Abban nem igazán lehet vita (különösen most, amikor Ukrajnában atomerőművek közvetlen közelében zajlik már több, mint 2 éve háború), hogy a nukleáris erőművek biztonsága (beleértve ebbe a fizikai és kiberbiztonságot egyaránt) az egyik legfontosabb téma. Én is többször érintettem ezt a témát (vagy inkább csak karcolgattam a felszínét), nemrég azonban egy tavaly őszi cikket találtam az Ukatemi weboldalán.

A cikk az atomerőművek fenyegetettségeinek rövid bemutatása után ismerteti a mélységi védelem (Defense-in-Depth) koncepcióját és annak néhány kulcsfontosságú elemét.

Maga a cikk tökéletes nyitódarabja lenne egy sorozatnak, amiben részletekbe menően bemutatják a nukleáris erőművekkel kapcsolatos egyedi (még az ICS/OT kiberbiztonsági világban is különleges) kihívásokat. Csak remélni (és sürgetni) tudom, hogy az Ukatemi témába vágó publikációi nem állnak meg ennél a bevezető cikknél.

Bejelentés dátuma: 2024.07.01.
Gyártó: OPC Foundation
Érintett rendszer(ek):
- OPCFoundation/UA-.NETStandard 1.05.374.54 és újabb verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Allocation of Resources Without Limits or Throttling (CVE-2024-33862)/súlyos;
Javítás: Nincs információ.
Link a publikációhoz: OPCFoundation

Bejelentés dátuma: 2024.07.16.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- Pavilion 8 5.15.00-tól 5.20.00-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Permission Assignment for Critical Resource (CVE-2024-6435)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-198-01

Bejelentés dátuma: 2024.07.18.
Gyártó: Subnet Solutions
Érintett rendszer(ek):
- PowerSYSTEM Center 2020 Update 20 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Prototype Pollution (CVE-2023-26136)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-200-02

Bejelentés dátuma: 2024.07.18.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- MELSOFT MaiLab SW1DND-MAILAB-M 1.00A-tól 1.05F-ig terjedő verziói;
- MELSOFT MaiLab SW1DND-MAILABPR-M 1.00A-tól 1.05F-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Verification of Cryptographic Signature (CVE-2023-4807)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-200-01

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A Dragos a mai napon publikálta első elemzését az általuk FrostyGoop-nak nevezett, Ukrajnában felfedezett és a sorban kilencedikként számon tartott ICS malware-ről.

A malware-nek, amit alkotói Golang-ban írtak az egyik különlegessége, hogy ez az első ismert ICS malware, ami képes közvetlenül Modbus/TCP protokollon keresztül támadni a vezérlőket. A malware-t az ukrajnai Lviv városának egyik energetikai/távfűtési cégének rendszereiben fedezték fel. A Dragos elemzői az eddig gyűjtött információk szerint feltételezik, hogy a FrostyGoop malware-t elsődlegesen Windows-alapú rendszerek elleni támadásokhoz tervezték és JSON fájlokban tárolja a konfigurációs adatokat, amikkel a kontrollereket képes támadni. A vizsgálatok során a Dragos munkatársai olyan konfigurációs fájlokat is találtak, amik alapján feltételezik, hogy a FrostyGoop Interneten közvetlenül elérhető ENCO vezérlőket is támadott.

Egyértelműen látszik, hogy az utóbbi, valamivel több, mint 2 évben, amióta zajlik az orosz-ukrán háború, egyre gyorsabb ütemben fejlődnek a kritikus infrastruktúrák elleni kibertámadások és az azokhoz használt eszközök, éppen ezért nehezen érthető, hogy miért nem sikerül a legalapvetőbb OT biztonsági alapelveket sem betartani? Például a Dragos mostani elemzése is kitér arra, hogy az Interneten nagy számban (jó, az ideális nullához képest még a 10 is túl nagy szám lenne) érhetőek el a Modbus protokoll különböző verzióin kommunikáló eszközök, amiket inkább akarat, mint hatalmas pénzösszegek kérdése lenne biztonságosabbá tenni.

Július 19-én, európai idő szerint hajnalban egy (vagy kettő) komolyabb hiba miatt világszerte tömegével váltak használhatatlanná Windows szerver-alapú rendszerek. Leálltak repülőterek és földön maradtak a világ nagy légitársaságainak (többek között a United, az American Airlines és más társaságok) járatai. Az első hírek a Microsoft Azure felhőszolgáltatásának leállásáról szóltak, majd nem sokkal később már a CloudStrike nevű kiberbiztonsági cég Falcon Sensor néven ismert végpontvédelmi szoftverének hibás működéséből adódó kiesésről lehetett olvasni (egy hibás frissítés - az új verzió egy olyan memóriaterületről is megpróbált olvasni, ami a Windows operációs rendszerben védettnek számít és bármilyen szoftvert, ami innen olvasni próbál, a Windows azonnal leállít) miatt a Falcon Sensort futtató hostok kék halállal álltak le és nem lehetett őket egy egyszerű újraindítással megjavítani, a csökkentett módban történő indítás után törölni kellett egy ún. Channel File-t (0409-es időbélyeggel rendelkező C-00000291*.sys fájlt) a C:\Windows\System32\drivers\CrowdStrike\ könyvtárból, majd normál módban újraindítani az érintett hostot.

Az incidens (mert ugye ez is egy igen súlyos incidens volt, még ha nem is kiberbiztonsági incidens, hiszen egy - vagy két - üzemeltetési/fejlesztési hiba okozta) ismét szépen rámutatott arra, hogy még ha közvetlenül nem is érintettek ICS/OT rendszerek, az IT-OT konvergencia néven nevezett, egyre szorosabb integráció a két technológiai terület között milyen súlyos hatásokkal tud lenni egy informatikai hiba a fizikai világ folyamatainak vezérlésére is. Erről írt tegnap délben a LinkedIn-en Kocsis Tamás.

A cikket mindenképp elolvasásra ajánlom, mert jól összeszedett írás, aminek azért megvannak a korlátai, például az, hogy a szerző saját tapasztalataiból építkezik, aki láthatóan gyártásautomatizálási és villamosenergia-termelési tapasztalatokkal rendelkezik. Ezt persze nem hibaként rovom fel Tamásnak, hiszen ez szinte mindenkire (így persze rám is) érvényes, aki az OT kiberbiztonság területén dolgozik, lévén annyira még nem régi és annyira szerteágazó, számos iparágat magába foglaló ez a szakma, hogy egy embernek még jó ideig nem lesz esélye sem, hogy sok különböző iparág folyamatrányítási rendszereivel kapcsolatos sajátosságokat a saját tapasztalatai alapján tudjon feldolgozni.

Ahogy Tamás írta a cikkben, a gyártásautomatizálásban, főleg a Just-in-Time termelési modell miatt egyre szorosabbá vált az integráció a termélést vezérlő rendszerek és egyes IT rendszerek (pl. készletgazdálkodási rendszerek) között, hogy elég csak egy vagy több IT rendszernek egy, a CloudStrike-éhoz hasonló hiba miatt leállni és ez már azonnal megzavarja a termelésirányítás működését is.

