Az elmúlt években, talán már egy évtizede is egy olyan, egyre gyorsuló világban élünk, ahol már nem csak az IT, hanem az OT rendszerek fejlesztése és teljes életciklusa egyre gyorsabb üteművé vált. Ez magával vonta azt is, hogy a biztonsági követelmények megfogalmazására, majd betartására egyre kevesebb idő és energia jutott és ennek ma már az ICS rendszerek világában is egyre nyilvánvalóbb jelei vannak - elég csak megnézni az évről-évre egyre nagyobb számban publikált, ICS rendszereket érintő sérülékenységeket és a különböző ipari, gyakran közmű cégeket érő, mind súlyosabb kibertámadásokat.

A kérdés, hogy mit is lehet tenni azért, hogy a jelenlegi helyzet ne romoljon tovább, hanem lehetőség szerint inkább javuljon. Erről írt Isiah Jones egy 26 oldalas publikációt, ami a SANS Reading Room-ban jelent meg.

Írásában Isiah Jones külön fejezetet szentel az ICS rendszerek széles körének bemutatásának, megemlítve DCS (Distributed Control Systems), PCS (Process Control Systems), SCADA (Supervisory Control And Data Acquisition), BMS/BCS (Building Management Systems/Building Control Systems) és safety (Safety Instrumented Systems, SIS) mellett ECS (Energy vagy Electric Control Systems) rendszereket és PLC (Programmable Logic Controller), RTU (Remote Terminal Unit), IED (Intelligent Electronic Device) és sok más egyéb berendezést is, valamint megemlíti az ipari környezetekben is egyre gyakoribb IoT és IIoT eszközöket is. Külön szóba kerülnek a 4. ipari forradalom által elhozott változások is és az utóbbi években egyre komolyabb szerepet játszó, TCP/IP hálózatokon kommunikáló orvosi berendezések is.

Egy-egy fejezet foglalkozik a neves gyártók (pl. Siemens, Schneider, Rockwell, stb.) és az ICS világában névről nem igazán ismert, de legalább ennyire meghatározó OEM gyártókkal, integrátorokkal, az ICS rendszerek és eszközök tulajdonosaival és üzemeltetőivel és végül, de nem utolsósorban az ICS kiberbiztonsági közösséggel, akik az elmúlt kb. 10 évben egy elkötelezett és globális közösséget építettek fel, képzettek és tapasztaltak (bár döntő többségük az IT biztonság világából érkezett), azonban létszámuk és képességeik még nem érik el azt a szintet, amit az ICS világ többi szereplője a saját területén fel tud mutatni. Isiah szerint a gyártóknak (legyenek bár a nagy gyártók egyike vagy egy OEM), integrátoroknak és az ICS rendszerek tulajdonosainak és üzemeltetőinek fel kell ismerniük, hogy nem csak hallgatniuk érdemes az ICS kiberbiztonsági szakemberek tanácsaira, de helyesen tennék, ha minden, az ICS rendszerekkel kapcsolatba kerülő szervezet (legyen gyártó, integrátor vagy végfelhasználó) el kéne kezdjen saját ICS biztonsági csoportot építeni, akiknek a képességeire (és gyakran szervezet- és rendszer-specifikus tudására) építve az ICS rendszerekkel kapcsolatos minden döntésben és feladatban szerepet kell biztosítani.

Az ezek után következő fejezetek (szám szerint öt) három szabványt mutatnak be röviden. Az NIST SP 800-160 a biztonsági fókuszú rendszertervezéssel, az ISA/IEC 62443 különböző fejezetei a biztonságos ICS rendszerek fejlesztését, rendszer- illetve eszköz és komponens-szintű képességeit foglalják össze, az IEC 61511 pedig a safety rendszerek biztonsági képességeiről szól.

Akit esetleg érdekel Isiah Jones dolgozata a témában, megtalálja a SANS Reading Room-ban: https://www.sans.org/reading-room/whitepapers/ICS/ics-ot-systems-security-engineering-dead-39485

Sérülékenységek Cisco ipari hálózati eszközökben

A Cisco június elején 25 sérülékenységről közölt információkat, amik különböző, ipari hálózatokban használt hálózati eszközeikben azonosítottak.

A sérülékenységekről bővebb információt a Cisco publikációjában lehet megtalálni: https://tools.cisco.com/security/center/viewErp.x?alertId=ERP-73388

Moxa berendezések sérülékenysége

Tal Keren, a Claroty munkatársa egy sérülékenységet talált a Moxa alábbi termékeiben:

- EDR-G902 sorozatú berendezések 5.4-es és korábbi firmware-verziói;
- EDR-G903 sorozatú berendezések 5.4-es és korábbi firmware-verziói.

A gyártó a hibát az érintett termékek legújabb firmware-verziójában javította. A sérülékenység részleteiről a Moxa bejelentésében lehet olvasni.

Sérülékenységek Treck TCP/IP stack-et használó ICS termékekben

Shlomi Oberman és Moshe Kol 19 sérülékenységet találtak a Treck TCP/IP stack-jében, amik az alábbi protokollokat érintik:

- IPv4;
- IPv6;
- UDP;
- DNS;
- DHCP;
- TCP;
- ICMPv4;
- ARP.

