Názor k článku Cyber Czech 2015 cvičilo obranu jaderné elektárny před útokem od M. - Bohužel, takhle funguje jen část zařízení, že kritické...

Bohužel, takhle funguje jen část zařízení, že kritické věci mohu nastavit jen přes vyhrazený port, který je třeba i normálně nezapojen. Naprosto běžně řešíme situaci, že chceme s nějaým takovým zařízením komunikovat, sledovat co se děje, zařízení značkuje události svým časem a pokud to mám být schopen složit data s dalšíma, tak musím tomu zařízení posílat časovou sync. Jenže pro zápis času musím mít oprávnění pro zápis a ta bedna je tak blbá, že jen povoluje čtení nebo zápis všeho, žádné jemnější řízení práv. Takže pokud tomu mám mít právo posílat čas, tak mám pak v řadě případů i právo ji přepsat parametry, resetovat, překonfigurovat, ... Tohle je to, co běžně řeším, že chci s bednou komunkovat, ale chci ji jen posílat čas (protože jiným nezávislým kanálem to často nepodporuje nebo v dané situaci nejde snadno řešit) a chci mít nastavení, že můžu jen číst, nastavit čas a nic víc. Už jen jako pojistku, ať při průseru na mě nikdo nemůže ukázat, že jsem to složil já. A tohodle se u řady zařízení nedá dosáhnout. A nebo druhý častý případ je, že požadovaná data, které se chtějí sledovat a stahovat trvale, protože tam nebude občas někdo chodit vybírat to s notebookem offline, až se něco stane, jsou dostupná jen přes ten management port, takže se to nakonec připojí přes něj....
Ano, řada novějších zařízení už s tím počítají dají se rozumně nastavit, ale v té technologii se věci nasazují často s životností 10+ let a tak jich je vedle sebe řada, kde to není úplně OK. Když už i vezmu, že nové, aktuálně nasazované prvky do technologie mají třeba management, pokud je síťový, stále jen na úrovni telnet/HTTP, žádné SSH/HTTPS a podobné. Stejně tak zabezpečení řady technologických protokolů je prakticky nula nebo se nepoužívá z důvodů komplikací, viz klasické OPC, které stále ještě dost všude vládne (až OPC UA v tom dělá trocuh rozumný pořádek, ale jeho cesta na hlavní scénu bude ještě dlouhá) - protože to přeci je provozováno na oddělené síti, kam se nedá nikudy dostat, což v řadě případů platilo možná v době nasazení....
A pak se začne hrát na to, jak to nejbližší okolí daného místa je odolné/izolované proti případným vnějším útokům/fyzickému přístupu, a to hlavně brány, které předávají data mezi těmito jednotlivými (dřive izolovanými) sítěmi.