SCADA, le promesse di Siemens

Presentazione annullata per gli esperti che hanno individuato alcune vulnerabilità di alto livello nei sistemi di controllo industriale prodotti da Siemens. Che dice di voler aggiornare il software ma senza fornire tempistiche certe.
Presentazione annullata per gli esperti che hanno individuato alcune vulnerabilità di alto livello nei sistemi di controllo industriale prodotti da Siemens. Che dice di voler aggiornare il software ma senza fornire tempistiche certe.

Quanto erano pericolose le vulnerabilità di sicurezza individuate da Brian Meixell e Dillon Beresford nei sistemi SCADA (supervisory control and data acquisition) realizzati da Siemens? Dopo attenta valutazione compiuta assieme agli ufficiali del Department of Homeland Security (DHS) e di Siemens stessa, i due ricercatori di NSS Labs hanno deciso che la gravità del problema fosse tale da consigliare l’annullamento della loro presentazione prevista nel corso di una conferenza sulla sicurezza a Dallas.

Già presi di mira dal worm Stuxnet nelle installazioni nucleari iraniane, i sistemi SCADA di Siemens hanno messo in mostra una serie di problemi di sicurezza potenzialmente devastanti: Meixell e Beresford sostengono di aver scovato bug e vulnerabilità attraverso cui poter prendere il controllo di intere filiere produttive e sistemi di controllo nelle fabbriche e in ogni genere di impianto industriale.

La decisione di annullare – o apparentemente ritardare a tempo indefinito – la diffusione dei risultati del loro lavoro non è scaturita da minacce legali da parte di Siemens o del DHS, dicono i due ricercatori: una volta data un’occhiata al numero di complessi e installazioni interessati dal problema, gli esperti di NSS Labs hanno semplicemente deciso di rinviare sine die la presentazione finché Siemens non avesse reso disponibili le opportune soluzioni.

E ora Siemens assicura di essere “diligentemente al lavoro sul problema” collaborando con il DHS e NSS Labs. Il colosso tedesco è nella fase di “testing delle patch e sviluppo delle strategie di mitigazione” delle vulnerabilità, anche se nulla viene riferito in merito a eventuali date precise o a come l’azienda intenda procedere per governare l’enorme complessità del problema: l’update del software potrebbe richiedere il blocco di un numero esteso di produzioni industriali e di un laborioso processo di pianificazione per ogni singolo intervento.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

23 05 2011
Link copiato negli appunti