近日,记者对西门子工业控制系统存在漏洞的报道引发了广泛关注,西门子(中国)会对中国使用者提供一些安全警示或者其他相关措施吗?在记者发出问题数天后,西门子(中国)昨日(6月9日)终于给出了回复。
西门子(中国)媒体负责人段伟表示,西门子存在漏洞的相关产品说明的中文版本已经放在西门子(中国)工业自动化与驱动计划网站上,西门子很多使用者都会浏览这个网站,应该可以看到相关信息。
据西门子 (中国)官方网站资料,漏洞产品S7-1200的固件更新将在6月提供。固件更新将会提供弥补措施,此固件针对重放攻击加强了保护措施,同时增强了S7-1200在面对上述拒绝服务攻击时的稳定性。
不过记者发现,此信息的发布比其英文版本晚了13天。
西门子称至今未接到任何质询
6月1日,记者给西门子(中国)发去了采访提纲,询问关于是否存在漏洞、西门子会采取何种措施、是否给中国使用者提示等。在次日得到的回复中,西门子(中国)对于会否给消费者安全提示等问题并未给出正面回复。
其后,记者再次致电西门子(中国)。昨天晚上记者接到西门子(中国)的回复。
西门子(中国)在回复中表示,到目前为止,他们还没有接到任何客户就此问题的质询。网络攻击只有在下述非常极端的条件下才会发生:即入侵者必须在工厂现场或者可以任意访问生产网络。即便受到网络攻击,CPUS7-1200的反应将是切换到停机/故障状态,并将自动化过程置于安全模式。
段伟称,西门子(中国)目前没有接到任何客户对此的质询和询问。在记者的追问下,段伟还表示,如果确实有必要,或许将对中国使用者进行提示。
在接到西门子的官方回复之前,一个工业控制自动化培训机构给记者提供了一位培训工程师的电话,记者以潜在消费者的名义咨询这位自动化工程师,工程师称,已经接到不少咨询电话。如果不和以太网连接,产品应该没有什么问题。
晚了13天的说明
西门子(中国)称已经将相关材料的中文版本放到官方网站上,客户可以通过他们的网站看到漏洞的相关内容。
不过,记者发现,西门子总公司发布对此事件的说明时间为5月26日。在6月2日西门子(中国)给记者的回复中,其媒体负责人还表示没有中文版本。西门子(中国)的官网上中文版本发布时间标注为6月8日,比国外晚了13天。
对于产品存在漏洞,西门子却迟迟不予以回复,安天实验室的技术发言人苗得雨表示非常不理解。他表示,一旦出现漏洞,微软等公司都会采取各种措施通知使用者。比如通过专业的媒体、订阅邮件通知,在每个月的特定时间还专门召开产品漏洞说明会。
苗得雨还认为,目前西门子(中国)提供的是在线解决方案,但是工业系统很少联网,而且西门子的产品中还有一部分是没法解决的,例如楼宇、船舶设备,这部分设备很难实现在线升级。
李建成律师表示,购买西门子的产品,双方建立了买卖关系,应该按照《合同法》的有关规定行事。按照《合同法》的规定,购买的产品必须是安全无瑕的,除非是因为技术无法实现等客观上可以免除的原因,否则必须及时通知消费者。否则的话,中国企业一旦因此受到损失,有权利向西门子索取赔偿。