Киберзащита АСУ ТП

Сообщение **Ryzhij** » 23 сен 2016, 05:40

Anton Shipulin писал(а): А тем временем General Electric, Rockwell Automation, Schneider Electric и Siemens в этом году рассказали как они повышают защищенность своего оборудования и в том числе внедряют туда криптографию :)

Антон, то, что внедряется, только формально называется "криптозащитой".
Тут много даже чисто юридических заморочек, мешающих производителям продавать аппаратуру с более-менее стойкой криптографией.
То, что внедряется, работает внутри контроллера, обеспечивая надёжную аутентификацию пользователей, а не на каналах связи с "внешним миром".
Второй аспект - применение встроенной (внутренней) криптозащиты, с одной стороны, ведёт к несовместимости с оборудованием других производителей ("покупайте только наших слонов!"), а с другой - опять-таки сужает рынок сбыта, т.к. делает потребителя заложником одной фирмы. Кто ж на это пойдёт?

Сообщение **Barsik** » 23 сен 2016, 22:00

Припомнился пример из большой энергетики, когда уже 10 лет назад применялась криптография. Правда не в целях защиты от внешних атак, а для защиты от несанкционированного изменения записи действий персонала. На системе вибромониторинга турбогенератора было два дисковых массива, на одном тренды писались открыто, на другом - в шифрованном виде.

Сообщение **Ryzhij** » 24 сен 2016, 08:36

Barsik писал(а): Припомнился пример из большой энергетики, когда уже 10 лет назад применялась криптография. Правда не в целях защиты от внешних атак, а для защиты от несанкционированного изменения записи действий персонала. На системе вибромониторинга турбогенератора было два дисковых массива, на одном тренды писались открыто, на другом - в шифрованном виде.

Ну, что ж, неплохое решение.
Вот только причём тут АСУТП - автоматизированные системы управления технологическими процессами?
А киберзащита АСУТП тут каким боком?

Сообщение **rusik** » 25 сен 2016, 00:11

Добрый вечер!
Поддержу тех, кто понимает, защита нужна, и что новые продукты, решения и услуги на базе технологий (Ethernet, Wi-Fi и др.), которые предлагаются всеми вендорами (Honeywell, Siemens, Emerson и др.) несут с собой соответствующие риски.
Текущая проблема заключается в том, что каждый зачастую бьется с этими рисками на своем посту в одиночку и исходя из своего понимания ситуации и способов решения.
Это тяжело.
Все жаркие споры здесь разворачиваются вокруг 2 вопросов:
- А был ли мальчик: А есть ли данный конкретный риск на данном конкретном объекте или нет?
- Зачем козе баян: Даже если риск есть, а какие меры будут адекватны?
Все знают про приказ №31, анализ рисков, моделирование угроз, меры и средства защиты.
Можно критиковать приказ №31, но он выстраивает четкий подход к защите. Кстати, он похож на NIST SP 800-53. :)
Так вот, проблема, описанная выше, начнет решаться, когда появятся совместно разработанные всеми сторонами (АСУ, ИТ, ИБ): акт классификации, модель угроз, необходимые и достаточные меры защиты
(как технические, так и организационные), план мероприятий по защите. И если вас спросят, а где KIKS или ISIM, у вас будет нужный всем ответ в согласованных документах.
Например, а вот не требуется такая система для нашего объекта - класс низкий, риски принимаем, угрозы не актуальны, экономически нецелесообразно.
Или наоборот, а вот в плане мероприятий на следующий год у нас заложено бесплатное/платное пилотирование.
И все, не надо никому ничего доказывать, читайте согласованные документы и выполняйте.

Да, все такие компании, как Лаборатория Касперского и Позитив Технолоджиз поняли, что здесь рыба есть, и стремятся захватить рынок, как можно раньше и быстрее.
И да, они еще не создали свою серебряную пулю, отсюда все косяки и проблемы с доверием, функциональностью, неафишируемыми инцидентами.
Но, кто может подсказать способ, как сделать что-то действительно полезное без опыта, полученного на реальных примерах?
Кстати не факт, что полезное в итоге появится. Но факт, что риски будут расти. ;)

Все понимают, кому отвечать за защиту, а значит для них открывается новая возможность.

Не праздный вопрос для знатоков (название темы натолкнуло): дайте, пожалуйста, определение понятия "киберзащита АСУ ТП" и определение понятия "кибербезопасность".

