1. Обязательно представиться на русском языке кириллицей (заполнить поле "Имя").
  2. Фиктивные имена мы не приветствуем. Ивановых и Пупкиных здесь уже достаточно.
  3. Не надо писать свой вопрос в первую попавшуюся тему - всегда лучше создать новую тему.
  4. За поиск, предложение и обсуждение пиратского ПО и средств взлома - бан без предупреждения. Непонятно? - Читать здесь.
  5. Рекламу и частные объявления "куплю/продам/есть халтура" мы не размещаем ни на каких условиях.
  6. Перед тем как что-то написать - читать здесь, а затем здесь и здесь.
  7. Не надо писать в ЛС администраторам свои технические вопросы. Администраторы форума отлично знают как работает форум, а не все-все контроллеры, о которых тут пишут.

Актуальная тема по защите АСУ ТП

Модератор: Глоб.модераторы

Ответить

Автор темы
Intacto
здесь недавно
здесь недавно
Сообщения: 7
Зарегистрирован: 25 авг 2017, 17:30
Имя: Денис

Актуальная тема по защите АСУ ТП

Сообщение Intacto »

День добрый.
Планируется организация мероприятия на тему кибербезопасности АСУ ТП (то, что обычно называется информационной безопасностью). Хочется предоставить интересный материал, поэтому за темой обращаюсь к потенциальной аудитории.
О чем было бы интересно вам услышать в формате кратких презентаций (15-20 минут) с возможностью последующего обсуждения в режиме круглого стола?

Ниже примеры тем, чтобы был понятен общий уровень и тематика мероприятия (приветствуются новые собственные, но если и эти вызывают интерес, то тоже пишите):
1. Защита бизнес-информации. То есть безопасность для бизнеса – поиск, контроль и предотвращение краж и махинаций на уровне производства и отчетности (когда показания подделывают, накручивают и т.д.).
2. Общие моменты про нормативные требования (в частности про новый ФЗ N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"
3. Оптимизация работ и ведение проектов для компаний с несколькими филиалами.
4. Видение разграничения ответственности и организацию взаимодействия между службами ИТ, ИБ и АСУ ТП.
5. Сводная статистика по инцидентам, анализ актуальных угроз и способов их реализации с соответствующими обобщенными же рекомендациями по мерам защиты.
6. Оценка актуальности и применимости новомодных средств защиты типа датадиодов, SIEM и т.д. для АСУ ТП.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Актуальная тема по защите АСУ ТП

Сообщение Jackson »

Intacto писал(а): О чем было бы интересно вам услышать в формате кратких презентаций (15-20 минут) с возможностью последующего обсуждения в режиме круглого стола?
В первую очередь о том, на каких объектах этим надо заниматься обязательно, а на каких нет - согласно нормативно-правовой документации.
Во вторую очередь о том, как организовать управление (построить структуру АСУ) таким образом, чтобы безопасность обеспечивалась за счёт физической невозможности создания киберугрозы. А также о том, почему этого не сделано на конкретных примерах.
И только в третью очередь - о мерах защиты от киберугроз.

Потому что прежде чем получить предложение о применении средств киберзащиты, хочется убедиться в том что предлагающий владеет вопросом и знает, что такое АСУТП - в противном случае и разговаривать не о чем.
По вопросам работы Форума можно обратиться по этим контактам.

Автор темы
Intacto
здесь недавно
здесь недавно
Сообщения: 7
Зарегистрирован: 25 авг 2017, 17:30
Имя: Денис

Актуальная тема по защите АСУ ТП

Сообщение Intacto »

Спасибо,ответ интересный. Но стоит учесть, что это не отбор исполнителя, поэтому если все эти вещи уже известны и хочется "убедиться в том что предлагающий владеет вопросом", то это не тот формат. Все-таки вопрос о чем-то новом и интересном для слушателей. Как вариант предложенного - что из самих средств промышленной безопасности, а также физических и организационных мер защиты можно использовать для закрытия требований нормативки, без каких дополнительных средств не обойтись, а какие из навязываемых на рынке излишни. Как вам такой вариант?
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Актуальная тема по защите АСУ ТП

Сообщение Jackson »

Intacto писал(а): и хочется "убедиться в том что предлагающий владеет вопросом", то это не тот формат.
Для меня (и меня тут поддержат) - тот. Нам тут уже показательно взрывали заводы, так что много насмотрелись. Почитайте форум.

Если я отдаю машину в сервис, то хочу быть уверен в том, что механики в курсе, как устроена эта машина. В противном случае машину я им не отдам. А людей, которые рассказывают о том, какой именно сервис нужно сделать, я тоже проверю на прочность так или иначе.

