Názory k článku Nesahat, hlavně že to funguje. Průmyslové a energetické systémy jsou v ČR výrazně děravé

Tak tímhle přístupem si to nikdo rozumný to nedovolí jen tak dělat.
Buď jede, že dodavatel SCADA za to ručí a diktuje co a jak (nejen jaké ptche, ale i HW a spol). Nebo pokud si to dělám zákaznicky, tak žádná virtulizce, ale naprosto identické železo postavené vedle se stejně potavenou sítí a i řadou dlších součástí a modlím se, že to povstné "ale" nebude nějaký blbej prvek, který v tom testovacím prostředí nezpůsobí jiné chování, než ostrá technologie. Něco taového se samozřejmě neprovozuje jen jako testovací prostředí pro patche, ale slouží obvykle i jako trenažér pro závcik obsluhy, kde místo skutečné technologie jsou jen na připojené zdroje dat, které dávají dle požadované situace.
Protože těch virtualizoných prostředí, co se chovají v labu naprosto ideálně a v praxi pak zcela jinak, těch bylo víc než dost. Samozřejmě se ta virtualice používá i v praxi dneska už dost, pak je naprosto stejná i v tom test/trenažér prostředí.

Když se automatizace dělá pořádně, tak je vytvořen testovací lab, kde se záplaty nebo nové verze SCADA SW zkoušejí pčed nasazením. V době virtualizace není nic snažšího..

vskutku

moje chyba asi je, ze se nedivam na statistiky drive nez zapnu pocitac, ktery mi klient pripravi :D

Samozrejme, velikost problemu odpovida financni ztrate, ovsem pokud vam prijde po vikendu do zamestnani 10 000 zamestnancu a zjisti, ze jejich desktop nespusti firemni ERP, pripadne ze uplne chybi, tak muzete mit obratem naklady v desitkach milionu i na tom hloupem desktopu.

Toto jsou pochopitelne zavady na ktere by IT melo prijit drive nez patche nasadi, ale ne vzdy se veci chovaji tak, ze nefunguji vubec a nikomu. To je - dalo by se rici - jeste pomerne idealni stav. Mnohokrate jsem narazil na situaci, kdy veci prestaly fungovat treba i po nekolika dnech, pricemz pachatelem se ukazal byti patch.

Vskutku ...
https://www.netmarketshare.com/operating-system-market-share.aspx?qprid=10&qpcustomd=0

Pripadne

https://www.netmarketshare.com/report.aspx?qprid=11&qpaf=&qpcustom=Windows+10&qpcustomb=0
narust podilu win 10 za rok o 10%

https://www.netmarketshare.com/report.aspx?qprid=11&qpaf=&qpcustom=Windows+7&qpcustomb=0
pokles podilu win 7 za stejny rok o ... -1% (tedy naopak o 1% jejich podil narostl)

Pricemz v teto statistice prirozene chybi prave hromady dalsich veci, ktere na web rozhodne nepripojuji, a ktere vesele bezi na XP, pripadne i na wín9x nebo namnoze i v DOSu.

jako kontraktor prochazim mnoha korporaty a 10ty vidim velmi casto

Ano, podobná situace je i jinde, ale rozdíl bývá třeba v tom, že když si umrtvím lokální W10 PC s účetnictvím, tak je to nepříjemné a bude stát něco peněz a času, který obvykle nebude fatální. Pokud umrtvím takto SCADA systém, tak se často začnu bavit v tom, že je to 1 MKč za každou hodinu výpadku (a to jsou pořád ještě ty relativně "dobré" scénáře)....
A ta strana SCADA je jen vrchol. Také jde o ty krabičky na druhé straně, u té technologie. Řada vůbec něco jako zabezpečení nemají (přeci je máte v místě, kma nikdo nepovolaný nesmí a nejsou nikam pryč propojeny) nebo jsou často tak děravé, že je zboří cokoliv. Velmi často potkávám, že pár nečekaných paketů je odavří, respektive chcípne pak komunikce ven po Ethernetu, krabička sama o sobě funguje a dělá co má dle poslední sady parametrů, ale nekomunikuje s okolím. Ale pokud na to, abych ji oživil, tak na ni musím udělat power off/on, což znamená někdy zastavit celou nebo velkou část běžící technologie mimo řádnou odstávku (případně jen převedení technologie na záložní řídící systém, abych ten primární umravnil), tak to hodně rychle skáče v penězích (a do toho blbého stavu ji pošle třeba prostý nmap)...

Ve skutecnosti se exaktne totez da rici o mnoha dalsich aplikacich ktere se bezne pouzivaji a nemusi to mit ani nic spolecneho s prumyslem. Prakticky 100% plati, ze jakykoli SW s nejak garantovanym provozem ma definovane pozadavky na system vcetne verzi jednotlivych jeho casti, tudiz jakakoli aktualizace nepripada v uvahu. Nejde pak prevazne ani o to, ze by to pak nefungovalo, jako spise o to, ze jina verze by bylo to prvni co by dodavatel resil kdyby bylo treba neco resit = efektivne prijit prave o ty garance a support.

Pripadne se muzeme presunout klidne i k desktopu a w10, kde kazdy spravce ktery nechce skoncit v blazinci drive ci pozdeji aktualizace znemozni, protoze jej vazne prestane bavit po kazde reinstalaci (cim MS resi svou neschopnost provest patch) resit, co komu kde prestalo fungovat, pripadne jeste lepe, kolika lidem zmizela jejich aplikace. Coz je mimo jine zaroven i duvodem, proc v korporatu desitky nikdo nenasazuje, protoze to co je v malem neprijemnost, je ve velkem jemne receno prusvih.

A bude hure, mnohem hure, protoze s tim, jak se vsemozne komunikujici krabicky nasazuji tam, kde jeste nedavno byl mechanicky vypinac, jen poroste pocet zarizeni nektualizovanych a neaktualizova­telnych, ktera ovsem budou v provozu i desitky let.

Tak nějak. Už jen otázka aktualizací OS je u SCADA systémů dost specifická. Řda dodavelů SCADA systémů dodává seznamy povolených aktualizací a pokud tam nacpu něco dalšího, tak už ta SCADA nemusí ani naběhnout...
Problém je v tom, že velkou dobu se SCADA systémy řešily jako ostrovní izolované systémy, kam opravdu nevedla přímá datová cesta a byl i fyzicky omezený přístup, ale toto se dneska pomalu a jistě bourá a cesty vznikají z řad důvodů (napojení na vyšší IT systémy pro manažerské data, vzdálený servis, SCADA sítě se rozlézejí do větších prostorů, kde už nemusí platit fyzické omezení přístupu tak dokonalé, ...) tím i rizika stoupají, které SCADA systémy samy o sobě neumí řešit.

Řekl bych, že stejný problém není jen u SCADA systémů v České republice, ale obecně celosvětově a čím větší technologický celek (u kterého se očekává i delší doba provozu, nejlépe v řádu desítek let), tak je větší. :-)