Názory k článku Cyber Czech 2015 cvičilo obranu jaderné elektárny před útokem
-
M. (neregistrovaný)
V klasifikovaných systémech (s vlivem na jadernou bezpečnost), se naprosto běžně používají systémy Windows i Linux. Ano, nedělají přímé řízení technologie (aka SoftPLC), ale ovládají automaty/regulátory a ovládnutím těchto systémů, tak dokáži pokyny automatům technologii složit. Jistě, nemělo by dojít k havárii, to by neměl připustit limitační systém (minimálně v jaderné části), který je postaven na celkem primitivních principech s minimem elektroniky, která by neměla být moc z vnějšku ovlivnitelná. Ale i tak odstavení elektrárny na hodiny/dny při ovládnutí těchto řídících systémů je možné.
Například aktuáklní verze řídícího systému Westinghouse pro jaderné elektrárny je plně na Microosft technologiích a MS Windows only (v Temelíně je starší verze, která jede pod SunOS). ale jinak je tam v technologii i tak dost windows systémů (a to i na klasifikovaných systémech), a to včetně systémů typu Windows NT4.0 server, které jsou ještě v provozu (ale těm už rychle zvoní hrana).
Temelín je ještě stavěňntak, že umožňuje plně manuální řízení - když se složí řídící systém, "přehodí na blokovce páku" a pčejdou komplet na ruční řízení, jak před 30 lety bylo běžně všude, ale řada novějších provozů už tak dělána není.
Souhlasím, že přímé spojení z Internetu na tyto systémy není. Jenže je nepřímé, přes víc systémů v cestě a řada těchto systémů neřeší informační bezpečnost, jsou historicky postavené na tezi fyzického oddělení a nedostupnosti pro neurčenou obsluhu. Jenže dneska je trend systémy propojovat, centralizovat sběr dat, takže postupně vznikají cesty, které teoreticky mohou vést z Internetu až k těmto počítačům. Navíc, k takovému odstavení atomové elektrárny vůbec nemusím ovbládnout eletrárnu, stačí mi ovládnout systémy rozvoden/přenosové soustavy a provést odpojení elektrárny od rozvodné soustavy, už tímto ji zadělám spoustu starostí (opět bez havárie, ale s narušením provozu na delší dobu, protože musí provést regulaci, kdy celý výkon převede na vlastní spotřebu a rychlé odstavení provozu, pokud se odvod výkonu rychle neobnoví a po takovémto odstavení fyzika reaktoru nedovolí rychlou obnovou provozu).
Takže zkoušneý scénář měl jakýsi vzdálené podobenství s realitou, ale byl hodně zjendodušen. -
M. (neregistrovaný)
Ano, ale vhodným nastavením parametrů, které se pak předají dál dosáhnu poruchy. Takže ovládnutím tohoto nastavovacího počítače dokážu vyvolat problém, pokud vím k čemu slouží a sestavím sadu vhodně kolizních parametrů pro ten vlasntí automat/ochranu. Čili nepotřebuji ovládnout fyzicky koncový automat, stačí mu poslat vhodnou sadu parametrů, které způsobí problém. Jistě, je otázka, zda automat dovolí přijmout takovou sadu parametrů, zda za proovzu je dovolen zápis do nich. Odpověď je, že v řadě případu ano, protože někdo kdysi nemyslel (respektive před XX-lety myslel, že to řešit netřeba, protože to stejně nikam nebude propojeno). Některé majií i zapisový pin, kolikrát maximálně 3 až 4 číslice a bez limitace neúspěšných pokusů, protože to bylo děláno jako ochrana před náhodným přepisem obsluhou omylem a ne cílenou snahou a další věci by se daly k tomu probrat.
-
asdasdas (neregistrovaný)
Tych 20 parametrov sa neda skontrolovat a zabranit ich nastaveniu, lebo musi byt umoznene aj nieco, k comu by sa nemal dostat kazdy. Napriklad aj nudzova odstavka kvoli niecomu, co sa nezistilo cidlami.
