Claroty: большинство систем управления зданиями уязвимы и используются без защиты от вымогателей и удалённого взлома

В отчёте компании Claroty говорится, что 75% организаций по всему миру используют системы управления зданиями (BMS), в которых присутствуют известные эксплуатируемые уязвимости (KEV). В документе подчёркивается, что эти системы, отвечающие за ключевые функции — вентиляцию, освещение, энергообеспечение, доступ и безопасность, — становятся потенциальной целью атак из-за отсутствия базовых мер защиты.

Согласно отчёту, в 51% организаций, затронутых KEV, уязвимости связаны не только с программами-вымогателями, но и с тем, что соответствующие устройства небезопасно подключены к Интернету. Более того, в этих инфраструктурах как минимум 2% BMS-устройств функционируют в условиях максимально допустимого уровня риска, что ставит под угрозу критические бизнес-процессы.

В документе отмечается, что большинство подобных систем создавались до эпохи широкого сетевого взаимодействия и не учитывали необходимость киберзащиты. Устаревшие протоколы, отсутствие шифрования и жёстко прописанные или стандартные учётные данные — всё это делает BMS лёгкой целью для злоумышленников.

Как указано в отчёте Claroty, злоумышленники активно используют инструменты типа Shodan для поиска таких устройств в интернете. Обнаружив уязвимые подключения, они могут осуществлять подбор паролей и проникать в смежные сегменты сети, что создаёт опасность как для физических систем здания, так и для цифровой инфраструктуры организации.

Документ подчёркивает, что многие BMS-устройства устарели не только функционально, но и технически: они больше не поддерживаются производителями, что делает невозможным установку обновлений и устранение критических уязвимостей. Это создаёт замкнутый цикл риска — устройства работают, но не могут быть безопасно обслужены.

В отчёте Claroty также указано, что серьёзную угрозу представляет доступ третьих сторон. Поставщики и подрядчики часто используют собственные средства удалённого подключения к BMS, при этом более половины организаций применяют сразу несколько таких инструментов — от 4 до 16 в одной инфраструктуре. Большинство из них не поддерживают многофакторную аутентификацию, а значит, становятся ещё одним каналом для потенциальной атаки.

В соответствии с выводами отчёта, комплексная защита BMS требует пересмотра архитектуры доступа, инвентаризации всех подключённых устройств, внедрения сегментации и обязательного контроля со стороны команд ИБ. Без этого системы, призванные управлять безопасностью зданий, могут сами стать источником риска.