Акционерное Общество «Государственная техническая служба» (далее– АО «ГТС») подвело итоги киберсоревнования STS Cyber Challenge

9–10 декабря в г. Астана состоялся финал киберсоревнования STS Cyber Challenge, организованного АО «ГТС» при поддержке Министерства искусственного интеллекта и цифрового развития Республики Казахстан.

В первый день на церемонии открытия участие принял вице-министр МИИЦР РК Досжан Уалдинович Мусалиев и Председатель Правления АО «ГТС» Жүнісбек Аскар Рахымбайұлы. Вице-министр отметил значимость соревнования для развития кадрового потенциала отрасли и подчеркнул, что цифровые технологии стремительно проникают во все сферы жизни, а вместе с этим растет сложность киберугроз, которые требуют не только теоретической подготовки, но и глубоких практических навыков. Он отметил, что STS Cyber Challenge, зарекомендовал себя как важная площадка для выявления будущих специалистов по кибербезопасности и формирования профессионального сообщества молодых талантов.

Обращаясь к участникам, Досжан Мусалиев отметил, что участие в соревновании – это возможность проверить свои навыки в условиях, приближенных к реальным, а также стать частью сообщества, которое формирует цифровое будущее страны. Он пожелал участникам уверенности, стремления к знаниям и успешного прохождения испытаний, подчеркнув, что среди них будущие лидеры цифровой безопасности Казахстана.

В соревновании приняли участие более 500 студентов из 127 команд колледжей, а также программ бакалавриата и магистратуры по направлениям информационной безопасности, информационных технологий, компьютерной техники и смежных специальностей. В финальные этапы соревнований прошли 11 сильнейших команд, показавших высокий уровень теоретической и практической подготовки.

Особенностью STS Cyber Challenge 2025 стал усиленный акцент на заданиях направления Blue Team. В этом году участники выполняли задания по защите инфраструктуры, анализу инцидентов, исследованию атак и разработке методов их предотвращения. Эти навыки сегодня крайне востребованы как в государственном секторе, так и в бизнесе. Задания были максимально приближены к реальным условиям работы SOC-центров и служб кибербезопасности, что делает участие в соревновании особенно значимым для профессионального роста студентов.

Задания проверяли технические навыки участников, способность работать в команде, оперативно анализировать инциденты и принимать решения в условиях, приближенных к реальным сценариям кибератак. Общий призовой фонд соревнования составил 3 000 000 тенге.

Мероприятие прошло при поддержке международных компаний: Fortinet, Cisco, Marvel Kazakhstan, Лаборатория Kaspersky и PS Cloud, которые вносят значительный вклад в развитие киберкомпетенций молодых специалистов.

По итогам соревнований победителями STS Cyber Challenge стали:

I место — команда EM1X;

II место — команда OXZ3ROLOGIC;

III место — команда ORDA1NTRUDRS.

Председатель Правления АО «ГТС» в своем обращении отметил значимость проведенного мероприятия:

«Позвольте поблагодарить всех вас за активное участие и высокий уровень подготовки, который вы продемонстрировали сегодня. STS Cyber Challenge — это не просто соревнование, а важная площадка для развития профессиональных навыков, поиска новых талантов и укрепления кибербезопасности нашей страны. Сегодня участники на практике оценили свои силы, продемонстрировали готовность развиваться дальше и отвечать на современные вызовы. Подготовка будущих специалистов в сфере кибербезопасности является одним из ключевых приоритетов ГТС».

Финал STS Cyber Challenge стал значимым событием в сфере подготовки молодых кадров по кибербезопасности и подтвердил высокий интерес студентов к развитию профессиональных компетенций в области защиты цифровой инфраструктуры Республики Казахстан.

 

АО «Государственная техническая служба» объявляет о запуске профессионального обучающего курса Cybershield Certified SOC Analyst — программы, направленной на подготовку специалистов по мониторингу, реагированию и расследованию инцидентов информационной безопасности.

Программа курса включает:

• Законодательство Республики Казахстан в сфере информационной безопасности;

• Реагирование на инциденты и работу с платформой MISP;

• Основы цифровой криминалистики;

• Тестирование на проникновение (penetration testing);

• Основы работы с системой Splunk для SOC-аналитиков;

• Анализ вредоносного кода;

• Администрирование средств защиты информации.