Tamás második példája a villamosenergia-erőműveket hozza példának, amiről viszont nem szól, az a villamosenergia-rendszer többi szereplőjének (átviteli- és elosztói rendszerirányítók) rendszerei, pedig itt is számos olyan rendszer lehet (pl. villamosenergia-piaci rendszerek, a kiegyenlítő-energia kereskedelméhez használt rendszerek vagy akár a - legszegényebb társadalmi rétegeket érintő, feltöltőkártyás mérőórák feltöltéséhez használható rendszerek), amik alapvetően IT megoldások és jellemzően IT hálózatokban üzemelnek, de kiesésük adott esetben nagyon súlyos, extrém esetben akár komolyabb áramkimaradásokat eredményező üzemzavarokat is okozhatnak, kevésbé rossz esetekben pedig jelentős anyagi károkat okozhatnak az érintett szervezeteknek - vagy kisebb, de még mindig súlyos károkat a fogyasztóknak.

A harmadik szektor, amit példaként fel kell hozni (ezt már én teszem), az olaj- és gáz-szektorból jön, a már többször (egyebek mellett általam is) emlegetett Colonial Pipeline ransomware-incidens példája, ahol szintén IT rendszerek (forrásaim szerint az amerikai terméktávvezeték üzemeltetéséért felelős cég kereskedelmi rendszerei) estek a támadás áldozatául, ami végül a teljes csővezeték-hálózat leállításában csúcsosodott ki.

A fenti példák (szerintem) elég jól megmutatják, hogy az IT-OT konvergencia milyen kockázatokat hordozhat magában a különböző folyamatirányító rendszerek zavartalan és biztonságos működésére nézve.

Felmerül azonban a kérdés, hogy mi várható most és mit lehet tenni, ha a mi feladatunk az folyamatvezérlő rendszerek kiberbiztonságának megteremtése és fenntartása?

Egyrészt kezdeni kell valamit az IT-OT rendszerek összekapcsolásának biztonsági kérdéseivel, ehhez még ma is kiváló alapokat biztosít a Purdue-modell (amiről szintén írtam még a blog indulása környékén),

aminek a tanácsait követve ki lehet dolgozni az adott szervezet és folyamatirányító rendszereinek gyakran egyedi igényeihez illeszkedő biztonsági architektúra-modellt.

Külön érdemes beszélni (a Microsoft Azure szolgáltatásainak leállása apropóján) a felhőszolgáltatások és a folyamatirányító rendszerek kapcsolatáról, amihez szintén jó kiindulási alap lehet a Purdue-modell - és a felhőszolgáltatók rendszereinek az adott szervezet on-premise rendszereivel történő összekapcsolásának jó gyakorlatai.

Másrészt, nem lehet elmenni szó nélkül az antivírus/végpontvédelmi megoldások ICS/OT rendszereken történő használata mellett, hiszen a CrowdStrike-frissítés adott esetben akár folyamatirányító rendszerek leállását is okozhatta. Mondjuk erre épp kicsi esélyt érzek, mert (ismét visszautalva Tamás LinkedIn-es cikkére) egyrészt nagyon sok folyamatirányító rendszerben az L2 rendszerek (SCADA, DCS rendszerek, mérnöki/operátori munkaállomások) hostjain sem használnak antivírus/végpontvédelmi megoldásokat, másrészt ahol használnak, ott sem az ügyfél döntése, milyen host-szintű biztonsági megoldást választ a folyamatirányítási rendszereihez, hanem az ICS/OT gyártó megmondja, hogy milyen AV/EPP megoldást támogat és ha ettől valaki eltér, az azonnal a gyártói garancia elvesztését eredményezi, ezt pedig a folyamatirányítási mérnökök nem nagyon vállalják fel (én személy szerint még nem találkoztam ilyen mérnökkel, egyszer hallottam hasonló döntésről, amit a Delta Airlines adatközpontjainak épületgépész mérnökei hoztak meg, de annak sem biztonsági megfontolásai voltak).

Ami a konkrét esetet illeti, CrowdStrike AV/EPP megoldást én nem hogy nem láttam ICS/OT rendszereken használva, de nem is hallottam róla (igazság szerint két iparág ICS/OT rendszereiben is csak egyetlen, az IT-ban is patinásnak számító biztonsági gyártó megoldásaival találkoztam). Viszont az, hogy ipari rendszereknél jellemzően egy gyártó AV termékét támogatják az ICS/OT vendorok, még nem jelenti azt, hogy ilyen nem fordulhat elő az adott gyártóval, mert ez a gyártó is produkált már ilyen hibát (igaz közel két évtizede), de gyakorlatilag nem tudok olyan AV/EPP gyártót mondani, amelyik az elmúlt 20-25 évben legalább egyszer ne követett volna el valami hasonlót.

Az ilyen, biztonsági gyártói hibák kivédésére én jelenleg egy megoldást látok, amihez szintén nélkülözhetetlen a megfelelő (Purdue-modell alapú IT-OT hálózatok szegmentálása), ez pedig az OT rendszereken használt biztonsági megoldások frissítésének csúsztatott (legalább fél-egy napos késéssel megvalósított) frissítése - ekkor a hasonló hibákat mások már előttünk meg fogják tapasztalni, így lesz lehetőségünk arra, hogy megtegyük a szükséges preventív intézkedéseket a rendszereink megóvása érdekében. Nyilván egy késletetett frissítés hordoz magában bizonyos szintű kockázatokat (pl. egy EternalBlue sérülkenységet kihasználó, féreg-szerű terjedési képességekkel rendelkező malware támadása esetén), de ha az IT rendszereken használt AV/EPP megoldások eltérnek az OT rendszerek végpontvédelmi megoldásától, akkor az javíthatja az IT hálózatok felől az ICS/OT rendszereket célzó fenyegetések elleni védekezés esélyeit.

