Jump to content
Forum Kopalni Wiedzy

Recommended Posts

Problemy z systemem informatycznym mogą skończyć się nie tylko wyciekiem danych czy awarią komputera, ale również śmiercią. Joseph Weiss z firmy konsultingowej Applied Control Solutions specjalizującej się w bezpieczeństwie systemów przemysłowych, zeznał przed amerykańskim Senatem, że w ciągu ostatnich 10 lat w USA przynajmniej raz doszło do śmierci ludzi z powodu nieprawidłowego działania komputerów.

Ekspert mówił o bezpieczeństwie informatycznym. Weiss wie o ponad 125 przypadkach włamań do systemów przemysłowych, w tym do elektrowni atomowych, zakładów uzdatniania wody, firm pracujących w przemyśle wydobycia roby i gazu czy elektrowni wodnych.

Były to incydenty najróżniejszego rodzaju. Od bardzo drobnych po powodujących spore katastrofy ekologiczne, od uszkodzeń sprzętu po przypadki śmierci - mówił Weiss zeznając przed senackim Komitetem Handlu, Nauki i Transportu.

W 1999 roku w pobliżu Bellingham w stanie Waszyngton doszło do awarii rurociągu z paliwem, które przedostało się do dwóch strumieni. Doszło do zapłonu, który zabił trzy osoby. Jedną z przyczyn awarii było nieprawidłowe działanie centralnego systemu informatycznego rurociągu.

Zdaniem Weissa ochrona sieci IT systemów przemysłowych jest niezwykle ważnym zadaniem. Uważa on, że skoordynowany atak na USA mógłby spowodować olbrzymie straty materialne i wielomiesięczne problemy gospodarcze. Tymczasem, jak twierdzi ekspert, systemy ochrony infrastruktury przemysłowej są zacofane o całe lata w porównaniu z innymi gałęziami gospodarki.

Ataki przeprowadzane są zarówno z zewnątrz, jak i wewnątrz. Biorą w nich udział osoby trzecie i niezadowoleni pracownicy. Zapobieganie jest szczególnie ważne teraz, gdy wiele osób traci pracę. Mogą chcieć się one zemścić na swojej firmie. Ostatnio jeden z niezadowolonych pracowników wyłączył systemy ostrzegające przed wyciekiem w trzech wieżach wiertniczych u wybrzeży Kalifornii.

Share this post


Link to post
Share on other sites

"...wydobycia roby i gazu czy elektrowni wodnych..."

 

A poza tym ciekawa sprawa. Im więcej komputerów tym większe ryzyko, że jakaś awaria przejdzie bez echa, bo pracownik wyłączył jakiś system.

Wynika z tego, że ślepa ufność w systemy IT może sie dla nas skończyć tragicznie.

Share this post


Link to post
Share on other sites

Niestety bezpieczeństwo to jest coś co jest powszechnie uważane za stan co gorsza trwały i to niezależnie od poziomu ryzyka.

Problem polega na tym ze wydatki na bezpieczeństwo uważane są za mniej lub bardziej zmarnowane pieniądze bo jeśli do tej pory nic się nie wydarzyło a po jakiś inwestycjach dalej się nic nie wydarzyło to bardzo trudno ocenić czy to jest efekt inwestycji czy po prostu i tak by się nic nie stało. Niestety większość myśli o tym po katastrofie.

Świadomość problemów związanych z bezpieczeństwem w społeczeństwie jest bardzo niska i powierzchowna a wręcz prawie żadna. I to ma również swoje odzwierciedlenie w rożnych miejscach. Jest to z jednej strony problem osób decyzyjnych (brak wiedzy w tym zakresie i tak dalej) a z drugiej opór pracowników bo nawet jak się trafi ktoś kto ma o tym pojecie to najczęściej jest on traktowany jako wróg wszystkich w koło bo wymyśla jakieś głupoty (cały czas było dobrze a nagle nie wolno tego czy tamtego). A tak naprawdę nie należy zadawać sobie pytania czy tylko kiedy. Dobrym zobrazowaniem tego jest powiedzonko z podwórka informatycznego

 

"ludzie dzielą się na tych którzy robią kopie bezpieczeństwa i tych którzy będą je robić"

 

Jest to kwestia podejścia i pewnej świadomości (zrozumienia) problemu, trzeba szkolić szkolić i jeszcze raz szkolić. Naprawdę nie można oczekiwać w tej dziedzinie świadomości od ludzi którzy na rożnych portalach podają dane które mogą powodować zagrożenie dla nich samych.