A ked vam to niekto spravi, tak elektraren 3 dni nepobezi na plny vykon a to su ohromne peniaze. -
M. (neregistrovaný)
Bohužel, takhle funguje jen část zařízení, že kritické věci mohu nastavit jen přes vyhrazený port, který je třeba i normálně nezapojen. Naprosto běžně řešíme situaci, že chceme s nějaým takovým zařízením komunikovat, sledovat co se děje, zařízení značkuje události svým časem a pokud to mám být schopen složit data s dalšíma, tak musím tomu zařízení posílat časovou sync. Jenže pro zápis času musím mít oprávnění pro zápis a ta bedna je tak blbá, že jen povoluje čtení nebo zápis všeho, žádné jemnější řízení práv. Takže pokud tomu mám mít právo posílat čas, tak mám pak v řadě případů i právo ji přepsat parametry, resetovat, překonfigurovat, ... Tohle je to, co běžně řeším, že chci s bednou komunkovat, ale chci ji jen posílat čas (protože jiným nezávislým kanálem to často nepodporuje nebo v dané situaci nejde snadno řešit) a chci mít nastavení, že můžu jen číst, nastavit čas a nic víc. Už jen jako pojistku, ať při průseru na mě nikdo nemůže ukázat, že jsem to složil já. A tohodle se u řady zařízení nedá dosáhnout. A nebo druhý častý případ je, že požadovaná data, které se chtějí sledovat a stahovat trvale, protože tam nebude občas někdo chodit vybírat to s notebookem offline, až se něco stane, jsou dostupná jen přes ten management port, takže se to nakonec připojí přes něj....
Ano, řada novějších zařízení už s tím počítají dají se rozumně nastavit, ale v té technologii se věci nasazují často s životností 10+ let a tak jich je vedle sebe řada, kde to není úplně OK. Když už i vezmu, že nové, aktuálně nasazované prvky do technologie mají třeba management, pokud je síťový, stále jen na úrovni telnet/HTTP, žádné SSH/HTTPS a podobné. Stejně tak zabezpečení řady technologických protokolů je prakticky nula nebo se nepoužívá z důvodů komplikací, viz klasické OPC, které stále ještě dost všude vládne (až OPC UA v tom dělá trocuh rozumný pořádek, ale jeho cesta na hlavní scénu bude ještě dlouhá) - protože to přeci je provozováno na oddělené síti, kam se nedá nikudy dostat, což v řadě případů platilo možná v době nasazení....
A pak se začne hrát na to, jak to nejbližší okolí daného místa je odolné/izolované proti případným vnějším útokům/fyzickému přístupu, a to hlavně brány, které předávají data mezi těmito jednotlivými (dřive izolovanými) sítěmi. -
peci1Stříbrný podporovatelCo to bylo za lidi v tech tymech? "Informatici ze statni spravy", to by taky mohli byt chlapici, co chodi sekretarkam obnovovat smazane ikony na plose. Vite nekdo, jake pozice bezne zastavaji?
-
Tedy jestli v CR mame nejakou jadernou elektrarnu, ktera je ovladana pres Internet, tak ty Greenpeace chapu. Takovyhle system by mel byt uplne odriznuty od vnejsich komunikacnich siti a mel by byt ovladan leda tak pres obsluhu po telefonu z nejakeho dispecinku nebo nejake dedikovane, zabezpecene komunikaci, kde nakonec na miste bude zase rozhodovat obsluha. A nedovedu si nejak predstavit, jak by kyberlum mohl zpusobit vybych jakehosi parogeneratoru. Na trhlech vecech porad budou pretlakove ventily a hafo jinych zabezpeceni, takze ta jaderna elektrarna, na kterou utocili, byla nejen fiktivni, ale i debilni. Utok na jadernou elektrarnu pres Internet by nemel zpusobit zavaznejsi problemy, nez ze obsluze nepujde porno.
