Киберзащита АСУ ТП

[Jackson]

Так и зависнет вопрос ТС в воздухе:

Так очевидно же что он риторический. Разве нет?

[Anton Shipulin]

Кстати, коллеги, если есть желание поучиться, поспорить или подружиться по тебе безопасности АСУ ТП, можно встретиться на
ближайшем мероприятим в Москве, где будет много про безопасность АСУ ТП: День промышленного сектора на InfoSecurity Russia'2016
http://www.infosecurityrussia.ru/2016/p ... asutp2015/

А после можно сбораться обсудить неформально:
https://ruscadasec.timepad.ru/event/358806/

Я кстати не сторонник конфронтации между АСУ ТП и ИБ. Я счиатаю что у нас одна цель - обеспечить штатную работу техпроцессов (ИБ за счет устранения рисков вызванных информационными технологиями). И в диалоге находится оптимальные меры безопасности. Со многими уважаемыми специалистами АСУ ТП это получается делать.

[Exactamente]

Так очевидно же что он риторический. Разве нет?

На самом деле нет. Мне было бы действительно интересно услышать грамотный обзор предлагаемых продуктов в сфере ИБ от людей, которые понимают АСУ ТП. Потому что такие вот "презентации" https://www.youtube.com/watch?v=eaa8ETKkbPU это пи ец, приношу извинения, не могу подобрать другого слова. Это уровня заговорённой через телевизор живительной воды.

С того самого момента, как я только попал за баранку этого пылесоса (то есть получил свой честно заслуженный диплом Инженера по автоматизации промышленных процессов и производств), я ждал того момента, когда айти придёт в асутп. Даже здесь на форуме об этом не раз писал. И этот момент, кажется, настал! Но где системы контроля версий, дифы проектов, тасктрекеры, стабильный человечный софт, поддающийся рутинной автоматизации, информативные логи, открытое комьюнити, асушный стэковерфлоу, адекватные мануалы, эт сетерА, эт сетера... Нет, тут приходят какие-то люди, и показывают мультики с пластиковыми машинками и мигающими светодиодами. Хотя, постойте... это не информационные технологии 21го века пришли к нам, это эффективные менеджеры.

И я даже не отрицаю, что в асушке всё плохо. Кажется, я тут об этом только и талдычу) И с безопасностью, в том числе. Примеры есть, но я вам их не дам. Однако, лечить простуду у переханного поездом - так себе идейка.

Работающий в распределительных электросетях, в данной теме, только я. С ФСК нет.

А я ведь тоже работаю в энергетике, уже скоро как два года (недолго, да). И с ФСКшными объектами знаком. ЦПС, ага. Цифровая подстанция, то бишь (хотя для меня оно навеки центральная перекачивающая, эх). Простите, никакой конкретики в интернетах рассказывать не буду, но всё плохо - хотите верьте, хотите нет. До этого два года в нефтянке. Всё ОЧЕНЬ плохо. Не до кибербезопасности, от слова вообще. Хотя, про нефтянку расскажу случай. Телемеханика, принятая в эксплуатацию. Половина не работает, за вторую половину я не стану в приличном обществе рассказывать. Спрашиваю местных, как вообще так вышло? Не хотели принимать, сверху заставили. Когда я впервые это увидел, системе и полгода не исполнилось. На вопрос "чзх?" ответ интеграторов - "похоже, за прошедшее время сеть окончательно деградировала". Разговор, на секундочку, об унылом модбасе через 485. Спрашиваю местных, это я дебил или тут какой-то подвох? Таки да, не работало с самого ПНР, никаким чудом не заработало и после "успешной" сдачи. Будь там ещё какие костыли в виде "безопасной ОС" я бы это "чудо" к черту выкинул и никто никогда бы не узнал. И кто узнал бы - только спасибо бы сказал. Это было такое маленькое месторождение, на котором нефти в сутки добывается на стоимость парочки тех солнечных немецких электростанций, которые в шодане пачками находят специалисты ИБ для своих анализов. И на газовых месторождениях я был. Там тоже чудесато.

Фото не моё, но отечественной медицине известны случаи:


Можете не признаваться, но я точно знаю, что все присутствующие видели вживую множество примеров, когда сделано не так, как следует. Но это не имеет никакого отношения к хакерам. И хакеры, на самом-то деле, наименьшая из существующих угроз.