Дата начала: 24 ноября
Формат: офлайн, занятия с преподавателями на территории АО «Государственная техническая служба»
Продолжительность: 40 часов теории и 30 дней практики
Регистрация: до 23 ноября

16  октября 2025 года состоялось IX заседание по вопросам взаимодействия Национального координационного центра информационной безопасности (НКЦИБ) и Оперативных центров информационной безопасности (ОЦИБ).

Заседание открыл Председатель Правления АО «ГТС» Асқар Жүнісбек, подчеркнувший стратегическую значимость системной работы ОЦИБ и НКЦИБ в укреплении национальной кибербезопасности.

В своем вступительном слове он отметил, что в условиях стремительного развития цифровых технологий и растущих киберугроз ключевым приоритетом остаётся своевременное реагирование на инциденты и координация действий всех участников системы информационной безопасности.

– ОЦИБы сегодня демонстрируют высокий уровень вовлеченности и профессионализма, участвуя не только в национальных, но и международных киберучениях и конференциях. Их деятельность напрямую способствует повышению устойчивости критической инфраструктуры и цифровой среды Казахстана, – отметил Председатель Правления.

В рамках заседания был рассмотрен широкий спектр вопросов, включающий законодательные изменения в порядке взаимодействия между ОЦИБ и НКЦИБ, результаты анализа эффективности совместной работы, а также практические аспекты расследования инцидентов информационной безопасности. С докладами выступили представители НКЦИБ, ОЦИБ и Агентства по регулированию и развитию финансового рынка.

Особое внимание было уделено вопросам:

-       совершенствования процедур обмена информацией между НКЦИБ и ОЦИБ;

-       проактивного подхода к выявлению и предотвращению угроз;

-       укрепления технических компетенций специалистов и развития киберфорензики.

По итогам заседания первый заместитель Председателя Правления – руководитель НКЦИБ Улыкбек  Шамбулов представил результаты киберучений ОЦИБ–2025, прошедших 11–12 сентября текущего года.

Он отметил высокий уровень подготовки команд и подчеркнул значимость практических тренировок для укрепления готовности организаций к реагированию на реальные киберинциденты.

Рейтинг ОЦИБ команд по итогам киберучений :

1-место ТОО «RTEAM»

2-место ТОО «CYBERFOX LLP»

3-место ОЮЛ «ЦАРКА»

По итогам IX заседания участники выразили уверенность, что совместные усилия в рамках НКЦИБ и ОЦИБ продолжат способствовать повышению уровня защищенности национального киберпространства и укреплению цифрового суверенитета Казахстана.

В последние месяцы ведущие мировые компании, производящие оборудование для промышленных систем автоматизации — Siemens, Rockwell Automation, Schneider Electric, ABB и другие — сообщили о новых критических уязвимостях в своих продуктах.
Под угрозой оказались контроллеры (PLC), системы SCADA/HMI, инженерные станции, сетевые модули и другое оборудование, применяемое в промышленных и инфраструктурных объектах.

 

Почему это важно для Казахстана

Подобные решения активно используются в Казахстане — в нефтегазе, энергетике, транспорте, ЖКХ, финансовом секторе и даже в медицине.
Если такие уязвимости будут использованы злоумышленниками, это может привести к остановке производственных процессов, сбоям в энергоснабжении или нарушению работы городской инфраструктуры.

Материал подготовлен для специалистов по кибербезопасности и помогает приоритизировать устранение уязвимостей. Конкретная применимость зависит от того, какие версии оборудования и ПО используются на объектах.

---

 

Что произошло у ключевых производителей

Siemens

В августе и сентябре компания выпустила почти 30 обновлений безопасности. Среди наиболее критичных:

• CVE-2025-40804 (CVSS 9.3) — уязвимость в SIMATIC Virtualization as a Service. Позволяет злоумышленнику без авторизации получить или изменить конфиденциальные данные.

• CVE-2025-40746, CVE-2025-40751 — ошибки в SIMATIC RTLS Locating Manager, дающие возможность выполнять произвольный код с правами администратора.

• Также устранены уязвимости в системах UMC, Simotion, Industrial Edge, Sinamics, которые могли привести к удалённому выполнению кода (RCE) или отказу в обслуживании (DoS).

Риски: несанкционированный доступ к инженерным станциям, сбои в работе PCS7 и WinCC, подмена конфигураций контроллеров.

