1. Обязательно представиться на русском языке кириллицей (заполнить поле "Имя").
  2. Фиктивные имена мы не приветствуем. Ивановых и Пупкиных здесь уже достаточно.
  3. Не надо писать свой вопрос в первую попавшуюся тему - всегда лучше создать новую тему.
  4. За поиск, предложение и обсуждение пиратского ПО и средств взлома - бан без предупреждения. Непонятно? - Читать здесь.
  5. Рекламу и частные объявления "куплю/продам/есть халтура" мы не размещаем ни на каких условиях.
  6. Перед тем как что-то написать - читать здесь, а затем здесь и здесь.
  7. Не надо писать в ЛС администраторам свои технические вопросы. Администраторы форума отлично знают как работает форум, а не все-все контроллеры, о которых тут пишут.

Киберзащита АСУ ТП

Модератор: Глоб.модераторы

Ответить
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Киберзащита АСУ ТП

Сообщение Jackson »

CHANt писал(а): Так и зависнет вопрос ТС в воздухе:
Так очевидно же что он риторический. Разве нет?
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

Anton Shipulin
read only
read only
Сообщения: 54
Зарегистрирован: 30 июл 2016, 22:00
Имя: Шипулин Антон Сергеевич
Страна: Россия
город/регион: Москва
Благодарил (а): 6 раз
Поблагодарили: 1 раз

Киберзащита АСУ ТП

Сообщение Anton Shipulin »

Кстати, коллеги, если есть желание поучиться, поспорить или подружиться по тебе безопасности АСУ ТП, можно встретиться на
ближайшем мероприятим в Москве, где будет много про безопасность АСУ ТП: День промышленного сектора на InfoSecurity Russia'2016
http://www.infosecurityrussia.ru/2016/p ... asutp2015/

А после можно сбораться обсудить неформально:
https://ruscadasec.timepad.ru/event/358806/

Я кстати не сторонник конфронтации между АСУ ТП и ИБ. Я счиатаю что у нас одна цель - обеспечить штатную работу техпроцессов (ИБ за счет устранения рисков вызванных информационными технологиями). И в диалоге находится оптимальные меры безопасности. Со многими уважаемыми специалистами АСУ ТП это получается делать.
ICS Security Fan • Kaspersky Industrial Cybersecurity Business Development • RUSCADASEC Community Co-founder • Industrial Cybersecurity Center (CCI) Coordinator for Russia
Аватара пользователя

Автор темы
Exactamente
частый гость
частый гость
Сообщения: 409
Зарегистрирован: 20 ноя 2012, 13:45
Имя: :.О.N.Ф
Страна: Россия
Благодарил (а): 3 раза
Поблагодарили: 7 раз

Киберзащита АСУ ТП

Сообщение Exactamente »

TEB писал(а): Так очевидно же что он риторический. Разве нет?
На самом деле нет. Мне было бы действительно интересно услышать грамотный обзор предлагаемых продуктов в сфере ИБ от людей, которые понимают АСУ ТП. Потому что такие вот "презентации" https://www.youtube.com/watch?v=eaa8ETKkbPU это пи :!: ец, приношу извинения, не могу подобрать другого слова. Это уровня заговорённой через телевизор живительной воды.

С того самого момента, как я только попал за баранку этого пылесоса (то есть получил свой честно заслуженный диплом Инженера по автоматизации промышленных процессов и производств), я ждал того момента, когда айти придёт в асутп. Даже здесь на форуме об этом не раз писал. И этот момент, кажется, настал! Но где системы контроля версий, дифы проектов, тасктрекеры, стабильный человечный софт, поддающийся рутинной автоматизации, информативные логи, открытое комьюнити, асушный стэковерфлоу, адекватные мануалы, эт сетерА, эт сетера... Нет, тут приходят какие-то люди, и показывают мультики с пластиковыми машинками и мигающими светодиодами. Хотя, постойте... это не информационные технологии 21го века пришли к нам, это эффективные менеджеры.

