Исследователи безопасности из США предложили разработчикам SCADA-систем пересмотреть свой подход к безопасности объектов критической инфраструктуры. По их словам, выпуск исправлений, даже своевременный, является только частью решения проблемы. Об этом сообщает Dark Reading. Участники конференции S4x13 SCADA, которая на позапрошлой неделе проходила в Майами, показали, как можно легко и быстро обнаружить уязвимости в SCADA системах, чем проиллюстрировали необходимость применения новых подходов. Для усиления безопасности промышленных вычислительных систем эксперты рекомендуют производителям налаживать связи с ИБ-сообществом, а также создавать программы по поощрению поиска уязвимостей. Эта идея нашла поддержку в Siemens Product CERT в лице Тобиаса Лиммера (Tobias Limmer), который публично выступил в поддержку того, чтобы его компания серьёзно задумалась о создании программы поощрения исследователей, как, например, у Google. Дейл Петерсон (Dale Peterson), исполнительный директор Digital Bond, в свою очередь, отметил, что программа поощрения поиска уязвимостей может помочь далеко не всем используемым на сегодняшний день SCADA-системам. "Это может сработать, но нужно осторожно выбирать, с чем именно работать. Множество продуктов, которые мы изучали, просто не готовы к программам вознаграждения за заявленные уязвимости. Они просто старые, с некачественным кодом. Это не сработает", - отметил эксперт. Петерсон рекомендует применить программу поощрения к программам нового поколения, безопасность которых проектировалась на этапе их создания.
SecurityLab.ru