Jag stämmer in delvis i den siffran. Som jag skrev i måndags så är tillverkare av industrisystem ofta så brutalt okunniga att även enkla saker som autentisering är raketforskning för dem. Men jag tror också att på grund av att sårbarheterna är på en sådan simpel nivå, så kollar de flesta inte ens bortom dem.
Att en myndighet backar från att larma är ingen fara, givet att de fortsätter dokumentera och publicera sårbarheterna på andra sätt. De som har störst möjlighet att göra något åt det här träsket är nämligen just myndigheterna. Industrisystemens köpare har inte kunskapen för kravställning och även om de skulle hyra in kompetens för att prioritera säkerhet i den kravställningen är det inte säkert att det ens finns något system att köpa. Finns bara ett fåtal leverantörer och om alla de är lika usla hjälper det inte mycket att kravställa. Men kravställa ska man förstås ändå göra, för att skicka signaler och att möjliggöra konkurrensfördelar för dem som har bra koll på sin teknik.
Hela situationen påminner mig lite grann om Lyxfällan. När vissa personer konstaterar att de har det kämpigt med ekonomin ger de upp helt och skiter i att göra något alls åt situationen. Vilket naturligtvis bara förvärrar det hela ytterligare, och till slut så blir det FETKRASCH eller om man har tur så kommer Charlie och Mattias (eller vad de nya nu heter?) och hjälper till att ställa dem mot väggen, förklara läget för dem och sedan hjälper dem att ta tag i problemen.
Min fråga är då.. om inte myndigheterna är Charlie och Mattias, vem tar då den rollen?
Inga kommentarer:
Skicka en kommentar