И я даже не отрицаю, что в асушке всё плохо. Кажется, я тут об этом только и талдычу) И с безопасностью, в том числе. Примеры есть, но я вам их не дам. Однако, лечить простуду у переханного поездом - так себе идейка.
CHANt писал(а): Работающий в распределительных электросетях, в данной теме, только я. С ФСК нет.
А я ведь тоже работаю в энергетике, уже скоро как два года (недолго, да). И с ФСКшными объектами знаком. ЦПС, ага. Цифровая подстанция, то бишь (хотя для меня оно навеки центральная перекачивающая, эх). Простите, никакой конкретики в интернетах рассказывать не буду, но всё плохо - хотите верьте, хотите нет. До этого два года в нефтянке. Всё ОЧЕНЬ плохо. Не до кибербезопасности, от слова вообще. Хотя, про нефтянку расскажу случай. Телемеханика, принятая в эксплуатацию. Половина не работает, за вторую половину я не стану в приличном обществе рассказывать. Спрашиваю местных, как вообще так вышло? Не хотели принимать, сверху заставили. Когда я впервые это увидел, системе и полгода не исполнилось. На вопрос "чзх?" ответ интеграторов - "похоже, за прошедшее время сеть окончательно деградировала". Разговор, на секундочку, об унылом модбасе через 485. Спрашиваю местных, это я дебил или тут какой-то подвох? Таки да, не работало с самого ПНР, никаким чудом не заработало и после "успешной" сдачи. Будь там ещё какие костыли в виде "безопасной ОС" я бы это "чудо" к черту выкинул и никто никогда бы не узнал. И кто узнал бы - только спасибо бы сказал. Это было такое маленькое месторождение, на котором нефти в сутки добывается на стоимость парочки тех солнечных немецких электростанций, которые в шодане пачками находят специалисты ИБ для своих анализов. И на газовых месторождениях я был. Там тоже чудесато.

Фото не моё, но отечественной медицине известны случаи:
Изображение

Можете не признаваться, но я точно знаю, что все присутствующие видели вживую множество примеров, когда сделано не так, как следует. Но это не имеет никакого отношения к хакерам. И хакеры, на самом-то деле, наименьшая из существующих угроз.

Anton Shipulin, вы читали тот длинный комментарий к этой статье: https://www.linkedin.com/pulse/process- ... a-krotofil ? На секундочку, в профиле автор комментария пишет о себе, как основателе scadahacker.com. Ну то есть логика такая - что в общем-то даже специалист, согласный с необходимостью ИБ-защиты АСУТП, пишет, что это бред. И все разговоры о кибербезопасности последнее время такого же уровня, как предложение вывести из строя ПЛК ПАЗ с помощью кавитации (ну, я немножко сгущаю, но посыл там именно такой). Кому интересно, из не спикающих на английском, могу в личку перевод скинуть, мб когда-нибудь соберусь с силами нормально оформить на хабр, чтоб узрело побольше народа.
TEB сказал, что здесь люди самой обширной географии, а вы предлагаете прийти на митап в Москве? Непродуктивно))
Anton Shipulin писал(а): Со многими уважаемыми специалистами АСУ ТП это получается делать.
Пожалуйста, дайте почитать или посмотреть видео, что говорят специалисты АСУТП обо всём этом? Вы ведь достаточно активно продвигаете эту тему, но там нет самого главного. Ну то есть если вам интересен фидбек хотя бы чисто с точки зрения пиара этой темы, то моё скромное мнение такое, что нужно больше технических деталей, и не дай бог там перепутать ПЛК с конвертером, или АСУ ТП со скадой, или назвать RS232 протоколом. Ну чтоб не показалось, что король-то голый. Вот касперски лаб выпустилы ОС. Блаблаблабла... где даташит/спеки/...? Где хоть что-то, кроме информационного шума? Нету. Потому и впечатление, что это пузырь, пустышка. И так везде, где в одном абзаце встречается ИБ и АСУТП.
«Сразу видно внимание к каждой мелочи, неиспорченным не осталось ничто».

