myPRO

Продукт
Разработчики: mySCADA Technologies
Технологии: SCADA

Содержание

Продукт mySCADA myPRO[1] представляет собой систему визуализации и управления промышленными процессами, которая может быть установлена на операционные системы Windows или Linux и позволяет визуализировать данные из АСУ ТП с помощью веб-интерфейса.

История

2024: Обнаружение опасной уязвимости, исправление для россиян недоступно

В системе визуализации и управления промышленными процессами mySCADA myPRO ФСТЭК в начале июля обнаружила уязвимость BDU:2024-05050[2], которая позволяет удаленному злоумышленнику выполнить произвольный код. Уязвимость связана с предустановленными учетными данными, то есть вшитыми в ПО паролями от административных учетных записей. Опасность уязвимости по методике оценки CVSS 3.1 составляет 9,8 из 10. Указано, что в версии myPRO 8.31.0 ошибка исправлена, и нужно бы до нее обновиться, однако производитель – чешская компания – настроена против российских пользователей.

myPRO позволяет с помощью веб-интерфейса управлять АСУ ТП

«
mySCADA - простой и удобный инструмент визуализации промышленных процессов, он был довольно широко распространён в России до санкций, в которых производитель продукта, чешская компания, выступает с очень жёстких позиций, – пояснил для TAdviser ситуацию Рустэм Хайретдинов, заместитель генерального директора группы компаний «Гарда», – Доступ к системе осуществляется через обычный веб-браузер. Дополнительным преимуществом является возможность написания сценариев на языке JavaScript, что позволяет пользователям расширять функциональность системы. Ввиду всего вышесказанного такие системы небезопасны сами по себе, поэтому их обычно проектируют без прямой связи с технологическим контуром. Поэтому при классической архитектуре вряд ли хакеру удастся получить контроль над технологическим процессам, то есть нанести вред промышленной инфраструктуре и, тем более, здоровью и жизни людей.
»

В то же время, по мнению Владимира Дащенко, эксперта по кибербезопасности Kaspersky ICS CERT, ситуация может оказаться опасной.

«
Это достаточно критичная уязвимость, так как речь идет о потенциальном бэкдоре – это недекларированный функционал ПО, а именно «вшитые» аутентификационные данные, – заявил он в переписке с TAdviser. – Непонятно, были ли они забыты или же оставлены с намерением. Когда в компании внедрены лучшие практики безопасной разработки, то такие ситуации невозможно пропустить. Эксплуатация такой уязвимости может нести очень серьёзные последствия для технологического процесса.
»

Действительно, принятый в России ГОСТ Р 65939 определяет процессы разработки безопасного программного обеспечения, где предусмотрена проверка в том числе и на наличие встроенных учетных данных – этот процесс должен выполнять сам производитель. Причем ФСТЭК своими требованиями по использованию ПО, которое проверено на безопасность, фактически обязывает производителей программного обеспечения внедрять проверки на наличие встроенных административных привилегий в конвейер разработки. Однако у чешской компании, похоже, подобные процедуры реализованы не были. В результате пользователям ее продуктов приходиться либо обновляться до новой версии – 8.31.0, либо выполнять следующие рекомендации ФСТЭК:

  • сегментировать сети для ограничения доступа к промышленному сегменту из других подсетей;
  • ограничить доступ из внешних сетей (интернет) к промышленному сегменту;
  • использовать виртуальные частные сети для организации удаленного доступа (VPN);
  • применять средства межсетевого экранирования для ограничения возможности прямого удалённого доступа.