Bejelentés dátuma: 2024.07.09.
Gyártó: Delta Electronics
Érintett rendszer(ek):
- CNCSoft-G2 HMI-ok 2.0.0.5-ös verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2024-39880)/súlyos;
- Out-of-bounds Write (CVE-2024-39881)/súlyos;
- Out-of-bounds Read (CVE-2024-39882)/súlyos;
- Heap-based Buffer Overflow (CVE-2024-39883)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-191-01

Bejelentés dátuma: 2024.07.09.
Gyártó: Mitsubishi Electric
Érintett rendszer(ek):
- Mitsubishi Electric MELIPC sorozatú MI5122-VW ipari PC-k 05-től 07-ig tartó firmware-verziói (a 07-es is érintett);
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Default Permissions (CVE-2024-3904)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-191-02

Bejelentés dátuma: 2024.07.09.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- llustra Pro Gen 4 Camera SS016.05.03.01.0010-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Dependency on Vulnerable Third-Party Component (CVE-2024-32753)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-191-03

Bejelentés dátuma: 2024.07.09.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- Software House C-CURE 9000 2.80-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Weak Credentials (CVE-2024-32759)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-191-04

Bejelentés dátuma: 2024.07.09.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- Software House C-CURE 9000 Site Server: Version 3.00.3-as és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect Default Permissions (CVE-2024-32861)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-191-05

Bejelentés dátuma: 2024.07.09.
Gyártó: Schneider Electric
Érintett rendszer(ek):
- Modicon Controllers M241/M251 minden verziója;
- Modicon Controllers M258/LMC058 minden verziója;
- Modicon Controllers M262 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2024-6528)/közepes;
Javítás: Nincs, a gyártó jelenleg is dolgozik a sérülékenység javításán.
Link a publikációhoz: Schneider Electric

