Киберзащита АСУ ТП

[CHANt]

А я ведь тоже работаю в энергетике, уже скоро как два года (недолго, да).

Мои извинения! ну хоть намекните где, коллега! )))

Простите, никакой конкретики в интернетах рассказывать не буду, но всё плохо - хотите верьте, хотите нет.

Я не люблю работу обсуждать, тем более организационные дела.)))

Там тоже чудесато.

Видимо это во всех местах, так как и в наших степях аутсорсингу приходят на обслугу системы на нефтяных месторождениях, да еще и на роквелле, на которые забыли написать программу. Просто взяли и сдали шкафы с контроллерами, армами заказчику, а прикладное по забыли написать..мелочь какая, аутсорсинг же есть, напишет))) Ну а у нас по электростанциям и сетям такого нет пока. Есть перегибы по эл.станциям, так как там Т Плюс, их заставляют одним годом и проектировать и вводить в строй, а вот у нас все удалось удержать - сначала проектные работы, не раньше чем через год строительство. Все получше, и время есть разобраться в деталях.

Нуок, гусям 61850 надо минимальные пинги, так что на десяток метров кидается оптика (но это как бы нижний уровень исполнительных устройств, он физически должен быть отделён и на самом деле отделён от остальных - и точка), а остальное?

Ээ, Вы тоже сленг уж совсем специфический применяете, вряд ли Михайло на уралвагонз-е требуется МЭК 61850. Хуже того, даже я его не видел вблизи и не увижу еще долго... Надо подстанции сначала довести до современности))) Да и терминалов РЗА у нас кот наплакал))) А вот обеспечить все ПС 110 кВ основными и резервными каналами передачи данных даже 2 мбит/с это технически безумно дорого...какой уж тут МЭК 61850...А тут ИБ еще...

[Степа]

эти вопросы часто остаются на совести провайдера

И это неправильно.
Ибо задача провайдера - доставить трафик из пункта А в пункт Б, остальное - не его проблема. От провайдера можно ожидать разве что помощи, если внятно описать проблему и предполагаемые меры.
Защита инфраструктуры - проблема интегратора и/или эксплуатационщика /в случае зоопарка/. Поскольку никто лучше их самих не знает, что нужно от сети, а что - не нужно. Какую-то часть ненужного можно попросить убирать провайдера. Но надеяться только на провайдера...

Провайдеру это не интересно, на мой взгляд, потому что профит от таких услуг мизерный.

Некоторые предоставляют подобные услуги. Скажем, борьба с DOS иногда может стать коллективной - провайдер помогает абоненту.

Но в число атак также входит отключение канала связи.

Если для вас важно наличие гарантированной связи - вам и решать эту проблему: толку-то от того, что связь с провом может быть через одну из десяти БС - резервирование канала связи у прова, если у вас помер модем?

VPN

И VPN поломать можно...
Все, что один человек сделал, другой завсегда разобрать сможет. (с)
Было бы желание, время и соответствующие знания.

Чем так принципиально защита ЛВС АСУ ТП отличается от защит любой другой сети?

Разница - в приоритетах: в АСУ ТП важнее скорость доступа, шифрование/аутентификация - не так важны, в обычной сети - наоборот. Разница в количестве типов одновременно "гуляющих" по сети пакетов: в асушной сети "гуляет" пара-тройка протоколов максимум, структура пакетов, как правило, хорошо известна - т.е. сильно облегчена настройка МСЭ. В отличие от обычной сети, где десятки протоколов.

Почему обычные айтишные сервера админятся удалённо и никто не умер?

А там никто и не умрет. Ну подумаешь, какой-то форум "полежит" часок. Или даже мобильный банк.
Да и убытки больше виртуальные - может были, а может и нет.
А вот в случае системы управления газовой печью - тут даже секунда простоя может стоить вполне реальных человеческих жизней... И убытки вполне себе реальные будут: вчера тут здание было, а сегодня - яма.

АСУшникам просто некогда этой х.нёй заниматься

А заниматься - увы - надо. Никуда от этого не деться.

