Rzadko to robię, ale tym razem pozwolę sobie na dokładny przedruk czyjegoś tekstu. Bruce Schneier w grudniowym newsletterze napisał poniższy artykuł. A, że jak kiedyś pisałem IMMUSEC dostał pozwolenie na tłumaczenie o rozpowszechnianie polskiej wersji Crypto-gramu mam to poniekąd z pierwszej ręki. Pytanie jakie Bruce zapisał w ostatnim akapicie jest boleśnie istotne.

--
W zeszłym miesiącu pojawiło się doniesienie o włamaniu do systemu SCADA, który kontroluje pompy wodne w stanie Illinois. Pompy miały zostać zniszczone, a dokonać tego mieli prawdopodobnie Rosjanie. Potem okazało się, że wszystko jest nieporozumieniem.

Końcówka drugiego artykułu podnosi moim zdaniem najważniejsze:
Joe Weiss mówi, że był zszokowany tym, jak taki raport mógł zostać wydany bez wcześniejszego sprawdzenia i potwierdzenia zawartych w nim informacji.
„Jeśli nie możesz zaufać informacjom z centrum informacyjnego, to jaki jest sens posiadania takiego centrum rozsyłającego cokolwiek? I o to właśnie chodzi” powiedział Weiss. „Gdy czytasz ten raport, czytasz bardzo przerażające informacje. Jak Departament Bezpieczeństwa Krajowego mógł nie wspomnieć o tym, że te informacje są niesprawdzone?”

Rzeczniczka centrum informacyjnego zapytana dlaczego nie sprawdzono tych informacji i umieszczono je w raporcie odpowiedziała, że za to odpowiada Departament Bezpieczeństwa Krajowego i agencje odpowiedzialne za raport. Panią rzecznik Bond bardziej interesowało jak Weiss zdobył raport, którego kopii nigdy nie powinien zobaczyć.
„Bardzo obawiamy się wycieku kontrolowanych informacji” podkreśliła Bond. „Badamy wewnętrznie jak wydostały się te poufne i kontrolowane informacje oraz w jaki sposób dotarły do rąk użytkowników, którzy nie powinni ich dostać. I to jest nasz priorytet.”

Zauważcie, że problemem nie jest nagłośnienie nieistniejącego zagrożenia w poufnym raporcie, ale upublicznienie tego raportu. Nie jest ważne czy raport został upubliczniony, ale to, że nigdy nie został uznany za błędny. Jak wiele innych takich raportów służy do ustanawiania praw, które są tak samo błędne jak dane na podstawie których powstały?

http://www.wired.com/threatlevel/2011/11/hackers-destroy-water-pump/
http://www.wired.com/threatlevel/2011/11/water-pump-hack-mystery-solved/
.
Dzisiaj 15.12 będę miał przyjemność przedstawienia wykładu na warszawskim spotkaniu OWASP. Opowiadać będę o tym jak można połączyć bardzo elastyczne metodyki z rodzaju Agile z wymaganiami PCI DSS.

Prezentację (na prośbę organizatorów po angielsku) można zobaczyć tutaj.
.