Czytając o “cyberatakach na infrastrukturę krytyczną” typu elektrownie wodne, kotłownie czy oczyszczalnie ścieków itd miejmy świadomość, że każdy atak jest możliwy przede wszystkim dlatego, że ktoś z zarządu tego obiektu najpierw (!) naruszył tuzin krajowych przepisów oraz dobrych praktyk z zakresu bezpieczeństwa IT, a następnie utrzymywał ten stan miesiącami lub latami.
Oburzanie się, że Rosjanie czy Chińczycy robią “wjazd na tamę” ma taki sam sens praktyczny jak oburzanie się na deszcz, który rozmywa wał przeciwpowodziowy.
Od początku roku robiłem pentesty dwóch rozwijanych w Polsce systemów — http://m.in. właśnie kotłowni gazowych i kontroli dostępu do budynków. Technicznie to są rozwiązania bez zarzutu, z MFA, politykami haseł, poziomami dostępu itd. Cóż z tego, jeżeli najlepszy nawet system może zostać bezmyślnie wystawiali do Internetu ze słabym hasłem, bez aktualizacji bo integrator miał zapisane w umowie kolor logo klienta ale już nie parametry bezpieczeństwa systemu?
Oburzanie się, że Rosjanie czy Chińczycy robią “wjazd na tamę” ma taki sam sens praktyczny jak oburzanie się na deszcz, który rozmywa wał przeciwpowodziowy.
Od początku roku robiłem pentesty dwóch rozwijanych w Polsce systemów — http://m.in. właśnie kotłowni gazowych i kontroli dostępu do budynków. Technicznie to są rozwiązania bez zarzutu, z MFA, politykami haseł, poziomami dostępu itd. Cóż z tego, jeżeli najlepszy nawet system może zostać bezmyślnie wystawiali do Internetu ze słabym hasłem, bez aktualizacji bo integrator miał zapisane w umowie kolor logo klienta ale już nie parametry bezpieczeństwa systemu?
Follow
Zgadzam się z wszystkim poza argumentacją w drugim paragrafie. W wielu podobnych sytuacjach oburzanie się na zloczyńcow ma sens, bo są oni między nami i produkowanie powszechnego braku akceptacji dla akceptacji ich postępowania pomaga (np. w przypadku rabunków dziejących się w miejscu które "ma do tego predyspozycje"). Tutaj nie ma to sensu, bo społeczny brak akceptacji nic nie zmienia.
