Vlákno názorů k článku Postřehy z bezpečnosti: úpravny vod nejsou chráněny proti útokům od kotelgg - Je vůbec někdo proti útokům chráněn? Pochybuju, že...

Je vůbec někdo proti útokům chráněn? Pochybuju, že lze hovořit o bezpečnosti, pokud je to připojeno na internet. Lze jen učinit kroky pro minimalizaci škod.

Je, ten kdo není připojen k internetu ;-)

To mi připomíná "básníky":
"Jediné auto, které nezestárne je to, které si nekoupíte."

Íránský jaderný program by mohl vykládat... Pamatujete na pohádku o Stuxnetu a střílení flashek prakem za plot? :)

Přijde mi, že veškerá kritická infrastruktura by měla být oddělená airwallem. Jakmile to je připojené do internetu, už tam existuje větší nebo menší riziko, že se tam někdo nebo něco časem nabourá.

Airwall ale není zárukou, že infrastruktura napadená nebude. Naopak připojení k internetu může mít významné výhody. Takže je lepší řešit skutečnou bezpečnost a ne spoléhat na snadná „řešení“, která ve skutečnosti nic neřeší.

Takže je lepší řešit skutečnou bezpečnost a ne spoléhat na snadná „řešení“, která ve skutečnosti nic neřeší.
Co je to skutečná bezpečnost? Pravidelně záplatovaný firewall?

Jestli to nutně nemusí komunikovat s něčím v internetu, tak není důvod to připojovat.

Otazkou je jak je reseny tech support a monitoring. Jestli je to nejaka uzavrena sit s jednoduchymi protokoly a transportem pres nejakou IoT sit kde se posila telemetrie nebo servisni firma potrebuje mit pristup pres nejakou VPN/IP dovnitr aby posoudila jestli poslat technika.

Dneska i prumyslovi dodavatele cpou IP do vseho nebo delaji transport. Kde driv stacil jednoduchy modbus.

Pri rekonstrukci byva takova zmet kabelu ze si nedelejte iluze ze je to vsechno krasne oddeleno, odliseno a popsano jako ve vasem vymazlenem datacentru - a zdaleka ani ne kazdy v IT trpi obsesi mit to hezky.

Fotky od kolegu z US co delaji prumyslovou automatizaci jsou dost hnusne. Co cast to jiny kontraktor a to jine zverstvo a jiny system. Ten trh je prilis velky. To co u nas dela 50 servisaku po republice tam je 1000 ruznych kontraktoru. Nedivil bych se kdyby dochazelo omylem/ chybou v konfiguracich k expozici vnitrni IP site ven pripadne do zony "pani_co_dela­ji_ucetni".

Nic nemusí nutně komunikovat po internetu. Nicméně to, že se o aktuálním stavu dozvědí třeba lidé mimo velín, může být užitečné. To, že je možné něco ovládat na dálku a nemusí se tam fyzicky někdo dostat také může být užitečné (například Covid nebo tornádo jsou dobré příklady, kdy hnát někam fyzicky člověka znamená vystavovat ho nebezpečí nebo minimálně komplikace).

Skutečná bezpečnost je spousta různých opatření. Od evidence toho, co kde běží a kontroly, že to není vystavené někam, kam to být vystavené nemusí, a že je to záplatované. Přes bezpečné zacházení s přístupovými údaji. Přes správně nastavené a zdokumentované procesy podchycené technologií (např. že kritická operace vyžaduje souhlas více lidí).

Pokud nic z toho mít nebudete, airgap vás nezachrání, protože někdo ten škodlivý kód přenese třeba na flash disku.