 

Nieuczciwość pracowników to inna kwestia i bardzo szeroki problem, najlepiej było by oczywiscie gdyby pracownik zarabiał tyle ile chciał i nikt od niego nic w pracy nie wymagał. No ale to jest utopia.

 

Ten problem dobrze przybliża coś co się nazywa bodajże trójkąt przestępstwa czyli współistnienie motywu okazji i uzasadnienia dla takiego działania i w tych miejscach należy odpowiednio wpływać by minimalizować ryzyko, oczywiscie zakładamy ze mamy do czynienia z przestępcami którym jakieś uzasadnienie jest potrzebne dla "spokojności" sumienia, choć takie uzasadnienie pewnie można znaleźć nawet u takich osobników jednak możne ono się okazać dość kuriozalne i mało przekonywujące dla normalnego człowieka). 

 

Oczywiście umiejętność określenia zagrożeń i przyporządkowania im odpowiednich prawdopodobieństw i potencjalnych strat jest kluczowa bo można podjąć pewne krotki które maja na celu zapobiegniecie czy to przez minimalizacje samych zagrożeń czy przygotowanie się na ich zaistnienie.

 

No ale co z samym ryzykiem można zrobić?

Wiele rzeczy szczególnie ze jest to dość uniwersalny problem odejdźmy od informatyki i weźmy pod lupę na przykład dziecko i rower oraz ryzyko ze dziecko zrobi sobie kuku. Możemy ryzyko redukować na przykład przez kupienie kasku i ochraniaczy, możemy je przetransferować na przykład na firmę ubezpieczeniową lub teściową której każemy pilnować, możemy unikać nie kupując roweru, lub porostu zaakceptować i zaopatrzyć apteczkę w środki opatrunkowe i dezynfekcyjne.

 

Tak naprawę ludzie mają odczynienia z ryzykiem dość powszechnie nawet przy przechodzeniu przez jezdnie i niekiedy radzą sobie intuicyjnie z nim całkiem nieźle. Jednak problem pojawia się w monecie gdy ryzyka nie widzą lub widzieć nie chcą (jest ono sprzeczne z ich szeroko pojętym interesem), wtedy intuicja nie zadziała. 

Share this post


Link to post
Share on other sites

Jak zapobiec "sabotażowi" bo o tym jest w sumie ten artykuł?

Zatrudniając na każdego 1 pracownika 1 osobę do jego kontrolowania ;)

Kto uważa że dodatkowe obostrzenia i przepisy powstrzymają kogoś kto chce dokonać sabotażu? Dokonanie sabotażu jest zbyt łatwe aby dało się powstrzymać.

Rozejrzyjcie się wokół, wszędzie nieograniczone możliwości sabotowania. Ochrona w taki sposób nie ma sensu.

Najlepszą ochroną jest przekonanie pracowników że to jest ich wspólne dobro.

Wynika z tego, że ślepa ufność w systemy IT może sie dla nas skończyć tragicznie.

Piszesz jednak wcześniej że chodzi o błąd pracownika, który wyłączył jakiś system. Zatem nie ufamy komu, ludziom czy sprzętowi?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Similar Content

