Киберзащита АСУ ТП

[Михайло]

Пока что они больше занимаются пиаром и популизмом с накручиванием рядового обывателя, нежели реальными делами...

Я нормально отношусь к антивирусописателям. Они давным давно уже пугают пользователей страшилками, это маркетинг. Здесь высокая конкуренция, величайший интерес спецслужб. Маркетинг в действии! Почему Касперский должен уступить американским маркетологам?

[Romcheg]

А какой смысл уподобляться истеричке? Будь профессионалом, который заслуживает признание у действительно специалистов в области, где собираешься зарабатывать деньги на своих решениях! Покажи им свои грамотные решения, которые будут служить НЕ ТОЛЬКО твоим интересам, а именно интересам этих специалистов и ИХ отраслей! Вот инженерный подход!
Если ты инженер - то надо быть им, а не быть маркетологом, который будет ровняться на кого-то из-за рубежа, делаешь решения специалистам - будь готов к тому что, спросят серьезно, а не вскочат только домохозяйки с дивана из-за доллар-девяностодевять...

Если целевая аудитория пожиратели маркетинговой лапши - то это уже другая целевая аудитория.

[VADR]

Увы и ах... Инженеры могут разработать офигительный продукт, но распространения он не получит, ибо решение о покупке зачастую принимают отнюдь не инженеры. И решение они принимают не по техническим деталям, а красивым картинкам. К сожалению.

[Romcheg]

Увы и ах... Инженеры могут разработать офигительный продукт, но распространения он не получит, ибо решение о покупке зачастую принимают отнюдь не инженеры. И решение они принимают не по техническим деталям, а красивым картинкам. К сожалению.

Мне эта ситуация очень близка по моей скаде... Но, в конечном итоге, именно инженеры и спецы сейчас дают тот эффект, за счет которого она начинает набирать обороты и серьезно двигать основные бренды. Кто-то двигается за счет рекламы и бренда, но мнение о системе специалистов потом опережает эти векторы развития гораздо быстрее всех известных механизмов рекламы и маркетинга.
Так что лучше - фантик, или содержание?

Если полагать, что все в этом мире работает так как устроено, что ничего не может быть изменено, никто даже в одиночку не сможет сломать систему - это все бытовые заблуждения! Я, и моя разработка - реальный тому пример! Как говорил Эйнштейн: "Все знают, что сделать это невозможно. Но вот появляется невежда, который этого не знает. Он-то и делает открытие."

Если хоть малая часть из нас (спецов по АСУ ТП и спецов по ИБ) начнет хоть что-то делать грамотно и для дела, а не стремиться сорвать куш и тупо заработать на ажиотаже, это может стать тем, что станет решением, которое не сможет оспорить никто в мире, и оно принесет гораздо больше прибыли в кооперации, нежели в разовой выгоде интересов.

[Alex question]

Ну, например, обычная такая газовая печурка даже не очень больших размеров /с небольшой садовый домик примерно/, у которой просто остановили ПЛК в системе управления:

Ну остановили. Ничего страшного. Как горела так и будет гореть. Через 10 минут местный асушник опять запустит этот плк и всего делов. А вот чтобы как вы говорите "бумкнуло", нужно провести целую кучу действий, многие из которых защищены блокировками, защитами и т.п. Т.е. это все нужно отключить. Да еще и так, чтобы оператор ничего не заметил. А это уже не десяток байт.
Вообще все эти разговоры напоминают страшилки и сказки типа фильма "хакеры".
Ну если уж вам небезопасный сименс совсем не нравится, берите наш ПТК. Десятком байт вы его не остановите. Незаметно не заберетесь внутрь. Ну и на самый крайний случай просто все клапана на потенциале попадают и ваша печурка мирно потушится.

оне опросный лист заполнили, им что-то кто-то там ответил - все, оне больше ответственности не несут.

Да ладно. При поставке крупных узлов (и даже задолго до поставки - на стадии проекта) заказчику передается полная документация на узел, которая потом идет проектной организации. Там есть все. Вообще все. Этакие книги на пару тысяч страниц. И режимы работы вашего движка, и нагрузки, и защиты/блокировки по нему. И алгоритмы пуска/останова если это крупный движок. И прочее и прочее. Поэтому разговоры о том что "мы опросный лист почитали и как умели так и слабали и ответственности не несем" это детский лепет.

[Alex question]

Вообще я за ИБ в асу тп. Но в разумных пределах и не в той истерии, что сейчас идет.
Разграничение прав пользователей нужно. Защита по внешнему каналу - нужна. Антивирус - обязательно. Логи - обязательно.