Сообщение **andrmur** » 26 сен 2016, 00:12

Определение этих понятий приведено в "Концепции стратегии кибербезопасности РФ" http://council.gov.ru/media/files/41d4b ... ea8a73.pdf

Сообщение **Ryzhij** » 26 сен 2016, 05:28

andrmur писал(а): Определение этих понятий приведено в "Концепции стратегии кибербезопасности РФ" http://council.gov.ru/media/files/41d4b ... ea8a73.pdf

Спасибо!
Из определений следует, что киберзащита относится к обеспечительным мерам кибербезопасности в киберпространстве. Киберпространство, в свою очередь, определяется как "сфера деятельности в информационном пространстве, образованная совокупностью коммуникационных каналов Интернета и других телекоммуникационных сетей, технологической
инфраструктуры, обеспечивающей их функционирование, и любых форм осуществляемой посредством их использования человеческой активности (личности, организации, государства)"
Поэтому, бессмысленно рассуждать о кибербезопасности в отсутствие каналов Интернета.

Сообщение **Ryzhij** » 26 сен 2016, 05:52

rusik писал(а): Да, все такие компании... поняли, что здесь рыба есть, и стремятся захватить рынок, как можно раньше и быстрее

Похоже, что такие компании не только сами пруд под рыбу выкопали, но ещё и воду в нём мутят.
А навигация идёт по реке. Вдалеке.

Ryzhij писал(а):
andrmur писал(а): Определение этих понятий приведено в "Концепции стратегии кибербезопасности РФ" http://council.gov.ru/media/files/41d4b ... ea8a73.pdf
Спасибо!
Из определений следует, что киберзащита относится к обеспечительным мерам кибербезопасности в киберпространстве. Киберпространство, в свою очередь, определяется как "сфера деятельности в информационном пространстве, образованная совокупностью коммуникационных каналов Интернета и других телекоммуникационных сетей, технологической
инфраструктуры, обеспечивающей их функционирование, и любых форм осуществляемой посредством их использования человеческой активности (личности, организации, государства)"
Поэтому, бессмысленно рассуждать о кибербезопасности в отсутствие каналов Интернета.

Во первых в документе нет термина "киберзащита" (не находится), во вторых документ не принят (и принят не будет), поэтому не имеет большого значения. В третьих "кибер" - упрощенно значит "компьютерный". Т.е. при наличии "компьютера" (любого средства вычислительной техники с признаками "компьютера"), появляется проблема кибербезопасности, и не обязательно при наличии Интернета и сетей (сети эту проблему усугубляют). Поэтому, рассуждать о кибербезопасности в отсутствие каналов Интернета не бессмысленно
Пример 1983 года :)
Мурат Уртембаев — первый советский хакер
(заголовок не совсем корректный, персонаж не хакер, а инсайдер нарушитель)

Сообщение **Ryzhij** » 26 сен 2016, 08:45

Тут такое дело, пока не будет четко узаконенных определений терминов в нормативной документации, всяк волен трактовать их на свой манер.
А щёлкоперов и наличие законных определений не смущает - им броский заголовок важнее.

Сообщение **Barsik** » 26 сен 2016, 15:18

Ryzhij писал(а):
Вот только причём тут АСУТП - автоматизированные системы управления технологическими процессами?
А киберзащита АСУТП тут каким боком?

Вибромониторинг турбоагрегата вроде как ПАЗ если чо. Которая вроде как часть АСУТП, если я правильно понимаю.
А проблема преднамеренной модификации данных вроде как имеет отношение к обсуждаемой теме, или я не прав?

Сообщение **Ryzhij** » 26 сен 2016, 15:24

ПАЗ и хранение архивов несколько разные задачи.
Есть и архивы без ПАЗ, бывает и ПАЗ без архивов.
Есть ещё логи различных событий.
И никогда ПАЗ не работает по архивным данным ;)

Сообщение **andrmur** » 26 сен 2016, 22:01

Anton Shipulin писал(а): во вторых документ не принят (и принят не будет), поэтому не имеет большого значения. В третьих "кибер" - упрощенно значит "компьютерный".

Антон, а почему этот документ не будет принят? Не созрел?
Что имеет значение для терминологии? Например, ГОСТ Р 56205-2014 на странице 6 дает определение, но мне оно не нравится, поэтому лично для меня это определение теряет свое значение :-)
А еще есть неплохая статья с рассуждениями на эту тему: КИБЕРБЕЗОПАСНОСТЬ - ПОДХОДЫ К ОПРЕДЕЛЕНИЮ ПОНЯТИЯ http://cyberleninka.ru/article/n/kiberb ... -ponyatiya.

Кстати, слово "кибер" даже упрощенно не значит "компьютерный"

andrmur писал(а): Антон, а почему этот документ не будет принят? Не созрел?

