Киберзащита АСУ ТП

[dtv]

Выступление Самого: http://www.rbc.ru/opinions/business/12/ ... m=newsfeed
Если вкратце - нагнетает, ничего (пока) не предлагает.

[Ryzhij]

Если вкратце - нагнетает, ничего (пока) не предлагает.

Дык, в этом и цель- "клиент должон созреть".
Ибо, "когда клиент зрелый - его каждая ..."

Производители, например, турбин могут в реальном времени получать телеметрические данные с изготовленных ими устройств и моментально фиксировать любое их нештатное поведение. Все это ведет к тому, что оборудование работает лучше и становится безопаснее.

Однако вся эта информационная взаимосвязанность, в том числе критически важного оборудования, означает, что забор и системы видеонаблюдения, охраняющие процесс от внешнего вмешательства, становятся все менее эффективными. Компьютерные сети, оставаясь физически изолированными, перестали быть изолированными информационно. Колючая проволока не спасает от проникновения в информационную сеть, управляющую технологическим процессом, особенно если та соединена с внешним миром.

Куда выслать приз за самый неудачный пример? Аппаратуру системы вибромониторинга атаковать конечно можно, но вряд ли через порты передачи данных. Тут надо идиота сначала внутри завести, чтобы он заранее так систему вибромониторинга настроил. Это - раз.
Фирмы аутсорсеры не работают с данными он-лайн, а с файлами архивов, которые получают по E-mail или файлообменники. Это - два.

[CHANt]

Это - раз

)))

Производители, например, турбин могут в реальном времени получать телеметрические данные с изготовленных ими устройств и моментально фиксировать любое их нештатное поведение.
Подробнее на РБК:
http://www.rbc.ru/opinions/business/12/ ... m=newsfeed

могут, в соответствии с проектными решениями. ))) Как на продажного проектировщика ИБ наложить? )))

[Ryzhij]

А я про что? Для такого проекта нужен идиот-инсайдер, который этот проект согласует.

[Romcheg]

Ну вот, очередная собака легла в багажник...

В конце статьи понравилась приписка: "Точка зрения авторов, статьи которых публикуются в разделе «Мнения», может не совпадать с мнением редакции."

[Serex]

Да.. ладно. У нас вон было. Все отчеты о тех процессе, со всеми алармами и трендами, могли просматривать в Брюселле )) и все автоматом. Но правда то отчеты, а не он-лайн. У операторов был стимул, делать партии так, чтобы отчеты выходили по-лучше. ))
Хотя там данные для отчета обновлялись раз в 10 секунд и учитывая удаленность процесса - это почти Он-лайн, главное кнопку в браузере нажимать - "обновить".
Табачная промышленность.

[Ryzhij]

В конце статьи понравилась приписка: "Точка зрения авторов, статьи которых публикуются в разделе «Мнения»...

Статьи в подобных разделах обычно публикуются на правах рекламы.

[Ryzhij]

Да.. ладно. У нас вон было. Все отчеты о тех процессе, со всеми алармами и трендами, могли просматривать в Брюселле )) и все автоматом. Но правда то отчеты, а не он-лайн.

Как говорят в определённых кругах: "- И чё?"
Позволю себе напомнить, что АСОДУ несколько отличается от АСУТП и передача данных на этот уровень обычно организуется через SQL базы, а туда - через OPC тегами ReadOnly.

[Alex question]

И потом, зачем держать антивирус в системе постоянно, когда внешние носители втыкаются в неё не постоянно? Почему не проверить внешний носитель на другом ПК при этом, перед тем как пихать в систему?

Спросите что попроще. У меня нет ответа. Эту политику определяет заказчик.

Саркофаг нужен просто потому, что обычно больше нихрена нет. От слова "совсем". Оно, знаете, как-то очень неуютно жить, зная что под ногами есть объект, который может просто бумкнуть из-за десятка байтов, пришедших неизвестно откуда. И именно информационной защиты просто нет, останавливать эти байты некому и нечем.

