Эксперты рекомендуют выплачивать вознаграждения за поиск уязвимостей в SCADA-системах

Эксперты рекомендуют выплачивать вознаграждения за поиск уязвимостей в SCADA-системах

По мнению исполнительного директора Digital Bond, современные SCADA-решения используют устаревший и слишком низкокачественный код.

Исследователи безопасности из США предложили разработчикам SCADA-систем пересмотреть свой подход к безопасности объектов критической инфраструктуры. По их словам, выпуск исправлений, даже своевременный, является только частью решения проблемы. Об этом сообщает Dark Reading.

Участники конференции S4x13 SCADA, которая на позапрошлой неделе проходила в Майами, показали, как можно легко и быстро обнаружить уязвимости в SCADA системах, чем проиллюстрировали необходимость применения новых подходов.

Для усиления безопасности промышленных вычислительных систем эксперты рекомендуют производителям налаживать связи с ИБ-сообществом, а также создавать программы по поощрению поиска уязвимостей.

Эта идея нашла поддержку в Siemens Product CERT в лице Тобиаса Лиммера (Tobias Limmer), который публично выступил в поддержку того, чтобы его компания серьёзно задумалась о создании программы поощрения исследователей, как, например, у Google.

Дейл Петерсон (Dale Peterson), исполнительный директор Digital Bond, в свою очередь, отметил, что программа поощрения поиска уязвимостей может помочь далеко не всем используемым на сегодняшний день SCADA-системам.

«Это может сработать, но нужно осторожно выбирать, с чем именно работать. Множество продуктов, которые мы изучали, просто не готовы к программам вознаграждения за заявленные уязвимости. Они просто старые, с некачественным кодом. Это не сработает», - отметил эксперт.

Петерсон рекомендует применить программу поощрения к программам нового поколения, безопасность которых проектировалась на этапе их создания.

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!