A sérülékenységek számos ICS terméket gyártó vállalat termékeit érintik, többek között a B.Braun, Baxter, Caterpillar, Green Hills Software, Rockwell és Schneider Electric által gyártott egyes rendszereket.

A hibákat a Treck TCP/IP stack 6.0.1.67-es verzióban javították. A sérülékenységekről, az érintett ICS termékekről és azok javításairól az ICS-CERT weboldalán és az innen elérhető gyártói weboldalakon lehet tájékozódni: https://www.us-cert.gov/ics/advisories/icsa-20-168-01

Rockwell Automation FactoryTalk sérülékenység

Az ICS-CERT publikációja egy, a Rockwell Automation FactoryTalk minden verzióját érintő sérülékenységről számol be. A sérülékenységről bővebb információkat a Rockwell Automation tudásbázis cikkében lehet találni (csak authentikáció után érhető el).

Sérülékenység ICONICS és Mitsubishi Electric rendszerekben

Tobias Scharnowski, Niklas Breitfeld, Ali Abbasi és Yehuda Anikster, a Claroty, Pedro Ribeiro és Radek Domanski, a Flashback, Ben McBride, az Oak Ridge National Laboratory valamint Steven Seeley és Chris Anastasio, az Incite munkatársai összesen öt sérülékenységet találtak ICONICS és Mitsubishi Electric rendszerekben:

Érintett ICONICS rendszerek:
- GENESIS64
- Hyper Historian
- AnalytiX
- MobileHMI
- GENESIS32
- BizViz

Érintett Mitsubishi Electric rendszerek:
- MC Works64 4.02C (10.95.208.31) és korábbi verziói;
- MC Works32 3.00A (9.50.255.02) verziója.

A gyártók a hibákat az érintett termékek legújabb verzióiban javította. A sérülékenységekkel kapcsolatban további részleteket az ICS-CERT bejelentéseiben lehet elérni:

https://www.us-cert.gov/ics/advisories/icsa-20-170-03
https://www.us-cert.gov/ics/advisories/icsa-20-170-02

Exacq Technologies rendszerek sérülékenysége

Michael Norris egy sérülékenységet jelentett a Johnson Controlsnak (az Exacq Technologies anyavállalatának), ami az exacqVision alábbi verzióit érinti:

- exacqVision Web Service v20.03.2.0 és korábbi verziói;
- exacqVision Enterprise Manager v20.03.2.0 és korábbi verziói.

A gyártó a hibát az érintett termékek v20.06.2.0 és későbbi verzióiban javította. A sérülékenységről bővebben az ICS-CERT weboldalán lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-20-170-01

Sérülékenység BD Alaris rendszerekben

A Becton, Dickinson and Company (BD) egy, a Linux Kernel v4.4.97 verziójában megtalálható Wireless Module WB40N sérülékenységről tájékoztatta a DHS CISA-t, ami a BD Alaris PC Unit 9.13-as, 9.19-es, 9.33-as és 12.1-es verzióit érinti.

A gyártó a sérülékenységgel kapcsolatban kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységről részleteket az ICS-CERT publikációja tartalmaz: https://www.us-cert.gov/ics/advisories/icsma-20-170-06

BIOTRONIK orvostechnikai rendszerek sérülékenységei

Guillaume Bour, Anniken Wium Lie és Marie Moe összesen öt sérülékenységet jelentettek a DHS CISA-nak, amik a BIOTRONIK alábbi orvostechnikai rendszereit érintik:

- CardioMessenger II-S T-Line T4APP 2.20
- CardioMessenger II-S GSM T4APP 2.20

A hibával kapcsolatban a gyártó nem fog javítást kiadni, de kockázatcsökkentő intézkedésekre vonatkozó javaslatokat publikált. A sérülékenységekről további információkat az ICS-CERT bejelentésében lehet elérni: https://www.us-cert.gov/ics/advisories/icsma-20-170-05

Sérülékenységek Baxter Sigma Spectrum infúziós rendszerekben

A Baxter Healthcare hat sérülékenységről közölt információkat a DHS CISA-val, amik a Sigma Spectrum infúziós rendszereik alábbi változatait érintik:

- Sigma Spectrum v6.x model 35700BAX;
- Baxter Spectrum v8.x model 35700BAX2;
- Sigma Spectrum v6.x Wireless Battery Modules v9, v11, v13, v14, v15, v16, - v20D29, v20D30, v20D31 és v22D24;
- Baxter Spectrum v8.x with Wireless Battery Modules v17, v20D29, v20D30, v20D31 és v22D24;
- Baxter Spectrum Wireless Battery Modules v17, v20D29, v20D30, v20D31 és v22D24;
- Baxter Spectrum LVP v8.x with Wireless Battery Modules v17, v20D29, v20D30, v20D31 és v22D24.

