NK
Size: a a a
2019 August 03
NK
UNVERIFIED OWNERSHIP CWE-283
The CODESYS Gateway does not correctly verify the ownership of a communication channel.
https://www.us-cert.gov/ics/advisories/icsa-19-213-03
The CODESYS Gateway does not correctly verify the ownership of a communication channel.
https://www.us-cert.gov/ics/advisories/icsa-19-213-03
NK
INSUFFICIENTLY PROTECTED CREDENTIALS CWE-522
The application may utilize non-TLS based encryption, which results in user credentials being insufficiently protected during transport.
https://www.us-cert.gov/ics/advisories/icsa-19-213-04
The application may utilize non-TLS based encryption, which results in user credentials being insufficiently protected during transport.
https://www.us-cert.gov/ics/advisories/icsa-19-213-04
2019 August 04
SP
О сертификации технических средств противодействия угрозам
На Федеральном портале проектов нормативных правовых актов размещён проект постановления Правительства Российской Федерации, разработанный Минкрмсвязи, которым предполагается внести изменения в Перечень средств связи, подлежащих обязательной сертификации, утверждённый постановлением Правительства Российской Федерации от 25 июня 2009 г. № 532. Проектом предполагается подвергать обязательной сертификации технических средств противодействия угрозам при эксплуатации Единой сети электросвязи Российской Федерации.
https://regulation.gov.ru/projects#npa=93669
На Федеральном портале проектов нормативных правовых актов размещён проект постановления Правительства Российской Федерации, разработанный Минкрмсвязи, которым предполагается внести изменения в Перечень средств связи, подлежащих обязательной сертификации, утверждённый постановлением Правительства Российской Федерации от 25 июня 2009 г. № 532. Проектом предполагается подвергать обязательной сертификации технических средств противодействия угрозам при эксплуатации Единой сети электросвязи Российской Федерации.
https://regulation.gov.ru/projects#npa=93669
2019 August 05
P
Как сообщают специалисты команды X-Force IRIS компании IBM, за последние шесть месяцев количество атак на промышленные предприятия увеличилось в два раза. Половина атакованных предприятий задействованы в производственном секторе, а целью атак является подрыв производственных процессов, пишет ZDNet.
За последние полгода удвоилось число атак на промышленные предприятия
За последние полгода удвоилось число атак на промышленные предприятия
NK
Интервью Кирилла Алифанова, руководителя ИТ-подразделения «Уралкалия»:
Вы считаете, госрегулирование в области информационной безопасности полезно?
В целом да, потому что очень тяжело объяснить производственнику, зачем ему нужно защищать производственную сеть, раз она нормально работает.
https://www.it-world.ru/cionews/want/147518.html
Вы считаете, госрегулирование в области информационной безопасности полезно?
В целом да, потому что очень тяжело объяснить производственнику, зачем ему нужно защищать производственную сеть, раз она нормально работает.
https://www.it-world.ru/cionews/want/147518.html
AL
ID:
Интервью Кирилла Алифанова, руководителя ИТ-подразделения «Уралкалия»:
Вы считаете, госрегулирование в области информационной безопасности полезно?
В целом да, потому что очень тяжело объяснить производственнику, зачем ему нужно защищать производственную сеть, раз она нормально работает.
https://www.it-world.ru/cionews/want/147518.html
Вы считаете, госрегулирование в области информационной безопасности полезно?
В целом да, потому что очень тяжело объяснить производственнику, зачем ему нужно защищать производственную сеть, раз она нормально работает.
https://www.it-world.ru/cionews/want/147518.html
Типа прочитав 239-й приказ производственник станет лучше понимать, зачем?
AM
Alexey Lukatsky
Типа прочитав 239-й приказ производственник станет лучше понимать, зачем?
Он его даже читать не будет
PD
Бывает и наоборот. В одном проекте ЛПР наслушался страшилок и бухнул весь hardware бюджет на waf'ы и прочий дорогой хлам. Безопасность не увеличилась (настраивать все это было некому), а вот на сервера для растущей нагрузки денег не осталось...
NK
Вендоры АСУ ТП выпустили свои уведомления об уязвимости в операционной системе реального времени VxWorks:
- Siemens,
- ABB,
- Rockwell Automation,
- Schneider Electric,
- Woodward,
- Belden
https://www.securityweek.com/industrial-giants-respond-urgent11-vulnerabilities
- Siemens,
- ABB,
- Rockwell Automation,
- Schneider Electric,
- Woodward,
- Belden
https://www.securityweek.com/industrial-giants-respond-urgent11-vulnerabilities
v
ID:
Интервью Кирилла Алифанова, руководителя ИТ-подразделения «Уралкалия»:
Вы считаете, госрегулирование в области информационной безопасности полезно?
В целом да, потому что очень тяжело объяснить производственнику, зачем ему нужно защищать производственную сеть, раз она нормально работает.
https://www.it-world.ru/cionews/want/147518.html
Вы считаете, госрегулирование в области информационной безопасности полезно?
В целом да, потому что очень тяжело объяснить производственнику, зачем ему нужно защищать производственную сеть, раз она нормально работает.
https://www.it-world.ru/cionews/want/147518.html
ну и чушь... этот "производственник" получше многих обьяснятелей знает что надо защищать..
T
vadim.s.
ну и чушь... этот "производственник" получше многих обьяснятелей знает что надо защищать..
А этот производственник знает а защищенно ли это "надо"? Ведь и так работает? И прецендентов не было?
DD
Наброшу и я) а этот производственники случаем сам ничего там не юзает не надлежащим образом? Может ему это ваше ибэ не надо чтоб его не палить? 😂
2019 August 06
v
А этот производственник знает а защищенно ли это "надо"? Ведь и так работает? И прецендентов не было?
знает конечно но может не думать об этом, а безопасник должен помочь ему правильно задав вопрос, а не обьяснять как ему тех процесс организовывать и себе цену набивать..
v
Dmitry Darensky
Наброшу и я) а этот производственники случаем сам ничего там не юзает не надлежащим образом? Может ему это ваше ибэ не надо чтоб его не палить? 😂
мы о разных производственниках говорим..
NK
Казалось бы очевидно, но Jake Brodsky аргументировано расписал почему виртуализация ПЛК это плохая идея, в ответ на тренд в эту сторону
http://scadamag.infracritical.com/index.php/2019/07/15/virtualizing-a-plc/
http://scadamag.infracritical.com/index.php/2019/07/15/virtualizing-a-plc/
SE
vadim.s.
знает конечно но может не думать об этом, а безопасник должен помочь ему правильно задав вопрос, а не обьяснять как ему тех процесс организовывать и себе цену набивать..
Даже если строить диалог исключительно в ключе оказания помощи "чтобы оно и отлично работало и было защищено" - в 9 из 10 случаях мы натыкались на почти что хамство и советы в духе "щеглы, я тут батя и не лезьте ко мне". Даже если разжевать и разложить все по полочкам, без пинка сверху или без волшебных слов " комплаенс нужно выполнять" никто и палец о палец не хотел помогать
K
ID:
Казалось бы очевидно, но Jake Brodsky аргументировано расписал почему виртуализация ПЛК это плохая идея, в ответ на тренд в эту сторону
http://scadamag.infracritical.com/index.php/2019/07/15/virtualizing-a-plc/
http://scadamag.infracritical.com/index.php/2019/07/15/virtualizing-a-plc/