Вы тоже сленг уж совсем специфический применяете

Для современного специалиста сленг вполне понятный, тем более всерьез интересующегося информзащитой в области АСУ ТП: одно из модных направлений. Станки, печки - это скучно, большинству непонятно и неинтересно. То ли дело - ГЭС. Или АЭС.

[Alex question]

на ближайшем мероприятим в Москве, где будет много про безопасность АСУ ТП: День промышленного сектора на InfoSecurity Russia'2016

Не нашел там регистрации для посетителей - только докладчики и участники со стендами.
А так было бы интересно послушать какие продукты предлагают сейчас ведущие компании.

[Jackson]

А заниматься - увы - надо. Никуда от этого не деться.

Вы цитируете, вырывая из контекста, переворачивая смысл с ног на голову. Осторожнее.

[Alex question]

То ли дело - ГЭС. Или АЭС.

Я вообще не понимаю всей этой шумихи на счет безопасности и т.п.
У нас всю жизнь сеть асу тп на станциях была изолирована. Все под паролями которые знала только служба асу станционная. Везде свои права доступа. Все флешки запрещены. Стоит антивирус. Все. Полностью защищенная система. Попробуй взломай извне.

Другое дело что походу начинаются хотелки типа "а давайте наш главный инженер будет параметры из дома смотреть". "А давайте данные будут передаваться напрямую из сети асу тп по инету" и прочая ерунда в том же духе.

Раньше мы как поставщик системы и интегратор отвечали просто: "не вопрос. мы вам систему спроектировали, поставили и наладили. а дальше делайте что хотите под вашу ответственность. накосячите - все логи у нас ведутся. проблем с разбором не будет."

А теперь ответственность за эти хотелки (ну типа чтоб какой нить третий менеджер пятого отдела седьмого управления мог не отвлекаясь от просмотра порнухи в инете периодически посматривать и на параметры работы станции) хотят переложить на поставщиков системы. вроде того что "Мы будем творить что хотим, а вы сделайте так чтоб нам за это ничего не было..."

И устроили по этому поводу целую бурю в стакане.

Особенно смешно про атомные станции. Когда про иб там говорят люди, ни разу не видевшие, что там и как.

[Ryzhij]

У нас всю жизнь сеть асу тп на станциях была изолирована. Все под паролями которые знала только служба асу станционная. Везде свои права доступа. Все флешки запрещены. Стоит антивирус.

Как последнее утверждение, про антивирус, соотносится с декларацией о изоляции системы?

[Alex question]

Как последнее утверждение, про антивирус, соотносится с декларацией о изоляции системы?

легко. выделенный сервер обновлений, откуда обновления переносились на флешке.
конечно можно дойти до совершенной паранойи типа хакер проникает на серв обновлений, там делает прогу которая копируется на флешку вместе с базами так чтобы никто не заметил, переносится дальше в систему и там что то делает. но у нас же тут не соревнование параноиков.

[Jackson]

Я вообще не понимаю всей этой шумихи на счет безопасности и т.п.

Ещё раз. На ИБ можно заработать. Деньги, репутацию, рынок сбыта. Внесите определённый брандмауер в перечень обязательного ПО для всех АСУ - и продажи этого брандмауэра гарантированы. Теперь понимаете?

[Alex question]

Ещё раз. На ИБ можно заработать. Деньги, репутацию, рынок сбыта. Внесите определённый брандмауер в перечень обязательного ПО для всех АСУ - и продажи этого брандмауэра гарантированы. Теперь понимаете?

Это я понимаю.
Просто все проблемы что подняты в шумихе иб решаются просто: делается полностью изолированная система со своими принятыми в асу тп разграничениями прав доступа и т.п. А затем если нужно - выделяется отдельный канал, на который (только на этот канал) вешается полный пакет безопасности (всевозможные фильтры, шифрование трафика супер навороченным алгоритмом и т.п.). Защитить нужно только этот канал как потенциальную угрозу.