А весь остальной бред, порой непонятно из какого пальца высосанный типа "а вдруг злоумышленник влезет в шину передачи данный и подменит в пакете байты инфы от АЦП или выдаст по Profibus ложную команду", или "а вдруг диверсант прям на станции начнет брутфорсить пароли и спустя 15 лет подберет админский пароль" или "а вдруг в сети появится что то странное - давайте все пакеты перехватывать и анализировать и принимать решение - какой пускать дальше а какой нет" и т.п. я даже не вижу смысла рассматривать всерьез.

[Anton Shipulin]

... или "а вдруг в сети появится что то странное - давайте все пакеты перехватывать и анализировать и принимать решение - какой пускать дальше а какой нет" и т.п. я даже не вижу смысла рассматривать всерьез...

А вот это вы зря. Очень полезная вещь (я имею ввиду мониторинг, без автоматического "принимать решение - какой пускать дальше а какой нет"). Причем можно сделать даже бесплатно, покажет вам вашу технологическую сеть как через рентген.

Например об этом:
http://www.slideshare.net/chrissistrunk ... 01-for-ics

[Anton Shipulin]

Кое-что о безопасности автоматизированных систем управления АЭС (I&C NPP)

Беспроводное управление атомной станцией: далекая реальность или смелая фантазия?
http://atomvestnik.ru/content-log/174-v ... vlyaj.html

На самом деле статья называется "Включи Wi-Fi и управляй!".

Специально вынес подзаголовок, так как из заголовка не ясно о чем идет речь

Кое-что о безопасности автоматизированных систем управления АЭС (I&C NPP)

Беспроводное управление атомной станцией: далекая реальность или смелая фантазия?
http://atomvestnik.ru/content-log/174-v ... vlyaj.html

Как такой бред может вообще где-то публиковаться? Это еще аж несколько собак в багажник пошли...
...
Прежде чем даже давать ссылки на подобное - ОЧЕНЬ настоятельно рекомендую ознакомиться с мировыми стандартами на системы управления на атомных станциях. Даже немного намекну - в мире, всего две страны по стандартам допускают именно автоматизированное управление АЭС... И Россия в их число не входит.

...

Роман Анатольевич, приветствую!
Не совсем понял, Вы мне предьевляете за ссылку? :)

Этой статьей я хотел показать как автоматизаторы обсуждают с автоматизаторами допустимость применения беспроводных технологий в системах управления АЭС. Безопасники тут не причем )

Или ваш гнев направлен в их сторону?

И да, по текущему состоянию кибербезопасности АЭС например можно посмотреть здесь:

1. Новость: http://www.securitylab.ru/news/474914.php
2. Отчет: https://www.chathamhouse.org/sites/file ... gstone.pdf

3. Новость: http://www.it-analytics.ru/market/security/80669.html
4. Отчет: http://www.ntiindex.org/wp-content/uplo ... _FINAL.pdf

[Степа]

И тут вроде сам бог велел ставить систему ПАЗ, но кого это интересует?

Ни разу не видел ПАЗ, чтобы еще и ПЛК полноценно контролировала. Давление газа, концентрация метана, CO и NO в воздухе, наличие напряжения, температура окружающей среды - это было.
Но даже если и есть полноценный контроль ПЛК: вся продукция, что в печи - а это десятки и сотни тысяч будущих доходов - в брак. Т.е. задачка для нехорошего человека уже решена - убыток нанесен.

Автономная система ПАЗ не вписывается в структуру ИБ. Она портит их представление об окружающем мире

Для "них" ПАЗ просто нет.

Пусть ИБшники занимаются делом.

Чтобы они занялись делом, они должны знать - каким. Им пока мало кто внятно может рассказать, что где и как, чем опасно. Подавляющее же большинство живут по принципу "Потому что слова "бумкнет из за десятка байтов" у меня ассоциируются с такими детскими страшилками детсадовскими.". Некоторые, особо тупые, еще начинают разводить "теории рисков" и прочие гадания...

На такой способны только отдельные работники Сименса, но не генеральный директор.

Вот он дилетантский подход во всей красе.

Ну остановили. Ничего страшного. Как горела так и будет гореть.

Все так и думают.
Тем не менее, при "удачном" стечении обстоятельств...

