Skocz do zawartości
Forum Kopalni Wiedzy

Rekomendowane odpowiedzi

Problemy z systemem informatycznym mogą skończyć się nie tylko wyciekiem danych czy awarią komputera, ale również śmiercią. Joseph Weiss z firmy konsultingowej Applied Control Solutions specjalizującej się w bezpieczeństwie systemów przemysłowych, zeznał przed amerykańskim Senatem, że w ciągu ostatnich 10 lat w USA przynajmniej raz doszło do śmierci ludzi z powodu nieprawidłowego działania komputerów.

Ekspert mówił o bezpieczeństwie informatycznym. Weiss wie o ponad 125 przypadkach włamań do systemów przemysłowych, w tym do elektrowni atomowych, zakładów uzdatniania wody, firm pracujących w przemyśle wydobycia roby i gazu czy elektrowni wodnych.

Były to incydenty najróżniejszego rodzaju. Od bardzo drobnych po powodujących spore katastrofy ekologiczne, od uszkodzeń sprzętu po przypadki śmierci - mówił Weiss zeznając przed senackim Komitetem Handlu, Nauki i Transportu.

W 1999 roku w pobliżu Bellingham w stanie Waszyngton doszło do awarii rurociągu z paliwem, które przedostało się do dwóch strumieni. Doszło do zapłonu, który zabił trzy osoby. Jedną z przyczyn awarii było nieprawidłowe działanie centralnego systemu informatycznego rurociągu.

Zdaniem Weissa ochrona sieci IT systemów przemysłowych jest niezwykle ważnym zadaniem. Uważa on, że skoordynowany atak na USA mógłby spowodować olbrzymie straty materialne i wielomiesięczne problemy gospodarcze. Tymczasem, jak twierdzi ekspert, systemy ochrony infrastruktury przemysłowej są zacofane o całe lata w porównaniu z innymi gałęziami gospodarki.

Ataki przeprowadzane są zarówno z zewnątrz, jak i wewnątrz. Biorą w nich udział osoby trzecie i niezadowoleni pracownicy. Zapobieganie jest szczególnie ważne teraz, gdy wiele osób traci pracę. Mogą chcieć się one zemścić na swojej firmie. Ostatnio jeden z niezadowolonych pracowników wyłączył systemy ostrzegające przed wyciekiem w trzech wieżach wiertniczych u wybrzeży Kalifornii.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

"...wydobycia roby i gazu czy elektrowni wodnych..."

 

A poza tym ciekawa sprawa. Im więcej komputerów tym większe ryzyko, że jakaś awaria przejdzie bez echa, bo pracownik wyłączył jakiś system.

Wynika z tego, że ślepa ufność w systemy IT może sie dla nas skończyć tragicznie.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Niestety bezpieczeństwo to jest coś co jest powszechnie uważane za stan co gorsza trwały i to niezależnie od poziomu ryzyka.

Problem polega na tym ze wydatki na bezpieczeństwo uważane są za mniej lub bardziej zmarnowane pieniądze bo jeśli do tej pory nic się nie wydarzyło a po jakiś inwestycjach dalej się nic nie wydarzyło to bardzo trudno ocenić czy to jest efekt inwestycji czy po prostu i tak by się nic nie stało. Niestety większość myśli o tym po katastrofie.

Świadomość problemów związanych z bezpieczeństwem w społeczeństwie jest bardzo niska i powierzchowna a wręcz prawie żadna. I to ma również swoje odzwierciedlenie w rożnych miejscach. Jest to z jednej strony problem osób decyzyjnych (brak wiedzy w tym zakresie i tak dalej) a z drugiej opór pracowników bo nawet jak się trafi ktoś kto ma o tym pojecie to najczęściej jest on traktowany jako wróg wszystkich w koło bo wymyśla jakieś głupoty (cały czas było dobrze a nagle nie wolno tego czy tamtego). A tak naprawdę nie należy zadawać sobie pytania czy tylko kiedy. Dobrym zobrazowaniem tego jest powiedzonko z podwórka informatycznego