Но нет. Выходит приказ 31 в котором говорится, что начальные условия - "злоумышленник уже в сети, обладает всеми паролями и полным доступом. А теперь, ребятки, защититесь от такой угрозы."

[Anton Shipulin]

на ближайшем мероприятим в Москве, где будет много про безопасность АСУ ТП: День промышленного сектора на InfoSecurity Russia'2016

Не нашел там регистрации для посетителей - только докладчики и участники со стендами.
А так было бы интересно послушать какие продукты предлагают сейчас ведущие компании.

Вот что пишут у нас в приглашении в facebook

Уважаемые коллеги!
20 сентября в рамках Дня промышленного сектора на InfoSecurity Russia'2016 состоится конференция: "Защита информации в промышленности. Целенаправленные атаки- защита промышленных систем и объектов"
Тон конференции зададут представители ФСТЭК России, модератор Андрей Кульпин (ПАО ГМК «Норникель»). Много интересных докладов и опыт коллег помогут сориентироваться в современном мире угроз.
Ваш бейдж будет маркирован названием конференции и обеспечит место в конференц-зале. Можно зарегистрироваться на сайте: http://www.infosecurityrussia.ru
или потратить несколько секунд на заполнение этой анкеты, мы сами интегрируем ее в систему: https://goo.gl/forms/e56W0Rp4ju3cYQ4D3
До встречи!

На остальные комментарии постараюсь ответить в ближайшее время :)

[Ryzhij]

Как последнее утверждение, про антивирус, соотносится с декларацией о изоляции системы?

легко. выделенный сервер обновлений, откуда обновления переносились на флешке.
конечно можно дойти до совершенной паранойи типа хакер проникает на серв обновлений, там делает прогу которая копируется на флешку вместе с базами так чтобы никто не заметил, переносится дальше в систему и там что то делает. но у нас же тут не соревнование параноиков.

ИМХО к упомянутому диагнозу ближе установивший антивирус на изолированную систему ;)
Кстати, я регулярно (где-то раз в три года) сталкиваюсь с тем, что тот или иной антивирус конфликтует с элементами ПО АСУТП.
То KAV, то NAV, то DrWeb отличатся своей утончённостью.

[Alex question]

ИМХО к упомянутому диагнозу ближе установивший антивирус на изолированную систему ;)
Кстати, я регулярно (где-то раз в три года) сталкиваюсь с тем, что тот или иной антивирус конфликтует с элементами ПО АСУТП.
То KAV, то NAV, то DrWeb отличатся своей утончённостью.

Это стандартное требование, чтоб был антивирус. Да и совсем без него как то неспокойно пусть и система изолирована.
Что касается касперского - уже 9 лет наше по работает с антивирусом. Без проблем. А вообще можно просто в исключения антивируса добавлять по скады и т.п. и не мучаться что очередное обновление что нить напортит.

Кстати именно для этого - проверки совместимости обновлений антивируса с асу тп и делается двухступенчатая установка обновлений. сначала тестируется на внешней машине. а затем обновления переносятся в систему.

[Exactamente]

Просто потому, что это не ОПО, Карл!

Кроме того, я слабо себе представляю бэкап турбокомпрессора водородосодержащего газа или реактора установки каталитического крекинга, а вот восстановление сервера, даже на другом железе - вполне ;)

Не последствия взлома, а именно технически.

Не принимается. Это уже последствия.

ну хоть намекните где

В Питере.

И VPN поломать можно...
Все, что один человек сделал, другой завсегда разобрать сможет. (с)
Было бы желание, время и соответствующие знания.

Вы хотите чтоб в ответ на одну банальность, я сказал другую? "Борьба со взломом состоит не в том, чтобы сделать взлом невозможным, а в том, чтобы сделать его невыгодным".

Разница - в приоритетах

То есть технически - никакой, философски - огромная. Тогда почему нельзя обеспечивать всё миллионом существующих техническим средств по контролю траффика? Грамотная маршрутизация, подсети, VLAN'ы, позакрывать левые порты, этц.