Bejelentés dátuma: 2024.07.09.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEMA Remote Connect Server minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Command Injection (CVE-2024-39570)/súlyos;
- Command Injection (CVE-2024-39571)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.07.09.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM i800 V4.3.10-nél korábbi verziói;
- RUGGEDCOM i800NC V4.3.10-nél korábbi verziói;
- RUGGEDCOM i801 V4.3.10-nél korábbi verziói;
- RUGGEDCOM i801NC V4.3.10-nél korábbi verziói;
- RUGGEDCOM i802 V4.3.10-nél korábbi verziói;
- RUGGEDCOM i802NC V4.3.10-nél korábbi verziói;
- RUGGEDCOM i803 V4.3.10-nél korábbi verziói;
- RUGGEDCOM i803NC V4.3.10-nél korábbi verziói;
- RUGGEDCOM M969 V4.3.10-nél korábbi verziói;
- RUGGEDCOM M969NC V4.3.10-nél korábbi verziói;
- RUGGEDCOM M2100 V4.3.10-nél korábbi verziói;
- RUGGEDCOM M2100NC V4.3.10-nél korábbi verziói;
- RUGGEDCOM M2200 V4.3.10-nél korábbi verziói;
- RUGGEDCOM M2200NC V4.3.10-nél korábbi verziói;
- RUGGEDCOM RMC30 V4.3.10-nél korábbi verziói;
- RUGGEDCOM RMC30NC V4.3.10-nél korábbi verziói;
- RUGGEDCOM RMC8388 V4.X V4.3.10-nél korábbi verziói;
- RUGGEDCOM RMC8388 V5.X V5.9.0-nál korábbi verziói;
- RUGGEDCOM RMC8388NC V4.X V4.3.10-nél korábbi verziói;
- RUGGEDCOM RMC8388NC V5.X V5.9.0-nál korábbi verziói;
- RUGGEDCOM RP110 V4.3.10-nél korábbi verziói;
- RUGGEDCOM RP110NC V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS400 V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS400NC V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS401 V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS401NC V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS416 V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS416NC V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS416NCv2 V4.X V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS416NCv2 V5.X V5.9.0-nál korábbi verziói;
- RUGGEDCOM RS416P V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS416PNC V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS416PNCv2 V4.X V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS416PNCv2 V5.X V5.9.0-nál korábbi verziói;
- RUGGEDCOM RS416Pv2 V4.X V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS416Pv2 V5.X V5.9.0-nál korábbi verziói;
- RUGGEDCOM RS416v2 V4.X V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS416v2 V5.X V5.9.0-nál korábbi verziói;
- RUGGEDCOM RS900 V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS900 (32M) V4.X V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS900 (32M) V5.X V5.9.0-nál korábbi verziói;
- RUGGEDCOM RS900G V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS900G (32M) V4.X V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS900G (32M) V5.X V5.9.0-nál korábbi verziói;
- RUGGEDCOM RS900GNC V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS900GNC(32M) V4.X V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS900GNC(32M) V5.X V5.9.0-nál korábbi verziói;
- RUGGEDCOM RS900GP V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS900GPNC V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS900L minden verziója;
- RUGGEDCOM RS900LNC minden verziója;
- RUGGEDCOM RS900M-GETS-C01 V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS900M-GETS-XX V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS900M-STND-C01 V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS900M-STND-XX V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS900MNC-GETS-C01 V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS900MNC-GETS-XX V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS900MNC-STND-XX V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS900MNC-STND-XX-C01 V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS900NC V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS900NC(32M) V4.X V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS900NC(32M) V5.X V5.9.0-nál korábbi verziói;
- RUGGEDCOM RS900W V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS910 V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS910L minden verziója;
- RUGGEDCOM RS910LNC minden verziója;
- RUGGEDCOM RS910NC V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS910W V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS920L minden verziója;
- RUGGEDCOM RS920LNC minden verziója;
- RUGGEDCOM RS920W minden verziója;
- RUGGEDCOM RS930L minden verziója;
- RUGGEDCOM RS930LNC minden verziója;
- RUGGEDCOM RS930W minden verziója;
- RUGGEDCOM RS940G V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS940GNC V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS969 minden verziója;
- RUGGEDCOM RS969NC minden verziója;
- RUGGEDCOM RS1600 V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS1600F V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS1600FNC V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS1600NC V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS1600T V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS1600TNC V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS8000 V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS8000A V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS8000ANC V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS8000H V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS8000HNC V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS8000NC V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS8000T V4.3.10-nél korábbi verziói;
- RUGGEDCOM RS8000TNC V4.3.10-nél korábbi verziói;
- RUGGEDCOM RSG907R V5.9.0-nál korábbi verziói;
- RUGGEDCOM RSG908C V5.9.0-nál korábbi verziói;
- RUGGEDCOM RSG909R V5.9.0-nál korábbi verziói;
- RUGGEDCOM RSG910C V5.9.0-nál korábbi verziói;
- RUGGEDCOM RSG920P V4.X V4.3.10-nél korábbi verziói;
- RUGGEDCOM RSG920P V5.X V5.9.0-nál korábbi verziói;
- RUGGEDCOM RSG920PNC V4.X V4.3.10-nél korábbi verziói;
- RUGGEDCOM RSG920PNC V5.X V5.9.0-nál korábbi verziói;
- RUGGEDCOM RSG2100 V4.3.10-nél korábbi verziói;
- RUGGEDCOM RSG2100 (32M) V4.X V4.3.10-nél korábbi verziói;
- RUGGEDCOM RSG2100 (32M) V5.X V5.9.0-nál korábbi verziói;
- RUGGEDCOM RSG2100NC V4.3.10-nél korábbi verziói;
- RUGGEDCOM RSG2100NC(32M) V4.X V4.3.10-nél korábbi verziói;
- RUGGEDCOM RSG2100NC(32M) V5.X V5.9.0-nál korábbi verziói;
- RUGGEDCOM RSG2100P V4.3.10-nél korábbi verziói;
- RUGGEDCOM RSG2100PNC V4.3.10-nél korábbi verziói;
- RUGGEDCOM RSG2200 V4.3.10-nél korábbi verziói;
- RUGGEDCOM RSG2200NC V4.3.10-nél korábbi verziói;
- RUGGEDCOM RSG2288 V4.X V4.3.10-nél korábbi verziói;
- RUGGEDCOM RSG2288 V5.X V5.9.0-nál korábbi verziói;
- RUGGEDCOM RSG2288NC V4.X V4.3.10-nél korábbi verziói;
- RUGGEDCOM RSG2288NC V5.X V5.9.0-nál korábbi verziói;
- RUGGEDCOM RSG2300 V4.X V4.3.10-nél korábbi verziói;
- RUGGEDCOM RSG2300 V5.X V5.9.0-nál korábbi verziói;
- RUGGEDCOM RSG2300NC V4.X V4.3.10-nél korábbi verziói;
- RUGGEDCOM RSG2300NC V5.X V5.9.0-nál korábbi verziói;
- RUGGEDCOM RSG2300P V4.X V4.3.10-nél korábbi verziói;
- RUGGEDCOM RSG2300P V5.X V5.9.0-nál korábbi verziói;
- RUGGEDCOM RSG2300PNC V4.X V4.3.10-nél korábbi verziói;
- RUGGEDCOM RSG2300PNC V5.X V5.9.0-nál korábbi verziói;
- RUGGEDCOM RSG2488 V4.X V4.3.10-nél korábbi verziói;
- RUGGEDCOM RSG2488 V5.X V5.9.0-nál korábbi verziói;
- RUGGEDCOM RSG2488NC V4.X V4.3.10-nél korábbi verziói;
- RUGGEDCOM RSG2488NC V5.X V5.9.0-nál korábbi verziói;
- RUGGEDCOM RSL910 V5.9.0-nál korábbi verziói;
- RUGGEDCOM RSL910NC V5.9.0-nál korábbi verziói;
- RUGGEDCOM RST916C V5.9.0-nál korábbi verziói;
- RUGGEDCOM RST916P V5.9.0-nál korábbi verziói;
- RUGGEDCOM RST2228 V5.9.0-nál korábbi verziói;
- RUGGEDCOM RST2228P V5.9.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2023-52237)/súlyos;
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2023-52238)/közepes;
- Incorrect Privilege Assignment (CVE-2024-38278)/közepes;
- Exposure of Sensitive System Information to an Unauthorized Control Sphere (CVE-2024-39675)/súlyos;
Javítás:
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.07.09.
Gyártó: Siemens
Érintett rendszer(ek):
- JT Open minden verziója;
- PLM XML SDK minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- NULL Pointer Dereference (CVE-2024-37996)/alacsony;
- Stack-based Buffer Overflow (CVE-2024-37997)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.07.09.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC Energy Manager Basic V7.5-nél korábbi verziója;
- SIMATIC Energy Manager PRO V7.5-nél korábbi verziója;
- SIMATIC IPC DiagBase minden verziója;
- SIMATIC IPC DiagMonitor minden verziója;
- SIMIT V10 minden verziója;
- SIMIT V11 V11.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improperly Controlled Sequential Memory Allocation (CVE-2023-52891)/közepes;
Javítás: Részben elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.07.09.
Gyártó: Siemens
Érintett rendszer(ek):
- SINEMA Remote Connect Client V3.2 HF1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Command Injection (CVE-2024-39567)/súlyos;
- Command Injection (CVE-2024-39568)/súlyos;
- Command Injection (CVE-2024-39569)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.07.09.
Gyártó: Siemens
Érintett rendszer(ek):
- TIA Portal minden verziója;
- TIA Portal V18 minden verziója;
- SIMATIC STEP 7 Safety V18 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2023-32737)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.07.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens JT2Go v14.3.0.8-nál korábbi verziói;
- Siemens Teamcenter Visualization V14.1 v14.1.0.14-nél korábbi verziói;
- Siemens Teamcenter Visualization V14.2 v14.2.0.10-nél korábbi verziói;
- Siemens Teamcenter Visualization V14.3 v14.3.0.8-nál korábbi verziói;
- Siemens Teamcenter Visualization V2312 v2312.0002-nél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2023-7066)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.07.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens SINEMA Remote Connect Server minden, V3.2 SP1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Incorrect User Management (CVE-2022-32260)/közepes;
- Unrestricted Upload of File with Dangerous Type (CVE-2024-39865)/súlyos;
- Privilege Defined with Unsafe Actions (CVE-2024-39866)/súlyos;
- Forced Browsing (CVE-2024-39867)/súlyos;
- Forced Browsing (CVE-2024-39868)/súlyos;
- Improper Check for Unusual or Exceptional Conditions (CVE-2024-39869)/közepes;
- Client-Side Enforcement of Server-Side Security (CVE-2024-39870)/közepes;
- Incorrect Authorization (CVE-2024-39871)/közepes;
- Creation of Temporary File With Insecure Permissions (CVE-2024-39872)/kritikus;
- Improper Restriction of Excessive Authentication Attempts (CVE-2024-39873)/súlyos;
- Improper Restriction of Excessive Authentication Attempts (CVE-2024-39874)/súlyos;
- Incorrect Permission Assignment for Critical Resource (CVE-2024-39875)/közepes;
- Allocation of Resources Without Limits or Throttling (CVE-2024-39876)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.07.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Simcenter Femap V2406-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Out-of-bounds Read (CVE-2024-32055)/súlyos;
- Out-of-bounds Write (CVE-2024-32056)/súlyos;
- Type Confusion (CVE-2024-32057)/súlyos;
- Improper Restriction of Operations within the Bounds of a Memory Buffer (CVE-2024-32058)/súlyos;
- Out-of-bounds Read (CVE-2024-32059)/súlyos;
- Out-of-bounds Read (CVE-2024-32060)/súlyos;
- Out-of-bounds Read (CVE-2024-32061)/súlyos;
- Type Confusion (CVE-2024-32062)/súlyos;
- Type Confusion (CVE-2024-32063)/súlyos;
- Out-of-bounds Read (CVE-2024-32064)/súlyos;
- Out-of-bounds Read (CVE-2024-32065)/súlyos;
- Out-of-bounds Read (CVE-2024-32066)/súlyos;
- Stack-based Buffer Overflow (CVE-2024-33577)/súlyos;
- Out-of-bounds Read (CVE-2024-33653)/súlyos;
- Out-of-bounds Read (CVE-2024-33654)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.07.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Siemens RUGGEDCOM APE1808 minden, Fortinet NGFW-vel használ verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Stack-based Buffer Overflow (CVE-2023-46720)/közepes;
- Use of Password Hash With Insufficient Computational Effort (CVE-2024-21754)/alacsony;
- Cross-site Scripting (CVE-2024-23111)/közepes;
- Stack-based Buffer Overflow (CVE-2024-26010)/súlyos;
Javítás: A javításról a gyártó támogató csapata tud információt adni.
Link a publikációhoz: Siemens ProductCERT, ICS-CERT