Вообще, останов ПЛК десятком байт - это очень и очень простой метод. И самый тупой. Если есть такой доступ и у атакующего есть голова на плечах, то он не ПЛК будет останавливать. В этом случае куда как сильнее навредить можно.
Из самого безобидного и незаметного для той же печи, что вот прямо сходу придумалось: сменить отношение "газ - воздух" с положенных 1:10 на, например, 1:20. Или 1:30. Кто это заметит? Я вот из многих десятков печей такие цифры только на одной и видел /да и то я же их туда и воткнул, по собственной инициативе/. Взрыва не будет. Температура будет в норме. Продукция будет годной. В общем - с виду все как обычно. Но единица продукции будет иметь чуть большую себестоимость, чем должна бы - газу придется спалить больше.
Красочного взрыва нет и не ожидается, ПАЗ тоже ничего не замечает, "местный асушник" заметит это ой как не скоро /если вообще заметит/... А убыток есть, и немаленький.
Если подумать - наверное, можно таких вот незаметненьких и безобидненьких мелочушек еще придумать. И убыток станет просто неприличным.
Которого избежать - немного подумать. И думать не ИБшнику, думать надо асушнику. Ибо ИБшник такого просто не знает. Но помочь может. Если ему правильно описать возможные проблемы.

Да ладно.

Ну повезло вам. Просто несказанно повезло.

[Михайло]

Вот он дилетантский подход во всей красе.

Без обоснования. Получается пустой разговор. Продолжай говорить пустоту.

[Михайло]

А какой смысл уподобляться истеричке?

Видите ли... Маркетинг - это основа продаж, не надо исключать этот инструмент, им пользуются Ваши конкуренты. Исключите лучше влияние чувств на Ваш бизнес, иначе не добьетесь высот. (Извините, что даю советы. Считайте, что это не связано с Вашим делом.)

[Ryzhij]

Из самого безобидного и незаметного для той же печи, что вот прямо сходу придумалось: сменить отношение "газ - воздух" с положенных 1:10 на, например, 1:20. Или 1:30.

Это называется "пустить медведя (на трубу)" или "медведь на трубу залез".

Кто это заметит?

Любой, кто глянет на дымовую трубу, из которой вместо светлого дымка с паром повалит темная сажа. Не заметит только слепой, или никогда невыходящий из котельной.
Хотя, цвет пламени горелки тоже изменится с голубого на оранжевый. ИМХО дальтоники в операторах не работают.
Кстати, что Вы там про датчик кислорода в дымовых газах писали?

Взрыва не будет.

Будет, но не сразу. И не в топке, а в дымоходе. Жахнет сажа.

[Exactamente]

Ни разу не видел ПАЗ, чтобы еще и ПЛК полноценно контролировала

Всё нормально, она и не должна.

вся продукция, что в печи - а это десятки и сотни тысяч будущих доходов - в брак. Т.е. задачка для нехорошего человека уже решена - убыток нанесен

Так ПАЗ про функциональную безопасность в первую очередь. Хотите рулить процесс без ПЛК - ставьте второй ПЛК :)

[VADR]

А можно добавить страшилок к общей картине? Итак, ситуация: местный АСУшник выполняет рекомендации по ИБ в доступном ему объёму: накатывает на ОС все свежие апдейты (Как, вы не ставите апдейты? Ваша система уязвима!!!) и регулярно обновляет антивирусные базы.
Страшилка 1. Случайная нестыковка. Очередной апдейт ОС оказывается несовместим с используемым ПО. Вариантов может быть немало, суть в том, что ПО операторского интерфейса перестаёт адекватно работать. Не может, например, установить связь с контроллерами. Или никак не реагирует на действия оператора (цифири он видит, а вот включить/выключить открыть/закрыть ничего не может). Кто тестировал на совместимость? А никто. Или саппорт поставщика тестирует, но информацию предоставляет при наличии сервисного контракта, на котором сэкономили. Что происходит? Техпроцесс идёт нормально до тех пор, пока не потребуется вмешательство оператора. А у него - нет ничего кроме аварийной кнопки. Ничего не взорвётся, не сломается, но убытки налицо. Особенно, если АСУшник не сразу поймёт, что дело в апдейтах.
Страшилка 2. Направленная атака. Злоумышленник каким-то образом получает софт, установленный на операторских станциях. Варианты: качает с торрентов, списывает на другом объекте с такой же системой. Затем пишет вирус. Вирус - не для этой системы, просто вирус, гуляющий в этих наших интернетах и портящий нервы совершенно другим пользователям обыкновенных домашних и офисных компьютеров. В вирус вставляет фрагменты кода операторского софта (ничего не дизассемблирует, просто копирует цепочки байт). Через некоторое время сигнатуры этого вируса попадают в антивирусные базы вместе с этими самыми фрагментами. АСУшник обновляет базы, антивирус проверяет АРМы - и считая АРМовский софт вирусом, блокирует его. Последствия те же - убытки из-за внепланового останова.