-
M. (neregistrovaný)
Po pravdě řečeno, tak se někteří dodavatelé toho snaží dosáhnout. Aneb, dodáme vám něco na měření, to bude na území elektrárny, ono to bude přes vestavěný 3G modem posílat data do našeho cloudu a vy si budete data z toho cloudu stahovat zpět do elektrárny...
A tohle je skoro i průchozí jako nabídka hodně daleko, dokud to IT nezarazí. -
ehmmm (neregistrovaný)
Z pohledu dodavatele, kdyz se ti podari nekam do budovy schovat svuj modem, tak mas pro servisni ucely moznost vzdaleneho pristupu ihned, zatimco ve spolupraci s mistnim IT (a jejich nadrizenymi nekde v cizine) to obvykle trva i nekolik mesicu. Je to sice bezpecnostni riziko, ale...
-
Bych nechtel byt v kuzi dodavatele, ktery si do jaderne elekrarny schoval neschvaleny modem, pres ktery pak byl veden uspesny utok, po kterem vznikl pekny pruser. To az vam napocitaji treba mesicni odstavku Temelina, tak se prohnete. A nebo take delsi. Nez tam vse zanalyzuji a zkontroluji a znovu najedou reaktory.... Eventuelne take opravi, co se posralo...
-
ehmmm (neregistrovaný)
Tak u jaderne elektrarny bych si to taky asi nelajsnul. :)
Ale hrajme si s tou myslenkou dale:
* Je mistni IT vubec schopne prijit na to, ze nekde nejaky modem schovany je? Zvlast kdyz se ve snaze o rychle reseni problemu dostavim osobne a pri te prilezitosti jej zase nenapadne odvezu?
* Asi bych si dokazal predstavit utok zpusobujici mesicni odstavku nejake technologie, ale to uz by musel nekdo byt hodne v obraze. I kdyz reknete blbcovi (blbemu hackerovi), ze neco nejde, a on to dokaze.
* Obavam se, ze mesicni odstavka Temelina by nasi malou firmicku zlikvidovala a to je tak vse, co by z toho CEZ mel. Na druhou stranu nepredpokladam, ze by do Temelina pustili nasi partu kamaradu, to je rybnik pro vetsi ryby.
-
ehmmm (neregistrovaný)
No jako Bond si nepripadam, ale uz jsem parkrat takhle nekde nejaky modem nechaval, protoze se nebylo mozne s mistnim IT domluvit. Samozrejme ne v elektrarne. Divil byste se, co vsechno je v nekterych budovach poschovavano v podhledech a v kabelovych zlabech.
Ale stejne jako Vy doufam, ze v Temeline to maji podchycene lepe. No, i kdyz... jsme v Cechach.
-
M. (neregistrovaný)
K těm, pár příspěvkům v řadě...
I relativně malá firma mpže být dodavatel pro atomky. V podstatě se na to buď primárně orientuje, což je riziko, protože jsou tu jen 2, pak se ji vyplatí celý ten kolotoč nutný pro to, aby patřila mezi vybrané dodavatele a drží jen člověka/dva na studium a aplikaci předpisů a dokumentace ČEZu do firemních procesů (pomiňme nutnost ISO9001/14001/....) nebo realističtější je, že se stane subdodavatelem nějakého pověřeného dodavatele, který si malou firmu vezme na udělání nějaké malé části. To je asi běžnější případ a je v některých věcech rizikovější - jednak ten, kdo si takto vezme subdodavatelel plně za něj ručí, jakýkoliv průser bere elektrárna tak, že padá na hlavu tomu hlavnímu dodavateli (a je jeho problém, jak si to vyšetčí s tím subdodavatelem). Má to i určité nepříjemnosti pro toho malého. Pro příkald alkohol - mějme dodavatele A, ten si vezme subdodavatele B a C. Je to odstupňováno, tuším, že první chycený je za 50.000 Kč pokuty, další 75.000 a třetí 150.000 Kč. Ačko si přivede na do elektrárny někoho z B, ten 2x nadýchá, Ačko dostane flastr 50+75, který obratem přefakturuje na subjekt B. Pak přijde náhodou subjekt C, dýchne si a má to za 150 kKč. Jen pricncip, co při takové činnosit může malou firmu potkat i vdalších oblastech.
