Print

Záplatování softwaru je nezbytné pro zabezpečení operací, ale přináší další rizika

-- 16.09.14

Aktualizace zabezpečení se běžně považují za samostatné balíčky, jako by nejnovější aktualizace antiviru nebo systému Microsoft Windows byly prostě novou funkcí, která se přidá k sestavě zabezpečení a odsune problémy z dosahu. Přesto je nutno při záplatování kybernetických aktiv u průmyslových řídicích systémů (ICS) dbát větší opatrnosti než u kancelářského nebo domácího PC. V průmyslovém závodě má zajištění kontinuity operací kritický význam. I malé komunikační zaškobrtnutí nebo ztráta přehledu mohou mít nežádoucí důsledky, jako je přerušení operací nebo i katastrofické poškození důležitých zařízení, což může zvýšit riziko pro obsluhu i výrobu.

Pravidelná aplikace testovaných a validovaných záplat softwaru pomáhá  zachovat přístup k infrastruktuře závodu a zajišťuje kriticky významnou kybernetickou ochranu a spolehlivost každodenních operací. Když provozovatelé či vlastníci záplatují způsobem „udělej si sám“, často čelí nečekaným problémům a rizikům z důvodu datové a zdrojové náročnosti náležité identifikace a testování softwarových aktualizací před jejich nahráním do kybernetických aktiv. Výrobcem poskytované záplatování je vynikajícím výchozím bodem pro operátory, aby bezpečně realizovali aktualizace a zachovávali provozní podmínky závodu.

Je záplata zapotřebí?

Opravdu na našich PC potřebujeme tuto záplatu? Možná! Výrobci softwaru neustále aktualizují, testují a retestují produkty, aby zvýšili zabezpečení a provozní efektivitu. Hackeři se zase neustále snaží najít zranitelná místa. Tato kombinace vede k vydávání aktualizací častěji, než by se mnohým provozovatelům líbilo. Přesto… potřebuje závod opravdu všechny aktualizace?

Jen proto, že společnost, jako je Microsoft, která má nespočet uživatelů  působících v široké paletě prostředí, říká, že určitá aktualizace je kritická, nemusí to ještě platit pro operace daného závodu. Některé z nich mohou být pro některé uživatele irelevantní. Na druhou stranu… kritickou a včasnou aktualizaci aplikace, jako je .NET, může provozovatel přehlédnout kvůli nedostatečné znalosti interních funkcí softwaru. Proto je pro provozovatele závodů výhodné požádat výrobce zařízení o pomoc při identifikaci, testování a nahrávání aktualizací systematickým postupem.

http://www.controlengcesko.com/fileadmin/grafika/Barca_Karchova/Casopis_zari_2014/GE.JPG

Posuďte riziko záplat: 11 kritických otázek

Posouzení relevance určité záplaty může být složitým úkolem. Články pocházející ze znalostní báze výrobců softwaru s podrobnostmi o aktualizacích jsou obvykle komplexní a poměrně podrobné.

Položte si tyto otázky:
1. Využívají se ve vašem provozu operační systémy, kterých se záplata týká?

2. Pokud ano, jsou zranitelná místa, kterých se to týká, aktivní na vašich strojích?

3. Která aktualizace signatury antiviru může detekovat a smazat knihovnu .DLL z mé aplikace SCADA?

4. Využívá systém SQL server nebo Internet Explorer?

5. A co Java nebo Adobe?

6. Které další aplikace třetích stran se používají? (Seznam aplikací třetích stran na mnoha PC může být delší, než byste čekali.)

7. Ovlivní aktualizace mé nastavení firewallu nebo aplikaci pro detekci útoku (Host Intrusion Detection Application – HIDS)? Můžete zjistit, že záplata označená jako „kritická“ chrání počítače s operačním systémem Windows využívající aplikaci pro tvorbu DVD před případným napadením trojským koněm. Jestliže aplikaci pro tvorbu DVD ve vašich systémech nainstalovanou nemáte, můžete se bez záplaty obejít.

8. Jaké jsou záplaty? Shromážděte všechny záplaty pro operační systém počítače, aplikaci a další aplikace třetích stran.

9. Které záplaty jsou kritické?

10. Jak by se měly tyto záplaty testovat? Stanovte, jak by se měly tyto záplaty testovat v 30denním cyklu.

11. Jaká jsou rizika a priority? Má tato standardní záplata od Microsoftu jít do standardního cyklu, nebo ji máme rovnou nainstalovat? Záplaty, které projdou testem relevance, jsou ty, jež nezpůsobí znatelné změny pracovního prostředí a nadále budou poskytovat další ochranu před bezpečnostními hrozbami. ce

Mark Hammer je manažer produktové linie společnosti GE Measurement & Control a je odpovědný za vývoj a tvorbu implementačních postupů pro programy kyberprostorového zabezpečení řídicího systému v energetickém a petrochemickém průmyslu.

Autor: Mark Hammer, GE Measurement & Control


Sponzorované odkazy

 
Aktuální vydání
Reklama

Navštivte rovněž

  •   Události  
  •   Katalog  

Události

Trendy v robotizaci 2020
2020-01-28 - 2020-01-30
Místo: Best Western Premier / Avanti, Brno
DIAGO 2020
2020-01-28 - 2020-01-29
Místo: Orea Resort Devět Skal ***, Sněžné - Milovy
Trendy automobilové logistiky 2020
2020-02-20 - 2020-02-20
Místo: Parkhotel Plzeň
Úspory v průmyslu
2020-03-03 - 2020-03-03
Místo: Ostrava
AMPER TOUR 2020
2020-03-17 - 2020-03-19
Místo: Brno

Katalog

BALLUFF CZ s.r.o.
BALLUFF CZ s.r.o.
Pelušková 1400
19800 Praha
tel. 724697790

EWWH, s. r. o.
EWWH, s. r. o.
Hornoměcholupská 68
102 00 Praha 10
tel. 734 823 339

B+R automatizace, spol. s r.o.
B+R automatizace, spol. s r.o.
Stránského 39
616 00 Brno
tel. +420 541 4203 -11

Schneider Electric CZ, s. r. o.
Schneider Electric CZ, s. r. o.
U Trezorky 921/2
158 00 Praha 5
tel. 00420737266673

COGNEX
COGNEX
Emmy-Noether-Str. 11
76131 Karlsruhe
tel. 720 981 181

všechny firmy
Reklama


Tematické newslettery




Anketa


Na internetu
V tištěných médiích
Na veletrzích a výstavách
Jinde

O nás   |   Reklama   |   Mapa stránek   |   Kontakt   |   Užitečné odkazy   |   Bezplatné zasílání   |   RSS   |   
Copyright © 2007-2019 Trade Media International s. r. o.
Navštivte naše další stránky
Trade Media International s. r. o. Trade Media International s. r. o. - Remote Marketing Továrna - vše o průmyslu Control Engineering Česko Řízení a údržba průmyslového podniku Inteligentní budovy Almanach produkce – katalog firem a produktů pro průmysl Konference TMI