Anton Shipulin, вы читали тот длинный комментарий к этой статье: https://www.linkedin.com/pulse/process- ... a-krotofil ? На секундочку, в профиле автор комментария пишет о себе, как основателе scadahacker.com. Ну то есть логика такая - что в общем-то даже специалист, согласный с необходимостью ИБ-защиты АСУТП, пишет, что это бред. И все разговоры о кибербезопасности последнее время такого же уровня, как предложение вывести из строя ПЛК ПАЗ с помощью кавитации (ну, я немножко сгущаю, но посыл там именно такой). Кому интересно, из не спикающих на английском, могу в личку перевод скинуть, мб когда-нибудь соберусь с силами нормально оформить на хабр, чтоб узрело побольше народа.
TEB сказал, что здесь люди самой обширной географии, а вы предлагаете прийти на митап в Москве? Непродуктивно))

Со многими уважаемыми специалистами АСУ ТП это получается делать.

Пожалуйста, дайте почитать или посмотреть видео, что говорят специалисты АСУТП обо всём этом? Вы ведь достаточно активно продвигаете эту тему, но там нет самого главного. Ну то есть если вам интересен фидбек хотя бы чисто с точки зрения пиара этой темы, то моё скромное мнение такое, что нужно больше технических деталей, и не дай бог там перепутать ПЛК с конвертером, или АСУ ТП со скадой, или назвать RS232 протоколом. Ну чтоб не показалось, что король-то голый. Вот касперски лаб выпустилы ОС. Блаблаблабла... где даташит/спеки/...? Где хоть что-то, кроме информационного шума? Нету. Потому и впечатление, что это пузырь, пустышка. И так везде, где в одном абзаце встречается ИБ и АСУТП.

[Степа]

Но где системы контроля версий, дифы проектов, тасктрекеры, стабильный человечный софт, поддающийся рутинной автоматизации, информативные логи, открытое комьюнити, асушный стэковерфлоу, адекватные мануалы, эт сетерА, эт сетера...

Позвольте маленечко предсказаниями позаниматься: если такое когда-либо и появится /что очень сомнительно/, то абсолютно бесполезное. Ибо "компании А" - производителю ПО - будет неприятно видеть в открытом доступе описание проблем в их ПО - поруха чести, репутации и всякое такое. "Компании Б" - пользователю ПО - тоже будет неприятно видеть то же самое по тем же причинам. Бизнес и ничего более...
Вот описание закрытых уязвимостей - это да: "посмотрите, какие мы молодцы, мы заботимся о вашей безопасности".
Но патчи ставят единицы - ну кто позволит тормознуть объект, минута простоя которого стоит немалых тысяч, ради какого-то патча? Накатывать патч на живую систему... Дебилы, конечно, есть, но они долго не живут. В редкие ремонтные дни, когда объект планово остановлен, и так проблем за гланды. Т.е. если в организации нет специальной команды, которая отслеживает все сообщения о закрытых уязвимостях, заранее собирает патчи, готовит план обновления и, главное - тестирует его на макете объекта, то все уныло и печально.
Вот на новых объектах - тут, как правило, более-менее. Особенно, если в команде разработчиков есть хоть один хомо, страдающий здоровой паранойей и хотя бы слышавший о безопасности.

Половина не работает, за вторую половину я не стану в приличном обществе рассказывать.

Вы ба еще "проектики" посмотрели, которые некоторые "разработчики" рисуют... До проектов дворового клуба юных техников им как до Луны пешком. Но поделки дворового клуба юных техников в лучшем случае на выставках творчества юных блистают, а поделки тех "разработчиков"... Каждый день с такими, с позволения сказать, "проектами" сталкиваться приходится.
Зато понтов у тех "разработчиков" - аж из ушей льется.

Мне было бы действительно интересно услышать грамотный обзор предлагаемых продуктов в сфере ИБ от людей, которые понимают АСУ ТП.