Ohledmě možnosit si měkam ulít modem. V principu v některých případech asi ano. Zda probíhá aktivní hledání takových zařízení v rádiovém spektru nevím, nečekaná zařízení na síti se hledají a lokalizují. Určité možnosit spolupráce s operátory tu je také případně přes ně. Je tu řada oblastí se zakázanými mobilními telefony a dle vyvětlení není problém i brát od operátora data, zda v době, kdy jsme někdy byl, jsem měl mobil zapnutý/vypnutý. Je nutno si uvědomit, že se človkě pohybuje v působnosti atomového zákona, kde se některé věci řeší, co by jinde byla sranda a zda jste ve stejném paragrafu jako teroristický útok proti jadernému zařízení. :-)
Jiná věc je, že je snaha, aby si IT dělali sami, udržovali. instalovali (se to střídá, chvíli se razí, že i technologické systémy udržúje normánlí IT oddělení, pak zase ne, že dodavatel, ...). Takže jako dodavatle IT zakázky se může stát, že se fyzicky k zařízení nikdy nedostanete. Zkrátka předáte zakázku komplet, včetně totálně úplné dokumentace, jak vaše dílo naisntalovat od nuly na holý (dneska často virtuílní) HW a provozovat. A pokud to nebude dle toho popisu fungovat, tak mám problém...K tomu, kolik by stálo měsíční odstavneí Temelína, to nevím, ale pokud vezmu borca, co sejmul elektrárnu na pár hodin a pak několik dní jela na snížený výkon, tak to měl někde kolem 10~20 MKč? Pokud si tu událast pamatuji. Klasický hackerský útok vrtačkou. Měl vyvrtat asi 5 děr, ty měl předznačené. Po páté nezastavil a od oka nasadil na šestou (kterou měl vrtat až další den, až mu je zaměří) a netrefil se, respektive trefil sdělovcí kabel, kterým šlo do řídícího sysétmu něco podstatného, toto jde samozřejmě zdvojeně, systém vyhodnotil rozpor v těch dvou cestách a sejmul blok. Operátoři celkem rychle přišli kde a co (protože přes pracáky našli a bylo otevřeno, že se vrtá v místech, kde vedou podstanté kabely), ale i tak, než se to opravilo a rozjelo zpět naplno, tak to je pálka značná a nejde o měsíc (platí firma pro kteoru pracuje ze své pojistky, daný člověk asi ten 4,5 násobek platu). Jinak tento maník i firma působí v elektrárně dál, jenom daný člověk už nemá oprávnění se přiblížit k podstanté technologii. Pokud si pamatuji některé akce, kde jsme se účastnili poblíž podstanté techbologie, tak bylo, že každá započatá hodina za 2 MKč (1MKč smluvní pokuta a 1 MKč úhrada škody výpadkem výroby).
-
j (neregistrovaný)
A pak prijde do prace sekretarka a na USB si pripoji svuj telefon.
Trafacky (ty velky) muzes taky klidne nadalku odstavit, kdyz vis jak. Pri vhodnym vybaveni se staci dostavit ke spravne vybranymu vedeni. Stejne tak se z telefonackych linek daji konfigurovat ustredny. Staci na to modem.
To vis, "bezpecnost". A co trebas takova "bezletova zona", nad elektrarnama je. Ze jaderku nejaka cesna neohrozi? No a co trebas chemicku a nejakej ten kontak s chlorem. Myslis ze nase slavne gripeny se stihnou na misto dostavit do 30s? Protoze to je asi tak cas, od naruseni bezletovy zony do zasahu cile.
-
A pak prijde do prace sekretarka a na USB si pripoji svuj telefon.