    • By KopalniaWiedzy.pl
      Gavin Thomas, który w Microsofcie sprawuje funkcję Principal Security Engineering Manager, zasugerował, że ze względów bezpieczeństwa czas porzucić języki C i C++. Thomas argumentuje na blogu Microsoftu, że rezygnacja ze starszych języków na rzecz języków bardziej nowoczesnych pozwoli na wyeliminowanie całej klasy błędów bezpieczeństwa.
      Od 2004 roku każdy błąd naprawiony w oprogramowaniu Microsoftu jest przez nas przypisywany do jednej z kategorii. Matt Miller podczas konferencji Blue Hat w 2019 roku zauważył, że większość tych dziur powstaje wskutek działań programistów, którzy przypadkowo wprowadzają do kodu C i C++ błędy związane z zarządzeniem pamięcią. Problem narasta w miarę jak Microsoft tworzy coraz więcej kodu i coraz silniej zwraca się w stronę oprogramowania Open Source. A Microsoft nie jest jedyną firmą, która ma problemy z błędami związanymi  z zarządzaniem pamięcią, pisze Thomas.
      W dalszej części swojego wpisu menedżer wymienia liczne zalety C++, ale zauważa, że język ten ma już swoje lata i pod względem bezpieczeństwa czy metod odstaje od nowszych języków. Zamiast wydawać kolejne zalecenia i tworzyć narzędzia do walki z błędami, powinniśmy skupić się przede wszystkim na tym, by programiści nie wprowadzali błędów do kodu, czytamy.
      Dlatego też Thomas proponuje porzucenie C++. Jednym z najbardziej obiecujących nowych języków programistycznych zapewniających bezpieczeństwo jest Rust, opracowany oryginalnie przez Mozillę. Jeśli przemysł programistyczny chce dbać o bezpieczeństwo, powinien skupić się na rozwijaniu narzędzi dla developerów, a nie zajmować się tymi wszystkimi pobocznymi sprawami, ideologią czy przestarzałymi metodami i sposobami rozwiązywania problemów.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Niedawno donosiliśmy o wynikach badań, z których wynika, że oceany ogrzały się bardziej niż dotychczas sądziliśmy. Teraz ich autorzy informują, że popełnili błąd w obliczeniach. Podkreślają przy tym, że pomyłka nie falsyfikuje użytej metodologii czy nowego spojrzenia na biochemię oceanów, na których metodologię tę oparto. Oznacza jednak, że konieczne jest ponowne przeprowadzenie obliczeń.
      Jak mówi współautor badań, Ralph Keeling, od czasu publikacji wyników badań w Nature, ich autorzy zauważyli dwa problemy. Jeden z nich związany jest z nieprawidłowym podejściem do błędów pomiarowych podczas mierzenia poziomu tlenu. Sądzimy, że łączy efekt tych błędów będzie miał niewielki wpływ na ostateczny wynik dotyczący ilości ciepła pochłoniętego przez oceany, ale wynik ten będzie obarczony większym marginesem błędu. Właśnie prowadzimy ponowne obliczenia i przygotowujemy się do opublikowania autorskiej poprawki na łamach Nature, stwierdza Keeling.
      Redakcja Nature również postanowiła pochylić się nad problemem. Dla nas, wydawców, dokładność publikowanych danych naukowych ma zasadnicze znaczenie. Jesteśmy odpowiedzialni za skorygowanie błędów w artykułach, które opublikowaliśmy, oświadczyli przedstawiciele pisma.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Sędzia Judith Potter orzekła, że sądowy nakaz zajęcia pieniędzy, pojazdów i posiadłości Kima Dotcoma jest nieważny,i nie powinien zostać wydany i nie niesie ze sobą skutków prawnych.
      Właściciel Megaupload może zatem spodziewać się, że jego własność zostanie mu zwrócona, a konta odblokowane, gdyż policja i prawnicy z rządowego biura prawnego popełnili poważny błąd proceduralny.
      Sędzie Potter stwierdziła, że komisarz Peter Marshall złożył do sądu wniosek o taki typ nakazu zajęcia majątku, który nie dawał Dotcomowi możliwości przygotowania obrony. Już po policyjnej akcji i aresztowaniu Dotcoma Marshall zorientował się, że popełnił pomyłkę i wystąpił o właściwy nakaz. Został on wydany, ale tylko tymczasowo. Dlatego też sędzia Potter wkrótce będzie musiała orzec, czy błąd policji oznacza, iż Dotcomowi należy zwrócić majątek.
      Już 30 stycznia do sądu trafiła informacja z rządowego biura prawnego, które przygotowuje takie wnioski, iż popełniono błąd proceduralny.
      Jako, że sąd wydał wspomniany już właściwy nakaz, śledczy twierdzą, że dowodzi to, iż pierwotna pomyłka niczego nie zmienia. Innego zdania są obrońcy Dotcoma. Ich zdaniem majątek mężczyzny powinien zostać mu zwrócony, gdyż został zajęty bezprawnie.