Вряд ли услышите. Хотя бы потому, что предлагаемых продуктов в сфере ИБ именно для АСУ ТП - что-то около нуля. Вообще продуктов, нацеленных на ИБ, прилично, проблема в их использовании - как правило нет людей, способных хотя бы внятно поставить задачу, внятно провести сравнение разных способов и методов защиты... Я уж не вспоминаю за работу с уже существующими методами защиты.
Простой пример: приехала к нам установка. Там в качестве точки стыковки сети установки с нашей ЛВС заложена Cisco. Ее всего-то надо было настроить тут, у нас - контракт как-то так составлен был, что разработчик посмотрел честными глазами и сказал, что это не его забота, юрист его слова подтвердил. Наши сетевики кругами вокруг походили, недельку в нее повтыкали и... В общем, сейчас вместо Cisco стоит обычный свич, сеть установки повязана с нашей ЛВС напрямую. Плохо. Но другого выхода просто нет - связь быть должна.

[Serex]

Давайте лучше приведём пример такой АСУТП, которая обязательно должна быть подключена к интернету и его него там не обойтись.

Я просто пример из своего опыта приведу. Водонапорные и водозаборные насосные станции. Их достаточно много, они сильно распределены по территории. Дежурный персонал на таких станциях если и есть, то уже дедушка с бабушкой пенсионного возраста (особенно в регионах). Там ставится простенький контроллер для сбора данных, а возможно и вкл/выкл насосов и gsm - модуль для связи, возможно управления с центральной диспетчерской. Почти весь трафик данных идет через интернет. Основная угроза - отключение насосов, которое приводит к отсутствию водоснабжения в городах. Вторая уроза - диспетчер не увидит отключение насоса вовремя.

Но... с какой там стороны запихнуть информационную безопасность или ОС с киберзащитой не понятно )) Там если что-то и нужно, то это стандарты организации сетей. Например, выделенная GSM-провайдером, виртуальная локальная сеть. Как эта сеть должна верифицироваться, кто в нее может быть подключен... эти вопросы часто остаются на совести провайдера.

[Михайло]

Я еще раз повторю мысль: сторона ИБшников готова рассматривать ВСЕ виды сетевых топологий, ВСЕ виды угроз и рассматривает ВЕСЬ ассортимент противодействий угрозам, сторона же АСУТПшников мыслит более узко, желание противодействовать угрозам отсутствует, наивно полагают, что достаточно защититься от вторжения через зараженные флэшки... Я бы не упрощал все так...

[Serex]

3) АСУП Разные отчеты и прочую ерунду где-то надо хранить и отображать. Пожалуйста - очень желательно чтобы с ПЛК/ЧМИ станции был выход на сеть предприятия. Ее же уберечь от интернета еще сложнее.
В общем эти вопросы и есть предмет ИБ АСУТП.

Для этих целей хорошо подходит база данных с файрволом. В теме уже упоминали про это решение. Но как-то не вижу массовости его применения. Возможно не соразмерность цены/запроса на безопасность.

[Михайло]

Но... с какой там стороны запихнуть информационную безопасность или ОС с киберзащитой не понятно )) Там если что-то и нужно, то это стандарты организации сетей. Например, выделенная GSM-провайдером, виртуальная локальная сеть. Как эта сеть должна верифицироваться, кто в нее может быть подключен... эти вопросы часто остаются на совести провайдера.

Провайдер тоже нуждается в знаниях и технологиях, зря Вы так переложили на него проблемы...

[Serex]

Провайдер тоже нуждается в знаниях и технологиях, зря Вы так переложили на него проблемы...

Провайдеру это не интересно, на мой взгляд, потому что профит от таких услуг мизерный. GSM-провайдеры всегда брали количеством подключений, а не продуманными единичными решениями.
Вот и получается. В АСУТП нет стандартов на организацию таких подключений, а провайдера мотивация к этому очень низкая.

[Jackson]

Возможно не соразмерность цены/запроса на безопасность

Просто отсутствие острой необходимости в этом - задачу можно решить и другими способами, которые вдобавок ещё и дешевле и проще.

Провайдер тоже нуждается в знаниях и технологиях, зря Вы так переложили на него проблемы...

Согласен. Провайдер - это только канал связи, а как он работать будет и для чего использоваться - это уже задача того кто им владеет. От провайдера наоборот ИМХО требуется абсолютно прозрачный канал где работает вообще всё (мало ли что понадобится), дальше самим надо обмен организовывать и ИБ заниматься.

[Serex]

От провайдера наоборот ИМХО требуется абсолютно прозрачный канал где работает вообще всё (мало ли что понадобится), дальше самим надо обмен организовывать и ИБ заниматься.