Здесь то же самое.
Intacto писал(а): Все-таки вопрос о чем-то новом и интересном для слушателей.
Вот именно. Купить новое всегда можно успеть. Нормальные люди деньги считают, и сначала должны понять "зачем".
Intacto писал(а): Как вам такой вариант?
А какая разница? :) Вам же продавать, не мне.
По вопросам работы Форума можно обратиться по этим контактам.

Автор темы
Intacto
здесь недавно
здесь недавно
Сообщения: 7
Зарегистрирован: 25 авг 2017, 17:30
Имя: Денис

Актуальная тема по защите АСУ ТП

Сообщение Intacto »

Хорошо, логика понятна, но непонятен смысл. Вот смотрите: выступил человек, рассказал что-то там такое правильно, что вы написали выше и с чем вы полностью согласны и в общем-то и так знали. И что, какой смысл? Я так понимаю, что вы убедились, что его точка зрения совпадает с вашей и можно с ним уже о проекте говорить. С точки зрения желания продать свои услуги это неплохо. А как быть с той точки зрения, что ничего нового вы толком не почерпнули, а только проверили его? Если говорить не о "продающих" выступлениях, а просто об интересных? Если абстрагироваться от "вам же продавать" и "купить новое".

И мне не очень понятно мнение, что я пытаюсь что-то продать, если честно. С чего вы взяли, что я не представитель организатора этой секции, который пытается определить актуальные темы, чтобы уйти от рекламного маркетинга, который заполонил все выставки?
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Актуальная тема по защите АСУ ТП

Сообщение Jackson »

Начну сразу с главного. Вы спросили мнений? Я привёл своё. Могут быть и другие мнения.
Задавая вопрос, не стоит обижаться на неудобный ответ. В противном случае надо было сразу написать тот ответ, которого Вы ждёте (после чего тему можно тут же и закрывать). :) Здесь технари, они привыкли разбираться, плюс у каждого свой практический опыт.
Intacto писал(а): Хорошо, логика понятна, но непонятен смысл. Вот смотрите: выступил человек, рассказал что-то там такое правильно, что вы написали выше и с чем вы полностью согласны и в общем-то и так знали. И что, какой смысл? Я так понимаю, что вы убедились, что его точка зрения совпадает с вашей и можно с ним уже о проекте говорить.
Вы поругаться чтоли хотите? Зачем? :)
Не надо подменять понятия, пожалуйста. Если сказанное совпадёт с моей точкой зрения, значит я ничего нового не узнаю, И тогда это всё мне неинтересно, я зря потратил время.
Ещё раз. Перед тем как пускать кого-то в свою АСУТП, я хочу убедиться в том, что этот кто-то в курсе что такое АСУТП. На примере моего опыта, ещё чьего-то опыта - как получится. Берём АСУТП и штатными средствами (только за счёт самой АСУТП) пытаемся сделать её максимально кибербезопасной, например как будто проектируем её с нуля, и смотрим во что это выливается. Вот тут и будет понятна квалификация этого "кого-то". И даже если речь не идёт о продаже или закладке тех.решений - если доверия этот "кто-то" не вызовет то и о средствах киберзащиты с ним говорить бессмысленно. Если он не знает что защищает и от чего, то откуда ему знать как это сделать и чем (хотя он может думать что знает)? Если внедрение мне грозит обязательно - лучше поискать кого-то потолковее. Если внедрение не грозит - то незачем учиться у того кто сам не разбирается в вопросе. Значит надо как-то оценить докладчика. Куда уж проще-то?

Как с автомобилями: я, перед заказом относительно сложного ремонта расспрашиваю и желательно с демонстрацией, почему он стал необходим, почему именно такой и как именно его собираются делать - в этом есть что-то ненормальное? Причём я - не механик, но причинно-следственная связь в голове должна выстроиться.
Intacto писал(а): И мне не очень понятно мнение, что я пытаюсь что-то продать, если честно
Мы живём в мире денег. Если даже не вести речь о реальной закупке или модернизации, то само обсуждение чего-то нового предполагает что эти решения будут рассматриваться, а значит в перспективе закупаться и/или модернизироваться, что есть деньги.
Отсюда следует, что обсуждения по инициативе дилетантов лучше игнорировать, чтобы избежать неоправданных трат и некорректных вмешательств. А насколько человек дилетант - это надо как-то оценить. Я вот придумал для себя такой критерий. Это как защита диссертации: нужно доказать состоятельность своей идеи для того чтобы ею кто-то заинтересовался в дальнейшем.