[Ryzhij]

А можно добавить страшилок к общей картине?

Ирония в том, что это не "страшилки" вовсе, а грустная проза жизни. И про апдейты, и про антивири...
Это те самые "грабли", на которые я лично наступал...

[Romcheg]

1. Новость: http://www.securitylab.ru/news/474914.php
2. Отчет: https://www.chathamhouse.org/sites/file ... gstone.pdf

3. Новость: http://www.it-analytics.ru/market/security/80669.html
4. Отчет: http://www.ntiindex.org/wp-content/uplo ... _FINAL.pdf

Вот они примеры, как на пустом месте организовать всеобщую истерию и раздуть рынок...
Особенно в отчете понравилось: "Nuclear facility control rooms are increasingly digitized and vulnerable to cyber attacks. " О как! Да неужели!?
Из приведенных примеров в отчете:
- частотник с контроллером системы управления насосами ВДРУГ оказался подключенным в сеть с доступом в Интернет!
- был обнаружен офисный ПК, который почему-то оказался еще и в сети АСУ ТП!
и почти все они подобны этим.

Да, давайте теперь из-за этого придумаем специальные операционные системы, специальное ПО, анализирующее весь трафик в АСУ ТП, чтобы избежать использования подобных ситуаций злоумышленниками... Как там у Жванецкого: "Так может все же что-то в консерватории поправить?". А то смахивает на ситуацию, что после ремонта коридора кто-то ведро оставил подвешенное к потолку и теперь все кто по нему идут больно бьются об него головой, поэтому было придумано всем обязательно носить каски, разработаны методики по одеванию и снятию касок всех идущих по коридору, создано бюро по выдачи этих касок и даже повешена система видеонаблюдения за этим участком, чтобы выявлять тех, кто не одел каску и приложился лбом к ведру... В интернете куча сообществ людей, которые имеют дипломы по прохождению коридора с ведром без последствий, много форумов кишит обсуждениями как удобнее пригинаться или в какую сторону уклоняться от ведра в зависимости от скорости движения по коридору. Вот только, почему-то, снять это ведро и убрать - никому в голову не приходит. А зачем - ведь столько рабочих мест, столько инноваций, такой рынок сбыта.

Почему-то все эти крупные отчеты и конторы исследователей даже не обращают внимание на тот факт, что АВТОМАТИЧЕСКОЕ УПРАВЛЕНИЕ АЭС разрешено ТОЛЬКО в двух странах из того списка, что они перечислили... Но многостраничные отчеты о проделанной ими работе впечатляют, да! Вот только - "верните мою собаку!"

[Василий Иванович]

А можно добавить страшилок к общей картине?

Всяко с защитой больше возни, чем без неё. Но без неё - тоже риски, и они нехилые. Известен случай, когда вирус Бластер завалил операторские станции на всём НПЗ в Техасе с неизбежным остановом завода. Или вон саботаж. Парень из конторы Касперского в Ганновере в этом году рассказывал - некто в Интернете познакомился с оператором нефтяной платформы, влез ему в доверие, стал переписываться и трояном добыл его логины. После чего удалённо остановил платформу, заблокировал доступ и стал вымогать выкуп.
Очень много случаев кибератак на Украине в критической инфраструктуре. Аэропорт Борисполя блокировали, например.

Поэтому альтернативы ИБ - нет. Другое дело, что она должна быть продумана с учётом специфики АСУТП. Как сами патчи, так и антивирусные базы, можно и нужно тестировать перед применением. Можно патчить не каждый месяц. Кроме антивирусов, есть другие технические и организационные меры безопасности. Тема ИБ уже вызрела после шока от Стакснета, её вложили в головы менеджеров, те заложили её в бюджет и за эти деньги уже нарисована уйма концептов, хороших и плохих. И это хорошо.

[Василий Иванович]

Вообще это ж асутэпэшникам работу приносит, или? Радоваться нужно!

[Ryzhij]

Вообще это ж асутэпэшникам работу приносит, или? Радоваться нужно!

Работу - да, зарплату - нет ((

[Степа]

Любой, кто глянет на дымовую трубу, из которой вместо светлого дымка с паром повалит темная сажа.