Не так. Работоспособность связи это само собой разумеется. Но виртуальная локальная сеть имеет смысл при условии, что к физическому оборудованию провайдера, которое организует эту сеть, нет доступа у "вредителя". В том числе нет доступа к электроснабжению этого оборудования.

Можно и даже нужно шифровать собственным оборудованием. Но в число атак также входит отключение канала связи. Т.е. просто "вредитель" пришел и выдернул питание из коммутатора у провайдера. В этом случае, применительно к моему примеру, диспетчер также не будет знать об отключении насоса.

А в хорошем варианте - провайдер должен предоставлять Ethernet отверстие на объекте и диспетчерской, соединенные между собой каналом связи. Не хочется заниматься вопросами совместимости GSM-модемов с провайдером. А договор об услуге предоставления канала связи должен включать все аспекты безопасности. Но такого пока нет!

Компании-интегратору было бы гораздо проще и выгоднее посадить объект на такой договор, чем на каждом объекте выяснять все тонкости подключения к провайдеру. А у эксплуатации, как правило, нет ни возможности ни полномочий, организовывать такие решения, поэтому им тоже удобно использовать готовое решение.

Где-то было предложение: специальная сим-карта для удаленных терминалов, работающих по GSM. Позже найду. Вот как-то в этом направлении нужно двигаться...

[Marrenoloth]

Но где системы контроля версий

А вот буквально на днях нашли меня вот эти ребята: www.versiondog.com
Предлагают комбайн по системе контроля версий. При этом ни в одной презенташке нет технических скриншотов или они такие мелкие, что хз что там вообще. Показал руководителю дружественной компании, которую может продукт заинтересовать, далее почти дословно: "А зачем, если в Симатике сравнение версий уже есть?" И, что прискорбно, я с ним согласен. Платить Бешеные Бабки за подсветку несовпадающих участков? Как-то немного расточительно. Регламент работы с подрядчиками всё-равно прописывать, без вариантов. Как эта штука сравнивает SCADA-проекты и может ли это делать - вообще непонятно. Я как-то вообще смутно представляю себе Compare на SCADA-проектах. В связи с этим, вопрос: А, может быть, перефразируя Матроскина, "инструменты у нас есть, у нас мозгов нет"? Т.е. просто нет культуры написания программ? Может стоит это нам перенимать от классического программирования для начала? А там, глядишь, и тесты для программ писать начнем! :)

По теме обсуждения: Допустим, у меня есть некоторое количество заказчиков. Для них я являюсь надежным партнером (это риск, который берет на себя заказчик). Меня часто просят что-либо сделать по удаленке. Ввиду зоопарка систем и версий, так думаю, удобнее это делать через teamviewer к полостью готовой инженерной станции. Соответственно, вот конкретные вопросы к безопасникам: Как я должен организовывать пересечение офисной и асутпшной сетей? Какие средства применять для управления безопасностью в обоих сетях? И есть ли более безопасные альтернативы teamviewer (все-таки третья сторона)?

[Ryzhij]

ИМХО удалёнка и безопасность несовместимые понятия. Особенно для ОПО.

[Marrenoloth]

Ну вот тогда дилемма: Я не всегда на площадке, но всегда готов помочь. Час простоя - миллион убытку. Как тогда усидеть на двух стульях, сведя к минимуму риски? Риск моей нелояльности к зказчику не рассматриваем.

[Serex]

Час простоя - миллион убытку.

Убытку миллион, а инженеров на объекте нет ))... Как так? Это риторический вопрос.

[Marrenoloth]

Ну, скажем так, я несколько компетентнее инженеров и, естественно, меня не каждый раз дергают, а в тяжелых случаях. Но, тем не менее, почему, вместо конкретного ответа, все пытаются поменять условия задачи?

[Ryzhij]

Вот мы опять возвращаемся к организационным вопросам безопасности. В том числе и экономической безопасности. Т.е. туда, где ещё не ступала нога дефекэффективного манагера.

[Ryzhij]

Но, тем не менее, почему, вместо конкретного ответа, все пытаются поменять условия задачи?

Потому, что "рыбку съесть и "капитал приобрести и идейность соблюсти" не получается по-жизни никак.

[Marrenoloth]

Согласен. Вот тогда какие есть альтернативы для разумного компромисса?