---

 

Schneider Electric

Обнаружены четыре критические уязвимости в решениях EcoStruxure Power Monitoring Expert, Power Operation и Power SCADA Operation — возможны удалённое выполнение кода или утечка данных, что особенно опасно для энергетических систем.

В контроллерах Modicon M340 и модулях связи устранены ошибки, которые могли вызвать отказ оборудования при отправке вредоносных FTP-команд.
Также исправлены уязвимости в инструменте Software Update, позволявшие повышать привилегии или повреждать файлы.

Риски: искажение данных мониторинга и управления, возможность подготовки атак на критическую инфраструктуру.

---

 

Rockwell Automation

• CVE-2025-7353 (CVSS 9.3) — критическая уязвимость в модулях ControlLogix Ethernet, позволяющая получить полный контроль над устройством.

• CVE-2025-9364 — в FactoryTalk Analytics LogixAI ошибка в конфигурации базы данных Redis, что может привести к утечке данных и повышению прав.

• CVE-2025-9161 — в FactoryTalk Optix возможна загрузка и выполнение вредоносных плагинов через MQTT.

Риски: полный захват контроллеров, сбои в SCADA-системах, компрометация аналитических платформ.

---

 

ABB

В продуктах ASPECT, Nexus и Matrix обнаружены критические уязвимости — в том числе обход аутентификации и удалённое выполнение кода (RCE) без авторизации.
Некоторые из них оцениваются CVSS до 9.8, что делает их крайне опасными. ABB рекомендует обновить ПО до версии 3.08.04-s01 и выше либо изолировать уязвимые системы от сети.

Риски: удалённый захват управления и компрометация промышленных систем.

---

 

Что показывает общий анализ

За последние месяцы наблюдается рост комплексных атак, где злоумышленники используют сразу несколько уязвимостей.
Простой «реактивный» подход — когда обновления устанавливаются только после инцидента — уже неэффективен.
Необходимо переходить к устойчивой (resilient) архитектуре, которая предполагает:

• учёт всех активов и их уязвимостей;

• сегментацию сети по модели Purdue;

• применение принципа Zero Trust;

• постоянный мониторинг и контроль целостности систем.

---

 

Практические рекомендации

1. Управление обновлениями

• Вести реестр устройств и их уязвимостей.

• Перед установкой патчей оценивать, как обновление повлияет на технологический процесс.

• Тестировать обновления в изолированной среде.

• Если обновление невозможно — применять виртуальный патчинг, отключать неиспользуемые сервисы (FTP, Redis, web-debug).

• Регулярно проверять бюллетени производителей.

2. Сегментация сети

• Делить сеть по уровням: офисная часть, DMZ, SCADA, контроллеры и поле.

• Исключить прямой интернет-доступ.

• Использовать jump-серверы и data diode для безопасного обмена данными.

• Настроить многофакторную аутентификацию и минимальные права доступа.

• Ограничить протоколы и порты (разрешить только необходимые: CIP, Modbus, Profinet и др.).

3. Мониторинг и обнаружение угроз

• Развернуть специализированный OT-мониторинг.

• Интегрировать данные с SOC/SIEM.

• Контролировать целостность конфигураций ПЛК и SCADA.

• Использовать Threat Intelligence для выявления новых атак.

• Настроить детектирование аномалий — например, подозрительных FTP-команд или несанкционированного доступа к Redis.

4. Реагирование и обучение

• Обновить планы реагирования для сценариев DoS, компрометации ПЛК и др.

• Проводить тренировки с реальными сценариями.

• Обучать персонал распознавать фишинг и признаки взлома.

• Анализировать каждый инцидент для улучшения защиты.

5. Работа со старыми системами

• Включить белый список приложений.

• Запретить несанкционированные USB-устройства.

• Жёстко контролировать удалённые подключения.

• Изолировать устаревшие системы, если обновление невозможно.

---

 

Полезные ссылки

• Siemens: https://www.siemens.com/cert/advisories/

• Schneider Electric: https://www.se.com/ww/en/work/support/cybersecurity/security-notifications.jsp

• ABB: https://global.abb/group/en/technology/cyber-security/alerts-and-notifications

• Rockwell Automation: https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1731.html

25 сентября состоялось XV заседание Консультативного координационного совета по вопросам информационной безопасности (ККС), организованное Национальным координационным центром информационной безопасности АО «Государственная техническая служба».