A hibákkal kapcsolatban a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységek részletes információit az ICS-CERT weboldalán lehet megtalálni: https://www.us-cert.gov/ics/advisories/icsma-20-170-04

Baxter hemodialízis rendszerek sérülékenysége

A Baxter egy sérülékenységet jelentett a DHS CISA-nak, ami a Phoenix hemodialízis rendszerük SW 3.36-os és 3.40-es verzióit érinti.

A gyártó a hibával kapcsolatban kockázatcsökkentő intézkedések bevezetését ajánlja. A sérülékenységről bővebben az ICS-CERT publikációjában lehet olvasni: https://www.us-cert.gov/ics/advisories/icsma-20-170-03

Sérülékenységek Baxter PrismaFlex és PrisMax rendszerekben

A Baxter három sérülékenységet jelentett a DHS CISA-nak, amik az alábbi termékeiket érintik:

- PrismaFlex minden verziója;
- PrisMax 3.x-nél régebbi verziója.

A hibákat a gyártó a termékek újabb verzióiban javította. A sérülékenységekről és a javításokat tartalmazó verziókról részleteket az ICS-CERT bejelentése tartalmaz: https://www.us-cert.gov/ics/advisories/icsma-20-170-02

Baxter ExactaMix rendszerek sérülékenységei

A Baxter Healthcare hét sérülékenységet jelentett a DHS CISA-nak az ExactaMix rendszerük alábbi verzióival kapcsolatban:

- ExactaMix EM2400 1.10, 1.11, 1.13 és 1.14-es verziók;
- ExactaMix EM1200 1.1, 1.2, 1.4 és 1.5-ös verziók.

A gyártó a hibákat az érintett termékek újabb verzióiban javította. A sérülékenységek részleteit az ICS-CERT weboldalán lehet megtalálni: https://www.us-cert.gov/ics/advisories/icsma-20-170-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Még márciusban találkoztam a FireEye egyik kutatásával, amiben arra keresték a választ a cég kutatói, hogy milyen, ICS-specifikus, támadásokhoz használható eszközöket lehet összegyűjteni az Internetről? A válasz nagyon röviden az, hogy gyakorlatilag bármi. A legtöbb eszközt az elmúlt 10 évben (vagyis azóta, hogy a Stuxnet nyilvánosságra kerülésével nyilvánvalóvá vált, hogy az ICS rendszerek és eszközök igenis támadhatóak és sebezhetőek a kibertér irányából és IT biztonsági szempontból nemhogy jobb, de inkább rosszabb helyzetben vannak, mint a vállalati IT rendszerek). A legtöbb, kifejezetten ICS rendszerek támadásához készült eszköz a leginkább elterjedt gyártók eszközeire/rendszereire fókuszáltan készültek. Találhatóak közöttük egyedi eszközök éppúgy, mint ismert és népszerű (és sok esetben szintén az Interneten szabadon elérhető) támadói keretrendszerekbe modulként beépülő eszközök.

A két legnagyobb eszközcsoportot a FireEye felmérése szerint a hálózatfelderítésre illetve az szoftveres sérülékenységek kihasználására (exploitálására) használható eszközök, de ugyanígy megtalálhatóak rádiókommunikációhoz fejlesztett támadói eszközök, fuzzerek, Internetes felderítésre használható eszközök, malware-ek, tudásbázisok és különböző hardver-eszközök, köztük még infravörös kommunikációt használó ICS eszközök és rendszerek elleni támadásokhoz használható megoldások is.

Gyártók szerint csoportosítva a legtöbb elérhető támadói eszköz az alábbi gyártók eszközeihez érhetőek el:

- Advantech/Broadwin
- Schneider Electric
- Siemens
- Cogent Real-Time Systems
- GE
- ICONICS
- 7-Technologies
- Moxa
- Wellintech
- Ecava
- Yokogawa
- Datac/Realflex

A FireEye elemzése teljes terjedelmében itt érhető el.

Mitsubishi Electric rendszerek sérülékenysége

Yossi Reuven, a SCADAfence munkatársa egy sérülékenységet jelentett a Mitsubishi Electricnek, ami a MELSEC iQ-R sorozatú eszközeik alábbi változatait érinti:

- R04/08/16/32/120CPU, R04/08/16/32/120ENCPU 39-es és korábbi firmware-verziói;
- R00/01/02CPU 7-es és korábbi firmware-verziói;
- R08/16/32/120SFCPU 20-as és korábbi firmware-verziói;
- R08/16/32/120PCPU minden verziója;
- R08/16/32/120PSFCPU minden verziója;
- RJ71EN71 minden verziója.

A gyártó a hibával kapcsolatban tűzfalas hálózatszegmentálás kialakítását javasolja. A sérülékenységről további információkat az ICS-CERT publikációjában lehet találni: https://www.us-cert.gov/ics/advisories/icsa-20-161-02

Sérülékenység Advantech WebAccess rendszerekben

A Z0mb1E néven ismert biztonsági kutató, a ZDI-vel együttműködve egy sérülékenységet jelentett a DHS CISA-nak, ami az Advantech WebAccess Node 8.4.4-es és korábbi verzióit érinti.