«
Необходимо следовать принципам эшелонированной защиты своих активов, – дополнил рекомендации ФСТЭК Владимир Дащенко. – Также использовать специализированные средства защиты для промышленных сетей и автоматизированных систем, регулярно обучать персонал и пользоваться сервисами раннего информирования об угрозах. Еще рекомендую проверять ПО силами сторонних исследователей на предмет наличия недекларированных возможностей и уязвимостей «нулевого дня».
»

Примечания



Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  КРУГ НПФ (83)
  РТСофт (RTSoft) (9)
  Консом групп, Konsom Group (КонсОМ СКС) (9)
  Фиорд (Fiord) (6)
  Клинкманн СПб (Klinkmann) (5)
  Другие (96)

  КРУГ НПФ (7)
  Добротех (2)
  Свизитом (Svisitom) (2)
  Schneider Electric Global (1)
  Siemens AG (Сименс АГ) (1)
  Другие (7)

  КРУГ НПФ (8)
  Юникорн (1)
  Exeplant, Экзеплэнт (ранее МЕС Инжиниринг, MES Engineering) (1)
  Schneider Electric (1)
  ГектИС НПФ (1)
  Другие (8)

  КРУГ НПФ (11)
  РИР (Росатом Инфраструктурные решения) (1)
  Росатом (1)
  Цифровые Платформы и Решения Умного Города (1)
  Другие (1)

  КРУГ НПФ (4)
  Системы и технологии (2)
  AirBit (АирБит) (1)
  Reksoft (Рексофт) (1)
  Техконсур (1)
  Другие (2)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  КРУГ НПФ (5, 85)
  ARC Informatique (2, 12)
  Wonderware (4, 10)
  Honeywell Process Solutions (HPS) (3, 9)
  Siemens Digital Industries Software (ранее Siemens PLM Software) (2, 7)
  Другие (149, 68)

  КРУГ НПФ (3, 7)
  Свизитом (Svisitom) (1, 2)
  Siemens AG (Сименс АГ) (2, 1)
  Schneider Electric Global (1, 1)
  Доза НПП (1, 1)
  Другие (4, 4)

  КРУГ НПФ (3, 8)
  Schneider Electric (1, 1)
  Группа компаний 1520 (1, 1)
  Коркласс (ранее ТехноИнвестПроект УК Технологии Проектных Инвестиций) (1, 1)
  Новософт (1, 1)
  Другие (5, 5)

  КРУГ НПФ (4, 11)
  РИР (Росатом Инфраструктурные решения) (3, 3)
  Другие (0, 0)

  КРУГ НПФ (3, 4)
  Системы и технологии (1, 2)
  AdAstra Research Group (АдАстра Рисерч Груп) (1, 1)
  Reksoft (Рексофт) (1, 1)
  РИР (Росатом Инфраструктурные решения) (1, 1)
  Другие (1, 1)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  ПТК КРУГ-2000 - 59
  SCADA КРУГ-2000 - 54
  DevLink-C1000 Промышленные контроллеры - 24
  PcVue - 10
  АСУ ТП Experion Process Knowledge System (PKS) - 9
  Другие 88

  ПТК КРУГ-2000 - 5
  SCADA КРУГ-2000 - 5
  DevLink-C1000 Промышленные контроллеры - 3
  Свизитом: Эксплуатация и обслуживание зданий - 2
  НИПИгазпереработка: Комплексное решение по контролю за логистикой мегапроектов - 1
  Другие 7

  SCADA КРУГ-2000 - 6
  ПТК КРУГ-2000 - 5
  DevLink-C1000 Промышленные контроллеры - 4
  Инка Цифровое производство (Консом.Инка.ЦП, Konsom.Inka.DI) - 1
  Novosoft Nerpa SCADA - 1
  Другие 6

  ПТК КРУГ-2000 - 10
  SCADA КРУГ-2000 - 10
  DevLink-C1000 Промышленные контроллеры - 2
  КРУГ: Система Реального Времени Контроллеров (СРВК) - 2
  Росатом Цифровой водоканал - 1
  Другие 2

  ПТК КРУГ-2000 - 4
  SCADA КРУГ-2000 - 4
  Системы и технологии: Пирамида 2.0 - 2
  DevLink-C1000 Промышленные контроллеры - 1
  SCADA Trace Mode - 1
  Другие 3