Joel Langill, który jest może lepiej znany jako SCADA-hacker, jest uznawany w całym przemyśle produkcyjnym i przetwórczym pod kątem oceny jego pracy i zabezpieczeń przemysłowych systemów sterowania. Twierdzi on, że ogólny poziom świadomości rzeczywistych zagrożeń w branżach produkcyjnych i skutków naruszenia bezpieczeństwa jest bardzo niski.
Niektórzy producenci myślą, że są bezpieczni, ponieważ nie można zniszczyć ich fabryk poprzez włamanie do systemu kontroli. Brakuje im jednak podstaw, ponieważ zagrożony nie jest zakład, ale jego wytwarzane przez niego produkty. Brak zdolności wprowadzania produktu na rynek, wpływa negatywnie na reputację zakładu. Praktycznie każda branża jest podatna na tego typu wpływ.
Jeżeli usunie się zagrożenie na wielkie ataki, takie jak Stuxnet, których większość zakładów nie doświadczy ze względu na wysokie wyspecjalizowanie, wyrafinowanie i wysokie finansowanie. Nadal jednak jest niebezpieczeńswto w ramach bardziej ogólnych ataków. Po takich doświadczeniach świadomość rzeczywistych zagrożeń i ich konsekwencji jest znacznie wyższa.
Atak robaka Conficker, który jesienią zeszłego roku zaatakował fabrykę SAB Miller w Ruminii, spowodował straty w wysokości 11 milionów dolarów. Przyczyną tych strat była 4 godzinna przerwa w pracy fabryki, aby móc uporać się z robakiem.
Większość osób odpowiedzialnych za bezpieczeństwo uważam, że zagrożenie pochodzi od złych ludzi. Realne jednak zagrożenie pochodzi od samych pracowników, którzy nie wiedzą że uruchomienie załącznika w mailu może zakazić całą infrastrukturę przemysłową.
Choć wielu dostawców automatyki stara się uświadamiać producentów na bezpieczeństwo sieci, wielu z nich zbacza na nieprawidłową drogę w tej kwestii. Sprzedawcy nie specjalizują się w branży bezpieczeństwa. Gdy sprzedawcy będą zajmować się takimi sprawami, wynik zawsze będzie gorszy od tego, co wdrożą ludzie, którzy cały swój czas spędzają nad bezpieczeństwem systemów sterowania.
Widoczne są niekiedy pozytywne znaki co dzieje się na froncie. Przykładowo:
- SIEMENS planuje wydać nowy procesor, który zapewnia komunikację punkt-punkt z uwierzytelnianiem na poziomie protokołu. My wiemy, że jest to najważniejsze co potrzebujemy. Jest to ambitne i zmienia zasady gry i jest to brane na poważnie.
- ABB oraz General Electric współpracują z Industrial Defender - pokazuje to zaangażowanie w bezpieczeństwo, nie tylko w wizerunek osób wewnątrz firmy, ale i specjalistów ds. bezpieczeństwa.
- Schneider zaangażował osoby trzecie do walidacji i oceny swoich systemów. Schneider chce tym samym podkreślić niezależność opinii.
Zbyt wielu jednak producentów nie traktuje bezpieczeństwa jako realnej części ich rozwiązań. Wciąż myślą, że instalacja Firewall'a załatwi wszystkie problemy. Ponadtwo producenci nadal nie oferują oceny bezpieczeństwa ani walidacji uruchamianych systemów.
Interesującym sposobem na sprawdzenie zaangażowania w bezpieczeństwo swoich systemów może być odwiedzenie strony producenta i spróbować znaleźć informacje o bezpieczeństwie, bez wykorzystywania słów związanych z bezpieczeństwem. Jaki wynik?