Потому что его заморозили пару лет назад

andrmur писал(а): Кстати, слово "кибер" даже упрощенно не значит "компьютерный"

Не люблю спорить про термины, скучно :)

- Как тебе удается столько успевать и относиться ко всему так спокойно?
- Я просто ни с кем не спорю.
- Да это же невозможно.
- Ну, невозможно так невозможно...

Логика всех рассудит. Замените "кибер" на "компьютерная" прочитайте результат. Пока не появился компьютер - информационная безопасность была, а "компьютерной" ("кибер") безопасности не было. Слово "Кибер" не является уникальным для промышленной автоматизации. Оно распространено и в других отраслял, например в банковской деятельности.

Сообщение **andrmur** » 27 сен 2016, 23:07

Anton Shipulin писал(а): Логика всех рассудит. Замените "кибер" на "компьютерная" прочитайте результат.

Так и понятие "управление" (то бишь "кибер") родилось задолго до появления компьютеров, и задолго до появления промышленной автоматизации. Поэтому, замена "кибер" на "компьютерный" сильно сужает смысл данного понятия.
Да и слово "компьютерный" по нынешним временам уже является частным случаем - информация вполне себе существует за пределами "компьютеров".
;-)

Сообщение **Jackson** » 02 окт 2016, 23:07

Ryzhij писал(а): Внедрение же СКЗИ внутрь АСУТП сразу вызовет к жизни анекдот из прикладной мэрфологии: "Система обеспечения безопасности выводит из строя остальные системы".

Так это не анекдот а жизнь. Чем эффективнее система безопасности - тем больше она мешает работать по прямому назначению. 100%-эффективная система безопасности полностью блокирует объект.

Отправлено спустя 6 минут 47 секунд:

Anton Shipulin писал(а): В третьих "кибер" - упрощенно значит "компьютерный". Т.е. при наличии "компьютера" (любого средства вычислительной техники с признаками "компьютера")

Anton Shipulin писал(а): Не люблю спорить про термины, скучно :)

А и нечего спорить. Нужно иметь нормальные определения. Ценность любого документа как раз и определяется чёткостью определений и области распространения в первой части. Если уже тут бардак - дальше он будет только нарастать (энтропию невозможно уменьшить искусственно). Причём на этом термине практически всё и держится. А "любого средства вычислительной техники с признаками "компьютера" - это, извините, не определение, а чей-то полуночный бред.

Точность начинается с терминологии. Если лень чётко определить предмет разговора - зачем вообще вести разговор?

Сообщение **rusik** » 03 окт 2016, 09:22

TEB писал(а): А и нечего спорить. Нужно иметь нормальные определения

В связи с этим предложение ко всем: создать статью "Киберзащита"/"Кибербезопасность" на русскоязычной Википедии.
Уже есть ссылки на первоисточники, на основании которых, это понятие можно описать в статье.

andrmur писал(а): Определение этих понятий приведено в "Концепции стратегии кибербезопасности РФ" http://council.gov.ru/media/files/41d4b ... ea8a73.pdf

andrmur писал(а): Например, ГОСТ Р 56205-2014 на странице 6 дает определение, но мне оно не нравится, поэтому лично для меня это определение теряет свое значение :-)

andrmur писал(а): А еще есть неплохая статья с рассуждениями на эту тему: КИБЕРБЕЗОПАСНОСТЬ - ПОДХОДЫ К ОПРЕДЕЛЕНИЮ ПОНЯТИЯ http://cyberleninka.ru/article/n/kiberb ... -ponyatiya.

Кто поддерживает это предложение?

Сообщение **Jackson** » 03 окт 2016, 10:58

rusik писал(а): Кто поддерживает это предложение?

В наше время на википедии кто и что только не пишет - нужно ли для этого согласие?

Определения должны быть "ГОСТовские", то есть даны в ФЗ, в НТД, в другом документе, а не придуманы из пальца, и даны они должны быть чётко и однозначно. Я ещё детально не изучал этот ФЗ чтобы понять, насколько всё чётко, но если там всё нечётко то статей таких на википедии можно написать три десятка принципиально разных - и каждая будет просто очередной трактовкой (зачем их плодить?). А когда ФЗ написан чётко и правильно - не нужно ни одной статьи.

Я например не видел ни одной аналитической статьи ни об одном из морских регистров мира включая Российские - потому что не надо, там всё однозначно: читай внимательно, делай как предписано, не делай как не предписано или запрещено. Приёмка так и происходит: инспектор читает каждый пункт Правил и смотрит на изделие, пытаясь определить, выполнен этот пункт или нет. Каким образом и почему именно так - его не интересует, у него выездной час стоит под 200 евро, так что тут не до рассуждений. И кстати определение "компьютерной системы" там - в Правилах Регистра - есть, например в Норвежском можно почитать, Норвежский самый серьёзный из всех Регистров мира.

