Ja to vidim z pohledu jednoho projektu pro jeden stat v EU. Prumyslove reseni, vlastni DC vybudovane jenom pro tohle reseni. Bezi tam stare Win, nezaplatuje se to. Vsichni zijou v naivni predstave, ze se tam nikdo nemuze nabourat. Pocitace s internetem maji samozrejme z office site pristup i k tem nezaplatovanym strojum.
Tohle vidím jako problém. Jde o to, že řada systémů byla historicky provozována v ostrovních režimech, takže zvenčí hrozil jen uživatel, co tam přišel a něco udělal/zaviroval. Ale dneska je tlak mít to propojeno a dostupné data i pro managmeent online atd a začíná průser, protože tyto staré systémy s něčím takovým nepočítají (a i řada dodavatelů aktuálních SCADA systémů dneska se stále tváří, že se jich to netýká) a často je trochu problém jak to udělat správně a ne všude jsou ochotni dělat fyzikálně jednosměrné komunikační kanály.
A pokud se mi do toho začne cpát oddělení kybernetické bezpečnosti, že i ty ostrovy musím nějak řešit, s tím souhlasím, protože nejvíce virů pohormadě jsem potkal na takovém ostrovním systému za trojitou betonovou zdí v prostoru s přístupem jen zcela minimálního počtu lidí, na W2K/XP stanicích, kam to natahala ta obsluha přes USB flashky (jakýsi řídící sysytém chlazení jaderné elektrárny v Rusku, naštěstí vlastní řídící část byl cluster EC alpha serverů a wokna byla jen doplňkový terminál)...
A teď zkuste dostat dneska na takovýto izolovaný systém třeba antivir a řešit jeho aktualizace - včera večer jsem se chlámal v hospodě, jak kámoš tento požadavek řešil, že Avast jim odkýval, že vše umí fungovat a off line režimu, instalace, provoz, aktualizace, ale ouha, jenom to nejde spustit bez online registrace a nějak nechápali, že ten server a stanici fakt k Interneut připojit nemůže ani na tu chvíli, že s něčím takovým už teď nepočítají, předchozí edice to ještě uměla. Chlámal jsme se proto, že kolega řešil to stejné pro Eset, a to je u méně izolovaného systému, kde je kaskáda několia na sebe navázaných ESET ERA a proxin (první je v technologii, s kteoru se baví lokální krámy, druhá je nějaké DMZ mezi technologíí a kancelářským světem a třetí mezi kacnly a inetem). Opět funguje vše skoro skvěle, až na pár maličkostí, které vyžadují, aby ty koncové stanice a poslední ERA server občas uviděly přímo ven k ESETu. Také se u ESETu divili, že to tak nefunguje. :-(
A pak nastoupí oddělení kybernetické bezpečnosti s tím, že do těch technologických provozů nacpou něco na kontorlu provozu a první chcíply tyto bedny. Inu, výrobce nepočítal, že by chtěl někdo provozovat jejich krabičky v "normálním průmyslovém prostředí", kde i vojáci ze zkušebny z Vyškova na otázku ohledně EMC vyzařování/odolnosti nějakého systému nemohli odpovědět, protože el.mag. smog a teplota v daném prostředí jim rozhodil měřící techniku (2/3 roku je tam +50°C). A buďte rádi, že to chcíplo tak rychle a tiše, tak to rychle odneste, s oddělením zodpovědné za provoz se podělte o smluvní pokusu 2 MKč/hodina výpadku a my pomlčíme, že ta krabice měla mít i papír na ATEX. A to těm klukům zabralo hodně času, než těma bednama zvládli aspoň sledovat a reálně si uvědomovat, co se děje uvnitř Modbus/TCP protokolu nebo podobné ASCII protokoly tunelované přes TCP. Při představě, že by se měli zabývát vážně něčím jako OPC, OPC-UA, IEC61850,... jen krabatili čelo. Řešitelné nasazením vhodných SW sond do těch systémů, ale to je velice rychle uklidní dodavatel řídícího SW, že v tom okamžiku za něj končí jakékoliv záruky a pokud na tom trvají, tak prvně si provede svoje ověření ve své laboratoři ve Switzerland, což bude tak rok trvat a zaplatí pár XX MKč. :-)