А там никто и не умрет. Ну подумаешь, какой-то форум "полежит" часок. Или даже мобильный банк.

Или база какая совсем неважная уплывёт к кому не надо, или биржа встанет, или ваш банковский счёт станет таким же со знаком минус, или вы не успеете на тендер подать заявку, или кто-то на опреацию летит, а его билет аннулируют, или , или, или... Вы совсем-совсем не знаете, зачем нужен интернет? Это уже давно не только порно)

А вот в случае системы управления газовой печью - тут даже секунда простоя может стоить вполне реальных человеческих жизней...

Ну не надо передёргивать. ПЛК никто не увозит на соседний материк. Он так и останется подключенным через параллельный порт на скорости 9600 кбод и обновлением регистров раз в 5 секунд ;)

Другое дело что походу начинаются хотелки типа "а давайте наш главный инженер будет параметры из дома смотреть". "А давайте данные будут передаваться напрямую из сети асу тп по инету" и прочая ерунда в том же духе.

Вообще, я так мысленно для себя могу даже оправдать это. Чисто с точки зрения движения в технологическую сингулярность, дело должно двигаться к тому, чтобы системы были как можно более связанными (не в смысле зависящими друг от друга, а в смысле достпными для обмена информацией). Смасштабируйте какую-нибудь РСУ до размеров страны. Терминалы РЗА, например, на ПС между собой болтают. Следующий крупный шаг - обеспечить то же между самими ПС, ЭС. Где-то излишки энергии, где-то недостаток - автоматически распределение и выработка подстраиваются оптимальным образом. Это же прекрасно, но пока недостижимо.

[Jackson]

Это я понимаю.
Просто все проблемы что подняты в шумихе иб решаются просто:

Ну не все, но многие, и не на всех объектах, но опять же на многих.

Но нет. Выходит приказ 31

Всё верно. Но ведь простое Ваше решение никому не принесет денег. К тому же Вы понимаете всю простоту решений, а человек в правлении например ГазПрома - нет. А поставки "специализированных" ОС, СКАД и брандмауэров - это вполне конкретный доход не менее конкретных людей. Осталось придумать какую-нибудь апокалиптическую картинку пострашнее (достаточно старинного фильма "хакеры") и подробно её разъяснить человеку в правлении - и дело пойдёт. Вот оно и пошло уже потихоньку, пока мы тут обсуждаем.

Причём все стороны этой шумихи, включая и авторов 31 приказа, и тех кто его подписывал, преследуют благие цели, но средства они предписывают применять те, о которых им доложили, а Вы ведь им не докладывали, верно? "И тот кто первый доползёт - тот и расскажет кто был прав...."

[Romcheg]

Как в известной старой комедии: - у вас на производстве несчастные случаи бывали? - нет. - будут...
Они уже взялись за эту тему и она пахнет добычей и несметными прибылями, расслабьтесь.
Как сказал один сатирик: бесполезно спорить о вкусе устриц с теми, кто их ел...
Вы никогда не добьетесь вразумительного ответа от специалистов тих самых "устриц", они на них делают деньги и свой бизнес, все остальное очень сильно вторично. Нам, как непосредственным участникам рынка, придется либо молча наблюдать как в нашу деятельность приходят их решения, которые вовсе не тянут на адекватность. Либо стать чудаками, которые идут против системы. Кстати, Касперский упорно не желает видеть в своих рядах подразделения кибербезопасности систем АСУ ТП специалистов именно АСУ ТП, мой недавний опыт общения на эту тему по поводу их вакансии в это подразделение тому пример: ребятам нужен больше программист и ИТ-специалист,для разработки конкретных решений, нежели специалист от отрасли, который может составить им грамотный роад-мэп этого направления именно для этой отрасли. Зачем думать, надо прыгать...

[Anton Shipulin]

...Кстати, Касперский упорно не желает видеть в своих рядах подразделения кибербезопасности систем АСУ ТП специалистов именно АСУ ТП, мой недавний опыт общения на эту тему по поводу их вакансии в это подразделение тому пример: ребятам нужен больше программист и ИТ-специалист,для разработки конкретных решений, нежели специалист от отрасли, который может составить им грамотный роад-мэп этого направления именно для этой отрасли. Зачем думать, надо прыгать...