A gyártó kiadta a Node 8.4.4-es verziójához a hibát javító patch-et. A sérülékenységről bővebben az ICS-CERT bejelentésében lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-20-161-01

Rockwell Automation FactoryTalk sérülékenységek

Sharon Brizinov és Amir Preminger, a Claroty munkatársai négy sérülékenységet jelentettek a Rockwell Automation-nek és a CISA-nak, amik a gyártó alábbi termékeit érintik:

- FactoryTalk Linx 6.00, 6.10 és 6.11-es verziói;
- RSLinx Classic v4.11.00 és korábbi verziói.

Fentiek mellett a sérülékenységek érintik az alábbi, FactoryTalk Linx szoftvert használó Rockwell Automation termékeket is:

- Connected Components Workbench 12-es és korábbi verziói;
- ControlFLASH 14-es és későbbi verziói;
- ControlFLASH Plus 1-es és későbbi verziói;
- FactoryTalk Asset Centre 9-es és későbbi verziói;
- FactoryTalk Linx CommDTM 1-es és későbbi verziói;
- Studio 5000 Launcher 31-es és későbbi verziói;
- Studio 5000 Logix Designer 32-es és későbbi verziói.

A gyártó a hibákat a legújabb verziókban javította. A sérülékenységekről további információkat az ICS-CERT weboldalán találhatóak: https://www.us-cert.gov/ics/advisories/icsa-20-163-02

OSISoft rendszerek sérülékenysége

Dor Yardeni és Eliad Mualem, az OTORIO munkatársai az OSISoft-tal együttműködve egy sérülékenységet jelentettek a DHS CISA-nak, ami a PI Web API 2019 Patch 1 (1.12.0.6346) és korábbi verzióit érinti.

A gyártó a hibát a PI Web API 2019 SP1-ben javította. A sérülékenység részleteiről az ICS-CERT publikációjában lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-20-163-01

Sérülékenység Philips IntelliBridge rendszerekben

Az indianai egyetemi kórház egy sérülékenységről adott át információkat a Philips-nek, ami a gyártó ntelliBridge Enterprise (IBE) rendszereinek B.12 és korábbi verzióit érinti.

A gyártó a hibát javító IBE B.13-as verzió kiadását 2020. negyedik negyedévére tervezi. A sérülékenységről bővebb információkat az ICS-CERT bejelentése tartalmaz: https://www.us-cert.gov/ics/advisories/icsma-20-163-01

Moxa ipari videó szerverek sérülékenysége

Xinjie Ma, a Beijing Chaitin Future Technology Co. munkatársa egy sérülékenységet talált a Moxa VPort 461 sorozatú ipari videó szervereinek 3.4-es és korábbi firmware-verzióiban.

Az érintett termék elérte életciklusa végét, így a gyártó a Moxa műszaki támogatóközpontjához irányítja az érintett rendszereket használó ügyfeleit. A sérülékenységgel kapcsolatban további részleteket a Moxa weboldalán lehet találni.

Sérülékenység Schneider Electric Modicon vezérlőkben

A CNCERT egy sérülékenységet talált a Schneider Electric Modicon M218-as vezérlőinka 4.3-as és korábbi firmware-verzióiban.

A gyártó jelenleg a hibát javító patch-et még nem, de kockázatcsökkentő intézkedésekre vonatkozó javaslatokat kiadott. A sérülékenységről bővebben a Schneider Electric publikációjában lehet olvasni.

Sérülékenység Schneider Electric szoftverekben

Yang Dong, a DingXiang Dongjian Security Lab munkatársa egy sérülékenységet talált a Schneider Electric alábbi szoftvereiben:

- Unity Loader minden verziója;
- OS Loader minden verziója.

A hibával kapcsolatban a gyártó kockázatcsökkentő intézkedések bevezetését javasolja. A sérülékenység részleteit a Schneider Electric bejelentésében lehet elérni.

URGENT/11 sérülékenység Schneider Electric Modicon LMC078 vezérlőkben

A Schneider Electric bejelentése szerint a VxWorks-ben felfedezett URGENT/11 sérülékenység érinti a Modicon LMC078 vezérlők V1.51.15.05 és későbbi verzióit is.

A hibával kapcsolatban a gyártó kockzatcsökkentő intézkedésekre vonatkozó információkat publikált. A sérülékenységgel kapcsolatban bővebb információkat a Schneider Electric weboldalán lehet találni.

Sérülékenységek Schneider Electric Easergy T300 rendszerekben

Ilya Karpov és Evgeniy Druzhinin, a Rostelecom-Solar munkatársai 11 sérülékenységet találtak a Schneider Electric Easergy T300-as, középfeszültségű villamosenergia-hálózatok automatizálásához használt megoldásának 1.5.2-es és korábbi firmware-verzióiban.

A gyártó a hibákat a 2.7-es firmware-verzióban javította. A sérülékenységről további részleteket a Schneider Electric publikációjában lehet olvasni.

Sérülékenységek Schneider Electric Easergy Builder szoftverekben

Ilya Karpov és Evgeniy Druzhinin, a Rostelecom-Solar munkatársai 6 sérülékenységet találtak a Schneider Electric Easergy Builder 1.4.7.2-es és korábbi verzióiban.