Не с потолка же всё берётся. Вы почитайте форум внимательно. Тут в параллельной ветке вполне сдержанно и с интересом относились к специалистам по кибербезопасности, но только до момента когда на семинаре они продемонстрировали обход механической блокировки методом удалённой "кибератаки" с последующим взрывом макета изнутри. Во-1-х на семинаре взрыв макета сам по себе невозможен, если только его не подготовить заранее. Во-2-х, удалённый обход механической блокировки - это я не буду комментировать.
По вопросам работы Форума можно обратиться по этим контактам.

Автор темы
Intacto
здесь недавно
здесь недавно
Сообщения: 7
Зарегистрирован: 25 авг 2017, 17:30
Имя: Денис

Актуальная тема по защите АСУ ТП

Сообщение Intacto »

Про мнения все понятно, жалко только, что пока оно всего одно прозвучало.
Ругаться никто не собирался - с чего такой вывод? Все последующие сообщения были вызваны лишь тем, что с моей точки зрения вами не совсем точно был понят вопрос и пытался сделать соответствующие уточнения. Ответ не неудобный нисколько, просто он действительно не совсем соответствует моим предположениям. Но если все конференции действительно рассматриваются именно как оценка поставщиков/исполнителей и их решений, то значит так тому и быть. Это тоже полезная информация, спасибо.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Актуальная тема по защите АСУ ТП

Сообщение Jackson »

Intacto писал(а): Ответ не неудобный нисколько, просто он действительно не совсем соответствует моим предположениям.
Да, допускаю что он неожиданный. :)
Intacto писал(а): Но если все конференции действительно рассматриваются именно как оценка поставщиков/исполнителей и их решений, то значит так тому и быть.
Сказать честно? Не знаю. Обратные примеры я видел, прямые - пока нет. Просто мне бы хотелось чтобы это было так. Но это лишь моё мнение.
Intacto писал(а): жалко только, что пока оно всего одно прозвучало.
Подождите, Россия большая, суток ещё не прошло.
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

Никита
почётный участник форума
почётный участник форума
Сообщения: 3971
Зарегистрирован: 20 янв 2010, 22:23
Имя: Никита
Страна: РФ
город/регион: Мурманск
Благодарил (а): 21 раз
Поблагодарили: 229 раз

Актуальная тема по защите АСУ ТП

Сообщение Никита »

Ну у меня сразу первый вопрос - АСУТП чего будет обсуждаться? Если, как кое-где в сети всплывало, речь о том, как подключиться к сети гостиницы, которую можно из выключателя вытащить, и выключить соседу свет в туалете - это одно. Если речь про едрену станцию, где и на территорию зайти без профилактических мер проблемно - совсем другое. Stuxnet тому пример, подключиться не так просто. Разный подход, разные меры и т.п.
Второй вопрос, продолжением первого - насколько обсуждающие имеют представление об автоматизируемой технологии. Потому как взрывы - это эффектно, но, как уже упоминали, есть и механические блокировки, и дабы причинить вред процессу надо об этом процессе представление иметь. Одно дело просто аппаратами пощелкать со спиленной блокировкой, другое разобраться с контроллером и алгоритмами ОБР в нем.
И если собирать спецов, то со своими конкретными и близкими производствами и масштабами проблем.
Даже по первому пункту - у одного солярку воруют по ведру в неделю из-за накрученной раздаточной колонки, у другого - из-за округления не в том знаке показаний счетчика лишний миллион каждый час набегает. Разный масштаб, разные подходы.
В общем мое мнение - полноценно можно обсуждать лишь близкие задачи. Просто так - только презентация решений. Презентации тоже полезны, но при условии что их делают инженеры для инженеров. Когда их проводят менеджеры для менеджеров - да, может произойти рост продаж, но работать это нормально не будет и репутацию испортит.
Для начала готов предложить именно для специалистов тему из п.5. Кому и зачем это надо, с приложением к реальным системам АСУТП. Кто, куда, зачем и сколько раз пытался пролезть. Сколько раз удалось. Какой ущерб был причинен. В идеале - через какие дыры.
Опыт - это когда на смену вопросам: "Что? Где? Когда? Как? Почему?" приходит единственный вопрос: "Нахрена? "

Romcheg
SCADA+
SCADA+
Сообщения: 597
Зарегистрирован: 05 ноя 2009, 11:18
Имя: Бузинов Роман Анатольевич
Страна: Россия
город/регион: Москва
Благодарил (а): 8 раз
Поблагодарили: 36 раз