Bejelentés dátuma: 2024.07.09.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM APE1808 minden, Palo Alto Networks Virtual NGFW-vel használt verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Truncation of Security-relevant Information (CVE-2023-48795)/közepes;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.07.09.
Gyártó: Siemens
Érintett rendszer(ek):
- RUGGEDCOM CROSSBOW minden verziója;
- RUGGEDCOM ROS V4.X család;
- RUGGEDCOM ROX II család;
- SCALANCE M-800 család (beleértve az S615-ös, MUM-800-as és RM1224-es modelleket is);
- SCALANCE SC-600 család;
- SCALANCE W-700 IEEE 802.11ax család;
- SCALANCE W-700 IEEE 802.11n család;
- SCALANCE W-1700 IEEE 802.11ac család;
- SCALANCE X-300 család (beleértve az X408 és SIPLUS NET változatokat is);
- SCALANCE XB-200/XC-200/XP-200/XF-200BA/XR-300WG család;
- SCALANCE XCM-/XRM-/XCH-/XRH-300 család;
- SCALANCE XM-400/XR-500 család;
- SINEC INS minden, engedélyezett RADIUS Server funkcióval használt verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Enforcement of Message Integrity During Transmission in a Communication Channel (CVE-2024-3596)/kritikus;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.07.09.
Gyártó: Siemens
Érintett rendszer(ek):
- SIPROTEC 5 - CP050 eszközök;
- SIPROTEC 5 - CP100 eszközök;
- SIPROTEC 5 - CP150 eszközök;
- SIPROTEC 5 - CP200 eszközök;
- SIPROTEC 5 - CP300 eszközök;
- SIPROTEC 5 kommunikációs modulok;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Inadequate Encryption Strength (CVE-2024-38867)/közepes;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.07.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Totally Integrated Automation Portal (TIA Portal) V19 előtti verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2023-32735)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.07.09.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC PCS neo V4.0 minden verziója;
- Totally Integrated Automation Portal (TIA Portal) V18 Update 2 előtti verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Deserialization of Untrusted Data (CVE-2022-45147)/súlyos;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.07.09.
Gyártó: Siemens
Érintett rendszer(ek):
- SIMATIC PCS 7 V9.1 minden verziója;
- SIMATIC WinCC Runtime Professional V18 minden verziója;
- SIMATIC WinCC Runtime Professional V19 minden, V19 Update 2-nél korábbi verziója;
- SIMATIC WinCC V7.4 minden, V7.4 SP1 Update 23-nál korábbi verziója;
- SIMATIC WinCC V7.5 minden, V7.5 SP2 Update 17-nél korábbi verziója;
- SIMATIC WinCC V8.0 minden, V8.0 Update 5-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Exposure of Private Personal Information to an Unauthorized Actor (CVE-2024-30321)/közepes;
Javítás: Részben elérhető.
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.07.09.
Gyártó: Siemens
Érintett rendszer(ek):
- Mendix Encryption minden, V10.0.0-nál újabb, de V10.0.2-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Hard-coded, Security-relevant Constants (CVE-2024-39888)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Siemens ProductCERT

Bejelentés dátuma: 2024.07.10.
Gyártó: Moxa
Érintett rendszer(ek):
- ioThinx 4530 sorozatú eszközök 2.0 és korábbi firmware-verziói;
- ioPAC 8600 sorozatú eszközök 2.1 és korábbi firmware-verziói;
- EDS-4000 sorozatú eszközök 3.2 és korábbi firmware-verziói;
- EDS-G4000 sorozatú eszközök 3.2 és korábbi firmware-verziói;
- EDR-G9010 sorozatú eszközök 3.3 és korábbi firmware-verziói;
- EDR-8010 sorozatú eszközök 3.3 és korábbi firmware-verziói;
- NAT-102 sorozatú eszközök 1.0.5és korábbi firmware-verziói;
- OnCell G4302-LTE4 3.0 és korábbi firmware-verziói;
- MXsecurity 2.0 és korábbi verziói;
- UC-1200A sorozatú eszközök 1.1 és korábbi firmware-verziói;
- UC-2200A sorozatú eszközök 1.1 és korábbi firmware-verziói;
- UC-2100 sorozatú eszközök 1.14 és korábbi firmware-verziói;
- UC-3100 sorozatú eszközök 1.8 és korábbi firmware-verziói;
- UC-5100 sorozatú eszközök 1.6 és korábbi firmware-verziói;
- UC-8100 sorozatú eszközök 3.7 és korábbi firmware-verziói;
- UC-8100-ME sorozatú eszközök 3.3 és korábbi firmware-verziói;
- UC-8100A-ME-T sorozatú eszközök 1.7 és korábbi firmware-verziói;
- UC-8200 sorozatú eszközök 1.7 és korábbi firmware-verziói;
- UC-8410A sorozatú eszközök 4.3.2 és korábbi firmware-verziói;
- UC-8540 sorozatú eszközök 2.3 és korábbi firmware-verziói;
- UC-8580 sorozatú eszközök 2.3 és korábbi firmware-verziói;
- V2406C sorozatú eszközök 1.3 és korábbi firmware-verziói;
- V2201 sorozatú eszközök 2.1 és korábbi firmware-verziói;
- V2403C sorozatú eszközök 1.1 és korábbi firmware-verziói;
- DA-820C sorozatú eszközök 1.2 és korábbi firmware-verziói;
- DA-682C sorozatú eszközök 1.3 és korábbi firmware-verziói;
- DA-681C sorozatú eszközök 1.2 és korábbi firmware-verziói;
- DA-681A sorozatú eszközök 1.0 és korábbi firmware-verziói;
- DA-720 sorozatú eszközök 1.0 és korábbi firmware-verziói;
- MC-1100 sorozatú eszközök 2.0 és korábbi firmware-verziói;
- MC-7400 sorozatú eszközök 1.0 és korábbi firmware-verziói;
- MPC-2070 sorozatú eszközök 1.0 és korábbi firmware-verziói;
- MPC-2101 sorozatú eszközök 1.0 és korábbi firmware-verziói;
- MPC-2120 sorozatú eszközök 1.0 és korábbi firmware-verziói;
- MPC-2121 sorozatú eszközök 1.0 és korábbi firmware-verziói;
- MPC-2190 sorozatú eszközök 1.0 és korábbi firmware-verziói;
- MPC-2240 sorozatú eszközök 1.0 és korábbi firmware-verziói;
- EXPC-1519 sorozatú eszközök 1.0 és korábbi firmware-verziói;
- MPC-2150 sorozatú eszközök 1.0 és korábbi firmware-verziói;
- BXP-C100 sorozatú eszközök 1.0 és korábbi firmware-verziói;
- DRP-C100 sorozatú eszközök 1.0 és korábbi firmware-verziói;
- DRP-A100 sorozatú eszközök 1.0 és korábbi firmware-verziói;
- TN-4900 sorozatú eszközök 3.6 és korábbi firmware-verziói;
- AIG-301 sorozatú eszközök 1.5.1 és korábbi firmware-verziói;
- AIG-302 sorozatú eszközök 1.0 és korábbi firmware-verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use After Free (CVE-2024-1086)/súlyos;
Javítás: Elérhető
Link a publikációhoz: Moxa

