Киберзащита АСУ ТП

[Jackson]

се подробности только в "личной презентации

С этого момента разговоры можно сразу свёртывать. Честным людям скрывать нечего.

[Никита]

На данный момент даже презентации не было проведено, так что, имхо, они тоже эту корову не продадут, с таким-то подходом, хотя разработка, вроде как, интересная и, вроде как, умеет даже показывать различия и в версиях экранов HMI, но это всё слухи.

Тут скорее всего речб о полуфабрикате-платформе с допиливанием средствами интегратора под конкретную задачу.
Классический пример - известная программа в желтых коробках. Реализовать можно все, но все нетиповое зависит от конкретного реализатора. Причем, часто с персональной точностью. Презентовать платформу смысла нет, презентовать чужие решения - ну разве только чуть углубив референс-лист. Главное продать платформу и работу по доводке. А дальше все зависит от ума и совести исполнителя.
Хотя, имея толкового исполнителя, продать (по крайней мере, на вопросы ответить) намного проще.

[Serex]

Вирус-шантажист Petya атаковал сайт Чернобыльской АЭС: мониторинг ведется вручную

Судя по статье зацепило офисные сети. Хотя в этих новостях деталей толком не разберешь.


первоисточник на украинском.

[Ryzhij]

Вирус-шантажист Petya атаковал сайт Чернобыльской АЭС: мониторинг ведется вручную

Немного технических подробностей:
https://habrahabr.ru/company/infosecurity/blog/331788/
И, таки-да, "легли" именно офисные сети. Много компов в них подцепили эту заразу. Срочно введён режим Air_Gap для шлюзов АСОДУ (всё равно наверху сеть пока лежит).
Вот интересно, уймутся теперь IT-шники со своими драгунскими идеями бездумной интеграции заводских сетей и надолго ли?

[winb]

Поделюсь опытом работы с versiondog.
Пользуемся, вещь нужная, когда в обслуживании больше сотни-другой контроллеров, доступ к которым имеется у нескольких человек (например, дежурный персонал). Несколько раз уже спасала от "про... полимеров".
Что понравилось (речь про 4 версию, вроде уже новее есть): с классическим STEP7 работает "на ура" (контроль версий ведётся, кто что делал через систему - видно, с заданной периодичностью сравнивает ПО контроллера в системе и онлайн, ведёт логирование деятельности - сразу видно - менялось ли "нелегально" ПО в контроллере); если система не поддерживает какой-нибудь тип контроллера, версии можно сравнивать в бинарном виде (хотя информативности от такого сравнения мало ); последние версии проектов хранятся на сервере - можно получить в любом месте, где есть сеть, кроме того можно держать локальную версию ПО на PC/ноутбуке; есть настройка доступа к ПО - например, персоналу одного участка можно ограничить доступ к ПО другого участка; можно выгрузить с сервера любую сохраненную версию проекта, причём если не лениться - изменения в версии могут быть задокументированы.
Что напрягает: С ТИА порталом работать не удобно - не хочет он просто так выполнять выгрузку проекта из онлайна, есть геморрой с настройкой станции-агента выгрузки с установленным порталом; не всегда корректно работает с проектами, отличными от классического степа (опять-таки, в версии 4.0, что в новых - не знаю) - может "не увидеть" изменения, либо не совсем хорошо распарсить проект со сторонними библиотеками;
В общем, моё мнение - система интересная, полезная, перспективная для работы, связанной с кучей оборудования, к ПО которого имеет доступ куча народа.

[leon78]

"Вакцина" https://xakep.ru/2017/06/28/petya-vaccine/

Создать в директории C:\Windows файл perfc (без расширения) и сделать его доступным только для чтения (read-only).

[CHANt]

Немного технических подробностей:
https://habrahabr.ru/company/infosecurity/blog/331788/

Если Лаборатория Касперского говорит что это не Петя https://twitter.com/kaspersky/status/879749175570817024 , то как эксперты этой статьи рассуждают об обратном, да еще с деталями, через полсуток после события? Разработчик? :)

[Jackson]

Судя по статье зацепило офисные сети.

Потому что нефиг порно смотреть в рабочее время.

Вот интересно, уймутся теперь IT-шники со своими драгунскими идеями бездумной интеграции заводских сетей и надолго ли?

Да Вы что? Они наоборот поднимут новую волну про безопасность: "вот, мы же говорили!". В теории они и могли это устроить. Ведь любая диверсия преследует какую-то цель, а здесь, кроме как коммерческой, я никакой цели не вижу.