Jestli PC sekretarky vrci na stejne siti, jako ridici systemy, je to uplne spatne. Nehlede na to, ze sekretarka v kritickych provozech, tajnych uradech atd., ma mit USB porty zalite tavnym lepidlem.
Trafacky (ty velky) muzes taky klidne nadalku odstavit, kdyz vis jak. Pri vhodnym vybaveni se staci dostavit ke spravne vybranymu vedeni. Stejne tak se z telefonackych linek daji konfigurovat ustredny. Staci na to modem.
Zase blbe. To bylo lepe zabezpecene i za bolsevika. Tam se pouzivala dedikovana linka a specielni krabice s ovladacim systemem, uz nevim, jak se to jmenovalo. Silne zastarale uz tehdy, nicmene spolehlive.
Kdyz uz to dneska museji honit po ip sitich nebo rovnou po Internetu, meli by tam mit aspon nejake drsne VPN, certifikaty, servisni notebooky se sifrovanym diskem atd. A i tak pri kradez notebooku radsi menit hesla a certifikaty.
-
Filip JirsákStříbrný podporovatelPři takovýchhle cvičeních se testuje hlavně organizace, řízení, spolupráce atd. Pravděpodobnost konkrétního scénáře je nezajímavá, protože všechny konkrétní scénáře jsou velmi nepravděpodobné – ale při řešení se budou používat stejné postupy, jejichž uplatnění už je mnohem pravděpodobnější.
-
karel (neregistrovaný)
Troschu mi to připomělo scénu z tohoto seriálu kdy na ně jde útok a Abby a McGee tam mlátí do jedné klávesnice a snaží se ten útok zastavit než jim někdo stáhne všechna data, hrdinský Jethro Gibbs to šalamounsky vyřeší vytažením pc ze zásuvky.
Myslím, že není nutné aby za každou cenu byli elektrárny online, jde útok tak se odpojí a basta, lidi v kanclu bez emailu chvíli vydrží, navíc mohou mít záložní konektivitu s měnící se ip. Stránky elektrárny se hodí na nějaký hosting a když to někdo sestřelí no a.
Než cvičit ochranu co tak se víc zaměřit na prevenci.
A propo součástí ochrany má být i protiútok.
-
M. (neregistrovaný)
Jenže doba se mění.
Predřečník správně uvedl, že v Temelíně je řídící systém Westinghouse na Sunech. Jistě, síť řídícího sysétmu nemá přímou cestu do Internetu, Ping/traceroute neprojde. :-) Ale ta síť je propojena dnes s dalšíma sítěmi v elektrárně, už jen kvůli předávání dat a nakonec i s kancelářskou sítí a kancelářská má pak i spojení s Internetem (přes firewally, proxy servery, ...). Takže je jen otázka, jak dobře jsou udělány ty bariéry mezi sítěmi. To propojení je dnes už nutné. Třeba proto, že v každé lokalitě není odborník na vše, takže třeba člověk zodpovědný za diagnostiku na elektrárně X sedí fyzicky na elektrárně Y a potřebuje se dostat k těm datům někudy nebo někudy musí k němu dotéci a je pak otázka, jak moc ty cesty jsou odolné proti zpětnému putování a průniku z kancelářských sítí.
Elektrárnu už nejde dneska úplně odříznout z těchto důvodů. Například už i v Česku je snaha o vzdálené řízení elektráren, pilotní snaha jsou vodní elektrárny, pokud jsem zaregistroval, takže na elektrárně už není velící obsluha na místní dozorně/velíně, ta má sedět na jednom místě v Česku a na dálku řídít všechny vodní elektrárny, na místě je leda provozní elektrikář/strojník/hrázný (dle velikosti). Jistě, tento provoz jde po privátní síti výrobce, ale ta síť je někde nějak propojena s Internetem přes kancelářské sítě, takže teorerticky možný průnik je. Je to jen o počtu překážek, co musí útočník překonat.
