西门子发布中文版漏洞提示 比国外晚13天

近日，记者对西门子工业控制系统存在漏洞的报道引发了广泛关注，西门子（中国）会对中国使用者提供一些安全警示或者其他相关措施吗？在记者发出问题数天后，西门子（中国）昨日（6月9日）
终于给出了回复。西门子（中国）媒体负责人段伟表示，西门子存在漏洞的相关产品说明的中文版本已经放在西门子（中国）
工业自动化与驱动计划网站上，西门子很多使用者都会浏览这个网站，应该可以看到相关信息。据西门子 （中国）官方网站资料，漏洞产品S7-1200的固件更新将在6月提供。固件更新将会提供弥补措施，此固件针对重放攻击加强了保护措施，同时增强了S7-1200在面对上述拒绝服务攻击时的稳定性。不过记者发现，此信息的发布比其英文版本晚了13天。西门子称至今未接到任何质询6月1日，记者给西门子（中国）发去了采访提纲，询问关
于是否存在漏洞、西门子会采取何种措施、是否给中国使用者提示等。在次日得到的回复中，西门子（中国）对于会否给消费者安全提示等问题并未给出正面回复。其后，记者再次致电西门子（中国）。昨天晚上记者接到西门子（中国）的回复。西门子（中国）在回复中表示，到目前为止，他们还没有接到任何客户就此问题的质询。网络攻击只有在下述非常极
端的条件下才会发生：即入侵者必须在工厂现场或者可以任意访问生产网络。即便受到网络攻击，CPUS7-1200的反应将是切换到停机/故障状态，并将自动化过程置于安全模式。段伟称，西门子（中国）目前没有接到任何客户对此的质询和询问。在记者的追问下，段伟还表示，如果确实有必要，或许将对中国使用者进行提示。在接到西门子的官方回复之前，一个工业控制自动化培训机构给记者提供了一位培训工程师的电话，记者以潜在消费者的名义咨询这位自动化工程师，工程师称，已经接到不少咨询电话。如果不和以太网连接，产品应该没有什么问题。晚了13天的说明西门子（中国）称已经将相关材料的中文版本放到官方网站上，客户可以通过他们的网站看到漏洞的相关内容。不过，记者发现，西门子总公司发布对此事件的说明时间为5月26日。在6月2日西门子（中国）给记者的回复中，其媒体负责人还表示没有中文版本。西门子（中国）的官网上中文版本发布时间标注为6月8日，比国外晚了13天。对于产品存在漏洞，西门子却迟迟不予以回复，安天实验室的技术发言人苗得雨表示非常不理解。他表示，一旦出现漏洞，微软等公司都会采取各种措施通知使用者。比如通过专业的媒体、订阅邮件通知，在每个月的特定时间还专门召开产品漏洞说明会。苗得雨还
认为，目前西门子（中国）提供的是在线解决方案，
但是工业系统很少联网，而且西门子的产品中还有一部分是没法解决的，
例如楼宇、船舶设备，这部分设备很难实现在线升级。李建成律师表示，购买西门子的产品，双方建立了买卖关系，应该按照《合同法》的有关规定行事。按照《合同法》的规定，购买的产品必须是安全无瑕的，除非
是因为技术无法实现等客观上可以免除的原因，否则必须及时通知消费者。否则的话，中国企业一旦因此受到损失，有权利向西门子索取赔偿。