 

"ludzie dzielą się na tych którzy robią kopie bezpieczeństwa i tych którzy będą je robić"

 

Jest to kwestia podejścia i pewnej świadomości (zrozumienia) problemu, trzeba szkolić szkolić i jeszcze raz szkolić. Naprawdę nie można oczekiwać w tej dziedzinie świadomości od ludzi którzy na rożnych portalach podają dane które mogą powodować zagrożenie dla nich samych.

 

Nieuczciwość pracowników to inna kwestia i bardzo szeroki problem, najlepiej było by oczywiscie gdyby pracownik zarabiał tyle ile chciał i nikt od niego nic w pracy nie wymagał. No ale to jest utopia.

 

Ten problem dobrze przybliża coś co się nazywa bodajże trójkąt przestępstwa czyli współistnienie motywu okazji i uzasadnienia dla takiego działania i w tych miejscach należy odpowiednio wpływać by minimalizować ryzyko, oczywiscie zakładamy ze mamy do czynienia z przestępcami którym jakieś uzasadnienie jest potrzebne dla "spokojności" sumienia, choć takie uzasadnienie pewnie można znaleźć nawet u takich osobników jednak możne ono się okazać dość kuriozalne i mało przekonywujące dla normalnego człowieka). 

 

Oczywiście umiejętność określenia zagrożeń i przyporządkowania im odpowiednich prawdopodobieństw i potencjalnych strat jest kluczowa bo można podjąć pewne krotki które maja na celu zapobiegniecie czy to przez minimalizacje samych zagrożeń czy przygotowanie się na ich zaistnienie.

 

No ale co z samym ryzykiem można zrobić?

Wiele rzeczy szczególnie ze jest to dość uniwersalny problem odejdźmy od informatyki i weźmy pod lupę na przykład dziecko i rower oraz ryzyko ze dziecko zrobi sobie kuku. Możemy ryzyko redukować na przykład przez kupienie kasku i ochraniaczy, możemy je przetransferować na przykład na firmę ubezpieczeniową lub teściową której każemy pilnować, możemy unikać nie kupując roweru, lub porostu zaakceptować i zaopatrzyć apteczkę w środki opatrunkowe i dezynfekcyjne.

 

Tak naprawę ludzie mają odczynienia z ryzykiem dość powszechnie nawet przy przechodzeniu przez jezdnie i niekiedy radzą sobie intuicyjnie z nim całkiem nieźle. Jednak problem pojawia się w monecie gdy ryzyka nie widzą lub widzieć nie chcą (jest ono sprzeczne z ich szeroko pojętym interesem), wtedy intuicja nie zadziała. 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jak zapobiec "sabotażowi" bo o tym jest w sumie ten artykuł?

Zatrudniając na każdego 1 pracownika 1 osobę do jego kontrolowania ;)

Kto uważa że dodatkowe obostrzenia i przepisy powstrzymają kogoś kto chce dokonać sabotażu? Dokonanie sabotażu jest zbyt łatwe aby dało się powstrzymać.

Rozejrzyjcie się wokół, wszędzie nieograniczone możliwości sabotowania. Ochrona w taki sposób nie ma sensu.

Najlepszą ochroną jest przekonanie pracowników że to jest ich wspólne dobro.

Wynika z tego, że ślepa ufność w systemy IT może sie dla nas skończyć tragicznie.