Чего? Что и где бумкнет из за десятка байтов? Вы о чем вообще говорите?
Вообще почитав последние ваши посты такое впечатление что мы о разных вещах на разных языках говорим.
Можете пояснить свою мысль? Потому что слова "бумкнет из за десятка байтов" у меня ассоциируются с такими детскими страшилками детсадовскими. Знаете что то типа "В черном-черном городе на черное-черной улице ... и т.д.".

Про "дебилов-проектировщиков" тоже не понял. Вы в курсе, что проектная контора отвечает за ошибки в проекте? Особенно если проект сделан с нарушением требований и рекомендаций изготовителей узлов? И вы в курсе, что если они просто выкинут требования изготовителей чего-либо и накатают свои алгоритмы, игнорируя все блокировки (для примера) то после первого же случая они влетают на очень серьезные деньги и контора может смело банкротиться?

[Alex question]

Если вкратце - нагнетает, ничего (пока) не предлагает.

Ознакомился со статьей.
Если кратко передать содержание: Бла-бла-бла... ИБ... Бла-бла-бла...
Зачем это вообще писать. Тем более такому серьезному человеку.

[Ryzhij]

И вы в курсе, что если они просто выкинут требования изготовителей чего-либо и накатают свои алгоритмы, игнорируя все блокировки (для примера) то после первого же случая они влетают на очень серьезные деньги и контора может смело банкротиться?

А Вы в курсе, что для крупных проектов генподрядчик обычно нанимает фирму-однодневку, исчезающую сразу после "распила"?
Кого Вы хотите испугать банкротством? Контору, у которой в аренде факс и телефон, а в собственности одни ламбрекены на окнах?
Или, например, фирму из ближнего зарубежья с громким когда-то именем, но волею судеб оказавшейся в прифронтовой полосе? Эти свою "франшизу" готовы дать любому второкурснику.
Отвечают они... Чем?! Парой драных кроссовок?

[+] Про ответственность

История эта произошла году где-то в 89-м.
Кузница одного из автозаводов. Ночная смена в конце месяца.
Кузнец (К) подходит к мастеру (М).
К: - Зови наладчика, пресс садится, того гляди сдвоит. Я прекращаю работу.

Мастер начинает искать дежурного электрика, но не находит. Тот, видимо, спит где-то в укромном углу.
План "горит". Мастер возвращается к кузнецу.
М: - Продолжай ковать, если что - я отвечаю!
Кузнец пристально смотрит на начальника и вопрошает:
- Ты сам-то понял, что сказал? Когда мне руки отрубит, мне уже п@&$ю будет, кто за что отвечает...

Вот такая история.

[Anton Shipulin]

Выступление Самого: http://www.rbc.ru/opinions/business/12/ ... m=newsfeed
Если вкратце - нагнетает...

Евгений Касперский — РБК: «Пугать народ страшилками — это мы любим»
http://www.rbc.ru/interview/technology_ ... 05f85b6624

...ничего (пока) не предлагает...

Это не так, предлагает
http://www.kaspersky.ru/enterprise-security/industrial

[Alex question]

А Вы в курсе, что для крупных проектов генподрядчик обычно нанимает фирму-однодневку, исчезающую сразу после "распила"?

Секундочку. Давайте разберемся.
Значит генподрядчик (а генподрядчиком не берут фирму однодневку - какое нить ооо с уставным капиталом в 10 тысяч рублей.) который перед заказчиком отвечает целиком и полностью за реализацию проекта. И в случае чего этот генподрядчик налетает на штрафы в десятки, сотни миллионов и больше в зависимости от масштаба проекта. Так вот - этот генподрядчик нанимает лабать проект хрен пойми кого? учитывая что за косяки этих хрен пойми кого отвечать перед заказчиком будет именно генподрядчик? а эта проектная контора однодневка просто обанкротится, выплатив генподрядчику 10к рублей по всем обязательствам?

как то слабо верится. Я пока с таким ни разу не сталкивался.

[Ryzhij]

как то слабо верится. Я пока с таким ни разу не сталкивался.

Счастливый Вы человек! Даже не знаете, насколько счастливый...

