Śmiertelne błędy
Problemy z systemem informatycznym mogą skończyć się nie tylko wyciekiem danych czy awarią komputera, ale również śmiercią. Joseph Weiss z firmy konsultingowej Applied Control Solutions specjalizującej się w bezpieczeństwie systemów przemysłowych, zeznał przed amerykańskim Senatem, że w ciągu ostatnich 10 lat w USA przynajmniej raz doszło do śmierci ludzi z powodu nieprawidłowego działania komputerów.
Ekspert mówił o bezpieczeństwie informatycznym. Weiss wie o ponad 125 przypadkach włamań do systemów przemysłowych, w tym do elektrowni atomowych, zakładów uzdatniania wody, firm pracujących w przemyśle wydobycia roby i gazu czy elektrowni wodnych.
Były to incydenty najróżniejszego rodzaju. Od bardzo drobnych po powodujących spore katastrofy ekologiczne, od uszkodzeń sprzętu po przypadki śmierci - mówił Weiss zeznając przed senackim Komitetem Handlu, Nauki i Transportu.
W 1999 roku w pobliżu Bellingham w stanie Waszyngton doszło do awarii rurociągu z paliwem, które przedostało się do dwóch strumieni. Doszło do zapłonu, który zabił trzy osoby. Jedną z przyczyn awarii było nieprawidłowe działanie centralnego systemu informatycznego rurociągu.
Zdaniem Weissa ochrona sieci IT systemów przemysłowych jest niezwykle ważnym zadaniem. Uważa on, że skoordynowany atak na USA mógłby spowodować olbrzymie straty materialne i wielomiesięczne problemy gospodarcze. Tymczasem, jak twierdzi ekspert, systemy ochrony infrastruktury przemysłowej są zacofane o całe lata w porównaniu z innymi gałęziami gospodarki.
Ataki przeprowadzane są zarówno z zewnątrz, jak i wewnątrz. Biorą w nich udział osoby trzecie i niezadowoleni pracownicy. Zapobieganie jest szczególnie ważne teraz, gdy wiele osób traci pracę. Mogą chcieć się one zemścić na swojej firmie. Ostatnio jeden z niezadowolonych pracowników wyłączył systemy ostrzegające przed wyciekiem w trzech wieżach wiertniczych u wybrzeży Kalifornii.
Komentarze (4)
przemo, 21 marca 2009, 18:08
"...wydobycia roby i gazu czy elektrowni wodnych..."
A poza tym ciekawa sprawa. Im więcej komputerów tym większe ryzyko, że jakaś awaria przejdzie bez echa, bo pracownik wyłączył jakiś system.
Wynika z tego, że ślepa ufność w systemy IT może sie dla nas skończyć tragicznie.
W. Grzeszkowiak, 21 marca 2009, 18:25
Dziękuję za zwrócenie uwagi, już poprawiam
Tolo, 22 marca 2009, 00:21
Niestety bezpieczeństwo to jest coś co jest powszechnie uważane za stan co gorsza trwały i to niezależnie od poziomu ryzyka.
Problem polega na tym ze wydatki na bezpieczeństwo uważane są za mniej lub bardziej zmarnowane pieniądze bo jeśli do tej pory nic się nie wydarzyło a po jakiś inwestycjach dalej się nic nie wydarzyło to bardzo trudno ocenić czy to jest efekt inwestycji czy po prostu i tak by się nic nie stało. Niestety większość myśli o tym po katastrofie.
Świadomość problemów związanych z bezpieczeństwem w społeczeństwie jest bardzo niska i powierzchowna a wręcz prawie żadna. I to ma również swoje odzwierciedlenie w rożnych miejscach. Jest to z jednej strony problem osób decyzyjnych (brak wiedzy w tym zakresie i tak dalej) a z drugiej opór pracowników bo nawet jak się trafi ktoś kto ma o tym pojecie to najczęściej jest on traktowany jako wróg wszystkich w koło bo wymyśla jakieś głupoty (cały czas było dobrze a nagle nie wolno tego czy tamtego). A tak naprawdę nie należy zadawać sobie pytania czy tylko kiedy. Dobrym zobrazowaniem tego jest powiedzonko z podwórka informatycznego
"ludzie dzielą się na tych którzy robią kopie bezpieczeństwa i tych którzy będą je robić"
Jest to kwestia podejścia i pewnej świadomości (zrozumienia) problemu, trzeba szkolić szkolić i jeszcze raz szkolić. Naprawdę nie można oczekiwać w tej dziedzinie świadomości od ludzi którzy na rożnych portalach podają dane które mogą powodować zagrożenie dla nich samych.
Nieuczciwość pracowników to inna kwestia i bardzo szeroki problem, najlepiej było by oczywiscie gdyby pracownik zarabiał tyle ile chciał i nikt od niego nic w pracy nie wymagał. No ale to jest utopia.
Ten problem dobrze przybliża coś co się nazywa bodajże trójkąt przestępstwa czyli współistnienie motywu okazji i uzasadnienia dla takiego działania i w tych miejscach należy odpowiednio wpływać by minimalizować ryzyko, oczywiscie zakładamy ze mamy do czynienia z przestępcami którym jakieś uzasadnienie jest potrzebne dla "spokojności" sumienia, choć takie uzasadnienie pewnie można znaleźć nawet u takich osobników jednak możne ono się okazać dość kuriozalne i mało przekonywujące dla normalnego człowieka).
Oczywiście umiejętność określenia zagrożeń i przyporządkowania im odpowiednich prawdopodobieństw i potencjalnych strat jest kluczowa bo można podjąć pewne krotki które maja na celu zapobiegniecie czy to przez minimalizacje samych zagrożeń czy przygotowanie się na ich zaistnienie.
No ale co z samym ryzykiem można zrobić?
Wiele rzeczy szczególnie ze jest to dość uniwersalny problem odejdźmy od informatyki i weźmy pod lupę na przykład dziecko i rower oraz ryzyko ze dziecko zrobi sobie kuku. Możemy ryzyko redukować na przykład przez kupienie kasku i ochraniaczy, możemy je przetransferować na przykład na firmę ubezpieczeniową lub teściową której każemy pilnować, możemy unikać nie kupując roweru, lub porostu zaakceptować i zaopatrzyć apteczkę w środki opatrunkowe i dezynfekcyjne.
Tak naprawę ludzie mają odczynienia z ryzykiem dość powszechnie nawet przy przechodzeniu przez jezdnie i niekiedy radzą sobie intuicyjnie z nim całkiem nieźle. Jednak problem pojawia się w monecie gdy ryzyka nie widzą lub widzieć nie chcą (jest ono sprzeczne z ich szeroko pojętym interesem), wtedy intuicja nie zadziała.
thikim, 28 marca 2009, 07:39
Jak zapobiec "sabotażowi" bo o tym jest w sumie ten artykuł?
Zatrudniając na każdego 1 pracownika 1 osobę do jego kontrolowania
Kto uważa że dodatkowe obostrzenia i przepisy powstrzymają kogoś kto chce dokonać sabotażu? Dokonanie sabotażu jest zbyt łatwe aby dało się powstrzymać.
Rozejrzyjcie się wokół, wszędzie nieograniczone możliwości sabotowania. Ochrona w taki sposób nie ma sensu.
Najlepszą ochroną jest przekonanie pracowników że to jest ich wspólne dobro.
Piszesz jednak wcześniej że chodzi o błąd pracownika, który wyłączył jakiś system. Zatem nie ufamy komu, ludziom czy sprzętowi?