Актуальная тема по защите АСУ ТП

Сообщение Romcheg »

По мне так - пока с этими "новомодным хайпом" вокруг ИБ в АСУТП прыгают, это можно наблюдать как некий цирк (я других слов пока не подберу, потому как реально клоунов больше чем нормальных акробатов-эквилибристов, способных извернуться и пролезть в самую суть вопроса). Уже посетил очно даже несколько мероприятий (очень было интересно, действительно ли люди работают в этом направлении) и они только больше меня убедили в моем сравнении. А разбиться в теме все эти "спецы" начнут, когда начнутся внедрения их идей и начнутся реальные взрывы, и начнут лететь головы... Вот тогда это поутихнет, надо только подождать, это обязательно все будет, а пока потерпеть и просто спокойно понаблюдать со стороны, влиять на это мы (автоматчики) уже все равно не сможем - там большие барыши уже правят одиозно и очень много вот таких вот сыпется "энтузиастов": а давайте языками почешем на тему, ведь это интересно и актуально, ведь нам надо засветиться в теме... Вот только большинству из тех, кто реально работает в области автоматизации и даже занимается вопросами ИБ в ней, не до круглых столов с людьми, которых ты вообще не знаешь и когда предлагаешь сначала их оценить, это почему-то вызывает бурю негативных эмоций и воплей "зачем?", "вы ничего не понимаете!"... да да да.... мы вообще ничего не понимаем. И я категорично согласен с мнением Евгения (TEB), которое он очень подробно и наглядно описал - это подход большинства специалистов, чтобы фильтровать большинство дилетантов. :)
SCADA+
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Актуальная тема по защите АСУ ТП

Сообщение Jackson »

Romcheg писал(а): По мне так - пока с этими "новомодным хайпом" вокруг ИБ в АСУТП прыгают, это можно наблюдать как некий цирк
По мне тоже. но это нормальный процесс. Пусть попрыгают, спецы поругаются, даже пробные внедрения наверняка будут. Без этого никак во всём новом. К чему это всё придёт - к бесполезной фиче типа ГТО для автомобилей или к чему-то толковому - время покажет.

Отправлено спустя 5 минут 25 секунд:
Никита писал(а): Ну у меня сразу первый вопрос - АСУТП чего будет обсуждаться?
И это главный вопрос.

Я в параллельной ветке даже предлагал, при взаимном интересе расшарить в интернет контроллер электростанции (вместе со всей электростанцией конечно) и смотреть, как кто-то будет его ломать и что он сможете сотворить с этой электростанцией - для практического опыта и выводов. Примечательно, что ни одного отклика я так и не получил.
По вопросам работы Форума можно обратиться по этим контактам.

Автор темы
Intacto
здесь недавно
здесь недавно
Сообщения: 7
Зарегистрирован: 25 авг 2017, 17:30
Имя: Денис

Актуальная тема по защите АСУ ТП

Сообщение Intacto »

Никита писал(а): Ну у меня сразу первый вопрос - АСУТП чего будет обсуждаться?

Второй вопрос, продолжением первого - насколько обсуждающие имеют представление об автоматизируемой технологии. Потому как взрывы - это эффектно, но, как уже упоминали, есть и механические блокировки, и дабы причинить вред процессу надо об этом процессе представление иметь. Одно дело просто аппаратами пощелкать со спиленной блокировкой, другое разобраться с контроллером и алгоритмами ОБР в нем.

И если собирать спецов, то со своими конкретными и близкими производствами и масштабами проблем.
Даже по первому пункту - у одного солярку воруют по ведру в неделю из-за накрученной раздаточной колонки, у другого - из-за округления не в том знаке показаний счетчика лишний миллион каждый час набегает. Разный масштаб, разные подходы.
В общем мое мнение - полноценно можно обсуждать лишь близкие задачи. Просто так - только презентация решений. Презентации тоже полезны, но при условии что их делают инженеры для инженеров. Когда их проводят менеджеры для менеджеров - да, может произойти рост продаж, но работать это нормально не будет и репутацию испортит.
Для начала готов предложить именно для специалистов тему из п.5. Кому и зачем это надо, с приложением к реальным системам АСУТП. Кто, куда, зачем и сколько раз пытался пролезть. Сколько раз удалось. Какой ущерб был причинен. В идеале - через какие дыры.
Спасибо за ответ.
По области - думаю, что прежде всего область и масштаб, связанные с новым ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" - потому что вопрос стоит наиболее остро, потому что у нас большинство чешется когда "закон требует", потому что там наибольшие потери и риски, ну и потому что у атомного сектора свои требования и специфика.