Это не так
Вот пример вакансии где явно написано что требуется специалист "именно АСУ ТП"
https://serpukhov.hh.ru/vacancy/17722731

...
- Опыт программирования оборудования электроэнергетики (РЗА, RTU) и АСУТП (ПЛК).

- Опыт реализации промышленных сетевых и коммуникационных протоколов (Modbus, OPC, DNP3, IEC61850, IEC-104 и т.д.), понимание принципов и специфики их работы.

- Опыт работы с промышленными контроллерами, РЗА, RTU и SCADA, понимание отличительных особенностей представленных на текущий момент решений
...

И такие специалисты в Лаборатории Касперского есть, и они принимают участие в разработке и внедрении решений с полным знанимем предметной области.

[Jackson]

Вот пример вакансии где явно написано что требуется специалист "именно АСУ ТП"

Одно дело написано, другое дело по факту. Роман не стал бы такие вещи говорить на пустом месте или исходя из собственных догадок.
"Давно здесь сидим" (с)
Есть подозрения что Вы не тех людей можете считать специалистами в АСУТП. Впрочем, мы их не видели.

Отправлено спустя 2 минуты 21 секунду:

Вы никогда не добьетесь вразумительного ответа от специалистов тих самых "устриц", они на них делают деньги и свой бизнес, все остальное очень сильно вторично.

Порой отсутствие ответов лучше каких-нибудь бредовых ответов.

[den_vish]

мне вот что интресено, ну ок, накрутили некий протокол безопасности поверх того же модбас, но ведь обработку всех протоколов должно вести железо, так ведь? а значит это затраты на какие то вычислительные мощности, а что бы их компенсировать, то:
а- либо откусить от имеющихся ресурсов железяки,
б - либо что то туда воткнуть,
и как все эти протоколы и модернизации, потом скажутся на работе и цене железки? а совместимость и надежность?

[CHANt]

Коллеги, а у кого есть примеры (или хоть перечень) эксплуатационной ( и/или проектной) документации по ИБ для систем, ну хотя бы класса 3? Интересно было посмотреть, а то наш инженер по ИБ считает что это наша обязанность ее разработать и вести, его задача -контролировать))) Кто бы сомневался...

[+] Текст поправлен

в оригинале было "инженер поиб" :)
Админ.

[Степа]

Вы цитируете, вырывая из контекста, переворачивая смысл с ног на голову.

Понял так, что вы согласны с мнением "предыдущего докладчика"...

У нас всю жизнь сеть асу тп на станциях была изолирована. Все под паролями которые знала только служба асу станционная. Везде свои права доступа. Все флешки запрещены. Стоит антивирус. Все. Полностью защищенная система. Попробуй взломай извне.

Зачем в таких условиях антивирус?

выделенный сервер обновлений, откуда обновления переносились на флешке

Только антивирус-то все равно лишний: если полезут к вам через эту "калиточку", то уж совершенно точно позаботятся, чтобы используемое ПО никоим образом не возбуждало антивирусы.

Но нет.

Увы и ах. Правильно в свое время сказали Ховард с Лебланом - "исходите из того, что все механизмы защиты уже уничтожены, осталось только ваше ПО" /за точность цитаты не ручаюсь - лень сейчас перелистывать книгу, но суть примерно такая/. МСЭ, VPN и прочие защитные методы создавались людьми и точно так же могут оказаться небезгрешными... Почему бы не создать еще один пояс безопасности? Пусть он будет хлипким, но, говорят, и соломинка может сломать спину верблюду. Что-то грандиозное - это лишнее: на разработку/отладку уйдет слишком много времени, без соответствующих знаний все равно получится плохо. Но какие-то несложные элементы - вполне себе. Например, самоконтроль целостности кода: наличие хоть какого лучше, чем всякое отсутствие. И функция-то несложная...
Какие-то элементы - так вообще должны входить в список обязательных вне зависимости, планируется ли работа устройства в сети. Такие, как тотальный контроль всего, что приходит из неконтролируемой зоны: в модуль, в функцию... Например, простой контроль длины пакета в стеке TCP/IP - всего одна конструкция IF - могла бы сделать невозможной атаку "Ping of Death"... Это просто пример - эту проблему обнаружили и устранили в середине 90-х прошлого века, но проблем, имеющих в своей основе переполнение буфера, с каждым годом не становится меньше.

