A gyártó vállalatoknál és a kritikus infrastruktúráknál egyelőre szinte feloldhatatlanná teszik a biztonság vs. üzembiztonság dilemmáját a nemrég napvilágra került processzorhibák.

Igencsak megfogta az ipari rendszerek és kritikus infrastruktúrák fejlesztőit-üzemeltetőit a Meltdown és a Spectre. Ha a javítás még a PC-ken sem volt kézenfekvő és egyszerű, hogyan lenne az az üzembiztonsági szempontokat hangsúlyozottan figyelembe vevő ipari rendszereknél?

Az üzletnek mennie kell...

A biztonsági rés óriási, ezért minden érintett rohamléptekben próbált foltozni. Így aztán az eddigi frissítésekkel számtalan probléma volt: belassult rendszerek, eltűnt driverek szegélyezték a javítást telepítők útját. És nem csak a windowsos gépeket sújtotta mindenféle váratlan probléma, egyes Ubuntu alapú rendszerekkel is volt gond bőven.

Az ipari rendszerek üzemeltetői ilyen előzmények után lényegében egy feloldhatatlan dilemmával szembesültek: tudtak egy hibáról, ami súlyos biztonsági kockázattal jár, a javításokat mégsem telepíthették, hiszen azzal veszélyeztették volna az üzembiztonságot (a termelés vagy ellátás folyamatosságát).

Az ipari rendszerek (ICS – Industrial Control System) esetében amúgy ez nem friss probléma. Az ilyen infrastruktúrákban a biztonsági frissítések telepítése ugyanolyan fontos, mint bárhol máshol, ám csak akkor, ha az nem veszélyezteti az üzembiztonságot, ami prioritást élvez.

Teszt nélkül egy tapodtat se!

A SecurityWeek külön összeállítást szentelt a témának. Összeszedte, hogy néhány fontosabb gyártó vállalat – például a Siemens, a Schneider Electric, az ABB, a Rockwell Automation vagy Becton Dickinson (BD) – hogyan kezeli a helyzetet. A közös az, hogy minden vállalatnak két szempontból is vizsgálnia kell a helyzetet: kiberbiztonsági szempontból és üzembiztonsági szempontból is. Az üzembiztonságnál elsősorban azt kell vizsgálni, hogy a javítás telepítése nyomán bekövetkező teljesítményromlás hogyan befolyásolja az ISC rendszerek teljesítményét. A lapnak Andrew Ginter, a Waterfall Security szakértője, úgy fogalmazott, hogy a kritikus infrastruktúrák esetében minden folttelepítés előtt kockázatelemzést kell végezni, és tesztelni kell.

A Siemens egyelőre kompatibilitási teszteket futtat, de már most úgy látják, hogy számolniuk kell teljesítménybéli és stabilitási problémákkal. Éppen ezért kivárnak a foltozással, ugyanakkor emelik a hálózatok védelmi szintjét, és próbálnak megelőzni minden jogosulatlan kódfuttatást.

Hasonlóan reagált a többi vállalat is. Mindegyikük vizsgálja a patch-eket, és ezt javasolják az ügyfeleik számára is. Ezúttal is egy erre a célra kialakított tesztrendszeren kell előbb futtatni a frissítéseket, és lehetőleg offline környezetben vizsgálni azok hatását. Ez azonban egy időigényes feladat, ami nem kevés költséggel járhat.

A BD nem érzi kritikusnak

A BD, amely orvostechnikai eszközöket gyártó vállalat, úgy véli, hogy eszközei esetében nem magas a támadások kockázata, de ettől függetlenül a kiadott javítások telepítését javasolja, sőt kiadott egy listát az esetlegesen érintett eszközeiről is. A BD eszközein egyébként minden javítást csak a vállalat jóváhagyása után lehet telepíteni.

Sokkal nehezebb helyzetben vannak az olyan vállalatok, mint az ABB vagy a Schneider Electric, melyek ipari vezérlő szoftvereket is gyártanak. A Schneider Electric egyébként a Siemenshez hasonlóan csak tesztelés után javasolja bármiféle javítás telepítését. A vállalat egy esetben, a Wonderware szoftvereknél arra is figyelmeztet, hogy a frissítések telepítése instabilitást okoz, sőt a következményekről részletes leírást is közöl.

Az ABB szintén a tesztfázisnál tart. Ugyanakkor ők fontosnak vélik az esetleges biztonsági kockázatok minimalizálását, ezért a javítások telepítését javasolják.

A félreértéseket megelőzendő egyébként szinte mindegyik vállalat megemlítette, hogy a mostani felhajtás nem az ő technológiájuk hibái miatt van, hanem a chipgyártók szállította processzorok miatt.

Biztonság

Spanyol tudósok: a túlóra nem hogy káros, hanem egyenesen építő

Ha angol tudósok jöttek volna ezzel, meg sem lepődnénk. De épp a szieszta hagyományát mind a mai napig ápoló spanyolok?!
 
Hirdetés

Hazánk régiós SolarWinds-központ lett

A SolarWinds és a RelNet megállapodása révén utóbbi magas színvonalú szolgáltatásokat nyújt régiónkban a SolarWinds viszonteladói és ügyfelei számára.

Manufacture IT

Az 5G legnagyobb nyertesei az ipari vállalkozások

MEGNÉZEM »

a melléklet támogatója a Vodafone

Igen, ahogy mindenki mondja: sokba, nagyon sokba. De közel sem csak a fizetése miatt. A költségekhez hozzá kell számolni a növekvő kiválasztási költségeket – és a magas fluktuációt.

a melléklet támogatója a Mndwrk

A KPMG immár 22. alkalommal kiadott CIO Survey jelentése szerint idén az informatikai vezetők leginkább a digitalizációra, a biztonságra és a szoftverszolgáltatásokra koncentráltak.

Használtszoftver-kereskedelem a Brexit után

Az EU Tanácsa szerint összeegyeztethető a backdoor és a biztonság. Az ötlet alapjaiban hibás. Pfeiffer Szilárd fejlesztő, IT-biztonsági szakértő írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2021 Bitport.hu Média Kft. Minden jog fenntartva.