Czytając o “cyberatakach na infrastrukturę krytyczną” typu elektrownie wodne, kotłownie czy oczyszczalnie ścieków itd miejmy świadomość, że każdy atak jest możliwy przede wszystkim dlatego, że ktoś z zarządu tego obiektu najpierw (!) naruszył tuzin krajowych przepisów oraz dobrych praktyk z zakresu bezpieczeństwa IT, a następnie utrzymywał ten stan miesiącami lub latami.
Oburzanie się, że Rosjanie czy Chińczycy robią “wjazd na tamę” ma taki sam sens praktyczny jak oburzanie się na deszcz, który rozmywa wał przeciwpowodziowy.
Od początku roku robiłem pentesty dwóch rozwijanych w Polsce systemów —
http://m.in. właśnie kotłowni gazowych i kontroli dostępu do budynków. Technicznie to są rozwiązania bez zarzutu, z MFA, politykami haseł, poziomami dostępu itd. Cóż z tego, jeżeli najlepszy nawet system może zostać bezmyślnie wystawiali do Internetu ze słabym hasłem, bez aktualizacji bo integrator miał zapisane w umowie kolor logo klienta ale już nie parametry bezpieczeństwa systemu?