Степа
осмотрелся
осмотрелся
Сообщения: 158
Зарегистрирован: 25 окт 2010, 10:30
Имя: Капуста Степан Степанович
Поблагодарили: 7 раз

Киберзащита АСУ ТП

Сообщение Степа »

Exactamente писал(а): Но где системы контроля версий, дифы проектов, тасктрекеры, стабильный человечный софт, поддающийся рутинной автоматизации, информативные логи, открытое комьюнити, асушный стэковерфлоу, адекватные мануалы, эт сетерА, эт сетера...
Позвольте маленечко предсказаниями позаниматься: если такое когда-либо и появится /что очень сомнительно/, то абсолютно бесполезное. Ибо "компании А" - производителю ПО - будет неприятно видеть в открытом доступе описание проблем в их ПО - поруха чести, репутации и всякое такое. "Компании Б" - пользователю ПО - тоже будет неприятно видеть то же самое по тем же причинам. Бизнес и ничего более...
Вот описание закрытых уязвимостей - это да: "посмотрите, какие мы молодцы, мы заботимся о вашей безопасности".
Но патчи ставят единицы - ну кто позволит тормознуть объект, минута простоя которого стоит немалых тысяч, ради какого-то патча? Накатывать патч на живую систему... Дебилы, конечно, есть, но они долго не живут. В редкие ремонтные дни, когда объект планово остановлен, и так проблем за гланды. Т.е. если в организации нет специальной команды, которая отслеживает все сообщения о закрытых уязвимостях, заранее собирает патчи, готовит план обновления и, главное - тестирует его на макете объекта, то все уныло и печально.
Вот на новых объектах - тут, как правило, более-менее. Особенно, если в команде разработчиков есть хоть один хомо, страдающий здоровой паранойей и хотя бы слышавший о безопасности.
Exactamente писал(а): Половина не работает, за вторую половину я не стану в приличном обществе рассказывать.
Вы ба еще "проектики" посмотрели, которые некоторые "разработчики" рисуют... До проектов дворового клуба юных техников им как до Луны пешком. Но поделки дворового клуба юных техников в лучшем случае на выставках творчества юных блистают, а поделки тех "разработчиков"... Каждый день с такими, с позволения сказать, "проектами" сталкиваться приходится.
Зато понтов у тех "разработчиков" - аж из ушей льется.
Exactamente писал(а): Мне было бы действительно интересно услышать грамотный обзор предлагаемых продуктов в сфере ИБ от людей, которые понимают АСУ ТП.
Вряд ли услышите. Хотя бы потому, что предлагаемых продуктов в сфере ИБ именно для АСУ ТП - что-то около нуля. Вообще продуктов, нацеленных на ИБ, прилично, проблема в их использовании - как правило нет людей, способных хотя бы внятно поставить задачу, внятно провести сравнение разных способов и методов защиты... Я уж не вспоминаю за работу с уже существующими методами защиты.
Простой пример: приехала к нам установка. Там в качестве точки стыковки сети установки с нашей ЛВС заложена Cisco. Ее всего-то надо было настроить тут, у нас - контракт как-то так составлен был, что разработчик посмотрел честными глазами и сказал, что это не его забота, юрист его слова подтвердил. Наши сетевики кругами вокруг походили, недельку в нее повтыкали и... В общем, сейчас вместо Cisco стоит обычный свич, сеть установки повязана с нашей ЛВС напрямую. Плохо. Но другого выхода просто нет - связь быть должна.
Аватара пользователя

Serex
эксперт
эксперт
Сообщения: 2099
Зарегистрирован: 15 авг 2011, 21:36
Имя: Пупков Сергей Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 138 раз
Поблагодарили: 174 раза

Киберзащита АСУ ТП

Сообщение Serex »

TEB писал(а): Давайте лучше приведём пример такой АСУТП, которая обязательно должна быть подключена к интернету и его него там не обойтись.
Я просто пример из своего опыта приведу. Водонапорные и водозаборные насосные станции. Их достаточно много, они сильно распределены по территории. Дежурный персонал на таких станциях если и есть, то уже дедушка с бабушкой пенсионного возраста (особенно в регионах). Там ставится простенький контроллер для сбора данных, а возможно и вкл/выкл насосов и gsm - модуль для связи, возможно управления с центральной диспетчерской. Почти весь трафик данных идет через интернет. Основная угроза - отключение насосов, которое приводит к отсутствию водоснабжения в городах. Вторая уроза - диспетчер не увидит отключение насоса вовремя.

Но... с какой там стороны запихнуть информационную безопасность или ОС с киберзащитой не понятно )) Там если что-то и нужно, то это стандарты организации сетей. Например, выделенная GSM-провайдером, виртуальная локальная сеть. Как эта сеть должна верифицироваться, кто в нее может быть подключен... эти вопросы часто остаются на совести провайдера.
Последний раз редактировалось Serex 10 сен 2016, 10:14, всего редактировалось 1 раз.