 

В рамках заседания участники обсудили итоги выполнения решений предыдущего совета, деятельность отраслевого центра кибербезопасности, а также опыт Министерства обороны РК в вопросах защиты информационных систем. Отдельным блоком рассматривались актуальные вызовы в обеспечении информационной безопасности в государственном секторе, включая вопросы реагирования на инциденты и демонстрацию новых технологических решений в сфере защиты информации.

 

Члены совета подчеркнули важность комплексного подхода к развитию национальной системы кибербезопасности, повышения уровня взаимодействия государственных органов и обмена практическим опытом. В рамках работы ККС также было организовано техническое обучение для сотрудников государственных органов, которое проходило в течение двух дней — с 24 по 26 сентября. Программа включала практические занятия по следующим направлениям:

• Поиск и выявление тактик, техник и процедур группы UAC-0063;

• Демонстрация установки и интеграции средств защиты информации;

• Базовый статический анализ вредоносного кода.

 

В мероприятии приняли участие представители государственных органов и уполномоченных структур, среди которых Комитет по информационной безопасности МЦРИАП РК, Комитет национальной безопасности РК и Агентство РК по регулированию и развитию финансового рынка.

22 сентября в здании АО «Государственная техническая служба» при совместной организации с Cyber Labs и при поддержке Министерства цифрового развития, инноваций и аэрокосмической промышленности РК состоялся финал республиканского соревнования по кибербезопасности CTF-Bootcamp среди школьников 9–11 классов.

Главным призом стали четыре гранта в ведущие вузы Казахстана по направлению «Кибербезопасность». Для школьников это уникальная возможность сделать первый шаг в одну из самых востребованных и стратегически важных профессий современности.

Отметим, что кибербезопасность сегодня — неотъемлемая часть устойчивого развития страны. От защиты информации зависит безопасность бизнеса, государственных структур и общества в целом. Именно поэтому поддержка молодых талантов в этой сфере играет особую роль: школьники, которые сегодня пробуют свои силы в CTF, завтра смогут стать специалистами, определяющими цифровое будущее Казахстана.

Ранее, в августе, прошёл первый тур соревнований, в котором приняли участие ученики со всех регионов страны. По его итогам были определены 10 сильнейших финалистов, которые и встретились в заключительном этапе.

В соответствии с Указом Президента Республики Казахстан № 956 от 8 августа 2025 года сотрудники АО «Государственная техническая служба» получили государственные награды за значительный вклад в развитие отрасли и добросовестный труд.

– Орденом «Құрмет» награждён Шамбулов Улыкбек Кадыржанович, Первый заместитель Председателя Правления АО «Государственная техническая служба».

– Медалью «Ерен еңбегі үшін» награждён Дюсекеев Аскар Муканович, руководитель Центра исследования вредоносного кода.
АО «Государственная техническая служба» поздравляет коллег с заслуженными наградами и желает дальнейших успехов в профессиональной деятельности.

 

АО «Государственная техническая служба» поздравляет коллег с заслуженными наградами и желает дальнейших успехов в профессиональной деятельности.

АО «Государственная техническая служба» станет информационным партнером KazHackStan 2025 — крупнейшей практической конференции по кибербезопасности в Центральной Азии.

В этом году мероприятие пройдёт с 17 по 19 сентября в Алматы, SADU ARENA, и будет посвящено теме Zero Day. Zero Day — это день, когда уязвимость уже внутри системы, но никто об этом ещё не знает. Такой тип угроз позволяет злоумышленникам бесшумно проникать в самые критичные инфраструктуры — энергетику, транспорт, связь — задолго до обнаружения, делая атаку внезапной и разрушительной. Защититься заранее невозможно, потому что слабое место ещё не выявлено.

 В рамках конференции примет участие и выступит председатель правления АО «ГТС» Жүнісбек Асқар Рахымбайұлы, который поделится своим видением ключевых вызовов и перспектив развития национальной системы киберзащиты.)

KazHackStan 2025 — седьмая по счёту крупнейшая киберконференция региона, которая объединит на одной площадке представителей государства, бизнеса, экспертного сообщества и хакеров. Ожидается более 6000 участников и 65+ спикеров из Казахстана, стран СНГ, Европы, Азии и США.

Программа конференции:

Day 1 – GOVERNMENT & BUSINESS DAY: политика, регулирование, кейсы утечек и критические ошибки в киберзащите.

