A gyártó vállalatoknál és a kritikus infrastruktúráknál egyelőre szinte feloldhatatlanná teszik a biztonság vs. üzembiztonság dilemmáját a nemrég napvilágra került processzorhibák.

Igencsak megfogta az ipari rendszerek és kritikus infrastruktúrák fejlesztőit-üzemeltetőit a Meltdown és a Spectre. Ha a javítás még a PC-ken sem volt kézenfekvő és egyszerű, hogyan lenne az az üzembiztonsági szempontokat hangsúlyozottan figyelembe vevő ipari rendszereknél?

Az üzletnek mennie kell...

A biztonsági rés óriási, ezért minden érintett rohamléptekben próbált foltozni. Így aztán az eddigi frissítésekkel számtalan probléma volt: belassult rendszerek, eltűnt driverek szegélyezték a javítást telepítők útját. És nem csak a windowsos gépeket sújtotta mindenféle váratlan probléma, egyes Ubuntu alapú rendszerekkel is volt gond bőven.

Az ipari rendszerek üzemeltetői ilyen előzmények után lényegében egy feloldhatatlan dilemmával szembesültek: tudtak egy hibáról, ami súlyos biztonsági kockázattal jár, a javításokat mégsem telepíthették, hiszen azzal veszélyeztették volna az üzembiztonságot (a termelés vagy ellátás folyamatosságát).

Az ipari rendszerek (ICS – Industrial Control System) esetében amúgy ez nem friss probléma. Az ilyen infrastruktúrákban a biztonsági frissítések telepítése ugyanolyan fontos, mint bárhol máshol, ám csak akkor, ha az nem veszélyezteti az üzembiztonságot, ami prioritást élvez.

Teszt nélkül egy tapodtat se!

A SecurityWeek külön összeállítást szentelt a témának. Összeszedte, hogy néhány fontosabb gyártó vállalat – például a Siemens, a Schneider Electric, az ABB, a Rockwell Automation vagy Becton Dickinson (BD) – hogyan kezeli a helyzetet. A közös az, hogy minden vállalatnak két szempontból is vizsgálnia kell a helyzetet: kiberbiztonsági szempontból és üzembiztonsági szempontból is. Az üzembiztonságnál elsősorban azt kell vizsgálni, hogy a javítás telepítése nyomán bekövetkező teljesítményromlás hogyan befolyásolja az ISC rendszerek teljesítményét. A lapnak Andrew Ginter, a Waterfall Security szakértője, úgy fogalmazott, hogy a kritikus infrastruktúrák esetében minden folttelepítés előtt kockázatelemzést kell végezni, és tesztelni kell.

A Siemens egyelőre kompatibilitási teszteket futtat, de már most úgy látják, hogy számolniuk kell teljesítménybéli és stabilitási problémákkal. Éppen ezért kivárnak a foltozással, ugyanakkor emelik a hálózatok védelmi szintjét, és próbálnak megelőzni minden jogosulatlan kódfuttatást.

Hasonlóan reagált a többi vállalat is. Mindegyikük vizsgálja a patch-eket, és ezt javasolják az ügyfeleik számára is. Ezúttal is egy erre a célra kialakított tesztrendszeren kell előbb futtatni a frissítéseket, és lehetőleg offline környezetben vizsgálni azok hatását. Ez azonban egy időigényes feladat, ami nem kevés költséggel járhat.

A BD nem érzi kritikusnak

A BD, amely orvostechnikai eszközöket gyártó vállalat, úgy véli, hogy eszközei esetében nem magas a támadások kockázata, de ettől függetlenül a kiadott javítások telepítését javasolja, sőt kiadott egy listát az esetlegesen érintett eszközeiről is. A BD eszközein egyébként minden javítást csak a vállalat jóváhagyása után lehet telepíteni.

Sokkal nehezebb helyzetben vannak az olyan vállalatok, mint az ABB vagy a Schneider Electric, melyek ipari vezérlő szoftvereket is gyártanak. A Schneider Electric egyébként a Siemenshez hasonlóan csak tesztelés után javasolja bármiféle javítás telepítését. A vállalat egy esetben, a Wonderware szoftvereknél arra is figyelmeztet, hogy a frissítések telepítése instabilitást okoz, sőt a következményekről részletes leírást is közöl.

Az ABB szintén a tesztfázisnál tart. Ugyanakkor ők fontosnak vélik az esetleges biztonsági kockázatok minimalizálását, ezért a javítások telepítését javasolják.

A félreértéseket megelőzendő egyébként szinte mindegyik vállalat megemlítette, hogy a mostani felhajtás nem az ő technológiájuk hibái miatt van, hanem a chipgyártók szállította processzorok miatt.

Biztonság

Itthon már szinte mindenki netezik a mobilján

Egy friss felmérés szerint jelenleg 6,2 millióra tehető a hazai felnőtt okostelefon-használók tábora, akik közül nagyjából 6 millióan szörfölnek is mobiljukon.
 
Hirdetés

Felhőben az erő

Gyorsan változó hardveres technológiák, finomodó szoftveres környezet és felkészültebb humán erőforrás teszi jövőbiztossá a felhőt.

Veszélyek garmadája bújik meg a webes alkalmazások és az alkalmazásprogramozási interfészek közötti forgalomban. Ezek kiszűrésére és hatástalanítására szerencsére egyre hatékonyabb eszközökkel rendelkezünk.

a melléklet támogatója a Balasys

A Világgazdasági Fórum figyelmeztetése szerint jelentős szakadék tátong a C-szintű vezetők és az információbiztonságért felelős részlegek helyzetértékelése között.

A járvány üzleti vezetőt csinált a CIO-kból

Az EU Tanácsa szerint összeegyeztethető a backdoor és a biztonság. Az ötlet alapjaiban hibás. Pfeiffer Szilárd fejlesztő, IT-biztonsági szakértő írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2021 Bitport.hu Média Kft. Minden jog fenntartva.