近日,《每日经济新闻》记者对西门子工业控制系统存在漏洞的报道引发了广泛关注,西门子(中国)会对中国使用者提供一些安全警示或者其他相关措施吗?在记者发出问题数天后,西门子(中国)昨日(6月9日)终于给出了回复。
西门子(中国)媒体负责人段伟表示,西门子存在漏洞的相关产品说明的中文版本已经放在西门子(中国)工业自动化与驱动计划网站上,西门子很多使用者都会浏览这个网站,应该可以看到相关信息。
据西门子 (中国)官方网站资料,漏洞产品S7-1200的固件更新将在6月提供。固件更新将会提供弥补措施,此固件针对重放攻击加强了保护措施,同时增强了S7-1200在面对上述拒绝服务攻击时的稳定性。
不过记者发现,此信息的发布比其英文版本晚了13天。
西门子称至今未接到任何质询
6月1日,记者给西门子(中国)发去了采访提纲,询问关于是否存在漏洞、西门子会采取何种措施、是否给中国使用者提示等。在次日得到的回复中,西门子(中国)对于会否给消费者安全提示等问题并未给出正面回复。
其后,记者再次致电西门子(中国)。昨天晚上记者接到西门子(中国)的回复。
西门子(中国)在回复中表示,到目前为止,他们还没有接到任何客户就此问题的质询。网络攻击只有在下述非常极端的条件下才会发生:即入侵者必须在工厂现场或者可以任意访问生产网络。即便受到网络攻击,CPUS7-1200的反应将是切换到停机/故障状态,并将自动化过程置于安全模式。
段伟称,西门子(中国)目前没有接到任何客户对此的质询和询问。在记者的追问下,段伟还表示,如果确实有必要,或许将对中国使用者进行提示。
在接到西门子的官方回复之前,一个工业控制自动化培训机构给记者提供了一位培训工程师的电话,记者以潜在消费者的名义咨询这位自动化工程师,工程师称,已经接到不少咨询电话。如果不和以太网连接,产品应该没有什么问题。
晚了13天的说明
西门子(中国)称已经将相关材料的中文版本放到官方网站上,客户可以通过他们的网站看到漏洞的相关内容。
不过,记者发现,西门子总公司发布对此事件的说明时间为5月26日。在6月2日西门子(中国)给记者的回复中,其媒体负责人还表示没有中文版本。西门子(中国)的官网上中文版本发布时间标注为6月8日,比国外晚了13天。
对于产品存在漏洞,西门子却迟迟不予以回复,安天实验室的技术发言人苗得雨表示非常不理解。他表示,一旦出现漏洞,微软等公司都会采取各种措施通知使用者。比如通过专业的媒体、订阅邮件通知,在每个月的特定时间还专门召开产品漏洞说明会。
苗得雨还认为,目前西门子(中国)提供的是在线解决方案,但是工业系统很少联网,而且西门子的产品中还有一部分是没法解决的,例如楼宇、船舶设备,这部分设备很难实现在线升级。
李建成律师表示,购买西门子的产品,双方建立了买卖关系,应该按照《合同法》的有关规定行事。按照《合同法》的规定,购买的产品必须是安全无瑕 的,除非是因为技术无法实现等客观上可以免除的原因,否则必须及时通知消费者。否则的话,中国企业一旦因此受到损失,有权利向西门子索取赔偿。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
微软公司提供IE浏览器零日“双杀”漏洞补丁
微软公司2018年五月份的周二补丁日提供了IE浏览器零日漏洞补丁修复,该漏洞上个月已经被外部攻击者利用。(译注 […]
-
2018:自动化攻击加剧,拿什么来保障安全最后一公里?
自动化攻击的新趋势,给2018年企业的安全防护带来了前所未有的巨大挑战。对于越来越智能、呈现自主决策和军团化的自动化攻击,企业需要重新审视现有的安全防御响应系统,来保障最后一公里的安全。
-
Google Docs钓鱼攻击是如何运作的?
Google Docs钓鱼攻击使用OAuth令牌,影响了超过一百万Gmail用户。在本文中,专家Nick Lewis解释了它是如何运作的,以及如何防御这种攻击。
-
SEC数据泄露事故可导致非法股票交易
日前,美国证券交易委员会(SEC)承认,其2016年发生的数据泄露事故(此前并未公开)可能已经产生了比之前想象的更为严重的影响……