Day 2 – SECURE DEVELOPMENT DAY: лучшие практики безопасной разработки, защита в условиях ИИ и облачных технологий.

Day 3 – HACK DAY: живые демонстрации атак, Red Team vs Blue Team, финал крупнейшего хакерского соревнования CyberKumbez.

Организатор мероприятия — TSARKA Group совместно с КИБ МЦРИАП.

Подробнее о программе на сайте: kazhackstan.com 

 

С широким распространением цифровых устройств, подключённых к беспроводным сетям — таких как бегущие строки, электронные очереди, информационные панели, терминалы самообслуживания, интерактивные киоски и медиаэкраны — значительно возросла уязвимость инфраструктуры частного бизнеса к киберугрозам.

Нарушения в работе этих устройств, вызванные действиями злоумышленников, могут повлечь за собой не только финансовые, но и имиджевые потери для предпринимателей. Особенно актуальными становятся случаи хулиганских взломов, направленных на дискредитацию или временное выведение из строя оборудования. 

В связи с этим, в целях повышения защищённости беспроводной инфраструктуры объектов частного бизнеса и минимизации рисков несанкционированного доступа, рекомендуется реализовать следующие технические и организационные меры:

·     Настройте беспроводную сеть с применением протокола WPA3. При невозможности его использования, применить WPA2 с отключением алгоритма TKIP. Запретить применение устаревших и уязвимых протоколов шифрования, включая WEP, WPA и WPA2-PSK.

·        Установите уникальное имя SSID, не содержащее информации о типе оборудования или его владельце.

·        Активируйте ведение журналов подключения (логирование) для отслеживания времени и устройств, подключавшихся к сети.

·        Ограничьте подключение устройств с помощью списков разрешённых MAC-адресов либо внедрите аутентификацию на основе цифровых сертификатов.

·        Измените заводские логины и пароли на сетевом и управляющем оборудовании, включая медиаплееры и контроллеры.

·     Не используйте простые и стандартные пароли (например, admin/admin или 12345678). Внедрите использование сложных паролей (не менее 12 символов, включая буквы в разных регистрах, цифры и специальные символы), а также регламентируйте их периодическое обновление.

·        Ограничьте физический доступ к оборудованию, установите модули и кабели в недоступных локациях, к примеру, в шкафу или в закрытом боксе.

·        Заблокируйте неиспользуемые физические порты (USB, Ethernet) во избежание несанкционированного подключения.

·        Ограничьте доступ к кнопкам "Reset" и "Power". Разместите блоки питания в закрытых и защищённых технических помещениях. 

·        Обеспечьте регулярное обновление прошивки маршрутизаторов, точек доступа, контроллеров LED-экранов и иных сетевых компонентов.

·        Исключите использование устаревших моделей оборудования, не поддерживающих актуальные протоколы и механизмы защиты.

Соблюдение данных рекомендаций может позволить повысить устойчивость беспроводной инфраструктуры к внешним угрозам и обеспечить надёжную работу уличных цифровых решений.

Мировой обзор уязвимостей в АСУ ТП

В условиях стремительного развития цифровых технологий и автоматизации производственных процессов системы управления технологическими процессами (АСУ ТП) играют ключевую роль в обеспечении бесперебойной работы критической инфраструктуры Казахстана, включая энергетику, нефтегазовую отрасль и промышленное производство. Эти системы обеспечивают стабильность и эффективность работы объектов, однако их сложность и взаимосвязанность делают их привлекательной мишенью для киберугроз. С ростом зависимости от автоматизированных решений возрастает и риск экплуатации уязвимостей, способных нарушить функционирование критически важных систем.

В первом квартале 2025 года были выявлены значимые уязвимости АСУ ТП, затрагивающие оборудование и программное обеспечение от ведущих производителей, таких как Siemens, Schneider Electric и Rockwell Automation, что подчеркивает необходимость повышенного внимания к вопросам кибербезопасности. Эти уязвимости представляют угрозу для безопасности объектов критической инфраструктуры и своевременное устранение данных проблем и внедрение мер защиты являются приоритетными задачами для обеспечения устойчивости технологических процессов.

Ниже представлен обзор ключевых уязвимостей, выявленных в первом квартале 2025 года, с описанием затронутых систем, типов и степени критичности, потенциальных последствий и рекомендаций по устранению.