Сажа повалит, если сделать воздуха меньше положенного. Если больше - пламя вместо полупрозрачного голубенького станет плотным оранжевым и все.
У нас ставят установки прямого обогрева воздуха - газ горит прямо в потоке вдуваемого в помещение воздуха. Вот там да, там сразу видно, что все не так хорошо - если все хорошо, то там пламя как раз то, какое надо. В окошко, правда, на пламя не каждый час смотрят. Но горелки и пламя видно хорошо.
А вот с печами несколько труднее.
В печах идет постоянный процесс регулирования - то воздуха добавят, то газа - так что чистое голубенькое пламя там бывает нечасто. Оператор чаще всего в печь не заглядывает, если по показаниям все хорошо. Не видно оператору всех горелок - печь длинная, горелки над потоком деталей и под ним /нижние почти все закрыты от взгляда, видны только те, что рядом с зевом/. В длинной оранжевой печи трудно определять температуру факела пламени по его цвету. Не все операторы изучают процессы, связанных с выполняемой ими работой, большинство строго следует заветам одного киногероя "хорошо пожрать, сладко по..ть и глубже всадить" (с) "Блокпост". Т.е. параметры в норме - идем спать/читать/играть в домино и т.п.
Плюсом: исходя из каких-то там стратегических планов у нас не держат в печах строгое стехиометрическое соотношение, обычно чуть больше - пламя уже не чисто голубенькое, с рыжими хвостами.
Может, в камерных печах как-то иначе, но в наших проходных печах и соотношение 1:50 заметят не только лишь все.

Кстати, что Вы там про датчик кислорода в дымовых газах писали?

В новой печи есть. В старых - нет.
Но, извините, если "плохой дядя" имеет удаленный доступ до порта программирования, то кто ему воспрепятствует в коррекции показаний? Особенно если принять за основу знание "плохим дядей" атакуемой системы /обеспечение безопасности системы сокрытием данных о ней не сильно помогает/.

Но если на границе системы управления печью поставить даже обычный МСЭ с достаточно простыми настройками /пропускать снаружи только пакеты, скажем, с ограниченного числа IP - лучше с одного, только на один IP, только протокол TCP, только на порт 502, остальное - все отклонять/ - уже можно не ломать копья "можно"/"нельзя", "заметят"/"не заметят" да "как быстро". Тут как раз может сыграть "да кому мы, нахрен, нужны?"
Вариант "отключить печь от сети /пусть и внутренней/" - не проходит: ряд параметров должен обрабатываться на вышестоящей системе /паспорт, прослеживаемость и всякое такое/.

[VADR]

Откуда-то выдернул ссылку: Методические документы ФСТЭК. Возможно, из ИБ-шной группы в мордокниге. Кто-нибудь в курсе, что такое в этих документах "тип А, Б, В, Г, Д" и "класс 4, 5, 6" (а так же - куда делись 1-3)?

[Serex]

некто в Интернете познакомился с оператором нефтяной платформы, влез ему в доверие, стал переписываться и трояном добыл его логины. После чего удалённо остановил платформу, заблокировал доступ и стал вымогать выкуп.

Социальная инженерия - так это сейчас называют. Хотя не понятно почему здесь "инженерия"... Аферист, они и есть аферист!!!
Сама история бред... удаленное подключение к платформе... удаленное управление учетными записями...
И при чем тут АСУТП ?

[Anton Shipulin]

Откуда-то выдернул ссылку: Методические документы ФСТЭК. Возможно, из ИБ-шной группы в мордокниге. Кто-нибудь в курсе, что такое в этих документах "тип А, Б, В, Г, Д" и "класс 4, 5, 6" (а так же - куда делись 1-3)?

Ответ тут:
Информационное сообщение об утверждении требований к межсетевым экранам от 28 апреля 2016 г. N 240/24/1986

межсетевой экран уровня промышленной сети (тип «Д») – межсетевой экран, применяемый в автоматизированной системе управления технологическими или производственными процессами. Межсетевые экраны типа «Д» могут иметь программное или программно-техническое исполнение и должны обеспечивать контроль и фильтрацию промышленных протоколов передачи данных (Modbus, Profibus, CAN, HART, IndustrialEthernet и (или) иные протоколы).

Межсетевые экраны, соответствующие 3, 2 и 1 классам защиты, применяются в информационных системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.

Видимо поэтому требования к классам 1-3 не публикуют

[CHANt]

межсетевой экран уровня промышленной сети (тип «Д»)

А дайте плиз ссылку на продаваемый межсетевой экран для

(Modbus, Profibus, CAN, HART

[Василий Иванович]

Файрволл - не панацея, хотя уже что-то. Вот у них не помогло даже полное разделение сетей:
http://www.nytimes.com/2012/10/24/busin ... .html?_r=1