Михайло
эксперт
эксперт
Сообщения: 3643
Зарегистрирован: 10 ноя 2009, 04:58
Имя: Толмачев Михаил Алексеевич
город/регион: г. Чехов, МО
Благодарил (а): 8 раз
Поблагодарили: 286 раз

Киберзащита АСУ ТП

Сообщение Михайло »

Я еще раз повторю мысль: сторона ИБшников готова рассматривать ВСЕ виды сетевых топологий, ВСЕ виды угроз и рассматривает ВЕСЬ ассортимент противодействий угрозам, сторона же АСУТПшников мыслит более узко, желание противодействовать угрозам отсутствует, наивно полагают, что достаточно защититься от вторжения через зараженные флэшки... Я бы не упрощал все так...
Аватара пользователя

Serex
эксперт
эксперт
Сообщения: 2099
Зарегистрирован: 15 авг 2011, 21:36
Имя: Пупков Сергей Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 138 раз
Поблагодарили: 174 раза

Киберзащита АСУ ТП

Сообщение Serex »

izhidkov писал(а): 3) АСУП Разные отчеты и прочую ерунду где-то надо хранить и отображать. Пожалуйста - очень желательно чтобы с ПЛК/ЧМИ станции был выход на сеть предприятия. Ее же уберечь от интернета еще сложнее.
В общем эти вопросы и есть предмет ИБ АСУТП.
Для этих целей хорошо подходит база данных с файрволом. В теме уже упоминали про это решение. Но как-то не вижу массовости его применения. Возможно не соразмерность цены/запроса на безопасность.

Михайло
эксперт
эксперт
Сообщения: 3643
Зарегистрирован: 10 ноя 2009, 04:58
Имя: Толмачев Михаил Алексеевич
город/регион: г. Чехов, МО
Благодарил (а): 8 раз
Поблагодарили: 286 раз

Киберзащита АСУ ТП

Сообщение Михайло »

Serex писал(а):Но... с какой там стороны запихнуть информационную безопасность или ОС с киберзащитой не понятно )) Там если что-то и нужно, то это стандарты организации сетей. Например, выделенная GSM-провайдером, виртуальная локальная сеть. Как эта сеть должна верифицироваться, кто в нее может быть подключен... эти вопросы часто остаются на совести провайдера.
Провайдер тоже нуждается в знаниях и технологиях, зря Вы так переложили на него проблемы...
Аватара пользователя

Serex
эксперт
эксперт
Сообщения: 2099
Зарегистрирован: 15 авг 2011, 21:36
Имя: Пупков Сергей Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 138 раз
Поблагодарили: 174 раза

Киберзащита АСУ ТП

Сообщение Serex »

Михайло писал(а): Провайдер тоже нуждается в знаниях и технологиях, зря Вы так переложили на него проблемы...
Провайдеру это не интересно, на мой взгляд, потому что профит от таких услуг мизерный. GSM-провайдеры всегда брали количеством подключений, а не продуманными единичными решениями.
Вот и получается. В АСУТП нет стандартов на организацию таких подключений, а провайдера мотивация к этому очень низкая.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Киберзащита АСУ ТП

Сообщение Jackson »

Serex писал(а): Возможно не соразмерность цены/запроса на безопасность
Просто отсутствие острой необходимости в этом - задачу можно решить и другими способами, которые вдобавок ещё и дешевле и проще.
Михайло писал(а): Провайдер тоже нуждается в знаниях и технологиях, зря Вы так переложили на него проблемы...
Согласен. Провайдер - это только канал связи, а как он работать будет и для чего использоваться - это уже задача того кто им владеет. От провайдера наоборот ИМХО требуется абсолютно прозрачный канал где работает вообще всё (мало ли что понадобится), дальше самим надо обмен организовывать и ИБ заниматься.
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

Serex
эксперт
эксперт
Сообщения: 2099
Зарегистрирован: 15 авг 2011, 21:36
Имя: Пупков Сергей Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 138 раз
Поблагодарили: 174 раза

Киберзащита АСУ ТП

Сообщение Serex »

TEB писал(а): От провайдера наоборот ИМХО требуется абсолютно прозрачный канал где работает вообще всё (мало ли что понадобится), дальше самим надо обмен организовывать и ИБ заниматься.
Не так. Работоспособность связи это само собой разумеется. Но виртуальная локальная сеть имеет смысл при условии, что к физическому оборудованию провайдера, которое организует эту сеть, нет доступа у "вредителя". В том числе нет доступа к электроснабжению этого оборудования.