"Борьба со взломом состоит не в том, чтобы сделать взлом невозможным, а в том, чтобы сделать его невыгодным".

Кто бы спорил...
Это я просто к тому, что не бывает серебряных пуль. Просто комментарий...

Тогда почему нельзя обеспечивать всё миллионом существующих техническим средств по контролю траффика?

В среднем так и происходит. Подавляющее большинство решений "ИБ в области АСУ ТП" это либо вариации на те самые миллионы технических средств по контролю трафика /только более продвинутые - скажем, не просто прием-отклонение пакетов только определенных протоколов, но и контроль этих протоколов и отклонение пакетов, не прошедших контроль "на стандартность"/ либо полная ерунда.

Или база какая совсем неважная уплывёт к кому не надо

Так регулярно уплывают разные базы...

ПЛК никто не увозит на соседний материк. Он так и останется подключенным через параллельный порт на скорости 9600 кбод и обновлением регистров раз в 5 секунд ;)

Удаленность ПЛК от атакующего роли не играет, была бы возможность удаленно добраться до этого порта. Скорость ни разу не помеха: даже 110 бит/сек не помешает записать порт нечто совершенно непотребное и... Скажем, для остановки ПЛК S7-200 не надо передавать мегабайты, там весь пакет - что-то в районе десятка байт /насколько помнится, для этого даже двусторонний обмен не нужен, достаточно, чтобы до порта добралась нужная последовательность/. Для остановки даже пароль не нужен. Стереть программу - чутка сложнее, но тоже не запредельно /разве что самые современные S7-200 с включенным четвертым уровнем защиты очистить не удастся не зная пароля/.

[Serex]

Из своей практики.
Пароли это просто беда: повсеместно распространены "123", "444", "321". Как только я ввел пароли чуть по-сложнее. На мой взгляд среднего уровня сложности, так все стали ходить с бумажками и блокнотиками, где эти пароли записаны, а на вход в инженерную станцию, пароль клали под клавиатуру.
Хоть специально учебную тревогу устраивай с импровизированной атакой.

Обновления ПО - это жесткий, сильный головняк. Конкретно про Microsoft - они сделали так, что эти обновления просто не реально отслеживать и контролировать. от 2 до 10 обновлений в день и у всех замысловатые обобщенные названия - "обновление безопасности...", назначение которых нужно искать где то глубоко в библиотеке MSDN. Это же самая большая угроза для работы оборудования. Или как с Windows 10... воображаю картинку: вечером ушел с работы оставив рабочий терминал на Windows 7, а утром у тебя Windows 10 и все стоит....
За два года обслуживания терминалов, мне потребовалось только одно!! обновление для местного времени, в связи с отменой зимнего летнего времени.

С антивирусами и их обновлениями я придерживаюсь аналогичной позиции. Все что просит обновиться - ЗЛО!

[Alex question]

Только антивирус-то все равно лишний: если полезут к вам через эту "калиточку", то уж совершенно точно позаботятся, чтобы используемое ПО никоим образом не возбуждало антивирусы.

Еще раз. С удовольствием обошлись бы без антивируса (точнее с антивирусом, но с базами на момент установки системы. дальше все - система закрыта), но местные обычно хотят обновлять. Ну ок.

А про полезет через эту калитку:

конечно можно дойти до совершенной паранойи типа хакер проникает на серв обновлений, там делает прогу которая копируется на флешку вместе с базами так чтобы никто не заметил, переносится дальше в систему и там что то делает. но у нас же тут не соревнование параноиков.