[Ryzhij]

Если Лаборатория Касперского говорит что это не Петя https://twitter.com/kaspersky/status/879749175570817024 , то как эксперты этой статьи рассуждают об обратном, да еще с деталями, через полсуток после события? Разработчик? :)

[+] от DrWeb

Появился новый шифровальщик, атакующий компании России и Украины

27 июня 2017 года

Появилась информация о новой эпидемии шифровальщика, которой подверглись нефтяные, телекоммуникационные и финансовые компании России и Украины. Компания «Доктор Веб» сообщает, что новый энкодер детектируется продуктами Dr.Web.

По имеющейся у наших специалистов информации, троянец распространяется самостоятельно, как и нашумевший WannaCry. Точных данных о том, используется ли тот же самый механизм распространения, пока нет. В настоящее время аналитики исследуют нового троянца, позднее мы сообщим подробности. Некоторые источники в СМИ проводят параллели с вымогателем Petya (детектируется Dr.Web в частности как Trojan.Ransom.369) в связи с внешними проявлениями работы вымогателя, однако способ распространения новой угрозы отличается от использовавшейся Petya стандартной схемы.

Сегодня, 27 июня, в 16:30 по московскому времени, этот шифровальщик был добавлен в вирусные базы Dr.Web как Trojan.Encoder.12544.

«Доктор Веб» призывает всех пользователей быть внимательными и не открывать подозрительные письма (эта мера необходима, но не достаточна). Следует также создавать резервные копии критически важных данных и устанавливать все обновления безопасности для ПО. Наличие антивируса в системе также обязательно.

[CHANt]

Ryzhij, да понятно что парни с МВА соревновались кто быстрей отреагирует на новость и хоть как-то о себе напомнит роботам гугла, яндекса и прочих, для выдачи в новостях по ИБ. Нынче электроэнергетика в стороне немного, так что Вам теперь достанется все внимание Экспертов. Держитесь!

[Serex]

Найден источник вируса Petya

Специалисты компании-разработчика антивирусного программного обеспечения ESET обнаружили источник распространения вымогателя Petya. Об этом говорится в пресс-релизе компании, поступившем в распоряжение «Ленты.ру».
Оказалось, что хакеры скомпрометировали бухгалтерское программное обеспечение M.E.Doc, внедрив вредонос в последнее обновление. Программой активно пользуются украинские компании, в том числе финансовые организации.

По этой причине я так не люблю всякие обновления и постарался отключить их у себя на компьютере. Обновляю только вручную и только то, что мне нужно и когда нужно. Вот так представить, если бы в 1С бухгалтерии подсадили вирус в очередное обновление... или в обновление Windows.

[andrmur]

Умоляю, перестаньте писать все "про ИБ" и "не про ИБ" в одну тему!

[mazytus]

Минэнерго разработало правила информбезопасности для энергообъектов РФ

Минэнерго РФ разработало правила предотвращения внешних и внутренних угроз информационной безопасности на объектах электроэнергетики РФ, сообщил замминистра энергетики РФ Андрей Черезов.

Ведомство подготовило проект нормативного правового акта «Об установлении требований в отношении базовых (обязательных) функций и информационной безопасности при создании и эксплуатации на территории России систем удалённого мониторинга и диагностики технического состояния критически важного энергетического оборудования».

«Этот документ представляет собой конкретный набор правил по предотвращению внешних и внутренних угроз информационной безопасности. В рамках этого акта мы также подготовили методические указания по определению модели угроз для практического применения владельцами компаний энергетики, энергетического оборудования, которые позволяют своевременно определять и предотвращать существующие и возникающие угрозы информационной безопасности на объектах электроэнергетики», – пояснил Андрей Черезов.

«Очень много, конечно, приходится общаться и с «Советом рынка», и «Советом производителей». Многие говорят, что есть риски, что в документе будет прописано что-то такое, что принесёт, скажем так, дополнительные затраты для компаний. Мы сами в этом не заинтересованы, мы, наоборот, ищем те методы и методики, по которым можно с меньшими финансовыми затратами решить эти вопросы. Поэтому в этом документе мы постарались минимизировать последующие затраты компаний», – подчеркнул он.

"РИА Новости"

[Ryzhij]

Кто б им бритву Оккама подарил?
Ну, чтоб сущностей не плодили за-зря.
Мало того, что рассуждают о "безопасности" не дав определения "опасностям", так ещё и понятие "энергообъект РФ" сюда втащили.
Это, простите, что?
Котельная или ГЭС? Это ГПП или ЩРП? И почему?

[Jackson]

Рано шуметь.
В любом документе есть раздел "область распространения". Почитаем и тогда видно будет.

[Serex]

есть реальные случаи, когда сами асушники делают немыслимые внешние подключения для удобства

Есть реальная эксплуатация, которая говорит: "Ну как мы это будем обслуживать, у нас же нет специалистов" :)

Любое оборудование должно эксплуатироваться людьми с необходимой квалификацией. Иначе никакая ИБ не поможет.