[Serex]

Как говорят в определённых кругах: "- И чё?"
Позволю себе напомнить, что АСОДУ несколько отличается от АСУТП и передача данных на этот уровень обычно организуется через SQL базы, а туда - через OPC тегами ReadOnly.

Ну примерно так и сделано было. )) Это я пример привел вдогонку о передаче диагностических данных турбин фирме изготовителю. Вполне возможно и даже совсем не криво.

[CHANt]

Вполне возможно и даже совсем не криво.

Тут вот

Евгений Касперский — РБК: «Пугать народ страшилками — это мы любим»

сказал что это специально было приведено в статье)))
Хотя, на мой взгляд, это слабая компетентность того кто готовил материал к этой статье)))

[Степа]

Что и где бумкнет из за десятка байтов?

Ну, например, обычная такая газовая печурка даже не очень больших размеров /с небольшой садовый домик примерно/, у которой просто остановили ПЛК в системе управления: упадут там газовые задвижки или нет при обычной остановке ПЛК - большой вопрос, ибо ПЛК не гавкнулся, он просто переведен в режим "СТОП" /некоторые ПЛК, например, Siemens S7-200, можно настроить так, чтобы при остановке ПЛК состояние выходов не менялось/. Да мало ли можно нарыть не совсем безопасных объектов: ПЛК, подключенных пусть и к внутриобъектовым сетям - как грязи. И типов ПЛК, кои можно остановить пакетом в десяток байт, тоже немало...
И просто останов ПЛК - еще самое простое и безобидное деяние.

Вы в курсе, что проектная контора отвечает за ошибки в проекте?

Я - в курсе. Проектировщики - не все в курсе. Некоторые /в своей конторе, кстати, считающиеся самыми умными и им там в рот смотрят/ думают несколько иначе: оне опросный лист заполнили, им что-то кто-то там ответил - все, оне больше ответственности не несут. Но менеджер, скажем, завода по выпуску электродвигателей ни разу не в курсе, куда запланирован этим горе-проектировщиком движок-то. Он же не в курсе, что движок на тысячу об/мин планируется в перспективе круглые сутки крутить на две тысячи. Его спросили - "можно?", он честно ответил - "да, можно до трех тысяч". Ну да, можно. Только не сутки напролет. Так бы порекомендовал лучше выбрать на три тысячи - есть у них такие.
Движок - это еще не самое страшное в этих "проектах".

Пока Господь милостив и никто от их поделок пока не пострадал...

Я пока с таким ни разу не сталкивался.

Счастливый человек...

[Exactamente]

Ну, например, обычная такая газовая печурка даже не очень больших размеров /с небольшой садовый домик примерно/, у которой просто остановили ПЛК в системе управления: упадут там газовые задвижки или нет при обычной остановке ПЛК - большой вопрос, ибо ПЛК не гавкнулся, он просто переведен в режим "СТОП" /некоторые ПЛК, например, Siemens S7-200, можно настроить так, чтобы при остановке ПЛК состояние выходов не менялось/.

И тут вроде сам бог велел ставить систему ПАЗ, но кого это интересует?

[dtv]

Автономная система ПАЗ не вписывается в структуру ИБ. Она портит их представление об окружающем мире

[Anton Shipulin]

Кое-что о безопасности автоматизированных систем управления АЭС (I&C NPP)

Беспроводное управление атомной станцией: далекая реальность или смелая фантазия?
http://atomvestnik.ru/content-log/174-v ... vlyaj.html

[Exactamente]

Кое-что о безопасности автоматизированных систем управления АЭС (I&C NPP)

Беспроводное управление атомной станцией: далекая реальность или смелая фантазия?
http://atomvestnik.ru/content-log/174-v ... vlyaj.html

На самом деле статья называется "Включи Wi-Fi и управляй!".

[Serex]

Беспроводное управление атомной станцией: далекая реальность или смелая фантазия?
http://atomvestnik.ru/content-log/174-v ... vlyaj.html

Плюсы применения таких технологий очевидны: отсутствие необходимости прокладки километров дорогостоящих кабелей и их обслуживания снижают себестоимость производства электроэнергии, повышая ее конкурентоспособность.