Можно и даже нужно шифровать собственным оборудованием. Но в число атак также входит отключение канала связи. Т.е. просто "вредитель" пришел и выдернул питание из коммутатора у провайдера. В этом случае, применительно к моему примеру, диспетчер также не будет знать об отключении насоса.

А в хорошем варианте - провайдер должен предоставлять Ethernet отверстие на объекте и диспетчерской, соединенные между собой каналом связи. Не хочется заниматься вопросами совместимости GSM-модемов с провайдером. А договор об услуге предоставления канала связи должен включать все аспекты безопасности. Но такого пока нет!

Компании-интегратору было бы гораздо проще и выгоднее посадить объект на такой договор, чем на каждом объекте выяснять все тонкости подключения к провайдеру. А у эксплуатации, как правило, нет ни возможности ни полномочий, организовывать такие решения, поэтому им тоже удобно использовать готовое решение.

Где-то было предложение: специальная сим-карта для удаленных терминалов, работающих по GSM. Позже найду. Вот как-то в этом направлении нужно двигаться...
Аватара пользователя

Marrenoloth
завсегдатай
завсегдатай
Сообщения: 524
Зарегистрирован: 05 окт 2009, 11:51
Имя: Тихомиров Дмитрий Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 17 раз
Поблагодарили: 20 раз

Киберзащита АСУ ТП

Сообщение Marrenoloth »

Exactamente писал(а): Но где системы контроля версий
А вот буквально на днях нашли меня вот эти ребята: www.versiondog.com
Предлагают комбайн по системе контроля версий. При этом ни в одной презенташке нет технических скриншотов или они такие мелкие, что хз что там вообще. Показал руководителю дружественной компании, которую может продукт заинтересовать, далее почти дословно: "А зачем, если в Симатике сравнение версий уже есть?" И, что прискорбно, я с ним согласен. Платить Бешеные Бабки за подсветку несовпадающих участков? Как-то немного расточительно. Регламент работы с подрядчиками всё-равно прописывать, без вариантов. Как эта штука сравнивает SCADA-проекты и может ли это делать - вообще непонятно. Я как-то вообще смутно представляю себе Compare на SCADA-проектах. В связи с этим, вопрос: А, может быть, перефразируя Матроскина, "инструменты у нас есть, у нас мозгов нет"? Т.е. просто нет культуры написания программ? Может стоит это нам перенимать от классического программирования для начала? А там, глядишь, и тесты для программ писать начнем! :)

По теме обсуждения: Допустим, у меня есть некоторое количество заказчиков. Для них я являюсь надежным партнером (это риск, который берет на себя заказчик). Меня часто просят что-либо сделать по удаленке. Ввиду зоопарка систем и версий, так думаю, удобнее это делать через teamviewer к полостью готовой инженерной станции. Соответственно, вот конкретные вопросы к безопасникам: Как я должен организовывать пересечение офисной и асутпшной сетей? Какие средства применять для управления безопасностью в обоих сетях? И есть ли более безопасные альтернативы teamviewer (все-таки третья сторона)?

Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 5790
Зарегистрирован: 07 окт 2011, 09:12
Имя: Гаско Вячеслав Эриевич
Страна: Россия
город/регион: Рязань
Благодарил (а): 673 раза
Поблагодарили: 841 раз

Киберзащита АСУ ТП

Сообщение Ryzhij »

ИМХО удалёнка и безопасность несовместимые понятия. Особенно для ОПО.
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)
Аватара пользователя

Marrenoloth
завсегдатай
завсегдатай
Сообщения: 524
Зарегистрирован: 05 окт 2009, 11:51
Имя: Тихомиров Дмитрий Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 17 раз
Поблагодарили: 20 раз

Киберзащита АСУ ТП

Сообщение Marrenoloth »

Ну вот тогда дилемма: Я не всегда на площадке, но всегда готов помочь. Час простоя - миллион убытку. Как тогда усидеть на двух стульях, сведя к минимуму риски? Риск моей нелояльности к зказчику не рассматриваем.
Аватара пользователя

