近日,《每日經濟新聞》記者對西門子工業控制系統存在漏洞的報道引發了廣泛關注,西門子(中國)會對中國使用者提供一些安全警示或者其他相關措施嗎?在《每日經濟新聞》記者發出問題數天后,西門子(中國)昨日(6月9日)終于給出了回復。
西門子(中國)媒體負責人段偉表示,西門子存在漏洞的相關產品說明的中文版本已經放在西門子(中國)工業自動化與驅動計劃網站上,西門子很多使用者都會瀏覽這個網站,應該可以看到相關信息。
據西門子(中國)官方網站資料,漏洞產品S7-1200的固件更新將在6月提供。固件更新將會提供彌補措施,此固件針對重放攻擊加強了保護措施,同時增強了S7-1200在面對上述拒絕服務攻擊時的穩定性。
不過記者發現,此信息的發布比其英文版本晚了13天。
西門子稱至今未接到任何質詢
6月1日,記者給西門子(中國)發去了采訪提綱,詢問關于是否存在漏洞、西門子會采取何種措施、是否給中國使用者提示等。在次日得到的回復中,西門子(中國)對于會否給消費者安全提示等問題并未給出正面回復。
其后,記者再次致電西門子(中國)。昨天晚上記者接到西門子(中國)的回復。
西門子(中國)在回復中表示,到目前為止,他們還沒有接到任何客戶就此問題的質詢。網絡攻擊只有在下述非常極端的條件下才會發生:即入侵者必須在工廠現場或者可以任意訪問生產網絡。即便受到網絡攻擊,CPUS7-1200的反應將是切換到停機/故障狀態,并將自動化過程置于安全模式。
段偉稱,西門子(中國)目前沒有接到任何客戶對此的質詢和詢問。在記者的追問下,段偉還表示,如果確實有必要,或許將對中國使用者進行提示。
在接到西門子的官方回復之前,一個工業控制自動化培訓機構給記者提供了一位培訓工程師的電話,記者以潛在消費者的名義咨詢這位自動化工程師,工程師稱,已經接到不少咨詢電話。如果不和以太網連接,產品應該沒有什么問題。
晚了13天的說明
西門子(中國)稱已經將相關材料的中文版本放到官方網站上,客戶可以通過他們的網站看到漏洞的相關內容。
不過,記者發現,西門子總公司發布對此事件的說明時間為5月26日。在6月2日西門子(中國)給記者的回復中,其媒體負責人還表示沒有中文版本。西門子(中國)的官網上中文版本發布時間標注為6月8日,比國外晚了13天。
對于產品存在漏洞,西門子卻遲遲不予以回復,安天實驗室的技術發言人苗得雨表示非常不理解。他表示,一旦出現漏洞,微軟等公司都會采取各種措施通知使用者。比如通過專業的媒體、訂閱郵件通知,在每個月的特定時間還專門召開產品漏洞說明會。
苗得雨還認為,目前西門子(中國)提供的是在線解決方案,但是工業系統很少聯網,而且西門子的產品中還有一部分是沒法解決的,例如樓宇、船舶設備,這部分設備很難實現在線升級。
李建成律師表示,購買西門子的產品,雙方建立了買賣關系,應該按照《合同法》的有關規定行事。按照《合同法》的規定,購買的產品必須是安全無瑕的,除非是因為技術無法實現等客觀上可以免除的原因,否則必須及時通知消費者。否則的話,中國企業一旦因此受到損失,有權利向西門子索取賠償。
相關報道
西門子曝系統新漏洞 中國企業恐受波及
西門子漏洞產品在華“深耕” 部分中企稱不知情
(本文來源:每日經濟新聞 作者:黃志偉)
推薦閱讀
【搜狐IT消息】6月10日消息,據《商業周刊》報道,和過去14年一樣,在6月6日舊金山蘋果開發者大會(以下簡稱WWDC)召開當天,安德魯斯通(Andrew Stone)凌晨3點45分就起來了,匆匆做完瑜伽后,他也加入大部隊,等候>>>詳細閱讀
本文標題:中文版漏洞提示 比國外晚13天
地址:http://www.xglongwei.com/a/guandian/yejie/20110610/7749.html
網友點評
精彩導讀
科技快報
品牌展示