Siemens Sinamics S200 (серво-приводы)

Производитель: Siemens

CVE: CVE-2024-56336

Тип затронутых систем: серво-приводы Sinamics S200

Тип и степень критичности: критическая уязвимость загрузчика прошивки (CVSS 9.5)

Описание уязвимости: незаблокированный загрузчик прошивки (bootloader) может позволить злоумышленнику, имеющему физический или сетевой доступ к устройству, загрузить вредоносный код или несанкционированное программное обеспечение.

Рекомендации по устранению: для работы устройств в защищенной ИТ-среде компания «Siemens» рекомендует настроить среду в соответствии с руководством по промышленной безопасности компании «Siemens» (скачать: https://www.siemens.com/cert/operational-guidelines-industrial-security), а также следовать рекомендациям, содержащимся в руководствах к продуктам.

 

Schneider Electric System Monitor (промышленные ПК)

Производитель: Schneider Electric

Тип затронутых систем: промышленные компьютеры Harmony и Pro-face

Тип и степень критичности: критическая уязвимость раскрытия учетных данных (CVSS: 9.8)

Описание уязвимости: раскрытие чувствительной информации при отправке специальных HTTP-запросов, что может позволить злоумышленнику получить учетные данные без прохождения процедуры авторизации.

Рекомендации по устранению:

·       отключить или удалить приложение System Monitor, если его использование не требуется, путем остановки сервисов согласно инструкциям в руководствах Harmony Industrial PC Series User Manual и Pro-face PS5000 legacy industrial PC Series User Manual;

·       сегментировать сеть и настроить межсетевой экран для блокировки неавторизованного доступа к HTTP/HTTPS-портам.

 

Schneider Electric PLC Modicon M580 и модуль BMENOR2200H

Производитель: Schneider Electric

CVE: CVE-2024-11425

Тип затронутых систем: программируемые логические контроллеры Modicon M580 и модуль BMENOR2200H

Тип и степень критичности: высокая уязвимость неправильного расчета размера буфера (CVSS 8.7)

Описание уязвимости: уязвимость связана с некорректным расчётом размера буфера в веб-сервере контроллера. Эксплуатация уязвимости может позволить злоумышленнику инициировать атаку отказа в обслуживании (DoS) посредством отправки специально сформированного HTTPS-пакета.

Рекомендации по устранению:

·       обновить прошивку до исправленных версий (SV4.30 для стандартных моделей, SV4.21 для безопасных моделей, версия 1.3.10 для зарядных станций EVLink Pro AC);

·       ограничить сетевой доступ к контроллерам, в частности, закрыть внешний доступ к порту 443/TCP.

 

Rockwell Automation FactoryTalk AssetCentre

Производитель: Rockwell Automation

CVE: CVE-2025-0477

Тип затронутых систем: система управления активами FactoryTalk AssetCentre

Тип и степень критичности: критическая уязвимость криптографической защиты (CVSS 9.3)

Описание уязвимости: недостаточная криптографическая защита данных, используемая до версии 15.00.01, может позволить злоумышленнику извлечь пароли пользователей из зашифрованных данных и выполнить эскалацию привилегий.

Рекомендации по устранению:

·       обновить FactoryTalk AssetCentre до версии 15.00.01 или более поздней;

·       контролировать доступ к базе данных, где хранятся зашифрованные данные, ограничив его для неосновных пользователей;

·       ограничить доступ к базе данных в соответствии с принципом наименьших привилегий.

 

Состояние уязвимостей АСУ ТП в Казахстане

 

В ходе мониторинга казахстанского сегмента Интернета Национальным координационным центром информационной безопасности был выявлен ряд IP-адресов, использующих протокол Modbus (порт 502) и протокол IEC 60870-5-104 (порт 2404). Оба протокола активно применяются в АСУ ТП, а также в критически важной инфраструктуре, что делает их особенно уязвимыми для атак.

В ходе анализа выявленных IP-адресов было установлено, что они принадлежат организациям, работающим в таких ключевых отраслях, как энергетика, промышленность, автоматизация и строительство. Эти компании занимаются производством и поставкой оборудования для учета электрической и тепловой энергии, воды и газа, а также разработкой инновационных решений для распределения энергии. Помимо этого, организации реализуют проекты, требующие высокой квалификации в области строительства, экологии и радиационной безопасности, а также занимаются разработкой специализированного программного обеспечения для различных отраслей.