Serex
эксперт
эксперт
Сообщения: 2099
Зарегистрирован: 15 авг 2011, 21:36
Имя: Пупков Сергей Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 138 раз
Поблагодарили: 174 раза

Киберзащита АСУ ТП

Сообщение Serex »

Marrenoloth писал(а): Час простоя - миллион убытку.
Убытку миллион, а инженеров на объекте нет ))... Как так? Это риторический вопрос.
Аватара пользователя

Marrenoloth
завсегдатай
завсегдатай
Сообщения: 524
Зарегистрирован: 05 окт 2009, 11:51
Имя: Тихомиров Дмитрий Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 17 раз
Поблагодарили: 20 раз

Киберзащита АСУ ТП

Сообщение Marrenoloth »

Ну, скажем так, я несколько компетентнее инженеров и, естественно, меня не каждый раз дергают, а в тяжелых случаях. Но, тем не менее, почему, вместо конкретного ответа, все пытаются поменять условия задачи? :ges_hmm:

Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 5790
Зарегистрирован: 07 окт 2011, 09:12
Имя: Гаско Вячеслав Эриевич
Страна: Россия
город/регион: Рязань
Благодарил (а): 673 раза
Поблагодарили: 841 раз

Киберзащита АСУ ТП

Сообщение Ryzhij »

Вот мы опять возвращаемся к организационным вопросам безопасности. В том числе и экономической безопасности. Т.е. туда, где ещё не ступала нога дефекэффективного манагера.
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)

Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 5790
Зарегистрирован: 07 окт 2011, 09:12
Имя: Гаско Вячеслав Эриевич
Страна: Россия
город/регион: Рязань
Благодарил (а): 673 раза
Поблагодарили: 841 раз

Киберзащита АСУ ТП

Сообщение Ryzhij »

Marrenoloth писал(а): Но, тем не менее, почему, вместо конкретного ответа, все пытаются поменять условия задачи? :ges_hmm:
Потому, что "рыбку съесть и "капитал приобрести и идейность соблюсти" не получается по-жизни никак. :coolest:
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)
Аватара пользователя

Marrenoloth
завсегдатай
завсегдатай
Сообщения: 524
Зарегистрирован: 05 окт 2009, 11:51
Имя: Тихомиров Дмитрий Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 17 раз
Поблагодарили: 20 раз

Киберзащита АСУ ТП

Сообщение Marrenoloth »

Согласен. Вот тогда какие есть альтернативы для разумного компромисса?
Аватара пользователя

Serex
эксперт
эксперт
Сообщения: 2099
Зарегистрирован: 15 авг 2011, 21:36
Имя: Пупков Сергей Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 138 раз
Поблагодарили: 174 раза

Киберзащита АСУ ТП

Сообщение Serex »

Предлагаю не мешать все в кучу.
Штатная работа удаленной телеметрии и наладка оборудования через удаленное подключение. Технически то возможно одно и то же. Но это очень разные вещи. Второе несет в себе намного больше разнообразных рисков.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Киберзащита АСУ ТП

Сообщение Jackson »

Serex писал(а): Не так. Работоспособность связи это само собой разумеется. Но виртуальная локальная сеть имеет смысл при условии, что к физическому оборудованию провайдера, которое организует эту сеть, нет доступа у "вредителя". В том числе нет доступа к электроснабжению этого оборудования.
Это в специальном случае. надо заключать договор с провайдером и тогда так и будет. Или ещё проще - самому стать провайдером для себя, организовать собственную серверную для этого дела и делать там что угодно.
ИМХО.
Serex писал(а): Предлагаю не мешать все в кучу.
Согласен. Провайдеру - провайдерово.
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

Автор темы
Exactamente
частый гость
частый гость
Сообщения: 409
Зарегистрирован: 20 ноя 2012, 13:45
Имя: :.О.N.Ф
Страна: Россия
Благодарил (а): 3 раза
Поблагодарили: 7 раз

Киберзащита АСУ ТП

Сообщение Exactamente »