[Serex]

Предлагаю не мешать все в кучу.
Штатная работа удаленной телеметрии и наладка оборудования через удаленное подключение. Технически то возможно одно и то же. Но это очень разные вещи. Второе несет в себе намного больше разнообразных рисков.

[Jackson]

Не так. Работоспособность связи это само собой разумеется. Но виртуальная локальная сеть имеет смысл при условии, что к физическому оборудованию провайдера, которое организует эту сеть, нет доступа у "вредителя". В том числе нет доступа к электроснабжению этого оборудования.

Это в специальном случае. надо заключать договор с провайдером и тогда так и будет. Или ещё проще - самому стать провайдером для себя, организовать собственную серверную для этого дела и делать там что угодно.
ИМХО.

Предлагаю не мешать все в кучу.

Согласен. Провайдеру - провайдерово.

[Exactamente]

Как эта штука сравнивает SCADA-проекты и может ли это делать - вообще непонятно. Я как-то вообще смутно представляю себе Compare на SCADA-проектах.

Вот именно, что с нынешним ПО это не сделать никак. Если проект той же MS VS состоит из текстовых файлов, которые можно сравнивать, то в винцц даже скрипты за каким-то лядом в своём закрытом формате хранятся.

Т.е. просто нет культуры написания программ? Может стоит это нам перенимать от классического программирования для начала?

Нету и стоит, совершенно согалсен. Но всё равно хранить в гите бинарные "скрипты" от этого не станет возможным.

И есть ли более безопасные альтернативы teamviewer (все-таки третья сторона)?

VPN же. Тивьювер надысь ломали. Дропбокс вон ломали, ластфм ломали. Все пароли, которые хранятся не на вашем компьютере/сервере - хранятся на чужой машине :) Чужой - в самом широком смысле.

Я еще раз повторю мысль: сторона ИБшников готова рассматривать ВСЕ виды сетевых топологий, ВСЕ виды угроз и рассматривает ВЕСЬ ассортимент противодействий угрозам, сторона же АСУТПшников мыслит более узко, желание противодействовать угрозам отсутствует, наивно полагают, что достаточно защититься от вторжения через зараженные флэшки... Я бы не упрощал все так...

А это легко проверяется методом подстановки. Если вместо АСУТП подставить "банковская система", "сервер бухгалтерии" или "база данных МВД" и ничего не поменяется, то нам вешают лапшу на уши. Чем так принципиально защита ЛВС АСУ ТП отличается от защит любой другой сети? Не последствия взлома, а именно технически. Нуок, гусям 61850 надо минимальные пинги, так что на десяток метров кидается оптика (но это как бы нижний уровень исполнительных устройств, он физически должен быть отделён и на самом деле отделён от остальных - и точка), а остальное?

Штатная работа удаленной телеметрии и наладка оборудования через удаленное подключение. Технически то возможно одно и то же. Но это очень разные вещи. Второе несет в себе намного больше разнообразных рисков.

Почему обычные айтишные сервера админятся удалённо и никто не умер? И там тоже простой может стоить миллионы, и даже не рублей.

[Михайло]

К сожалению асутпшники держат поражение в противостоянии с ибшниками.

[Jackson]

Вот именно, что с нынешним ПО это не сделать никак.

И поэтому Касперский написал свою ОС, свой антивирус, свой брандмауэр, а потом будет и СКАДА, и потом всё это будет "сертифицировано" и "одобрено" для применения. и в этих рамках будет и сравнилка проектов, а всё остальное пойдёт лесом потому что "оценить его безопасность" нет технической возможности.

Именно такая стратегия у всей этой деятельности, в другой я просто не вижу никакого смысла. Попомните моё слово.

К сожалению асутпшники держат поражение в противостоянии с ибшниками.

Да, потому что ИБшники залезли на верхний управляющий уровень, в то время как АСУшники сидят на своём среднем исполнительном. АСУшникам просто некогда этой х.нёй заниматься, у них работы полно, а этим бездельникам из ИБ нечем по-серьезному заняться (как я и доказал выше) и к тому же за это платят.

[Ryzhij]

Почему обычные айтишные сервера админятся удалённо и никто не умер?

Просто потому, что это не ОПО, Карл!

Кроме того, я слабо себе представляю бэкап турбокомпрессора водородосодержащего газа или реактора установки каталитического крекинга, а вот восстановление сервера, даже на другом железе - вполне ;)