После такого опуса можно дальше не читать. Передача электроэнергии на расстояния... Бла, бла, бла...
Высокая стоимость обслуживания кабелей - это что ли пыль с кабельных журналов стряхивать?
Где лежит силовой кабель, там можно бросить и Ethernet и жить спокойно.
Если убрать большую цену первичного монтажа кабелей, то дальше у них остаются сплошные плюсы.

[Romcheg]

Кое-что о безопасности автоматизированных систем управления АЭС (I&C NPP)

Беспроводное управление атомной станцией: далекая реальность или смелая фантазия?
http://atomvestnik.ru/content-log/174-v ... vlyaj.html

Как такой бред может вообще где-то публиковаться? Это еще аж несколько собак в багажник пошли...

Начну издалека:
Инженер по автоматизации - прежде всего должен досконально изучить тот технологический процесс, который собирается автоматизировать. Если он будет знать его поверхностно - его конечная система не сможет работать с данным процессом.

Инженеру ИБ, вообще сложнее - он не только должен понимать и разбираться в специфике построения систем АСУ ТП, но и досконально понимать суть процессов, которые эти системы автоматизируют!!! В противном случае - мы получаем популистские решения, которые основаны на поверхностных домыслах о тех отраслях, куда их пытаются всячески продвинуть. Что мы очень активно и наблюдаем сейчас в этой области. Поэтому столько много негатива в адрес набирающего обороты ИБ в АСУ ТП - потому что мы сейчас видим именно дилетантский подход!
Вот и статья - реальный пример безграмотнейшего дилетанта, решившего попиариться на сугубо опасной теме, как ее воспримет самый обычный обыватель.
Прежде чем даже давать ссылки на подобное - ОЧЕНЬ настоятельно рекомендую ознакомиться с мировыми стандартами на системы управления на атомных станциях. Даже немного намекну - в мире, всего две страны по стандартам допускают именно автоматизированное управление АЭС... И Россия в их число не входит.

Мне уже даже начинает нравится сей спектакль под названием "МИР ОПАСНОСТЕ!!! Все за ИБ в АСУ ТП!". Запасаюсь попкорном и сажусь поудобнее...

Хотя долго не смогу задерживаться, мне еще надо будет сегодня подключиться к системе АСДУ торгового центра в Нижнем Новгороде, чтобы посмотреть, что там у местного интегратора с сетевым обменом не ладится в их комплексе... А потом еще надо будет подключиться к нефтеналивной станции под Питером, чтобы доделать некоторые моменты по их системе АСТУЭ, которая рулит энергоснабжением целого порта... А там ЗРУшки по 10кВ, можно даже рубильником нечаянно щелкнуть. Это не считая того, что сейчас еще две крупные курьерские компании со складами в Мск ждут, когда я уже подключусь и добавлю в ПО доработку по последним нововведениям в их комплексы учета грузопотока и логистики на складах, работающих под управлением моей скады. Блин, сколько я дал пищи для размышления по части ИБ. Сложно, когда один специалист требуется во многих местах одновременно, а задач много и все хотят именно его. Телепорт еще пока не изобрели. Да, забыл уточнить - все это я сейчас буду делать сидя в командировке вообще в другом городе с кухни местного общежития для работников. Все, точно "страна опасносте"! А ведь я лишь рядовой специалист...

[Михайло]

Тема себя исчерпала еще неделю назад... Несомненно тема информационной безопасности должна исследоваться. К сожалению, расчет некоторых форумчан на хороших сисадминов и ответственных пользователей не должен браться в рассмотрение в связи с тем, что так не бывает. НЕ БЫВАЕТ! Пусть ИБшники занимаются делом.

Кстати, со времен Стукснета Сименс реально пересмотрел свой подход к безопасности и теперь прежние шуточки просто так не выйдут, если использовать новый софт и железо. Конечно, не исключено, что специально для спецслужб Сименс оставил лазейки, хотя для меня это звучит дико. На такой способны только отдельные работники Сименса, но не генеральный директор.

[Romcheg]

Пусть ИБшники занимаются делом.

Пока что они больше занимаются пиаром и популизмом с накручиванием рядового обывателя, нежели реальными делами...