Marrenoloth писал(а): Как эта штука сравнивает SCADA-проекты и может ли это делать - вообще непонятно. Я как-то вообще смутно представляю себе Compare на SCADA-проектах.
Вот именно, что с нынешним ПО это не сделать никак. Если проект той же MS VS состоит из текстовых файлов, которые можно сравнивать, то в винцц даже скрипты за каким-то лядом в своём закрытом формате хранятся.
Marrenoloth писал(а): Т.е. просто нет культуры написания программ? Может стоит это нам перенимать от классического программирования для начала?
Нету и стоит, совершенно согалсен. Но всё равно хранить в гите бинарные "скрипты" от этого не станет возможным.
Marrenoloth писал(а):И есть ли более безопасные альтернативы teamviewer (все-таки третья сторона)?
VPN же. Тивьювер надысь ломали. Дропбокс вон ломали, ластфм ломали. Все пароли, которые хранятся не на вашем компьютере/сервере - хранятся на чужой машине :) Чужой - в самом широком смысле.
Михайло писал(а): Я еще раз повторю мысль: сторона ИБшников готова рассматривать ВСЕ виды сетевых топологий, ВСЕ виды угроз и рассматривает ВЕСЬ ассортимент противодействий угрозам, сторона же АСУТПшников мыслит более узко, желание противодействовать угрозам отсутствует, наивно полагают, что достаточно защититься от вторжения через зараженные флэшки... Я бы не упрощал все так...
А это легко проверяется методом подстановки. Если вместо АСУТП подставить "банковская система", "сервер бухгалтерии" или "база данных МВД" и ничего не поменяется, то нам вешают лапшу на уши. Чем так принципиально защита ЛВС АСУ ТП отличается от защит любой другой сети? Не последствия взлома, а именно технически. Нуок, гусям 61850 надо минимальные пинги, так что на десяток метров кидается оптика (но это как бы нижний уровень исполнительных устройств, он физически должен быть отделён и на самом деле отделён от остальных - и точка), а остальное?
Serex писал(а): Штатная работа удаленной телеметрии и наладка оборудования через удаленное подключение. Технически то возможно одно и то же. Но это очень разные вещи. Второе несет в себе намного больше разнообразных рисков.
Почему обычные айтишные сервера админятся удалённо и никто не умер? И там тоже простой может стоить миллионы, и даже не рублей.
«Сразу видно внимание к каждой мелочи, неиспорченным не осталось ничто».

Михайло
эксперт
эксперт
Сообщения: 3643
Зарегистрирован: 10 ноя 2009, 04:58
Имя: Толмачев Михаил Алексеевич
город/регион: г. Чехов, МО
Благодарил (а): 8 раз
Поблагодарили: 286 раз

Киберзащита АСУ ТП

Сообщение Михайло »

К сожалению асутпшники держат поражение в противостоянии с ибшниками. :ges_no:
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Киберзащита АСУ ТП

Сообщение Jackson »

Exactamente писал(а): Вот именно, что с нынешним ПО это не сделать никак.
И поэтому Касперский написал свою ОС, свой антивирус, свой брандмауэр, а потом будет и СКАДА, и потом всё это будет "сертифицировано" и "одобрено" для применения. и в этих рамках будет и сравнилка проектов, а всё остальное пойдёт лесом потому что "оценить его безопасность" нет технической возможности.

Именно такая стратегия у всей этой деятельности, в другой я просто не вижу никакого смысла. Попомните моё слово.
Михайло писал(а): К сожалению асутпшники держат поражение в противостоянии с ибшниками.
Да, потому что ИБшники залезли на верхний управляющий уровень, в то время как АСУшники сидят на своём среднем исполнительном. АСУшникам просто некогда этой х.нёй заниматься, у них работы полно, а этим бездельникам из ИБ нечем по-серьезному заняться (как я и доказал выше) и к тому же за это платят.
По вопросам работы Форума можно обратиться по этим контактам.

Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 5790
Зарегистрирован: 07 окт 2011, 09:12
Имя: Гаско Вячеслав Эриевич
Страна: Россия
город/регион: Рязань
Благодарил (а): 673 раза
Поблагодарили: 841 раз

Киберзащита АСУ ТП

Сообщение Ryzhij »

Exactamente писал(а): Почему обычные айтишные сервера админятся удалённо и никто не умер?
Просто потому, что это не ОПО, Карл!

Кроме того, я слабо себе представляю бэкап турбокомпрессора водородосодержащего газа или реактора установки каталитического крекинга, а вот восстановление сервера, даже на другом железе - вполне ;)
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)
Ответить

Вернуться в «Информационная безопасность»