A gyártó a hibákat az 1.6.3.0 verzióban javította. A sérülékenységekről további információkat a Schneider Electric bejelentésében lehet találni.

Sérülékenységek Siemens SINUMERIK rendszerekben

A Siemens 22 sérülékenységről közölt információkat a DHS CISA-val, amik az alábbi, SINUMERIK termékcsaládjukba tartozó rendszereket érintik:

- SINUMERIK Access MyMachine/P2P 4.8-nál korábbi verziói;
- SINUMERIK PCU base Win10 software/IPC 14.00-nál korábbi verziói;
- SINUMERIK PCU base Win7 software/IPC 12.01 HF4-nél korábbi verziói.

A gyártó a hibákat az érintett termékei legújabb verzióiban javította. A sérülékenységekről részletesen a Siemens ProductCERT és az ICS-CERT publikációiban lehet olvasni.

Siemens LOGO! sérülékenység

Alexander Perez-Palma, a Cisco Talos és Emanuel Almeida, a Cisco Systems munkatársai egy sérülékenységet találtak a Siemens LOGO!8 BM (beleértve a SIPLUS változatokat is) minden verziójában.

A hibával kapcsolatban a gyártó kockázatcsökkentő intézkedések bevezetését ajánlja. A sérülékenység részletei a Siemens ProductCERT és az ICS-CERT bejelentéseiben találhatók.

Sérülékenységek Siemens SIMATIC és SINAMICS rendszerekben

Uri Katz, a Claroty munkatársa két sérülékenységet talált az alábbi Siemens rendszerekben:

- SIMATIC PCS 7 minden verziója;
- SIMATIC PDM minden verziója;
- SIMATIC STEP 7 v5.X minden 5.6 SP2 HF3-nál korábbi verziója;
- SINAMICS STARTER (a STEP 7 OEM verzió is) minden, 5.4 HF1-nél korábbi verziója.

A gyártó a SIMATIC STEP 7 és a SINAMICS STARTER termékekhez kiadta a hibákat javító új verziókat, a többi érintett termékét használó ügyfelének kockázatcsökkentő intézkedések alkalmazását javasolja. A sérülékenységekről bővebben a Siemens ProductCERT és az ICS-CERT weboldalain lehet olvasni.

Sérülékenység Siemens rendszerekben

Ander Martinez, a Titanium Industrial Security és az INCIBE egy sérülékenységet jelentettek a Siemens-nek, ami az alábbi termékeiket érinti:

- SIMATIC Automation Tool minden verziója;
- SIMATIC NET PC software minden, v16-nál későbbi és v16 Upd3-nál korábbi verziója;
- SIMATIC PCS 7 minden verziója;
- SIMATIC PCS neo minden verziója;
- SIMATIC ProSave minden verziója;
- SIMATIC S7-1500 Software Controller minden verziója;
- SIMATIC STEP 7 minden, v5.6 SP2 HF3-nál régebbi verziója;
- SIMATIC STEP 7 (TIA Portal) v13 minden verziója;
- SIMATIC STEP 7 (TIA Portal) v14 minden verziója;
- SIMATIC STEP 7 (TIA Portal) v15 minden verziója;
- SIMATIC STEP 7 (TIA Portal) v16 minden verziója;
- SIMATIC WinCC OA v3.16 minden, P018-nál régebbi verziója;
- SIMATIC WinCC OA v3.17 minden, P003-nál régebbi verziója;
- SIMATIC WinCC Runtime Professional v13 minden verziója;
- SIMATIC WinCC Runtime Professional v14 minden verziója;
- SIMATIC WinCC Runtime Professional v15 minden verziója;
- SIMATIC WinCC Runtime Professional v16 minden verziója;
- SIMATIC WinCC v7.4 minden, v7.4 SP1 Update 14-nél régebbi verziója;
- SIMATIC WinCC v7.5 minden, v7.5 SP1 Update 3-nál régebbi verziója;
- SINAMICS Startdrive minden verziója;
- SINEC NMS minden verziója;
- SINEMA Server minden verziója;
- SINUMERIK ONE virtual minden verziója;
- SINUMERIK Operate minden verziója.

A gyártó egyes érintett termékeihez kiadta a hibát javító újabb verziókat, a többi termék esetén kockázatcsökkentő intézkedések alkalmazását ajánlja. A sérülékenységgel kapcsolatos részletes információkat a Siemens ProductCERT és az ICS-CERT publikációiban lehet megtalálni.

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az elmúlt néhány napban ismét több, ipari szervezetet ért kibertámadásról szóló hír jutott el hozzám.

Ransomware-támadás érte a Honda rendszereit

Több forrás szerint június 8-án ransomware-támadás érte a Honda autógyár rendszereit, ami gyártást, az értékesítést és a fejlesztési folyamatokat is érintette. Egyes hírek szerint az incidensért a kifejezetten ipari rendszereket támadó SNAKE/EKANS ransomware-t fejlesztő csoport a felelős.

