Эксперты рекомендуют выплачивать вознаграждения за поиск уязвимостей в SCADA-системах

image

Теги: SCADA, уязвимость, Siemens

По мнению исполнительного директора Digital Bond, современные SCADA-решения используют устаревший и слишком низкокачественный код.

Исследователи безопасности из США предложили разработчикам SCADA-систем пересмотреть свой подход к безопасности объектов критической инфраструктуры. По их словам, выпуск исправлений, даже своевременный, является только частью решения проблемы. Об этом сообщает Dark Reading.

Участники конференции S4x13 SCADA, которая на позапрошлой неделе проходила в Майами, показали, как можно легко и быстро обнаружить уязвимости в SCADA системах, чем проиллюстрировали необходимость применения новых подходов.

Для усиления безопасности промышленных вычислительных систем эксперты рекомендуют производителям налаживать связи с ИБ-сообществом, а также создавать программы по поощрению поиска уязвимостей.

Эта идея нашла поддержку в Siemens Product CERT в лице Тобиаса Лиммера (Tobias Limmer), который публично выступил в поддержку того, чтобы его компания серьёзно задумалась о создании программы поощрения исследователей, как, например, у Google.

Дейл Петерсон (Dale Peterson), исполнительный директор Digital Bond, в свою очередь, отметил, что программа поощрения поиска уязвимостей может помочь далеко не всем используемым на сегодняшний день SCADA-системам.

«Это может сработать, но нужно осторожно выбирать, с чем именно работать. Множество продуктов, которые мы изучали, просто не готовы к программам вознаграждения за заявленные уязвимости. Они просто старые, с некачественным кодом. Это не сработает», - отметил эксперт.

Петерсон рекомендует применить программу поощрения к программам нового поколения, безопасность которых проектировалась на этапе их создания.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus