20% уязвимостей программного обеспечения (ПО) выявляется в промышленном сетевом оборудовании, сообщает компания "Ростелеком-Солар".

Отмечается, что специалисты лаборатории кибербезопасности компании проанализировали более 170 уязвимостей, выявленных в ПО и программно-аппаратных комплексах (ПАК), которые массово используются в электроэнергетике, нефтегазовой и химической промышленности, на производственных предприятиях, а также для автоматизации инженерных систем и домашней автоматизации. Добавляется, что для использования злоумышленником основных уязвимостей нужен только сетевой доступ к атакуемой системе. Кроме того, 72% уязвимостей относятся к высокому или критическому уровню опасности.

"По нашим оценкам, по всему миру около 20% уязвимостей выявляются в промышленном сетевом оборудовании. При этом многие международные промышленные компании, в том числе Schneider Electric, в последнее время публикуют бюллетени по кибербезопасности, в том числе по уязвимостям, исключительно на собственных ресурсах или, в лучшем случае, передают их только в национальные CERT. Это приводит к снижению информированности предприятий о возможных векторах кибератак на технологические сегменты инфраструктуры и, как результат, к снижению общего уровня защищенности", — сказано в релизе.

В компании рассказали, что в 28% случаев в промышленном ПО и ПАК выявлялись уязвимости, связанные с управлением доступом, в 22% — с разглашением информации, в том числе критической, в 17% — с подверженностью исследуемого ПО различным инъекциям, которые в будущем могут помочь злоумышленнику получить преимущества – от доступа к конфиденциальной информации до полного контроля над системой. Также, в 7% случаев были замечены уязвимости связанные с проблемами работы с памятью.

"Производителям была направлена вся информация о выявленных уязвимостях, в данный момент они находятся на той или иной стадии исправления", — говорится в сообщении.

"Ростелеком-Солар", компания "Ростелекома" — национальный провайдер сервисов и технологий для защиты информационных активов, целевого мониторинга и управления информационной безопасностью.