Przejmij kontrolę nad przedsiębiorstwem

Styczeń 20th, 2012 by mateusz (0) Bezpieczeństwo IT

Programowalne Kontrolery Logiczne (ang. PLC) to oprogramowanie używane do kontroli wyspecjalizowanych funkcji w infrastrukturze – elektrowniach, fabrykach chemikaliów, gazociągach, a także liniach produkcyjnych pojazdów i przy przetwarzaniu produktów spożywczych.

Co może się stać, jeżeli ktoś przejmie nad nimi kontrolę? Przykład pojawił się w 2010 roku, kiedy robak Stuxnet zaatakował Irańskie laboratoria przetwarzające materiały radioaktywne. Wtedy programiści Siemensa pozostawili dla siebie furtkę w kodzie, która została wykorzystana do uśpienia czujności specjalistów od bezpieczeństwa podczas sabotażu.

W ostatni czwartek grupa badaczy poświęciła swój czas na zbadanie podatności na zagrożenia aplikacji PLC wiodących producentów: General Electric, Rockwell Automation, Schneider Modicon, Koyo Electronics and Schweitzer Engineering Laboratories.

W ramach projektu został użyty Rapid7 do wypuszczenia modułów wykorzystujących luki Metasploit. Jest to aplikacja używana do testowania sieci pod kątem luk bezpieczeństwa. Także przez hackerów.

Dale Peterson, prezentując wyniki badania, zaznaczył, że pojawiły się różne luki we wszystkich systemach (więcej tutaj: http://www.wired.com/threatlevel/2012/01/scada-exploits/) i liczy na to, że to będzie ostateczne ostrzeżenie dla producentów i administratorów tego oprogramowania.

Tracisz dane nie tylko przez zaniedbanie…

Marzec 24th, 2011 by mateusz (0) Bezpieczeństwo IT,Naruszenie bezpieczeństwa,Ochrona sieci komputerowych

Ponemon Institute przeanalizował przypadki utraty danych w 38 brytyjskich firmach z 13 różnych sektorów gospodarki. Według tego badania, niedbałość, jako pierwsze źródło wycieku danych została zastąpiona przez awarie systemowe.

Wzrost o 13% w kosztach utraty danych oznacza, że organizacje zapłacą 71 funtów za każdy utracony wpis. Tego, co firma średnio zapłaci, nie da się za bardzo ustalić, bo sumy wahają się od 36 000 do 6,2 miliona funtów.

29% z tych ataków to te, którą są złośliwe lub noszą znamiona przestępstwa. To wzrost o 7% w 2010 roku, w porównaniu z poprzednim okresem. Spośród wszystkich przypadków, w których wyciekły dane, aż 37% wynikało z awarii systemów, co w porównaniu z 2009 rokiem stanowi 7% wzrostu. Zagubienie, kradzież lub błędy popełnione przez zewnętrzne osoby to o 5% więcej niż w 2009 roku, czyli 29%. Natomiast zaniedbanie to „tylko” 34%, co oznacza spadek o 11%.

Wsród badanych, 7 firmz 10 jako rozwiązanie swoich problemów podało szyfrowane danych, a 69% (czyli prawie tyle samo) zdecydowało się na zwiększenie kontroli użytkowników.

Ponadto w zeszłym roku, Biuro Komisarza ds. Informacji (Information Commissioner’s Office = ICO) dostało w ręce nowe metody – miedzy innymi możliwość nakładania dotkliwych kar pieniężnych na firmy, które tracą dane z powodu niedbałości.

“Regulators are cracking down to ensure organisations implement required data security controls or face harsher penalties,” said Dr Larry Ponemon, chairman and founder of the Ponemon Institute. “Confronted with both malicious and non-malicious threats from inside and outside the organisation, companies must proactively implement policies and technologies to mitigate the risk of costly breaches.”