По специфике и впариванию вы также абсолютно правы - есть представление, что основная защита - это все-таки ПАЗ и РЗА, что нужно прежде всего грамотно строить архитектуру системы, минимизировать риски на начальном этапе. Но также есть понимание, что есть организации с кучей филиалов, желание руководства собирать данные, отчетность, сводить информацию в офисы, есть необходимость подключения третьих сторон (регуляторы, задатчики), есть реальные случаи, когда сами асушники делают немыслимые внешние подключения для удобства. И речь скорее всего именно об этом - защита периметра, когда есть какие-то явные проблемы и возможности для атаки. Да, пусть она будет и без взрывов, но остановка процесса или его изменение - это вполне себе реальные угрозы в данном случае, о которых и идет речь.
Аватара пользователя

VADR
администратор
администратор
Сообщения: 4909
Зарегистрирован: 25 июл 2008, 07:12
Имя: Диев Александр Васильевич
Страна: Россия
город/регион: г. Сегежа, Карелия
Благодарил (а): 236 раз
Поблагодарили: 425 раз

Актуальная тема по защите АСУ ТП

Сообщение VADR »

Intacto писал(а): Но также есть понимание, что есть организации с кучей филиалов, желание руководства собирать данные, отчетность, сводить информацию в офисы, есть необходимость подключения третьих сторон (регуляторы, задатчики)
Вот тут один из ключевых, на мой взгляд, моментов: разделение АСУТП по критичности информационных потоков и последствиям от их обрыва. Предположим вариант, что ИБшная система оказалась не в состоянии отразить атаку. Что дальше? Логично - разорвать связь, "чтоб хуже не было". Что получится в результате разрыва связи? Если вдруг в "вышестоящую" систему (MES, к примеру) перестанут поступать данные - это нехорошо, но терпимо. Если "большие боссы" на время разборки ситуации останутся без информации о техпроцессе - тоже жить можно. Но если получим неуправляемый техпроцесс - это уже очень плохо. Ещё более плохо - если ПАЗ не сработает (менее плохо, если сработает там, где не надо было). Я это к чему: все эти ИБшные плюшки должны быть неразрушающими по отношению связи АСУТП - объект. А также - не снижающие надёжности и отказоустойчивости системы. И когда ребята с умным видом говорят о железяке, которая ставится в разрыв шины profibus, и у ей внутре думатель содержит какой-то эвристический анализатор, который по понятному только ему самому самообучающемуся алгоритму ищет "неправильные" команды и блокирует их - возникает ощущение потраченного впустую времени.
Intacto писал(а): есть реальные случаи, когда сами асушники делают немыслимые внешние подключения для удобства
Есть. Как человек очень добрый, я не предложу отрывать руки таким специалистам. Вот увольнять за профнепригодность - предложу.
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Актуальная тема по защите АСУ ТП

Сообщение Jackson »

Intacto писал(а): По области - думаю, что прежде всего область и масштаб, связанные с новым ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"
Вы не совсем поняли вопроса. Во-первых, вопрос-то в чём: что это за область? Конкретно. Районная ТП - попадает сюда? Мини-Электростанция в парке аттракционов - попадает? ГТЭС горно-туристического центра - попадает? Автозавод Nissan - попадает? Заводик по розливу сметаны - попадает? Полностью или частично? Это первое. Сразу можно не отвечать. :)
Второе, что и имел в виду Никита: в какой области? Энергетика, пищёвка, нефтеперегонка, судостроение - АСУТП которые там применяются, кардинально друг от друга отличаются и подходы к ним должны быть тоже различные. Даже микроэнергетика и простая энергетика - огромная разница. Инженер АСУ по нефтеперегонке и инженер АСУ в энергетике друг друга не поймут.
Intacto писал(а): По специфике и впариванию вы также абсолютно правы - есть представление, что основная защита - это все-таки ПАЗ и РЗА, что нужно прежде всего грамотно строить архитектуру системы, минимизировать риски на начальном этапе.
Поправочка. ПАЗ и без того нужно делать грамотно, она и так от всего независима и живёт своей жизнью, вмешательство в неё невозможно (должно быть). РЗА - это термин из электроэнергетики, частный случай компонента ПАЗ, но не всегда.
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Актуальная тема по защите АСУ ТП

Сообщение Jackson »

Часть сообщений "общего трёпа" перенесены в общую говорилку: viewtopic.php?f=104&t=8123
По вопросам работы Форума можно обратиться по этим контактам.
Ответить

Вернуться в «Информационная безопасность»