Bejelentés dátuma: 2024.07.11.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- ThinManager ThinServer 11.1.0, 11.2.0, 12.0.0, 12.1.0, 13.0.0, 13.1.0 és 13.2.0 verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2024-5988)/kritikus;
- Improper Input Validation (CVE-2024-5989)/kritikus;
- Improper Input Validation (CVE-2024-5990)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-193-18

A sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

Immár 14 éve, hogy a Stuxnet nyilvánosságra kerülése után szélesebb szakmai körben ismertté vált az ICS/OT rendszerek kiberbiztonsági témája. Nem sokkal később (talán 2013-ban lehetett) már egy ISACA Budapest Chapter konferencián volt előadás a témából, Gélák Robi tartott egy kifejezett jó "Bevezetés a SCADA-biztonság világába"-szintű előadást, aztán ezt nagyritkán egy-egy másik kolléga (Krasznay Csaba, Hirsch Gábor és még néhányan) követtek. Ezek ellenére 2018 végéig, a SeConSys elindulásáig nem igazán került be az ICS/OT biztonság témája a magyar szakmai közösség érdeklődésének homlokterébe, a SeConSys kézikönyv, majd a 2020 februárjában megjelent, az Internet magyar szegletében publikusan elérhető ICS/OT rendszereket és eszközöket kutató BlackCell whitepaper sem keltett komolyabb hullámokat. Így jutottunk el 2024-ig, amikor az Európai Unió NIS2 direktívájának várható magyarországi implementációja megint lehetőséget ad számos gyártó, integrátor és tanácsadó cég számára, hogy megpróbálják eladni a megoldásaikat és szolgálatásaikat az ipari folyamatirányítási rendszereket használó szervezeteknek.

A mai poszt témája azonban nem ez (ezt a témát majd egy kicsit később szeretném kicsit körbejárni), hanem az, hogy miért nem értik a magyar információ- és IT biztonsági szakma tapasztalt, ismert és elismert művelői (tisztelet a ritka kivételeknek) azokat a különbségeket, amik az információbiztonság/IT biztonság és az ICS/OT kiberbiztonság között a legalapvetőbbek? A kérdés akkor merült fel bennem, amikor még idén év elején láttam Kocsis Tamás előadását az ISACA Budapest második szerdai programján és végighallgattam az előadás utáni kérdéseket és válaszokat is. Maga az előadás szerintem egészen jó volt, ami viszont feltűnt, hogy mind az előadás, mind a kérdések sé a válaszok azt mutatják, hogy a hallgatóság nagy része érezhetően nem találkozott még olyan rendszerekkel, ahol nem csak adatokra, hanem a fizikai valóságra is hatással lehet egy-egy biztonsági incidens.

Ezt pedig azért is nagyon érdekesnek tartom, mert ha így van, az felvet egy űjabb kérdést: ezek az információ-/IT biztonsági területeken dolgozó kollégák vajon soha nem auditáltak még informatikai géptermet? Ha pedig auditáltak, akkor soha nem jutottak el odáig, hogy feltegyenek kérdéseket a rack-szekrények hőmérsékletét monitorozó, a légkondícionálást és a szünetmentes tápegységeket vezérlő rendszerek működésével és biztonságával kapcsolatban?

Szóval mostanában erősen az (is) jár a fejemben, hogy vajon mit kéne tenni annak érdekében, hogy a hazai szakma képviselőit legalább a legalapvetőbb ICS/OT biztonsági ismereteknél egy kicsit többet át lehessen adni és ezen a területen is tudatosabbak legyenek a kollégák?

Bejelentés dátuma: 2024.06.26.
Gyártó: ABB
Érintett rendszer(ek):
- ASPECT®-Enterprise ASP-ENT-x (2CQG103201S3021, 2CQG103202S3021, 2CQG103203S3021, 2CQG103204S3021) 3-as firmware-verziója;
- NEXUS NEX-2x és NEXUS-3-x sorozatú eszközök (2CQG100102R2021, 2CQG100104R2021, 2CQG100105R2021, 2CQG100106R2021, 2CQG100110R2021, 2CQG100112R2021, 2CQG100103R2021, 2CQG100107R2021, 2CQG100108R2021, 2CQG100109R2021,2CQG100111R2021, 2CQG100113R2021) 3-as firmware-verziója;
- MATRIX MAT-x sorozatú eszközök (2CQG100102R1021, 2CQG100103R1021, 2CQG100104R1021, 2CQG100105R1021, 2CQG100106R1021) 3-as firmware-verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Hard-coded default credential (CVE-2024-4007)/súlyos;
Javítás: Elérhető
Link a publikációhoz: ABB

https://search.abb.com/library/Download.aspx?DocumentID=9AKK108469A6101&LanguageCode=en&DocumentPartId=&Action=Launch

Bejelentés dátuma: 2024.07.02.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- Kantech KT1 ajtó vezérlő Rev01 2.09.01-es és korábbi verziói;
- Kantech KT2 ajtó vezérlő Rev01 2.09.01-es és korábbi verziói;
- Kantech KT400 ajtó vezérlő Rev01 3.01.16-os és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Exposure of Sensitive Information to an Unauthorized Actor (CVE-2024-32754)/alacsony;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-184-01

Bejelentés dátuma: 2024.07.02.
Gyártó: mySCADA
Érintett rendszer(ek):
- myPRO SCADA 8.31.0-nál korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Use of Hard-coded Password (CVE-2024-4708)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-184-02

Bejelentés dátuma: 2024.07.02.
Gyártók: ICONICS, Mitsubishi Electric
Érintett rendszer(ek):
- ICONICS Suite, beleértve a GENESIS64, Hyper Historian, AnalytiX és MobileHMI rendszerek 10.97.2-es verzióját;
- AlarmWorX Multimedia (AlarmWorX64 MMX) minden, 10.97.3-nál korábbi verziója;
- MobileHMI minden, 10.97.3-nál korábbi verziója;
- ICONICS, beleértve a GENESIS64, Hyper Historian, AnalytiX és MobileHMI rendszerek minden, 10.97.3-nál korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Allocation of Resources Without Limits or Throttling (CVE-2023-2650)/alacsony;
- Improper Neutralization (CVE-2023-4807)/közepes;
- Uncontrolled Search Path Element (CVE-2024-1182)/súlyos;
- Improper Authentication (CVE-2024-1573)/közepes;
- Unsafe Reflection (CVE-2024-1574)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-184-03

A fenti sérülékenységek negatív hatásainak csökkentése érdekében az ICS-CERT az alábbi kockázatcsökkentő intézkedések bevezetését javasolja:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A NIS2, ahogy a múlt héten én is írtam róla, most az egyik legforróbb téma az EU mindenféle fontos informatikai rendszereit (legyenek azok adat- vagy fizikai folyamatirányító rendszerek) üzemeltető cégei és azok beszállítói és tanácsadói számára. A múlt héten azt próbáltam némileg megvilágítani, milyen kockázatai lehetnek annak, ha kizárólag az IT világban szerzett tapasztalatok birtokában próbál valaki NIS2 megfelelőséget szavatoló intézkedéseket bevezetni ICS/OT rendszereket (is) használó szervezeteknél. Ma ennél egy kicsit mélyebbre megyünk a NIS2 dzsungelben, ezúttal is a SANS ICS blogján megjelent írásokat szemlézve.