Первое с чего надо начать в эксплуатации - запрет использования личных флешек! Это пока самая страшная беда с которой я сталкивался в безопасности АСУТП. Затащить какой-то вирус на компьютер со SCADA, который блокирует мышку - большая и серьезная диверсия.

Отправлено спустя 17 минут 2 секунды:

новым ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"

Вытащил термины и определения из этого закона

[+]

Для целей настоящего Федерального закона используются следующие основные понятия:
1) автоматизированная система управления - комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами;
2) безопасность критической информационной инфраструктуры - состояние защищенности критической информационной инфраструктуры, обеспечивающее ее устойчивое функционирование при проведении в отношении ее компьютерных атак;
3) значимый объект критической информационной инфраструктуры - объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры;
4) компьютерная атака - целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты критической информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов, в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой такими объектами информации;
5) компьютерный инцидент - факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки;
6) критическая информационная инфраструктура - объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов;
7) объекты критической информационной инфраструктуры - информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры;
8) субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.

Честно говоря - почти не читабельно. Понять можно, перечитав 3-4 раза. И читать надо снизу вверх ))
Гнать мокрой тряпкой надо тех, кто это писал.

Отправлено спустя 11 минут 39 секунд:

6) критическая информационная инфраструктура - объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов;

В этом предложении я заменю сложные выражения на простые предметы, чтобы проиллюстрировать абсурдный синтаксис предложений.

"Яблоки - это объекты яблок, а также корзины используемые для перемещения таких объектов"

Скажите, зачем это было писать, если так мы и не узнали, что такое яблоки?

Отправлено спустя 1 час 3 минуты 2 секунды:
Закон вкратце о том, что создадут еще несколько чиновничьих аппаратов, которые будут заниматься организацией в сфере безопасности "значимых объектов критической информационной инфраструктуры" среди которых скромненько привязано АСУ. Еще эти объекты поделили на категории на первая, вторая, третья и "без категории". И еще все эти категории будут заносится в некий реестр. В остальном вода водой. Но фоне этого водопада торчит пункт строго обязывающий владельца значимого объекта сообщить о самостоятельном присвоении категории в письменном виде в 10-ти дневный срок :)

И почему интересно до сих пор не создан реестр электроустановок ? Этож бы сколько чиновников можно было привлечь к работе для создания такого реестра!!!
А вот для "значимых объектов критической информационной инфраструктуры" реестр значит будет. Может быть они даже бумагу с гербами и водяными знаками будут выдавать о внесении вашего объекта в реестр!

[Jackson]

Есть реальная эксплуатация, которая говорит: "Ну как мы это будем обслуживать, у нас же нет специалистов" :)

Любое оборудование должно эксплуатироваться людьми с необходимой квалификацией. Иначе никакая ИБ не поможет.

Экономику надо развивать путём увеличения доходов. Население надо трудоустраивать. И обучать перед трудоустройством. Чувствуете, к чему я клоню?

Отправлено спустя 1 минуту 51 секунду:

Гнать мокрой тряпкой надо тех, кто это писал.

Да только не получится. они так высоко что Вас и кого угодно скорее погонят откуда угодно и куда угодно, но не Вы их. И это проблема всех, кроме тех кто относится к ним.

[Serex]

Чувствуете, к чему я клоню?

Не очень понял к чему вы клоните из-за экономики, но то что персонал с высокой ответственностью должен иметь образование и зарплату выше чем у тракториста - это понятно ))
Экономика - это наука о распределении товаров и услуг среди населения. А улучшать ее можно путем качества и количества этих товаров, потому как доходы, сколько бы высоки они не были без этих самых товаров ничего не значат.
Трудоустраивать население? Так у нас и так самая низкая безработица по Европе, да еще и демографическая яма на носу. Надо улучшать качество труда и повышать интеллектуальную составляющую этого труда.

Извиняюсь за оффтоп.
А по теме:

Вот они все законы о информационной безопасности принимают, ответственность распределяют. А когда же будут стандарты? Вот к примеру написано в ПУЭ, что заземление должно быть выполнено так то и так и это хорошо. Почему такие требования отсутствуют к SCADA ? Первое, что напрашивается для этого: "Компьютер, на котором установлена SCADA должен быть предназначен только для использования SCADA". Достаточно просто, но на практике этим часто пренебрегают.

