Beveiligingslekken in SCADA-software, waar fabrieken, industrieën en de vitale infrastructuur gebruik van maken, worden gemiddeld na zo'n 150 dagen door de leverancier gepatcht. Zo meldt beveiligingsbedrijf Trend Micro in een nieuw rapport op basis van eigen onderzoek (pdf).

Daarmee zijn SCADA-leveranciers trager dan bedrijven als Apple, Adobe of Microsoft, maar sneller dan bedrijven zoals HP en IBM. Het voornaamste probleem dat wordt gevonden betreft het gebrek aan authenticatie/autorisatie en onveilige instellingen. Het gaat dan bijvoorbeeld om het onversleuteld versturen van gevoelige informatie, het ontbreken van encryptie en het gebruik van onveilige ActiveX-controls. Een ander veelvoorkomend probleem heeft met inloggegevens te maken, zoals het gebruik van hardcoded wachtwoorden en het onversleuteld opslaan van wachtwoorden.

In het geval een kwetsbaarheid wordt gevonden hebben SCADA-leveranciers gemiddeld zo'n 150 dagen de tijd nodig om met een update te komen. Sommige partijen weten gemiddeld al na 23 dagen een patch uit te rollen, terwijl grotere leveranciers zoals ABB, GE, Indusoft en PTC meer dan 200 dagen bezig zijn. Wordt de SCADA-industrie met andere industrieën vergeleken, dan doen de leveranciers het niet eens zo slecht. Partijen als Microsoft, Apple, Oracle en Adobe weten kwetsbaarheden gemiddeld in minder dan 120 dagen op te lossen.

Leveranciers van beveiligingssoftware hebben gemiddeld 141 dagen nodig en zijn iets sneller dan de SCADA-leveranciers. Aanbieders van zakelijke software zoals HP en IBM zijn gemiddeld 189 dagen met een update bezig. De onderzoekers adviseren SCADA-leveranciers om 'secure life cycle practices' te volgen bij het ontwikkelen van software en eenvoudige maatregelen in te voeren, zoals het controleren op het gebruik van niet toegestane programmeerinterfaces (api's). Ook moeten leveranciers er vanuit gaan dat hun producten aan een publiek netwerk worden gehangen.