Amikor az ember azt hinné, hogy minden szükséges javítást telepített, könnyen lehet, hogy néhány elkerülte a figyelmét. Sajnos azt kell mondjam, az a kifejezés, hogy “az összes szükséges javítás telepítése” túlságosan optimista. Megvizsgáltam több SCADA és ICS berendezést, és azt találtam, hogy amíg az operációs rendszerek javításait telepítik, az alkalmazásokét már nem. Például számos HMI (human machine interface) futtatja az Adobe Reader több évvel ezelőtti, azóta sem frissített verzióját, miközben az Adobe az elmúlt három évben több mint 30 kritikus biztonsági javítást adott ki hozzá. Nyilvánvaló, hogy a sérülékenységek nem csak az operációs rendszer szintjén, de nem is csak az üzleti alkalmazásokén léteznek. Láthattuk, hogy 2011-ben drámaian megnőtt a SCADA és ICS rendszerekben feltárt sérülékenységek száma, és a jelek szerint a 2012-es év rosszabb lesz. Sok sérülékenység nem is a Windows-os gépeket érinti, hanem a kritikus hardvereket, mint például PLC-k, DCS vezérlők, RTU-k switch-ek és router-ek, tűzfalak. Lehet valaki a leginkább ügyfélbarát gyártó is, azzal, hogy kiadja a javítást, még nincs megoldva a probléma. Számos operátor egyszerűen nem telepíti a gyártó által kiadott frissítéseket, mert a folyamat kiesést okozna az üzletmenetben.
https://www.tofinosecurity.com/blog/scada-security-tofino-provides-alternative-patching