Az első cikk, amit a témában találtam, rögtön egy 8 részes sorozat, aminek az első része a NIS2 hatálya alá tartozó szervezetek kiberbiztonsági képesség-fejlesztésével foglalkozik (nyilván a mindenféle plecsnik hasznáról is szól, ha már a SANS egy olyan szervezet, ami nagyon durván drága tanfolyamokat és minősítéseket kínál - de tényleg elképesztően drágák lettek ezek a tanfolyamok és vizsgák...).

A második rész a megfelelőségen túl vizsgálja a NIS2 kínálta lehetőségeket arra, hogyan építhetnek az új jogszabály hatálya alá tartozó szervezetek egy, az eddigieknél kiberbiztonsági szempontból ellenállóbb rendszereket.

A harmadik rész a NIS2 hatásaival foglalkozik, röviden ismerteti a kritikus és fontos szervezetek kategóriáit, a biztonsági incidensek jelentésére vonatkozó szigorú követelményekkel, az érintett szervezetek fejlődő kiberbiztonsági állapotával, a munkatársak oktatásával és képzésével és az időben (korán) kezdett felkészülés fontosságával.

A negyedik rész a NIS2 követelmények teljesítéséhez szükséges biztonsági műveleti központok (SOC-ok) által tapasztalt kihívásokkal foglalkozik, az ötödik rész pedig a kiberbiztonsági stratégia három kritikus területét vizsgálja. Ezek a következők:

- Felsővezetői felelősség és felsővezetői kiberbiztonsági képzések;
- Kockázatmenedzsment keretrendszer (külön érintve a mentésekre, kockázatelemzésre, több-faktoros authentikációra, beszállítói lánc biztonságára, üzletmenet-folytonosságra, alapvető kiberbiztonsági higiéniára és incidenskezelésre vonatkozó témákat);
- Jelentéstételi kötelezettség a kiberbiztonsági incidensekre vonatkozóan;

A hatodik részben azt foglalják össze, amit (a SANS szerint) minden szervezetnek tudnia kell a NIS2-vel kapcsolatban. Kinek kell megfelelni a NIS2 alapján támasztott követelményeknek? Milyen követelmények vonatkoznak a beszállítói lánc biztonságára? Kinek és mennyi időn belül kell jelenteni a kiberbiztonsági incidenseket? Ezek a kérdések csak ízelítőként szolgálnak az ebben a részben tárgyalt témákból.

Jó ez a sorozat, de a számunkra, ezen a blogon igazán érdekes kérdés az, hogy mit jelent a NIS2 megfelelés az ICS/OT rendszerek esetén? Ez a téma a hetedik részben kerül boncolgatásra. Ez a rész szól az ICS/OT rendszereket fenyegető kiberbiztonsági kockázatokról és az ICS/OT rendszerek megfelelőségi kihívásairól.

A nyolcadik rész pedig egy finom kritika, ami arra próbál rámutatni, hogy a NIS2 önmagában miért nem fogja megoldani az információ-megosztás problémáját.

Mára nagyjából ennyi, ígérem, hogy (ha csak nem történik valami rendkívüli) egy időre most igyekezni fogok nem NIS2-vel kapcsolatos dolgokról írni.

Bejelentés dátuma: 2024.06.13.
Gyártó: Motorola Solutions
Érintett rendszer(ek):
- Vigilant Fixed LPR Coms Box (BCAV1F2-C600) 3.1.171.9-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Authentication Bypass Using an Alternate Path or Channel (CVE-2024-38279)/közepes;
- Cleartext Storage in a File or on Disk (CVE-2024-38280)/közepes;
- Use of Hard-coded Credentials (CVE-2024-38281)/súlyos;
- Insufficiently Protected Credentials (CVE-2024-38282)/súlyos;
- Missing Encryption of Sensitive Data (CVE-2024-38283)/közepes;
- Authentication Bypass by Capture-replay (CVE-2024-38284)/súlyos;
- Insufficiently Protected Credentials (CVE-2024-38285)/közepes;
Javítás: Nincs, a gyártó kockázatcsökkentő intézkedések alkalmazását javasolja.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-165-19

Bejelentés dátuma: 2024.06.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk View SE: v12.0
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Authentication (CVE-2024-37367)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-165-16

Bejelentés dátuma: 2024.06.13.
Gyártó: Rockwell Automation
Érintett rendszer(ek):
- FactoryTalk View SE: v11.0
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Authentication (CVE-2024-37368)/súlyos;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-165-18

Bejelentés dátuma: 2024.06.18.
Gyártó: RAD Data Communications
Érintett rendszer(ek):
- SecFlow-2 minden verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Path Traversal (CVE-2019-6268)/súlyos;
Javítás: Nincs, a termék elérte életciklusa végét.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-170-01

Bejelentés dátuma: 2024.06.25.
Gyártó: ABB
Érintett rendszer(ek):
- ABB 800xA Base 6.1.1-2-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2024-3036)/közepes;
Javítás: Részben elérhető.
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-177-01

Bejelentés dátuma: 2024.06.25.
Gyártó: PTC
Érintett rendszer(ek):
- Creo Elements/Direct License Server 20.7.0.0 és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authorization (CVE-2024-6071)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-177-02

Bejelentés dátuma: 2024.06.27.
Gyártó: marKoni
Érintett rendszer(ek):
- Markoni-D (Compact) FM Transmitterek minden, 2.0.1-nél korábbi verziója;
- Markoni-DH (Exciter+Amplifiers) FM Transmitterek minden, 2.0.1-nél korábbi verziója;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Command Injection (CVE-2024-39373)/kritikus;
- Use of Hard-coded Credentials (CVE-2024-39374)/kritikus;
- Use of Client-Side Authentication (CVE-2024-39375)/kritikus;
- Improper Access Control (CVE-2024-39376)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-179-01

Bejelentés dátuma: 2024.06.27.
Gyártó: SDG Technologies
Érintett rendszer(ek):
- PnPSCADA (webes SCADA HMI) 4-esnél korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Missing Authorization (CVE-2024-2882)/kritikus;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-179-02