Piszesz jednak wcześniej że chodzi o błąd pracownika, który wyłączył jakiś system. Zatem nie ufamy komu, ludziom czy sprzętowi?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Podobna zawartość

    • przez KopalniaWiedzy.pl
      Firma LifeLabs, największy kanadyjski dostawca usług laboratoryjnych, przyznała, że zapłaciła hakerom za zwrot danych 15 milionów klientów. Dnia 1 października firma poinformowała władze o cyberataku na bazę danych. Znajdowały się w niej nazwiska, adresy, adresy e-mail, loginy, hasła, numery w systemie opieki zdrowotnej oraz wyniki testów laboratoryjnych.
      Dyrektor wykonawczy firmy, Charles Brown, przyznał, że firma odzyskała dane dokonując płatności. Zrobiliśmy to we współpracy z ekspertami oraz po negocjacjach z cyberprzestępcami. Nie ujawniono, ile zapłacono złodziejom.
      Dotychczasowe śledztwo wykazało, że przestępcy uzyskali dostęp do testów wykonanych w roku 2016 i wcześniej przez około 85 000 osób. Dane dotyczące numerów w systemie opieki zdrowotnej również pochodziły z roku 2016 i lat wcześniejszych. Obecnie nie ma podstaw, by przypuszczać, że przestępcy przekazali te informacje komuś innemu.
      Teraz przedsiębiorstwo zaoferowało swoim klientom 12-miesięczny bezpłatny monitoring kradzieży danych osobowych oraz ubezpieczenie przed takim wydarzeniem.

      « powrót do artykułu
    • przez KopalniaWiedzy.pl
      Gavin Thomas, który w Microsofcie sprawuje funkcję Principal Security Engineering Manager, zasugerował, że ze względów bezpieczeństwa czas porzucić języki C i C++. Thomas argumentuje na blogu Microsoftu, że rezygnacja ze starszych języków na rzecz języków bardziej nowoczesnych pozwoli na wyeliminowanie całej klasy błędów bezpieczeństwa.
      Od 2004 roku każdy błąd naprawiony w oprogramowaniu Microsoftu jest przez nas przypisywany do jednej z kategorii. Matt Miller podczas konferencji Blue Hat w 2019 roku zauważył, że większość tych dziur powstaje wskutek działań programistów, którzy przypadkowo wprowadzają do kodu C i C++ błędy związane z zarządzeniem pamięcią. Problem narasta w miarę jak Microsoft tworzy coraz więcej kodu i coraz silniej zwraca się w stronę oprogramowania Open Source. A Microsoft nie jest jedyną firmą, która ma problemy z błędami związanymi  z zarządzaniem pamięcią, pisze Thomas.
      W dalszej części swojego wpisu menedżer wymienia liczne zalety C++, ale zauważa, że język ten ma już swoje lata i pod względem bezpieczeństwa czy metod odstaje od nowszych języków. Zamiast wydawać kolejne zalecenia i tworzyć narzędzia do walki z błędami, powinniśmy skupić się przede wszystkim na tym, by programiści nie wprowadzali błędów do kodu, czytamy.
      Dlatego też Thomas proponuje porzucenie C++. Jednym z najbardziej obiecujących nowych języków programistycznych zapewniających bezpieczeństwo jest Rust, opracowany oryginalnie przez Mozillę. Jeśli przemysł programistyczny chce dbać o bezpieczeństwo, powinien skupić się na rozwijaniu narzędzi dla developerów, a nie zajmować się tymi wszystkimi pobocznymi sprawami, ideologią czy przestarzałymi metodami i sposobami rozwiązywania problemów.