A v podstatě ten útok přes web přístup zas tak od věci nebyl. Jenom se místo VNC přístupu používá Citrix. :-) Jistě, nespojí se takto do technologie, ale na nějakou kancelářskou farmu, ale z ní už opět jsou možná možné cesty dál, které dnes už nejdou jendoduše ustřihnout na povel, takže je otázka, jak odolné... -
Do elektrárny byl poslán krizový modrý tým čtyř expertů, kteří měli za úkol situaci zvládnout.
Cvičení se zúčastnilo celkem pět modrých týmů, jejich úkolem bylo vzniklé krizové situace řešit, nebo jim v lepším případě i předcházet.
Asi jsem něco úplně nepochopil. Ti přivolaní experti (modrý tým) měli pracovat na zařízení někoho jiného, o jehož kvalitách a problémem nic neví? Potom asi výsledek závisí spíše na tom, jak dobře byl ten systém připraven (někým jiným, nikoliv modrým týmem).
snažil změnit webovou stránku elektrárny
To souvisí s jadernou bezpečností jak?
Co je cílem tohoto cvičení a jak souvisí s realitou? Jadernou část vynechme, to je asi jen pro nalákání zájmu novinářů, ale co přesně z reality má simulovat ten zbytek?
Trochu se bojím toho, co tento článek říká mezi řádky, tedy že na nějakou zbastlenou síť (což nikoho nezajímá) je útok a náhle se někde ze skříně vytáhne parta expertů, kteří ten útok na tu zbastlenou síť mají odrazit.
Praxe by snad měla být přesně opačná, nevytvářet nějaké výjezdní expertní skupiny, ale mít ty jednotlivé sítě zabezpečené na aktuálně nejvyšší úrovni.
(Ano vím jaká je praxe ve státní správě, bohužel jsem několikrát byl v roli modrého týmu a ne, nepřestanu do toho rýpat, protože problém není v (ne)existenci modrého týmu, ale v tom, jak ty sítě vznikají a jak se spravují.)
-
j (neregistrovaný)
Co nechapes na tom, ze bylo treba se poplacat po zadech a prohlasit "jsme vpohode"?
Vzhledem k tomu ze (zatim v nejadernych) elektrarnach hori kvuli tomu ze neprobiha radna udrzba, tak si nedelam vubec zadny iluze o tom, ze nekdo resi jakykoli zabezpeceni IT systemu. Navic sem zvedav, jak budes "generalnimu" vysvetlovat, ze sem ho proste s telefonem vubec nepustis. Natoz abys mu nedovolil pripojjit nejakej notes.
Protoze u podobnych systemu neni ani zdaleka primarni riziko nejaka GW do internetu, ale vsemozny dalsi cesty, o kterych admini ani nemusi tusit ze existuji. Ostatne, kdyz poguuglis, najdes bezpecnostni prekvapka ve forme stale fungujicich modemu, ktere vpohode prijmou hovor zvenku. A dneska je riziko kazdej telefon, kazda USB flashka, ....
-
M. (neregistrovaný)
Nu, ČEZ jede akci bezpečnostních auditů technologockých systémů, takže se to nějak řešit snaží. Navíc u atomek se do toho angažuje přímo i NBÚ, takže probíhá jakási klasifikace systémů, co a jak má fungovat a s co splňovat a je snaha to někam tlačit. A i pohled na to, co se snaží smluvně vůči dodavatelům postupně prosadit, tak i pro nekritické systémy je to celkem slušný seznam požadavků.
Ale souhlas, že zejména u klasických elektráren je to dosti volnější, tam neřeší spousty jiných věcí, než je IT.Jinak generální se ani do řady míst nedostane. A určitě nemá problém v řadě míst telefon odložit/vypnout. Ať už proto, že jsou místa klasifikovaná z pohledu rizika výbuchu (nejčastěji vodík) nebo citlivé elektroniky, kterou dokáže nakopnout k vyvolání odstavení technoloie i jen poblíž se pohybující mobil, který se rozhodl olíznout si BTSku (inu, některá starší elektornika má v EMC odolnosti slabiny).