Bejelentés dátuma: 2024.06.27.
Gyártó: Yokogawa
Érintett rendszer(ek):
- FAST/TOOLS RVSVRN csomag R9.01-től R10.04-ig terjedő verziói;
- FAST/TOOLS UNSVRN csomag R9.01-től R10.04-ig terjedő verziói;
- FAST/TOOLS HMIWEB csomag R9.01-től R10.04-ig terjedő verziói;
- FAST/TOOLS FTEES csomag R9.01-től R10.04-ig terjedő verziói;
- FAST/TOOLS HMIMOB csomag R9.01-től R10.04-ig terjedő verziói;
- CI Server R1.01.00-tól R1.03.00-ig terjedő verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Cross-site Scripting (CVE-2024-4105)/közepes;
- Empty Password in Configuration File (CVE-2024-4106)/közepes;
Javítás: Elérhető
Link a publikációhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-179-03

Bejelentés dátuma: 2024.06.27.
Gyártó: Johnson Controls
Érintett rendszer(ek):
- Illustra Essential Gen 4 Illustra.Ess4.01.02.10.5982-es és korábbi verziói;
Sérülékenység(ek) neve/CVSSv3.1 szerinti besorolása:
- Improper Input Validation (CVE-2024-32755)/kritikus;
- Storing Passwords in a Recoverable Format (CVE-2024-32756)/közepes;
- Insertion of Sensitive Information into Log File (CVE-2024-32757)/közepes;
- Storing Passwords in a Recoverable Format (CVE-2024-32932)/közepes;
Javítás: Elérhető
Linkek a publikációkhoz: https://www.cisa.gov/news-events/ics-advisories/icsa-24-179-04
https://www.cisa.gov/news-events/ics-advisories/icsa-24-179-05
https://www.cisa.gov/news-events/ics-advisories/icsa-24-179-06
https://www.cisa.gov/news-events/ics-advisories/icsa-24-179-07

A fenti sérülékenységekkel kapcsolatban az ICS-CERT az alábbi kockázatcsökkentő intézkedések fontosságát hangsúlyozza:

- Minimálisra kell csökkenteni az ipari/egészségügyi rendszerek/hálózatok kapcsolatát az Internettel, az ilyen eszközök közvetlen Internetre történő csatlakoztatását kerülni kell;
- Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
- Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;
- Amikor csak lehetséges el kell távolítani, le kell tiltani vagy meg kell változtatni az alapértelmezett felhasználói fiókok nevét és jelszavát;
- A nyers erőn (brute force) alapuló jelszótörések elleni védekezés jegyében felhasználói fiók-kizárási szabályokat célszerű alkalmazni;
- Erős jelszavak alkalmazását kikényszerítő szabályokat kell alkalmazni;
- Harmadik féltől származó alkalmazással célszerű monitorozni az adminisztrátori szintű jogosultságok kiadását;
- Az alapértelmezett beállításokat, amennyiben lehetséges, meg kell változtatni;
- A futó szolgáltatások hardening-jét célszerű elvégezni (csak azok a szolgáltatások fussanak, amik nélkülözhetetlenek);
- Biztonságos felhasználókezelési és hozzáférési szabályokat kell életbe léptetni;
- A megbízhatónak tartott firmware és szoftver-verziókból célszerű (valamilyen szinten tűzálló páncélszekrényben) elzárt fizikai példányokkal rendelkezni (lehetőleg egyszer írható adathordozón, pl. CD/DVD, stb.);
- Ismerni kell a normális működéshez tartozó hálózati forgalmat;
- Ki kell alakítani a biztonsági naplózás és naplóelemzés képességét és ezekre építve a megfelelő riasztási eljárásokat;
- Az új beállításokat labor körülmények között célszerű tesztelni, mielőtt az éles (és tartalék) rendszerekben alkalmaznák azokat.

A NIS2 EU-s irányelv 2022 óta ismert, de ahogy közelednek az első, az érintetti körbe tartozó szervezetekre vonatkozó határidők, mostanában kezdenek egyre többen és egyre többet beszélni róla. Az a probléma, amiről a mai poszt szól, a NIS2 által érintett ágazatok széles köréből adódik. A NIS2 két kategóriában számos érintett nemzetgazdasági ágazatot nevesít, a kiemelten kritikus kategóriában 11 ágazat szerepel:

- Energiaszektor (villamosenergia, távfűtés és hűtés, olaj, gáz, hidrogén);
- Szállítmányozás (légiközlekedés, vasúti közlekedés, viziközlekedés, közúti közlekedés)
- Banki szolgáltatások;
- Pénzügyi piaci infrastruktúrák;
- Egészségügy;
- Ivóvíz-szolgáltatás;
- Sennyvíz-kezelés;
- Digitális infrastruktúra
- Infokommunikációs szolgáltatások irányítása;
- Közigazgatás;
- Világűr;

Az egyéb kritikus ágazatok listáján 7 további ágazat szerepel:

- Postai és futárszolgáltatások;
- Hulladékgazdálkodás;
- Vegyszerek gyártása, előállítása és forgalmazása;
- Élelmiszer-termelés, -feldolgozás és -forgalmazás;
- Gyártás (Orvostechnikai eszközök és in vitro diagnosztikai orvostechnikai eszközök gyártása, számítógépek, elektronikai és optikai termékek gyártása, villamos berendezések gyártása, máshova nem sorolt gépek és gépi berendezések gyártása, gépjárművek, pótkocsik és félpótkocsik gyártása, egyéb szállítóeszközök gyártása);
- Digitális szolgáltatók;
- Kutatás;

Ebből a felsorolásból is látszik, hogy a NIS2 irányelv nagyon sokféle különböző területet fog lefedni, amelyek egy jelentős része csak adatokkal foglalkozik, míg a másik részének elválaszthatatlan részét képezik a különböző fizikai folyamatokat vezérlő ICS/OT rendszerek, amikre egészen más biztonsági intézkedéseknek és kontrolloknak kell vonatkoznia - és ezzel el is érkeztünk oda, ami miatt elkezdtem írni a mai posztot. Számos olyan előadás hangzott el az utóbbi időben itthon, amiket általam nagyra tartott információbiztonsági vagy IT biztonsági szakemberek tartottak, azonban ezeknek a szakértőknek tudomásom szerint semmilyen ICS/OT kiberbiztonsági tapasztalatuk nincs. Önmagában még ez sem jelent törvényszerűen problémát, de amint egy ipari folyamatirányító rendszerekre köré épülő szervezetben kezdenek dolgozni, rögtön megváltozhat a helyzet. Ennek egy igen látványos példája volt idén februárban az a nyílt levél, amiről én is írtam.

Azóta nem csak a nagyvállalati IT-ban komoly tapasztalatokkal rendelkező kollégák kezdtek foglalkozni a NIS2-ből eredő követelmények teljesítésével, hanem kisvárosok telekommunikációs szolgáltatói között is láttam olyat, amelyik NIS2-megfelelőségi szolgáltatásokat kínál.

Szóval igen érdekes idők következnek és csak bízni tudok abban, hogy a nemzeti kritikus infrastruktúrák NIS2-megfelelésén dolgozó kollégáknak lesz idejük (és szándékuk!) megtanulni a folyamatvezérlő rendszerek biztonságának a nagyvállalati információ-/IT biztonságétől gyakran nagyon is különböző kontrolljainak sajátosságait.