Почему бы не создать еще один пояс безопасности?

Извиняюсь, а вы приказ 31 читали и требования к системам иб на объекте? Если нет, то о чем вообще разговор, а если да, то зачем писать мягко выражаясь ерунду про еще один пояс безопасности. Это блин не пояс, это железобетонный саркофаг, который поместили в сверхзащищенный бункер, который зарыли на глубину в 500 метров скальных пород, единственный вход в который охраняет пять дивизий элитных войск и по дороге нужно пройти пятнадцать уровней аутентификации включая голос, отпечатки, глаза, тест днк и т.д. и т.п. Это вам так для аналогии чтобы было понятно что там понимается под иб.

[Jackson]

Понял так, что вы согласны с мнением "предыдущего докладчика"

Не вполне правильно поняли. Ну да ладно.

Отправлено спустя 2 минуты 57 секунд:

но местные обычно хотят обновлять

Вот пусть это делает не каждый кому не лень местный, а специально обученный человек под роспись в оперативном журнале.

И потом, зачем держать антивирус в системе постоянно, когда внешние носители втыкаются в неё не постоянно? Почему не проверить внешний носитель на другом ПК при этом, перед тем как пихать в систему?

[Степа]

Как только я ввел пароли чуть по-сложнее. На мой взгляд среднего уровня сложности, так все стали ходить с бумажками и блокнотиками, где эти пароли записаны, а на вход в инженерную станцию, пароль клали под клавиатуру.

Это уже классикой стало...
Не надо брать пароли из разряда "Q,n#1*" - их запомнить среднему человеку сложно. Пароль "12-543" сам по себе не то, чтобы сильно проще /если не кричать в мегафон "у нас не используются буквы"/, запоминается намного проще, набирается гораздо быстрее - сложнее подсмотреть. Главное, чтобы принцип формирования пароля был прост, но известен только тем, кому надо и чтобы эти "кому надо" не рассказывали о принципе всем встречным и поперечным.
Скажем, давным-давно в одной конторке был очень простой принцип: брались первые несколько символов из каждого слова из одного из лозунгов, что у них на стене висели и набирались в английской раскладке. И запоминать надо было только лозунг и число символов, думать не надо - лозунги на стене висят, метровыми белыми буквами по красному фону /изначально кто-то из конторки вообще-то поглумиться хотел и при разгроме красного уголка забрал лозунги, бюст Ленина, вымпелы и т.п., но очень быстро сообразили; теперь глум - это для посторонних, а для своих - хранилище паролей/. Пароли иногда были весьма впечатляющей длины, но их никто никогда не записывал.

Извиняюсь, а вы приказ 31 читали и требования к системам иб на объекте?

Читал и регулярно перечитываю. Весьма увлекательно.
Саркофаг нужен просто потому, что обычно больше нихрена нет. От слова "совсем". Оно, знаете, как-то очень неуютно жить, зная что под ногами есть объект, который может просто бумкнуть из-за десятка байтов, пришедших неизвестно откуда. И именно информационной защиты просто нет, останавливать эти байты некому и нечем.
Частенько и технологических блокировок в программе тоже нет - дебилы-"проектировщики" лучше умными словами пожонглируют, чем обтыкают программу проверками: из четырех датчиков должен работать один или ни одного, если почему-то сработали два - остановка процесса /или, если можно, переход на алгоритмы работы при части отказавшего оборудования/, индикация отказа, но нет, у них же "теория рисков" - "а какая вероятность отказа? Я думаю, 0,0001 /как вычислять эту вероятность - много лет ни один дебил внятно рассказать не может/, это не страшно".
Если написано где-то в нормативке "обеспечить двуручное включение" - сделают. Не написано - хоть напополам разорвись, только и будут талдычить "теория рисков", "вероятность"... Вот для таких и писан 31 приказ: не думай /все равно нечем/, делай.

[Михайло]

теория рисков

Чтобы понятнее было остальным, расшифрую: это не теория рисков, а управление рисками, сугубо практика управления рисками.