-
M. (neregistrovaný)
Utíkat do bunkru, správně krytu, je blbost. Kryty jsou zavřené. To se prvně něco musí stát - radiační nehoda s nekontrolovaným únikem RA mimo primární okruh, aby směnový inženýr vyhlásil ochranné opatření ukrytí (s následnou evakuaci), teprve potom se dosupí krytové družstvo a kryt otevře... Takže naprosto zytečná námaha.
Takže to už raději zavolat směnovému inženýrovi/středisko fyzické ochrany, že jenerál jde s mobilem u ucha kam nemá a pokud jsem paranoidní, tak zamířím lehkým poklusem k areálovému shromaždišti. :-) -
Co nechapes na tom, ze bylo treba se poplacat po zadech a prohlasit "jsme vpohode"?
Tak na tom chápu vše, ale nelíbí se mi to, proto do toho nepřestanu rýpat. Ani se mi nelíbí PR články obhajující takové jednání.
hori kvuli tomu ze neprobiha radna udrzba
Ano. Doporučuju ke shlédnutí videa USCSB (us chem. safety board), což je taková organizace sama pro sebe, ale videa a analýzy má pěkný. No pěkný, ono je to vlastně všechno naprosto stejné. Někdě něco vybuchlo, shořelo uniklo, zabilo ... a důvod je šetření na údržbě (5 z pěti bezpečnostních ventilů je vadných, u každého z nich se v inspekční správě najde 40 zápisů o nutnosti jejich výměny - což management ignoruje), šetření na zaměstnaních (30 dnů v kuse dvanáctky a na konci je "chyba lidského činitele") šetření na inovacích (už 35 let se ví, že daný materiál trpí v daných podmínkách nějakou degradací, akorás se nikdo neobtěžoval to vyměnit) a tak dále.
Podobnost s IT čistě náhodná. ;-)
vsemozny dalsi cesty, o kterych admini ani nemusi tusit ze existuji
No oni často tuší, že existují, protože si je sami vytvářejí. Několikrát jsem pracoval na síti zabezpečené podle bezpečnostního auditu (za stovky tisíc) od nějakého idiota a protože se tam vůbec nedalo pracovat (a to jako fakt nedalo) tak si admini nainstalovali vpnky a tunýlky a po třech dnech našeho trápení nám tam dali přístup přes jejich "neexistující" vrátka a práce byla do týdne hotova. Jinak bych to dělal dodnes.
Pochopitelně, roky plynou, admini odcházejí, takže se na děranou vpnku (nainstalovanou před 10 lety s tehdejší úrovní zabezpečení) zapomene. Jo jo, ale furt tam chodí idiot v obleku a nechá si inkasovat zlaťáky za certifikáty.
-
hmmm (neregistrovaný)
Taky mi tech skutecne informativnich radku v clanku prijde malo, tak koukam i mezi radky a mam z toho vselijaky pocit. Chtelo by to vic technickych informaci.
Asi nejvic to objasnuje veta na strankach KYPO "Řešitelem projektu KYPO je..." Jakmile nekde nekdo resi nejaky projekt, tak je skoro jedno, jestli neco vyresi, ale hlavne musi publikovat. Jedine, co me jeste trochu uklidnuje, je to, ze tam nikde nevidim "Podporovano Evropskou unii".
-
Jan (neregistrovaný)
Jaký je rozdíl mezi tím a kdyby tam bylo napsáno "Cyber Czech 2015 cvičilo obranu Janovy ledničky před útokem"?
Jen připomínám, že podobně jako u jaderných elektráren, ani řídící systém mé ledničky (termostat s relátkem) není připojen k internetu.
Co má být jako výsledkem tohoto hraní si?No co, další motivace, aby naše firma opět nevykazovala žádný zisk.
-
Stačí, když Etická komise vydá zprávu…
http://byznys.ihned.cz/c1-51975330-nemecka-vlada-rozhodla-jaderne-elektrarny-uzavre-do-roku-2022
ČLÁNKY DO MAILU