Ransomware-támadás az ENEL-csoport rendszerei ellen

Ugyancsak a SNAKE/EKANS ransomware-t teszik felelőssé az Edesur S.A., az argentín ENEL leányvállalat, valamint az európai ENEL csoport elleni, célzottnak tartott ransomware-támadásokért. Az ENEL csoport közleménye szerint a villamosenergia-termelésért és elosztásért felelős rendszereiket nem érintette az incidens.

Egyes források szerint mind a Honda, mind az ENEL hálózatában megtalálhatóak voltak a publikus hálózatokról RDP-n elérhető hostok, amiket a támadás kezdeti fázisában kompromittálhattak a támadók.

Kibertámadás érte a Lion ausztrál sörgyár rendszereit

Június 9-én kibertámadás érte a Lion nevű ausztrál sörgyártó rendszereit, ami miatt átmenetileg manuális folyamatokkal fogadják és dolgozzák fel a beérkező megrendeléseket. Az incidenssel kapcsolatban további részletek nem ismertek, de egyes híroldalak ebben az esetben is a zsarolóvírus-támadást valószínűsítik.

A fenti hírek ismét csak azt mutatják, hogy az ipari szervezetek elleni kibertámadások száma egyre csak nő és még ha egy-egy incidens az ICS rendszereket nem is érinti, akkor is nagyon súlyos negatív hatásokkal jár az adott szervezet működésére. Ideje lenne végre a különböző iparágakban aktív cégek menedzsmentjének komolyan venni a kiberbiztonsági kockázatokat és nem csak egy egyszerű megfelelőségi kérdésként tekinteni az IT-val és az IT biztonsággal kapcsolatos kötelezettségeikre.

Sérülékenységek ABB System 800xA rendszerekben

William Knowles, az Applied Risk munkatársa két sérülékenységet talált az ABB System 800xA rendszereinek alábbi verzióiban:

- OPC Server for AC 800M 6.0 és korábbi verziói;
- Control Builder M Professional 6.1 és korábbi verziói;
- MMS Server for AC 800M Versions 6.1 és korábbi verziói;
- Base Software for SoftControl6.1 és korábbi verziói;
- ABB System 800xA Base 6.1 és korábbi verziói.

A gyártó a hibákat az érintett rendszerek legújabb verzióiban fogja javítani. A sérülékenység részleteiről az ICS-CERT publikációjában lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-20-154-01

ABB System 800xA Base rendszerek sérülékenysége

William Knowles egy sérülékenységet azonosított az ABB System 800xA Base 6.0 és korábbi verzióiban (nem azonos az előző fejezetben említett két sérülékenységgel).

A gyártó a hibát a következő verzióban fogja javítani. A sérülékenységgel kapcsolatban további információkat az ICS-CERT bejelentésében lehet találni: https://www.us-cert.gov/ics/advisories/icsa-20-154-02

Sérülékenység ABB System 800xA rendszerekben

William Knowles 7 sérülékenységet (egyik sem azonos a korábbi fejezetekben említettekkel) talált az ABB alábbi rendszereiben:

- OPC Server for AC 800M minden verziója;
- MMS Server for AC 800M minden verziója;
- Base Software for SoftControl minden verziója;
- ABB System 800xA Base minden verziója;
- 800xA for DCI minden verziója;
- 800xA for MOD 300 minden verziója;
- 800xA RNRP minden verziója;
- 800xA Batch Management minden verziója;
- 800xA Information Management minden verziója.

A gyártó a hibákat az érintett verziók egy következő verziójában fogja javítani. A sérülékenységek részletei az ICS-CERT weboldalán érhetőek el: https://www.us-cert.gov/ics/advisories/icsa-20-154-03

ABB központi licenckezelő rendszerek sérülékenységei

William Knowles 5 sérülékenységet azonosított az ABB alábbi termékeiben:

- ABB Ability System 800xA kapcsolódó termékek 5.1, 6.0 és 6.1-es verziói;
- Compact HMI 5.1 és 6.0 verziói;
- Control Builder Safe 1.0, 1.1 és 2.0 verziói;
- ABB Ability Symphony Plus – S+ Operations 3.0-tól 3.2-ig terjedő verziói;
- ABB Ability Symphony Plus – S+ Engineering 1.1-től 2.2-ig terjedő verziói;
- Composer Harmony 5.1, 6.0 és 6.1-es verziói;
- Composer Melody (beleértve az SPE for Melody 1.0 SPx verziókat is) 5.3, 6.1, 6.2 és 6.3-as verziói;
- Harmony OPC Server (HAOPC) Standalone 6.0, 6.1 és 7.0 verziói;
- ABB Ability System 800xA/Advant OCS Control Builder A 1.3 és 1.4-es verziói;
- Advant OCS AC 100 OPC Server 5.1, 6.0 és 6.1-es verziói;
- Composer CTK 6.1, 6.2-es verziói;
- AdvaBuild 3.7 SP1 és 3.7 SP2 verziói;
- OPC Server MOD 300 (a nem 800xA verziók) 1.4-es verziói;
- OPC Data Link 2.1-es és 2.2-es verziói;
- ABB Ability Knowledge Manager 8.0, 9.0 és 9.1-es verziói;
- ABB Ability Manufacturing Operations Management 1812 és 1909 verziói.