Протокол Modbus был разработан в 1979 году и изначально не предусматривал современных требований кибербезопасности. Он обеспечивает обмен данными между устройствами в системах автоматизации, таких как контроллеры, сенсоры и SCADA-системы. При этом Modbus лишен механизмов аутентификации и шифрования. Это означает, что любой, кто получает доступ к сети, может отправлять команды или перехватывать данные, что делает систему уязвимой для атак.

При дальнейшем анализе на одном из IP-адресов была обнаружена версия оборудования Schneider Electric TM200CE24T V0.2, применяемого в промышленности, энергетике, транспорте и других сферах. TM200CE24T является частью линейки контроллеров Schneider Electric. При оценке безопасности данного устройства важно учитывать возможные уязвимости, обнаруженные в других моделях и программном обеспечении Schneider Electric. В частности, уязвимости, связанные с протоколами Modbus TCP (например: CVE-2021-22779), могут представлять потенциальные риски, такие как обход аутентификации и выполнение удаленного кода. Эти уязвимости характерны для некоторых других моделей контроллеров Schneider Electric и могут служить основанием для усиленного внимания к информационной безопасности TM200CE24T V0.2.

Протокол IEC 60870-5-104 предназначен для передачи данных в реальном времени в системах телемеханики и SCADA, особенно в сфере энергетики. Он работает поверх TCP/IP и обеспечивает управление объектами инфраструктуры. Однако, как и Modbus, этот протокол не имеет встроенных механизмов безопасности. Это делает его уязвимым для атак MITM, подмены сообщений, а также повторного использования ранее отправленных команд.

Порт 2404 в сети Интернет, используемый протоколом IEC 60870-5-104, предназначен для передачи данных в телемеханических системах и по функциональности обеспечивает доступ к управляющим сигналам и телеметрическим данным. Если он открыт для общего доступа в Интернет, злоумышленники могут получить доступ к этим данным и даже вмешаться в управление объектами, что может привести к серьезным последствиям, таким как нарушение работы энергосетей или отключение критически важного оборудования. Также наличие открытого порта 2404 на обнаруженных IP-адресах позволяет злоумышленникам получить доступ к телеметрическим данным или управляющим сигналам. Это увеличивает риск проведения DoS/DDoS-атак, которые могут перегрузить систему, вывести из строя критически важные процессы или даже нарушить работу целых объектов инфраструктуры.

Подводя итоги, можно с уверенностью сказать, что кибербезопасность для АСУ ТП требует особого внимания. Обнаруженные нами уязвимости в протоколах Modbus и IEC 60870-5-104 свидетельствуют о необходимости модернизации подходов к защите таких систем.

Отсутствие встроенных механизмов безопасности делает указанные протоколы легкой мишенью для злоумышленников, что может привести к остановке производственных процессов, утечке данных или повреждению оборудования. Это особенно опасно для объектов критической инфраструктуры, где такие сбои могут повлечь серьезные экономические и социальные последствия.

Для минимизации рисков, связанных с выявленными уязвимостями, Национальный координационный центр информационный безопасности подготовил рекомендации.

·        Своевременно устанавливать обновления и патчи, предоставляемые производителями.

·        Сегментировать сети управления, изолируя их от внешних и внутренних сетей.

·        Исключить доступ к системам управления из Интернета. Размещать сети управления и удалённые устройства за межсетевыми экранами и изолировать их от корпоративной сети.

·        Ограничивать удалённый доступ с использованием VPN и многофакторной аутентификации. 

·        Проверять все носители, предназначенные для обмена данными (например, USB-накопители, CD-диски), перед их использованием в изолированных сегментах сети.

·        Применять строгие политики паролей и регулярно обновлять учётные данные. 

·        Внедрять мониторинг сетевой активности для выявления аномалий. 

·        Проводить регулярные аудиты безопасности и обучение персонала принципам кибербезопасности в промышленной среде.

Соблюдение данных мер позволит снизить вероятность эксплуатации уязвимостей и обеспечить надёжность систем АСУ ТП в условиях современных киберугроз.

 

Ссылки на источники:

https://cert-portal.siemens.com/productcert/html/ssa-787280.html

https://www.cisa.gov/news-events/ics-advisories/icsa-25-030-03

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2025-014-01&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2025-014-01.pdf

https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1721.html