      « powrót do artykułu
    • przez KopalniaWiedzy.pl
      Niedawno donosiliśmy o wynikach badań, z których wynika, że oceany ogrzały się bardziej niż dotychczas sądziliśmy. Teraz ich autorzy informują, że popełnili błąd w obliczeniach. Podkreślają przy tym, że pomyłka nie falsyfikuje użytej metodologii czy nowego spojrzenia na biochemię oceanów, na których metodologię tę oparto. Oznacza jednak, że konieczne jest ponowne przeprowadzenie obliczeń.
      Jak mówi współautor badań, Ralph Keeling, od czasu publikacji wyników badań w Nature, ich autorzy zauważyli dwa problemy. Jeden z nich związany jest z nieprawidłowym podejściem do błędów pomiarowych podczas mierzenia poziomu tlenu. Sądzimy, że łączy efekt tych błędów będzie miał niewielki wpływ na ostateczny wynik dotyczący ilości ciepła pochłoniętego przez oceany, ale wynik ten będzie obarczony większym marginesem błędu. Właśnie prowadzimy ponowne obliczenia i przygotowujemy się do opublikowania autorskiej poprawki na łamach Nature, stwierdza Keeling.
      Redakcja Nature również postanowiła pochylić się nad problemem. Dla nas, wydawców, dokładność publikowanych danych naukowych ma zasadnicze znaczenie. Jesteśmy odpowiedzialni za skorygowanie błędów w artykułach, które opublikowaliśmy, oświadczyli przedstawiciele pisma.

      « powrót do artykułu
    • przez KopalniaWiedzy.pl
      Sędzia Judith Potter orzekła, że sądowy nakaz zajęcia pieniędzy, pojazdów i posiadłości Kima Dotcoma jest nieważny,i nie powinien zostać wydany i nie niesie ze sobą skutków prawnych.
      Właściciel Megaupload może zatem spodziewać się, że jego własność zostanie mu zwrócona, a konta odblokowane, gdyż policja i prawnicy z rządowego biura prawnego popełnili poważny błąd proceduralny.
      Sędzie Potter stwierdziła, że komisarz Peter Marshall złożył do sądu wniosek o taki typ nakazu zajęcia majątku, który nie dawał Dotcomowi możliwości przygotowania obrony. Już po policyjnej akcji i aresztowaniu Dotcoma Marshall zorientował się, że popełnił pomyłkę i wystąpił o właściwy nakaz. Został on wydany, ale tylko tymczasowo. Dlatego też sędzia Potter wkrótce będzie musiała orzec, czy błąd policji oznacza, iż Dotcomowi należy zwrócić majątek.
      Już 30 stycznia do sądu trafiła informacja z rządowego biura prawnego, które przygotowuje takie wnioski, iż popełniono błąd proceduralny.
      Jako, że sąd wydał wspomniany już właściwy nakaz, śledczy twierdzą, że dowodzi to, iż pierwotna pomyłka niczego nie zmienia. Innego zdania są obrońcy Dotcoma. Ich zdaniem majątek mężczyzny powinien zostać mu zwrócony, gdyż został zajęty bezprawnie.
      Profesor Ursula Cheer z Canterbury University mówi, że prawo dopuszcza pomyłki, a powyższa sprawa może stać się drugim poważnym zwycięstwem Dotcoma - pierwszym było jego zwolnienie z aresztu - pod warunkiem, iż jego prawnicy udowodnią policji złą wolę.
    • przez KopalniaWiedzy.pl
      Interpol poinformował o zatrzymaniu 25 osób podejrzewanych o przynależność do grupy Anonimowych. Aresztowań dokonała lokalna policja w Argentynie, Chile, Kolumbii i Hiszpanii. Zatrzymani mają od 17 do 40 lat. Zdaniem policji planowali ataki na witryny m.in. kolumbijskiego prezydenta i Ministerstwa obrony oraz chilijskiej firmy energetyczne Endesa oraz Biblioteki Narodowej. W ramach koordynowanej przez Interpol akcji zajęto 250 sztuk różnego sprzętu elektronicznego i przeszukano 40 miejsc w 15 miastach. Aresztowania to wynik rozpoczętego w lutym śledztwa.
      Wśród aresztowanych są cztery osoby zatrzymane w Hiszpanii, które oskarżono o niszczenie witryn internetowych, przeprowadzanie ataków DDoS oraz ujawnienie informacji o policjantach przydzielonych do ochrony biura premiera Hiszpanii i pałacu królewskiego.
  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...