A különböző ipari rendszereket a múltban és a jelenben is a megbízhatóságot, a biztonságot (safety) és a különböző szabályozói előírásoknak való megfelelést szem előtt tartva fejlesztik. Ahogy az ipari rendszerek mind több ponton kerültek összekapcsolásra a vállalati IT-val és ezzel párhuzamosan egyre több IT komponens került beépítésre az ipari rendszerekbe, megjelent az ICS kiberbiztonság fogalma, majd rögtön ezután az igény a megvalósítására is - különösen a Stuxnet nyilvánosságra kerülése után vált ez mind népszerűbb témává (e sorok írójára is igen mély benyomást tett a Stuxnet, majd az azt követő években nyilvánosságra kerülő többi ICS rendszerekkel kapcsolatos incidens, ennek egyenes következménye volt a blog elindítása is). Az ICS kiberbiztonság igen sokáig az OT által használt szerverek, HMI-ok, mérnöki munkaállomások biztonsági kérdéseire fókuszált, ezek mellett jóval kisebb figyelmet kaptak a Purdue modell első szintjére sorolt komponensek (szenzorok, szabályozó, elemző és vezérlő eszközök). Ezek gyakran még ma is soros porton kommunikálnak és egy soros-Ethernet átalakítón keresztül csatlakoznak a TCP/IP hálózatokra. A felsorolt eszközöknek még az OT által használt számítógépekénél is rosszabb a biztonsága, pedig a különböző ICS szerverek, HMI-ok, MMI-ok biztonsága is komoly hiányosságokkal küzd.

A Purdue referencia modell kialakításakor markáns elkülönítést fogalmaztak meg az alkotók az egyes szinteken működő eszközök között. Ahogy azonban a modern IT technológiái egyre inkább teret nyernek az ipari eszközökben, így a Purdue modell első szintjén üzemelő eszközökben is mind több IT komponens jelent meg, ami folyamatosan nehezebbé teszi, hogy az első szintet elválasszuk a második, de időnként még a harmadik szinttől is.

Felmerülhet a kérdés, hogy ez miért jelent problémát? A Purdue modell első szintjén működő eszközöket gyakran nevezik mező vagy gyártósori eszközöknek (field/plant floor device). Ezeket az eszközöket szinte minden esetben speciális fizikai igénybevételre (a normál IT eszközökhöz képest extrém meleg vagy hideg, por, vibráció, stb. elviselésére) tervezik, viszont a kiberbiztonsági kihívások megválaszolására kevés vagy éppen semennyi erőforrást sem fordítanak. Éppen emiatt a legtöbb mező/gyártósori eszköz számos alapvető kiberbiztonsági hiányosságot hordoz:

- Nincs vagy csak nagyon alapszintű biztonsági kontrollokkal rendelkeznek (pl. egyetlen, közös felhasználónév-jelszó, gyakori a beégetett jelszavak használata);
- Az általuk használt kommunikációs protokollokról (vezetékes és Wireless HART, Profibus, Fieldbus, stb.) számos alkalommal bizonyították már be, hogy komoly sérülékenységek találhatóak bennük, de az ipari rendszer hosszú életciklusa miatt a protokollok biztonságosabbra cserélése kifejezetten nehéz és lassú;
- Egyre több az IP-alapon kommunikáló eszköz és mind több eszköz képes vezeték nélküli kapcsolatot kiépíteni;
- Nő a száma azoknak az eszközöknek, amik már a Purdue modell több szintjén kommunikálnak., egyre gyakoribbak az olyan mező/gyártósori eszköz, ami közvetlenül küld adatokat a második/harmadik szinten üzemelő rendszerekbe.

A probléma tehát adott, a kérdés, hogy mit is kéne tennünk azért, hogy az ICS rendszereket üzemeletető szervezetek meg tudjanak felelni a kihívásnak és képesek legyenek megelőzni a komolyabb ICS kiberbiztonsági incidenseket. Amennyire én ma látom, erre a legjobb esély az lehet, ha a ma még élesen elkülönülő IT biztonsági és OT szakterületek elkezdenek végre együttműködni és megérteni a másik szakterület munkáját, prioritásait. Mindaddig, amíg az OT szakemberek többsége új keletű úri hóbortként tekint az IT biztonságra, aminek sem keresnivalója, sem hatása nem lehet az ipari rendszerekre, az IT biztonsági szakemberek nagy része pedig csak a 90-es évekből (vagy még korábbról) itt felejtett, múzeális számítógépeket látnak az ipari rendszerekben, nem lesz esélyünk eredményesen védekezni a mind nagyobb fenyegetések ellen.