Néhány nappal ezelőtt én is írtam arról egy rövidebb bejegyzést, hogy a Taiwan Semiconductors több gyáregységét is le kellett állítani malware-fertőzések miatt. Időközben kiderült, hogy a fertőző malware ismét a már jól ismert, az EternalBlue sérülékenységet kihasználó WannaCry ransomware volt. Az eset ismét számos aggasztó problémára hívja fel a figyelmet:
1. A patch-elés hiánya: sokan, sokszor (néhányszor én is, itt a blogon) elmondták és leírták, hogy ICS rendszerek esetén a patch-elés nehéz és lassú folyamat, időnként pedig nem megoldható (különösen, ha a gyártó által már semmilyen szinten nem támogatott az adott ICS rendszer). Nekem ugyan nincsenek információim arról, hogy a TSMC milyen Windows verziókat használ a termelésirányító rendszereiben, de egyrészt az EternalBlue sérüléeknységet a Microsoft a tavalyi nagy WannaCry-fertőzések idején még a Windows XP/2003 operációs rendszerekhez is kiadta a javítást, másrészt, ha ezt semmiképpen nem tudják telepíteni vagy még ennél is régebbi, sérüléekny verziókat használnak, akkor sem érthető, hogy hogyan és miért nem sikerült olyan egyéb, kockázatcsökkentő intézkedéseket (hálózatszegmentálás és virtuális patch-elés, USB adathordozó kontroll, stb.) bevezetni, amivel meg lehetne előzni egy ilyen méretű incidenst?
2. Változik-e az incidens után bármi az érintett szervezet vonatkozó eljárásaiban, összegyűjtik-e és alkalmazzák-e az eset tanulságait?
3. Vajon hány további szervezetnél és ICS rendszernél lehet ugyanez a helyzet?
Sajnos van egy olyan érzésem, hogy a WannaCry-ról nem most hallottunk utoljára ICS rendszerekkel kapcsolatban.