A gyártó a hibákat az érintett szoftverek legújabb verzióiban javította. A sérülékenységekről további információkat az ICS-CERT publikációjában lehet elérni: https://www.us-cert.gov/ics/advisories/icsa-20-154-04

Sérülékenység GE rendszerekben

Ehab Hussein, az IOActive munkatársa egy sérülékenységet talált a GE Grid Solutions Reason RT átmeneti időszinkronizációs rendszereinek RT430, RT431 és RT434-es típusainak minden, 08A05 előtti firmware-verzióiban.

A gyártó a hibát javító 08A05 verzió mellett kockázatcsökkentő intézkedésekre vonatkozó javasolatok is kiadott. A sérülékenységről bővebben az ICS-CERT bejelentésében lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-20-154-05

Swarco Traffic Systems rendszerek sérülékenysége

Martin Aman egy sérülékenységet jelentett a CERT@VDE-vel együttműködve, ami a Swarco Traffic Systems által gyártott CPU LS4000 típusú közlekedési lámpáinak minden olyan változatát érinti, amiket a G4-gyel kezdődő operációs rendszer verzióval használnak.

A gyártó elérhetővé tette a hibát javító patch-et. A sérülékenység részleteiről az ICS-CERT weboldalán lehet tájékozódni: https://www.us-cert.gov/ics/advisories/icsa-20-154-06

Belden-Hrischmann ipari hálózati eszközök sérülékenysége

A gyártó bejelentése szerint egy sérülékenységet találtak a Hirschmann Owl routerek 06.2.04-nél korábbi firmware-verzióiban.

A Hirschmann a hibát a 06.2.04-es firmware-verzióban javította. A sérülékenység részleteit a Belden-Hirschmann weboldalán lehet megtalálni.

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Az indiai Kudankulam Atomerőmű (Kudankulam Nuclear Power Plant - KKNPP) elleni támadásról 2019. novemberben én is írtam a blogon, a támadás elemzése után az azt végrehajtó csoportot nevezték el Wassonite-nak a Dragos elemzői csapata.

Az eddig feltárt részletek alapján úgy látszik, hogy a Wassonite csoport számos ICS rendszert is üzemeltető szervezet ellen indított támadásokat, elsősorban Indiában és a feltételezések szerint esetleg Dél-koreai és japán célpontok ellen. Mindezidáig nincs bizonyíték arra, hogy a Wassonite csoport valaha is képes lett volna olyan támadások kivitelezésére, amivel megzavarta volna az ipari folyamatirányító rendszerek működését vagy rombolta volna az ICS rendszereket. Az eddigi elemzések alapján tevékenységük megmarad az ICS Cyber Kill Chain első szintjén, vagyis céljuk hozzáférést szerezni a célba vett ipari szervezetek IT hálózataihoz és rendszereihez.

A Wassonite eszköztárában kiemelt szerepet kap a DTrack malware (amiről én is írtam a KKNPP elleni támadásról szóló posztban, a Kaspersky elemzése pedig itt olvasható)

Egyes feltételezések szerint a Wassonite és a szintén Dragos-nevezéktan szerint Covellite, más kiberbiztonsági cégek által Lazarus néven hivatkozott csoportok között kapcsolat lehet (ezt elsősorban a DTrack és más, ahhoz kapcsolódó malware-ek használata miatti hasonlóságokra alapozzák), a két csoport képességei és az általuk használt infrastruktúra további bizonyítékokat nem ad ennek a feltételezésnek a bizonyítására.

A Dragos összefoglalója a Wassonite csoportról itt érhető el: https://dragos.com/resource/wassonite/

Április elején indított blog-sorozatot a Com-Forth ügyvezetője, Bóna Péter a cég weboldalán. A Com-Forth azon kevés hazai, ipari automatizálással foglalkozó cégek egyike, akik már nyilvánosan is beszélnek az ICS kiberbiztonság kérdéséről (még tavaly októberben én is írtam egy, a témában tartott rendezvényükről), amit mindenképp örvendetes dolognak tartok, mert bár lassan nő azoknak a cégeknek és szakembereknek a száma itthon, akik felismerik az ICS kiberbiztonság témájának fontosságát, még mindig csak kicsivel jobb a helyzet, mint amikor 2015. végén elindítottam ezt a blogot.

A Com-Fort blog-sorozatában áprilisban négy poszt jelent meg, az első a "velem ez nem történhet meg"-gondolkodást veszi górcső alá a COViD-járvány és az ICS biztonság hasonlóságai mentén, a második rész a termelésirányításban használt rendszerek biztonságát érinti Hóringer Tamás. A harmadik részben Kocsis Tamás az ICS biztonsággal kapcsolatos a szemléletváltás fontosságát emeli ki, míg a negyedik (és mostanáig utolsó) részben a COViD-19 okozta változások ICS biztonságra gyakorolt hatásairól és az olyan, méltatlanul elhanyagolt területekről ír, mint például az incidenskezelési tervek kidolgozása.