      Profesor Ursula Cheer z Canterbury University mówi, że prawo dopuszcza pomyłki, a powyższa sprawa może stać się drugim poważnym zwycięstwem Dotcoma - pierwszym było jego zwolnienie z aresztu - pod warunkiem, iż jego prawnicy udowodnią policji złą wolę.
    • By KopalniaWiedzy.pl
      Interpol poinformował o zatrzymaniu 25 osób podejrzewanych o przynależność do grupy Anonimowych. Aresztowań dokonała lokalna policja w Argentynie, Chile, Kolumbii i Hiszpanii. Zatrzymani mają od 17 do 40 lat. Zdaniem policji planowali ataki na witryny m.in. kolumbijskiego prezydenta i Ministerstwa obrony oraz chilijskiej firmy energetyczne Endesa oraz Biblioteki Narodowej. W ramach koordynowanej przez Interpol akcji zajęto 250 sztuk różnego sprzętu elektronicznego i przeszukano 40 miejsc w 15 miastach. Aresztowania to wynik rozpoczętego w lutym śledztwa.
      Wśród aresztowanych są cztery osoby zatrzymane w Hiszpanii, które oskarżono o niszczenie witryn internetowych, przeprowadzanie ataków DDoS oraz ujawnienie informacji o policjantach przydzielonych do ochrony biura premiera Hiszpanii i pałacu królewskiego.
    • By KopalniaWiedzy.pl
      Byli szefowie Nortela będą prawdopodobnie musieli gęsto się tłumaczyć. Prasa doniosła, że niegdysiejszy gigant telekomunikacyjny, który zbankrutował, a jego majątek i pracowników przejęli inni, przez niemal dekadę był szpiegowany przez cyberprzestępców.
      Hakerzy, najprawdopodobniej z Chin, po raz pierwszy uzyskali dostęp do sieci wewnętrznej Nortela w roku 2000. Wykorzystali przy tym siedem nazw użytkownika i haseł ukradzionych menedżerom firmy, w tym jej prezesowi. Jak ujawnił Brian Shields, który przez 19 lat pracował w Nortelu i prowadził wewnętrzne śledztwo w sprawie włamania, przez całe lata przestępcy kradli z serwerów firmy dokumentację techniczną, raporty dotyczące nowych technologii, e-maile oraz plany biznesowe. Mieli dostęp do wszystkiego. Mieli dużo czasu. Jedyne, co musieli zrobić, to zdecydowanie, co chcą zabrać - powiedział Shields. Zdradził on również, że Nortel nie zrobił nic, by przeszkodzić włamywaczom. Jedyne podjęte działanie to zresetowanie ukradzionych haseł.
      Przedstawiciele Nortela odmówili skomentowania powyższych informacji. Obecnie zajmują się oni sprzedażą reszty majątku firmy, która w 2009 roku złożyła wniosek o upadłość.
      Z informacji uzyskanych od Shieldsa i inne osoby zaangażowane w śledztwo wynika, że Nortel nie tylko nie zabezpieczył swoich urządzeń, które padły ofiarami ataku, ale nawet nie poinformował o włamaniu firm, którym sprzedaje swój majątek. Nabyły go takie firmy jak Avaya Inc., Ciena Corp., Telefon AB L.M. Ericsson oraz Genband. Nie można wykluczyć, że w kupionym przez nie sprzęcie, oprogramowaniu czy dokumentacji nie znajdują się np. rootkity czy inny rodzaj szkodliwego kodu, który teraz będzie im zagrażał.
      Jacob Olcott z firmy Good Harbor Consulting, która specjalizuje się w doradztwie dotyczącym bezpieczeństwa mówi, że nie ma wymogu prawnego, by informować o włamaniach firmy, które przejmują przedsiębiorstwo będące ofiarą ataku. To przejmujący powinien się o takie rzeczy zapytać. Jednak z drugiej strony Nortel był notowany na amerykańskiej giełdzie, a Komisja Giełd (SEC) wymaga ujawniania inwestorom ryzyk „materialnych“ oraz związanych z różnymi wydarzeniami. Olcott zauważa, że coraz więcej firm zdaje sobie sprawę z faktu, że cyberataki niosą za sobą materialne niebezpieczeństwo. SEC wydał w ubiegłym roku instukcję, w której zauważa, że ataki mogą mieć materialne skutki oraz że firmy powinny zawsze sprawdzać, czy takie skutki miały miejsce.
      Dwóch z byłych menedżerów Nortela odmówiło komentarza. Trzeci, Mike Zafirovski, stwierdził, że włamanie nie stanowiło poważnego problemu, a teoria o ryzyku dla firm, które nabyły majątek Nortela jest „bardzo, bardzo naciągana“.
      Jednak pracownicy, którzy prowadzili śledztwo są innego zdania. Zauważają, że duża liczba pecetów i notebooków Nortela trafiła do wymienionych firm. Część z nich na pewno nie została sprawdzona pod kątem ewentualnego włamania przed podłączeniem ich do sieci Avaya. Pracownicy określili liczbę takich „ryzykownych“ komputerów na wiele setek.
×
×
  • Create New...