Microsoft Defender защищает так, что заводы останавливаются. Siemens уже считает убытки
NewsMakerКогда антивирус оказался опаснее вирусов…
Siemens столкнулась с неожиданной проблемой на стыке промышленности и цифровой безопасности. Антивирусное ПО от Microsoft оказалось способно не только защищать корпоративные системы, но и непреднамеренно блокировать работу производственных объектов, включая критичные участки управления.
Поводом для беспокойства стала работа защитного комплекса Microsoft Defender Antivirus, который используется в сочетании с автоматизированными системами Siemens Simatic PCS. Эти решения широко применяются на промышленных предприятиях для управления сложными технологическими процессами, от энергетики до химического производства.
Проблема заключается в отсутствии у антивируса полноценного режима, при котором угрозы фиксируются, но никакие действия автоматически не предпринимаются. В документации Siemens предусмотрена возможность настройки уровней реакции системы — чтобы при обнаружении подозрительных файлов Defender лишь уведомлял оператора или администратора, не вмешиваясь в работу оборудования. Однако на практике такой режим попросту не реализован.
Сейчас владельцы промышленных комплексов вынуждены выбирать между двумя одинаково рискованными сценариями. Если задать параметр "игнорировать", антивирус полностью пропускает потенциально вредоносные объекты — ни блокировки, ни уведомлений о них не происходит. С другой стороны, любые другие настройки приводят к тому, что Defender может самостоятельно удалить или изолировать файлы, распознав их как вредоносные, включая те, что в реальности оказываются критически важными для функционирования систем.
Siemens предупреждает: если подобное произойдёт, отдельные устройства на предприятии могут выйти из строя. Это грозит частичной или полной потерей контроля над технологическим процессом, сбоями в мониторинге и управлении оборудованием. Для крупных производств, где автоматизация играет ключевую роль, такие сбои могут иметь серьёзные последствия — от остановки линий до сбоев в работе энергетических или химических объектов.
Пока компания совместно с Microsoft разрабатывает устойчивое решение, Siemens рекомендует предприятиям временно самостоятельно оценить потенциальные риски. В качестве временной меры операторам предлагают провести анализ и определить, готовы ли они пожертвовать автоматическим контролем ради безопасности или наоборот — смягчить антивирусные меры, чтобы избежать критических сбоев.
Кроме того, специалисты советуют гибко подходить к конфигурации оборудования. Администраторы могут объединять устройства в отдельные группы и настраивать для каждой из них индивидуальные параметры защиты. Такой подход позволит минимизировать вероятность отключений, сохранив при этом базовый уровень безопасности.
Данная ситуация является ярким примером сложностей, с которыми сталкиваются современные промышленные системы управления при интеграции с корпоративными ИТ-решениями. Вопросы безопасности SCADA-систем и промышленной автоматизации становятся всё более актуальными в условиях цифровизации производства.
Siemens столкнулась с неожиданной проблемой на стыке промышленности и цифровой безопасности. Антивирусное ПО от Microsoft оказалось способно не только защищать корпоративные системы, но и непреднамеренно блокировать работу производственных объектов, включая критичные участки управления.
Поводом для беспокойства стала работа защитного комплекса Microsoft Defender Antivirus, который используется в сочетании с автоматизированными системами Siemens Simatic PCS. Эти решения широко применяются на промышленных предприятиях для управления сложными технологическими процессами, от энергетики до химического производства.
Проблема заключается в отсутствии у антивируса полноценного режима, при котором угрозы фиксируются, но никакие действия автоматически не предпринимаются. В документации Siemens предусмотрена возможность настройки уровней реакции системы — чтобы при обнаружении подозрительных файлов Defender лишь уведомлял оператора или администратора, не вмешиваясь в работу оборудования. Однако на практике такой режим попросту не реализован.
Сейчас владельцы промышленных комплексов вынуждены выбирать между двумя одинаково рискованными сценариями. Если задать параметр "игнорировать", антивирус полностью пропускает потенциально вредоносные объекты — ни блокировки, ни уведомлений о них не происходит. С другой стороны, любые другие настройки приводят к тому, что Defender может самостоятельно удалить или изолировать файлы, распознав их как вредоносные, включая те, что в реальности оказываются критически важными для функционирования систем.
Siemens предупреждает: если подобное произойдёт, отдельные устройства на предприятии могут выйти из строя. Это грозит частичной или полной потерей контроля над технологическим процессом, сбоями в мониторинге и управлении оборудованием. Для крупных производств, где автоматизация играет ключевую роль, такие сбои могут иметь серьёзные последствия — от остановки линий до сбоев в работе энергетических или химических объектов.
Пока компания совместно с Microsoft разрабатывает устойчивое решение, Siemens рекомендует предприятиям временно самостоятельно оценить потенциальные риски. В качестве временной меры операторам предлагают провести анализ и определить, готовы ли они пожертвовать автоматическим контролем ради безопасности или наоборот — смягчить антивирусные меры, чтобы избежать критических сбоев.
Кроме того, специалисты советуют гибко подходить к конфигурации оборудования. Администраторы могут объединять устройства в отдельные группы и настраивать для каждой из них индивидуальные параметры защиты. Такой подход позволит минимизировать вероятность отключений, сохранив при этом базовый уровень безопасности.
Данная ситуация является ярким примером сложностей, с которыми сталкиваются современные промышленные системы управления при интеграции с корпоративными ИТ-решениями. Вопросы безопасности SCADA-систем и промышленной автоматизации становятся всё более актуальными в условиях цифровизации производства.