A Com-Forth blogbejegyzéseit itt lehet olvasni: https://blog.comforth.hu/topic/ics-kiberbiztons%C3%A1g

Sérülékenységek Rockwell Automation rendszerekben

Sharon Brizinov és Amir Preminger, a Claroty munkatársai két sérülékenységet találtak a Rockwell Automation alábbi rendszereiben használt EDS Subsystem-ében:

- FactoryTalk Linx (korábbi nevén RSLinx Enterprise) 6.00, 6.10 és 6.11-es verziói;
- RSLinx Classic 4.11.00 és korábbi verziói;
- RSNetWorx software 28.00.00 és korábbi verziói;
- Studio 5000 Logix Designer 32-es és korábbi verziói.

A hibákkal kapcsolatban a gyártó patch-elésre és kockázatcsökkentő intézkedések alkalmazására vonatkozó tanácsokat adott ki. A sérülékenységekről részleteket az ICS-CERT publikációjában lehet találni: https://www.us-cert.gov/ics/advisories/icsa-20-140-01

Emerson OpenEnterprise sérülékenységek

Roman Lozko, a Kaspersky Lab munkatársa három sérülékenységet fedezett fel az Emerson OpenEnterprise 3.3.4-es és korábbi verzióiban.

A gyártó a hibát a 3.3.5-ös verzióban javította. A sérülékenységekről bővebben az ICS-CERT bejelentésében lehet olvasni: https://www.us-cert.gov/ics/advisories/icsa-20-140-02

Sérülékenység Sensormatic Electronics rendszerekben

A Johnson Controls egy sérülékenységet jelentett a CISA-nak, ami a Sensormatic Electronics nevű leányvállalata által gyártott alábbi rendszereket érinti:

- Software House C-CURE 9000 2.70-es verziója;
- American Dynamics victor Video Management System 5.2-es verziója.

A gyártó a hibák javításaként az érintett termékek legújabb verzióra történő frissítését javasolja. A sérülékenységgel kapcsolatban további információkat az ICS-CERT weboldalán lehet elérni: https://www.us-cert.gov/ics/advisories/icsa-20-142-01

Schneider Electric EcoStruxure rendszerek sérülékenységei

Sharon Brizinov és Amir Preminger, a Claroty munkatársai, Steven Seeley és Chris Anastasio of Incite Team tagjai, valamint Fredrik Østrem, Emil Sandstø és Cim Stordal, a Cognite munkatársai jelentettek összesen 5 sérülékenységet a Schneider Electric-nek, amik a gyártó alábbi rendszereit érintik:

- EcoStruxure Operator Terminal Expert 3.1 Service Pack 1 és korábbi (még Vijeo XD néven ismert) verziói.

A gyártó a hibákat az EcoStruxure Operator Terminal Expert 3.1 Service Pack 1A verzióban javította. A sérülékenységről további információkat az ICS-CERT publikációja tartalmaz: https://www.us-cert.gov/ics/advisories/icsa-20-142-02

Kantech rendszerek sérülékenysége

A Johnson Controls egy sérülékenységet jelentett a CISA-nak, ami a Kantech nevű leányvállalatának EntraPass szoftverének alábbi változatait érinti:

- Special Edition v8.22 és korábbi verziói;
- Corporate Edition v8.22 és korábbi verziói;
- Global Edition v8.22 és korábbi verziói.

A gyártó a hibát az érintett kiadások v8.23-as verziójában javította. A sérülékenységgel kapcsolatban részleteket az ICS-CERT bejelentésében lehet találni: https://www.us-cert.gov/ics/advisories/icsa-20-147-02

Sérülékenységek Inductive Automation Ignition rendszerekben

Pedro Ribeiro, Radek Domanski, Chris Anastasio és Steven Seeley három sérülékenységet azonosítottak az Inductive Automation Ignition 8 típusú átjáróinak 8.0.10-esnél korábbi verzióiban.

A gyártó a hibákat a 8.0.10-es verzióban javította. A sérülékenység részletei az ICS-CERT weboldalán olvashatóak: https://www.us-cert.gov/ics/advisories/icsa-20-147-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználó kezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A Microsoft-ról sokaknak sokminden eszébe jut az IT és az IT biztonság világában is, arra sokan nem gondolnak, hogy az ICS rendszerek világában is komoly szereplőnek számítanak, nagyon sok ICS rendszer épül különböző Microsoft termékekre és van valós idejű Windows operációs rendszer is a termékeik között.

Az utóbbi időben azonban két olyan dologgal is találkoztam, ami nekem is újdonság volt. Először egy (mostanáig) három részes cikksorozatot találtam a microsoft.com-on, ami a villamosenergia-rendszer beszállítói láncai elleni támadásokról és a támadások elleni védekezés lehetőségeiről szólt (első rész, második rész, harmadik rész), majd szembejött egy cikk arról, hogy a Microsoft-nak szándékában áll megvásárolni az Izraelben alapított és az elsősorban az ICS és IoT világban tevékenykedő CyberX-et.

Szerintem mindenképpen érdekes helyzetet teremtene, ha egy, a Microsoft méreteivel és az IT világra gyakorolt befolyással rendelkező cég jelenne meg az ICS biztonság területén.