[Jackson]

Не очень понял к чему вы клоните из-за экономики

К тому что эту идею внедрения средств киберзащиты можно положить на блюдечке Правительству РФ, особенно на волне развивающейся холодной войны будут одни плюсы:

• защита от забугорного агрессора
• создание доп.рабочих мест
• прорыв в хай-тек области
• рост оборота денег, значит вклад в рост экономики
• всё перечисленное вместе даёт укрепление экономики и повышение её устойчивости к внешним факторам (нефтяные цены, санкции, деятельность европейских и американских фирм)

В итоге правительство даёт зелёный свет, выделяются деньги, начинается движуха, результаты должны быть и вот - закон уже есть, пробные внедрения начинаются, с Сечиным и Миллером договорились о том что будут пробовать внедрять. Очевидно что закон написали настолько быстро, что подумать было просто без шансов - некому и некогда. Он явно претерпит серьёзные изменения.

[VADR]

Код: Выделить всё

6) критическая информационная инфраструктура - объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов;

В этом предложении я заменю сложные выражения на простые предметы, чтобы проиллюстрировать абсурдный синтаксис предложений.

"Яблоки - это объекты яблок, а также корзины используемые для перемещения таких объектов"

Скажите, зачем это было писать, если так мы и не узнали, что такое яблоки?

Да, это однозначно - пять баллов! "Чтобы понять, что такое рекурсия, надо понять, что такое рекурсия" :)
Вот скажу честно: не всегда у меня хватает усидчивости и времени, чтобы прочитать такие вот водопады. А ведь иногда стОит, хотя бы чтоб поднять себе настроение :)

[Intacto]

По законодательству могу сразу сказать следующее: эти бумаги пишут люди, которые имеют ну ооочень примерное понимание что и как. Да, были комитеты, куда приглашали более подкованных людей, но тоже скорее от ИТ и ИБ, а не технических спецов, имеющих реальный опыт в автоматизации и промышленности. Плюс основное влияние при написание было у ФСБ и немного ФСТЭК - тех, кто будет контролировать и писать подзаконную нормативку. Это типичный расклад для нашего законотворчества. К сожалению. Просто был несколько раз на заседании этого комитета и могу судить как это было и почему. Только обсуждение тех самых определений выливалось в месяцы и ни к чему толком не приводило (получившийся итог - ужас тот еще, согласен). Поэтому получается, что нужно не только по буквам разбирать что написано, но и держать в уме а что же имели в виду, когда это писали. И это, конечно, грустно все.
Но стоит заметить, что в любом случае уровень ФЗ - это общие слова - очертить проблему, назначить ответственных. Далее дело за подзаконными актами: постановлениями правительства и приказами тех же регуляторов. Все интересное будет именно там. Хотя также могу сказать, что в силу определенных причин там не будет учтена вся специфика и останется куча вопросов, недомолвок и косяков.

А стандарты - это вообще не уровень законодательства. так во всем мире - создаются комитеты при отрасли и они разрабатывают стандарты, понимая всю специфику, а далее уже приносят в министерства и подобные органы, объясняют что к чему и продвигают их как обязательные для всей отрасли, далее проводят аудиты, сертификацию и т.д. ISA, NERC, даже NIST - это не уровень федералов. Это действительно хороший вариант, но у нас не сработает - органы оставляют все за собой, не отдают инициативу (это ж вроде как государственный интерес и безопасность, видение которой у них очень специфическое), да и не получается у отраслей как-то организоваться и достигнуть соглашения. То ли желания нет, то ли лень, то ли просто все сами в себе и решают насущные проблемы зарабатывания бабок, а между делом отмахиваются от обязаловки.

[Jackson]

А ведь иногда стОит, хотя бы чтоб поднять себе настроение :)

Это хорошо если для настроения. А ведь приходится по этому работать, предъявлять, обосновывать.

[Никита]

"Чтобы понять, что такое рекурсия, надо понять, что такое рекурсия" :)Вот скажу честно: не всегда у меня хватает усидчивости и времени, чтобы прочитать такие вот водопады. А ведь иногда стОит, хотя бы чтоб поднять себе настроение :)

Неграмотное использование рекурсии чревато переполнением стека. Будешь много читать - будет настроение как в том анекдоте: всегда в каске и всем улыбается.

[Looker]

...всегда в каске...

Offtop_On.
В стройотряде нам выдали каски, первое что мы сделали: каска на земле и с трех метров на нее полуторный силикатный кирпич...
Offtop_Off.

[defsergey]

Здравствуйте! п.2.пп.3) 187-ФЗ гласит: Правительство Российской Федерации устанавливает:
3) утверждает форму направления сведений о результатах присвоения объекту критической
информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости
присвоения ему одной из таких категорий;

Я так понимаю что сначала на федеральном уровне будет создай какой то орган, потом на региональном, потом только придёт понимание что относить к объектам критической инфрастуктуры, то есть пока можно расслабиться... Или нет?