Berta Sándor
Már a gépek tervezésekor gondolni kellene az IT-biztonságra
A nagy szoftverprojekteknél magától értetődő dolog, hogy a fejlesztők a kezdetektől gondolnak a biztonsági szempontokra is. Ugyanezt kellene más területeken is megvalósítani.
A gyártástechnikát egyre inkább meghatározza a korszerű IT, a kiberfizikai rendszerek forradalmasítják az ipart. Mindez azonban teljesen új biztonsági réseket nyit meg. Edgar Weippl, a Bécsi Műszaki Egyetem Információs és Szoftvermérnöki Csoportjának IT-biztonsági szakértője úgy vélte, hogy az ipari létesítmények tervezésekor is figyelembe kellene venni a biztonsági szempontokat. Weippl közölte, hogy a gyártástechnikában még mindig túlzottan mostohán kezelik az IT-biztonsági kérdéseket.
Sok megrendelő és beszállító cég egyszerűen meg van győződve arról, hogy a szoftvereiket fejlesztő IT-alkalmazottak teljesen becsületesek - azonban sajnos ebben sosem lehet bízni. Mi van akkor, ha például valaki egy gyártóberendezés programjába már a fejlesztéskor célzottan beépít egy sebezhetőséget? S mi van, ha valaki felfedez egy hibát, de azt nem jelenti, hanem később maga használja ki? Ezek a szakember szerint nem összeesküvés-elméletek, hanem olyan kérdések, amelyeket fel kell tenni akkor, ha sok ember dolgozik egy nagy projekten. Az IT-ágazatban ez már évek óta megtörténik.
Az iparban egyre kevésbé lehet elválasztani egymástól az elektronikai és a mechanikus alkatrészeket, ez pedig azt jelenti, hogy a biztonsági kérdésekben sem lehet a két területet elkülöníteni. Nem elég tehát a szoftvereket elemezni, hanem a teljes berendezést meg kell vizsgálni. Tudni kell, hogy melyik szenzorok milyen adatokat továbbítanak egy bizonyos helyzetben, s azt is, hogy mindez milyen hatással járhat. Könnyen előfordulhat, hogy egy hacker kívülről behatol egy rendszerbe, majd ott valamilyen fizikai paramétert megváltoztat, amely további problémákhoz vezet. Ráadásul nem szabad elfelejteni, hogy a ipari létesítmények hosszú ideig, akár 50 esztendőn át is használatban vannak, míg egy új mobiltelefon életciklusa legfeljebb néhány év.
A gyártó berendezéseket és az ipari folyamatokat a jövőre gondolva kell megtervezni és biztosítani, továbbá azt is előre tisztázni kell, hogy később milyen változtatások következhetnek be. Nem elég a hatékonyságot és az adott gép alapfeladatát figyelembe venni, hanem az IT-biztonságot is meg kell tervezni, s szintén garantálni kell az adatok manipulációkkal és lopással szembeni védelmét.
A gyártástechnikát egyre inkább meghatározza a korszerű IT, a kiberfizikai rendszerek forradalmasítják az ipart. Mindez azonban teljesen új biztonsági réseket nyit meg. Edgar Weippl, a Bécsi Műszaki Egyetem Információs és Szoftvermérnöki Csoportjának IT-biztonsági szakértője úgy vélte, hogy az ipari létesítmények tervezésekor is figyelembe kellene venni a biztonsági szempontokat. Weippl közölte, hogy a gyártástechnikában még mindig túlzottan mostohán kezelik az IT-biztonsági kérdéseket.
Sok megrendelő és beszállító cég egyszerűen meg van győződve arról, hogy a szoftvereiket fejlesztő IT-alkalmazottak teljesen becsületesek - azonban sajnos ebben sosem lehet bízni. Mi van akkor, ha például valaki egy gyártóberendezés programjába már a fejlesztéskor célzottan beépít egy sebezhetőséget? S mi van, ha valaki felfedez egy hibát, de azt nem jelenti, hanem később maga használja ki? Ezek a szakember szerint nem összeesküvés-elméletek, hanem olyan kérdések, amelyeket fel kell tenni akkor, ha sok ember dolgozik egy nagy projekten. Az IT-ágazatban ez már évek óta megtörténik.
Az iparban egyre kevésbé lehet elválasztani egymástól az elektronikai és a mechanikus alkatrészeket, ez pedig azt jelenti, hogy a biztonsági kérdésekben sem lehet a két területet elkülöníteni. Nem elég tehát a szoftvereket elemezni, hanem a teljes berendezést meg kell vizsgálni. Tudni kell, hogy melyik szenzorok milyen adatokat továbbítanak egy bizonyos helyzetben, s azt is, hogy mindez milyen hatással járhat. Könnyen előfordulhat, hogy egy hacker kívülről behatol egy rendszerbe, majd ott valamilyen fizikai paramétert megváltoztat, amely további problémákhoz vezet. Ráadásul nem szabad elfelejteni, hogy a ipari létesítmények hosszú ideig, akár 50 esztendőn át is használatban vannak, míg egy új mobiltelefon életciklusa legfeljebb néhány év.
A gyártó berendezéseket és az ipari folyamatokat a jövőre gondolva kell megtervezni és biztosítani, továbbá azt is előre tisztázni kell, hogy később milyen változtatások következhetnek be. Nem elég a hatékonyságot és az adott gép alapfeladatát figyelembe venni, hanem az IT-biztonságot is meg kell tervezni, s szintén garantálni kell az adatok manipulációkkal és lopással szembeni védelmét.