Da una discussione sul gruppo LinkedIn "Italian Security Professional", trovo
questo interessantissimo intervento di Luca Savoldi che permette di riflettere
sulla necessità o meno delle password. La conclusione, mia, è ovvia: sono
sempre necessarie, ma ci possono essere alcune limitate e controllate
eccezioni.
<<
Dimostrazione che anche l'IT e la sicurezza IT, se non pensata
per l'ambiente industriale, può essere pericolosa. La regola fondamentale e
imprescindibile in ambienti SCADA è che la Security (IT) deve supportare la
Safety e quindi i sistemi di Safety.
In una sala controllo di un importante
raffineria si conclude l'audit di importante ente inglese che si occupa di dare
la valutazione agli impianti industriali. Viene assegnato un bollone rosso
perché le postazioni della sala controllo non rispettano le policy di sicurezza
per le password degli account di dominio (nominale, 7 o 11 caratteri,
maiuscola, numero, carattere speciale, logoff automatico).
Con quale criterio
si può pensare di assegnare una simile policy ad una postazione la cui priorità
è l'accessibilità in caso di emergenza?
La sala controllo ha un controllo
accessi con badge nominale e riconoscimento visivo. Solo 10 persone possono
entrare. L'interno è ovviamente videosorvegliato. Per cui chi è dentro ad
operare è un operatore riconosciuto.
Pensate se per caso succede un'emergenza
e bisogna premere il comando di apertura o chiusura di una valvola per impedire
un esplosione. Bisogna intervenire in tempi rapidissimi. E se nel momento di
panico l'operatore non riesce a digitare la sua password? o se sviene e deve
intervenire il collega sulla sua postazione?
<<
Nessun commento:
Posta un commento