Сообщение **dtv** » 03 окт 2016, 11:07

Современные "стандарты" кто только не пишет. Зачастую и те, кто в них материально заинтересован, например производители и продавцы. Соответственно, они там пишут так, как выгодно им, а не потребителям.
У меня есть пример из практики, когда одна немецкая фирма написала ГОСТ по балансировке роторов. Процедура балансировки в него перекочевала из штатного ПО этой фирмы. Конкуренты вынуждены плеваться и переделывать софт под требования "стандарта". Боюсь, что нынешнее государство привлечёт к нормотворчеству тех, кто сейчас громче всех кричит и настоятельно предлагает отрасли свои решения и ничего хорошего (для отрасли в целом) из этого не выйдет.

Сообщение **rusik** » 03 окт 2016, 12:35

rusik писал(а): Кто поддерживает это предложение?

Дальний прицел предложения: организовать наше коллективное (ибо смысл Википедии в коллективной работе) написание отсутствующей в данный момент статьи на тему "Киберзащита/Кибербезопасность".
Вопрос задан с целью оценить готовность и компетенцию нашего сообщества, а также наличие в достаточном количестве исходного материала для статьи.
На текущий момент: готовность нулевая, компетенция просматривается, материал частично имеется.

PS. В любом случае термины не появляются из воздуха, смысл в них вкладывают конкретные люди, будь это определение в ФЗ или статья в Википедии. Кстати, многие пользуются Википедией, как источником информации, в том числе и для разработки нормативно- правовых документов.

Сообщение **VADR** » 04 окт 2016, 23:00

Anton Shipulin писал(а):
VADR писал(а):Откуда-то выдернул ссылку: Методические документы ФСТЭК. Возможно, из ИБ-шной группы в мордокниге. Кто-нибудь в курсе, что такое в этих документах "тип А, Б, В, Г, Д" и "класс 4, 5, 6" (а так же - куда делись 1-3)?
Ответ тут:
Информационное сообщение об утверждении требований к межсетевым экранам от 28 апреля 2016 г. N 240/24/1986

Интересную фразу нашёл в самом начале пресловутого "приказа 31":

Настоящие Требования применяются в случае принятия владельцем автоматизированной системы управления решения об обеспечении защиты информации, обработка которой осуществляется этой системой и нарушение безопасности которой может привести к нарушению функционирования автоматизированной системы управления.

Я правильно понимаю, что если владельцем автоматизированной системы управления такое решение не принимается, "настоящие требования" можно закинуть на полку и не вспоминать?

Сообщение **Jackson** » 04 окт 2016, 23:39

rusik писал(а): Вопрос задан с целью оценить готовность и компетенцию нашего сообщества, а также наличие в достаточном количестве исходного материала для статьи.

Мне кажется, Вы усложняете процесс. Вот наш форум - пишите, пробуйте, кому интересно тот внесёт свои 5 копеек, результат потом куда угодно можете применить, хоть в википедию хоть в книгу.

Отправлено спустя 4 минуты 1 секунду:

VADR писал(а):
Я правильно понимаю, что если владельцем автоматизированной системы управления такое решение не принимается, "настоящие требования" можно закинуть на полку и не вспоминать?

По-моему, совершенно правильно. Если только заказчик - а он и есть владелец будущей системы - не примет такое решение и не оговорит это в ТЗ. А ещё такие решения могут приниматься на уровне ведомств и крупных корпораций типа Газпрома по масштабам - мне кажется что основной механизм применения этого ФЗ именно такой. И вообще мне кажется что этот ФЗ - пробный камень для чего-то большего, сейчас посмотрят на то как это исполняется технически и будут продвигать вплоть до изменения рекомендательного порядка на обязательный. Приняли же обязательным требование хранить у провайдеров суточный трафик - только представьте, какие это деньжищи и кому это выгодно. Так и здесь может случиться.

TEB писал(а): По-моему, совершенно правильно. Если только заказчик - а он и есть владелец будущей системы - не примет такое решение и не оговорит это в ТЗ. А ещё такие решения могут приниматься на уровне ведомств и крупных корпораций типа Газпрома по масштабам - мне кажется что основной механизм применения этого ФЗ именно такой. И вообще мне кажется что этот ФЗ - пробный камень для чего-то большего, сейчас посмотрят на то как это исполняется технически и будут продвигать вплоть до изменения рекомендательного порядка на обязательный. Приняли же обязательным требование хранить у провайдеров суточный трафик - только представьте, какие это деньжищи и кому это выгодно. Так и здесь может случиться.

