شانه خالی کردن شرکت زیمنس

در پی اتفاقات یک هفته گذشته، بسیاری از کارشناسان امنیتی هشدار داده‎اند که عدم قبول مسئولیت از سوی شرکت زیمنس در ایمن سازی سیستم‎های مدیریتی خود، باعث حملاتی شدیدتر و جدی تر از حملات ویروس Stuxnet خواهد شد.

کارشناسان موسسه NSS Labs هفته‎های متوالی با همکاری کارشناسان شرکت زیمنس و مقامات وزارت امنیت داخلی آمریکا، تحقیقات گسترده‎ای در شناسایی و رفع نقاط ضعف امنیتی جدید در سیستم‎های مدیریت صنعتی زیمنس، به عمل آوردند. نتایج این تحقیقات قرار بود، هفته گذشته طی یک سخنرانی بطور عمومی منتشر شود ولی کارشناسان NSS Labs به دلیل عدم کارایی اصلاحیه های شرکت زیمنس و ترمیم نشدن نقاط ضعف، انتشار نتایج تحقیقات خود را خطرناک دانسته و در آخرین دقایق، برنامه سخنرانی را لغو کردند.

از زمان لغو سخنرانی در طول یک هفته گذشته، کارشناسان موسسه NSS Labs بی‎تفاوتی مسئولان شرکت زیمنس را نسبت به ترمیم این نقاط ضعف خطرناک، مورد انتقاد قرار داده‎اند. به اعتقاد این کارشناسان، نقاط ضعف موجود در سیستم‎های مدیریت صنعتی زیمنس، تمام کشورهای صنعتی و نیمه صنعتی جهان را در معرض خطر قرار داده است.

به گفته کارشناسان موسسه NSS Labs، سوءاستفاده از این نقاط ضعف با استفاده از چند قطعه صنعتی که به راحتی می‎توان در بازار تهیه کرد، امکان‎پذیر است. آخرین اصلاحیه‎های شرکت زیمنس نیز کارایی نداشته و این کارشناسان توانسته‎اند پس از نصب این اصلاحیه ها، باز هم در کمتر از یک ساعت به سیستم‎های آسیب‎پذیر نفوذ کنند. باید توجه داشت که ویروس Stuxnet از طریق نقاط ضعف سیستم عامل Windows توانست به سیستم‎های مدیریتی SCADA نفوذ کند، درحالیکه نقاط ضعف مورد بحث فعلی، در خود سیستم‎های زیمنس وجود دارند.

از طرف دیگر، شرکت زیمنس اعلام کرد که در حال پیگیری این مشکلات است و امیدوار است ظرف دو هفته آینده، راه‎حل و اصلاحیه‎های جدیدی را برای عرضه، آماده کند. طبق اظهار کارشناسان زیمنس، نقاط ضعف مورد بحث، خطر جدی بشمار نمی‎آیند. با راهکارهای موجود در این سیستم‎ها، در صورت تلاش برای سوءاستفاده و یا نفوذ به سیستم‎های کنترلی Programmable Logic Control) PLC) این سیستم‎ها متوقف می‎شوند و در یک محیط صنعتی واقعی، سیستم‎های PLC بطور عادی عملیات تحت کنترل خود را متوقف می‎کنند، بدون آنکه تهدیدی برای محیط اطراف و پرسنل کاری به وجود آورند.

به دنبال این اظهارات از سوی مسئولان شرکت زیمنس، اینبار، نوبت مدیرعامل موسسه NSS Labs بود که ضمن انتقاد از این اظهارات، وجود هرگونه راهکار متوقف‎سازی در سیستم‎های مدیریتی زیمنس را رد کند. به گفته وی، تحقیقات وزارت امنیت داخلی آمریکا نشان داده است که توقف بدون برنامه‎ریزی و ناگهانی عملیات صنعتی می‎تواند باعث تخریب دستگاه‎ها و صدمات مالی هنگفتی شود. می توانید تصور کنید که توقف یکباره توربین مولد برق، چه صدمه‎ای به دستگاه خواهد زد.

در روزهای اخیر، کارشناسان امنیتی و صاحب‎نظران دیگری نیز وارد این مجادله شده و اغلب در انتقاد از شرکت زیمنس، عملکرد این شرکت را مشابه شرکت‎های سازنده اتومبیل در 40 سال قبل می‎دانند که با نصب کمربند ایمنی و کیسه هوا مخالفت می‎کردند.

در آخرین اقدام موسسه NSS Labs برای وادار ساختن شرکت زیمنس به اصلاح هرچه سریع تر نقاط ضعف موجود در سیستم های مدیریت صنعتی خود، اعلام کرد که حاضر است برنامه سخنرانی و نتایج تحقیقات خود را بطور خصوصی به مدیران شرکتها و مقامات دولتی که مورد اطمینان هستند، ارائه کند.