Megy a fejvakarás az ipari rendszerekben

Az ipari rendszerek fejlesztői egyelőre nagyon óvatosan nyilatkoznak a MetlDown és a Spectre processzorhibák kapcsán kiadott frissítésekről. Az biztos, hogy most a szokásosnál is óvatosabb patch-elésre van szükség.
 

A Meltdown és a Spectre processzorhibákra csőstül érkeznek a hibajavítások. Az operációs rendszerek és egyes alkalmazások fejlesztői folyamatosan dolgoznak a kockázatcsökkentő frissítéseken. Már eddig is számos patch vált elérhetővé, de még jó pár javítás megjelenésére lehet számítani. Már csak azért is, mert az eddigi frissítések közül több sem a teljesítmény, sem a megbízhatóság szempontjából nem nyújt megnyugtató megoldást. Elég, ha csak azokra a Windows javításokra gondolunk, amelyek egyes AMD processzoros számítógépeken okoztak fennakadásokat, és amelyek terjesztését a Microsoftnak fel is kellett függesztenie. Ugyanakkor ilyen jellegű problémák nemcsak a Windows kapcsán jelentkeztek, hanem például egyes Ubuntu alapú rendszereknél is kellemetlenségeket okoztak.
 
Mivel a megbízhatósággal és a kompatibilitással vannak még gondok, ezért az ipari rendszerek üzemeltetőinek sincs könnyű dolguk. Ezekben az infrastruktúrákban a biztonsági frissítések telepítése roppant fontos, de emellett az üzembiztonság is prioritást élvez. Vagyis az operációs rendszereket mély szinten érintő frissítések telepítésével nem lehet azt kockáztatni, hogy ipari vagy akár kritikus infrastruktúrák megbénulnak, mivel annak beláthatatlan következményei lennének. Nem csoda, hogy az ipari (ICS) rendszerek fejlesztői, gyártói is nagyon óvatosan nyilatkoznak.
 
Teszt nélkül egy tapodtat se...
 
Egyebek mellett a Siemens, a Schneider Electric, az ABB, a Rockwell Automation, és az egészségügyi rendszerek kialakításával foglalkozó Becton Dickinson (BD) is jelezte, hogy vizsgálják a processzorhibák hatásait a rendszereikre, mind kiber-, mind üzembiztonsági szempontból. Mivel ezek a foltok sokszor a teljesítményre is negatív hatással vannak, ezért e szempontból is elemzik a kialakult helyzetet. Szinte mindegyik felsorolt vállalat külön kiemelte, hogy a szóban forgó sérülékenységek nem célzottan a technológiáikat sújtják, hanem azokat az processzorokat, amiket ők is használnak.
 
A Siemens úgy nyilatkozott, hogy zajlanak a kompatibilitási tesztek, és az már most látszik, hogy jelenleg még számolni kell teljesítménybéli és stabilitási problémákkal. Így egyelőre nagyon megfontoltan kell kezelni a patch-eket, különösen, hogy azokon még a Microsoft is finomításokat végez. A kellően tesztelt javítások elérhetővé válásáig leginkább a hálózatok fokozott védelmére kell törekedni, illetve a jogosulatlan kódfuttatásoknak kell elejét venni.
 
Hasonlóan reagált a többi vállalat is. Mindegyikük vizsgálja a patch-eket, és ezt javasolják az ügyfeleik számára is. Ezúttal is egy erre a célra kialakított tesztrendszeren kell előbb futtatni a frissítéseket, és lehetőleg offline környezetben vizsgálni azok hatását. Ez azonban egy időigényes feladat, ami nem kevés költséggel járhat.
 
"Sokan fogják kérdezni, hogy meddig kell tesztelni a patch-eket, azonnal neki kell-e látni a frissítések kezelésének stb." - mondta Andrew Ginter, a Waterfall Security alelnőke. Ugyanakkor ezekre a kérdésekre nem lehet általános válaszokat adni, ugyanis minden infrastruktúra esetében külön kockázatelemzésre és tesztelésekre van szükség. Egy biztos: e sebezhetőségek kockázatainak csökkentésével nagyon komolyan kell foglalkozni az ipari környezetekben is.