Приказ 31 (это не ФЗ) носит рекомендательный методический характер. Но с 2013 года находится в разработке проект ФЗ "О безопасности критической информационной инфраструктуры" нацеленный на АСУ ТП, с текстом можно ознакомиться здесь. Если его примут статус Приказа 31 может измениться.
А кроме проекта закона там же связанный проект внесения изменений в УК, который хочет назначить срок 7 лет, который считается может грозить за не применение мер по безопасности.

2) дополнить статью 274 [Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей] частью третьей:
«3. Деяния, предусмотренные частями первой или второй настоящей статьи, если они повлекли ущерб безопасности критической информационной инфраструктуры Российской Федерации или создали угрозу его наступления, -
наказывается лишением свободы на срок до семи лет.».

Сообщение **rusik** » 05 окт 2016, 23:33

TEB писал(а): Вот наш форум - пишите, пробуйте, кому интересно тот внесёт свои 5 копеек, результат потом куда угодно можете применить, хоть в википедию

НачнЕМ:

Киберзащита АСУ ТП - это защита активов АСУ ТП от компьютерных атак в киберпространстве (в контексте ISO/IEC 27032:2012 «Информационные технологии. Методы обеспечения безопасности. Руководящие указания по обеспечению кибербезопасности»). Киберпространство – это сложная среда, не существующая ни в какой физической форме, возникающая в результате взаимодействия людей, ПО, интернет сервисов посредством технологических устройств и сетевых связей.

Далее предлагается кратко ответить на вопросы:
Кто и почему создает защиту АСУ ТП?
Что-то еще?

И завершить статью
Значимость понятия растет в связи с тенденциями роста автоматизации, централизации управления и снижения расходов на обслуживание в компаниях, владеющих активами АСУ ТП.

Сообщение **VADR** » 06 окт 2016, 00:24

Anton Shipulin писал(а):
TEB писал(а): По-моему, совершенно правильно. Если только заказчик - а он и есть владелец будущей системы - не примет такое решение и не оговорит это в ТЗ. А ещё такие решения могут приниматься на уровне ведомств и крупных корпораций типа Газпрома по масштабам - мне кажется что основной механизм применения этого ФЗ именно такой. И вообще мне кажется что этот ФЗ - пробный камень для чего-то большего, сейчас посмотрят на то как это исполняется технически и будут продвигать вплоть до изменения рекомендательного порядка на обязательный. Приняли же обязательным требование хранить у провайдеров суточный трафик - только представьте, какие это деньжищи и кому это выгодно. Так и здесь может случиться.
Приказ 31 (это не ФЗ) носит рекомендательный методический характер. Но с 2013 года находится в разработке проект ФЗ "О безопасности критической информационной инфраструктуры" нацеленный на АСУ ТП, с текстом можно ознакомиться здесь. Если его примут статус Приказа 31 может измениться.

Может... если... Вот если эти документы не доведут до удобоваримого состояния, то независимо от статуса они будут пылиться на полке. Пока что от чтения всего этого дела у меня возникло примерно такое ощущение:

Anton Shipulin писал(а):А кроме проекта закона там же связанный проект внесения изменений в УК, который хочет назначить срок 7 лет, который считается может грозить за не применение мер по безопасности.
2) дополнить статью 274 [Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей] частью третьей:
«3. Деяния, предусмотренные частями первой или второй настоящей статьи, если они повлекли ущерб безопасности критической информационной инфраструктуры Российской Федерации или создали угрозу его наступления, -
наказывается лишением свободы на срок до семи лет.».

Вообще-то не совсем "за не применение мер по безопасности". Если уж по тексту - то "Деяния, предусмотренные частями первой или второй настоящей статьи, если они повлекли ущерб безопасности критической информационной инфраструктуры Российской Федерации или создали угрозу его наступления" (тут также стоит обратиться к определению "критической информационной инфраструктуры РФ"). Ну и первые 2 части этой статьи гласят:

1. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб...
2. Деяние, предусмотренное частью первой настоящей статьи, если оно повлекло тяжкие последствия или создало угрозу их наступления...

То есть не совсем "неприменение мер по безопасности". Более того, обратите внимание на предлагаемую третью часть и то, как она соотносится со второй, на которую собственно ссылается...

Сообщение **Technic4** » 06 окт 2016, 07:17

https://www.linkedin.com/pulse/depth-an ... title-like
В Стокгольме в октябре устроят глубокий брифинг по Black Energy.