1. Обязательно представиться на русском языке кириллицей (заполнить поле "Имя").
  2. Фиктивные имена мы не приветствуем. Ивановых и Пупкиных здесь уже достаточно.
  3. Не надо писать свой вопрос в первую попавшуюся тему - всегда лучше создать новую тему.
  4. За поиск, предложение и обсуждение пиратского ПО и средств взлома - бан без предупреждения. Непонятно? - Читать здесь.
  5. Рекламу и частные объявления "куплю/продам/есть халтура" мы не размещаем ни на каких условиях.
  6. Перед тем как что-то написать - читать здесь, а затем здесь и здесь.
  7. Не надо писать в ЛС администраторам свои технические вопросы. Администраторы форума отлично знают как работает форум, а не все-все контроллеры, о которых тут пишут.

Киберзащита АСУ ТП

Модератор: Глоб.модераторы

Ответить

Василий Иванович
авторитет
авторитет
Сообщения: 878
Зарегистрирован: 21 авг 2009, 14:25
Имя: Василий Иванович
Благодарил (а): 1 раз
Поблагодарили: 3 раза

Киберзащита АСУ ТП

Сообщение Василий Иванович »

Помилуйте, Евгений, у меня и в мыслях не было Вас оскорблять. Я имел в виду, что есть и другие (известные мне, например) объекты, которых Вы не видели, и это было с Вашей стороны скоропалительно написать "никто этим не занимается".
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18777
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 974 раза
Поблагодарили: 1856 раз

Киберзащита АСУ ТП

Сообщение Jackson »

Конечно есть, я и не глаголю истину в последней инстанции. Но почему-то нет примеров, а разговаривать о сферических конях не очень интересно.
По вопросам работы Форума можно обратиться по этим контактам.

Alex question
осмотрелся
осмотрелся
Сообщения: 144
Зарегистрирован: 20 янв 2015, 10:13
Имя: Алексей
Страна: Россия
Поблагодарили: 10 раз

Киберзащита АСУ ТП

Сообщение Alex question »

Господа.
Хочу немного еще раздуть ваш холивар.

Посетил сегодня данный форум: День промышленного сектора на InfoSecurity Russia'2016

Вот мое мнение на основании всего, что я там увидел. (сразу скажу, что это мнение полного ламера, прислушиваться к нему не нужно и да будет холивар).

Прошелся по всем стендам. Т.к. времени было не много, то до вечера слушать все выступления (а они по 20 минут и чисто на общие темы т.е. одна вода) не стал. Просто прошелся по всем стендам где были упомянуто слово из пяти букв: АСУ ТП. и по возможности побеседовал с представителями компаний.

Выводы для себя сделал следующие:

1. На выставке безопасности в АСУ ТП людей из АСУшников (тех кто делает свои системы, или интеграторы/внедренцы и т.п.) было (по моим впечатлением) человек пять. Включая меня и коллегу и еще одного чела, который раньше работал в наладке а сейчас просто был участником от другой конторы и так же как и мы ходил и смотрел что есть по АСУшной части у других. Т.е. форум "безопасность в АСУ ТП" на котором нет специалистов из АСУ ТП. Уже хорошо.

2. На выставке было гораздо больше менеджеров, чем технических специалистов. Поэтому на вопросы зачастую ответить могли только общими лозунгами из рекламных буклетов или словами "Возьмите нашу визитку/буклет и свяжитесь. Тогда мы вам что нибудь расскажем поподробнее.". Но это в принципе нормально. Так всегда бывает.

3. На вопрос ко всем про Приказ 31 очень малая часть оказалась в курсе дела, еще половина из опрошенных что то слышала об этом но смутно понимает о чем речь. Остальные (тоже примерно половина) на этот вопрос надували щеки, хлопали глазами и всеми силами давали понять что они в теме, хотя сразу было видно что первый раз про это слышат и просто не хотят подать вида. Но возможно это следствие пункта 2. Так что тоже в принципе нормально.

4. Из решений, предлагаемых всеми. Сейчас вы будете смеяться. Если кому не лень, могут поискать мой пост, где я говорил, что самое хорошее и простое это делать обычную систему и защищать по полной только канал во внешний мир посредством шифрования например. Так вот - абсолютное большинство предлагаемых решений это шифрование трафика типа точка-точка разными способами (собственные криптокоммутаторы, построение хитрого vpn, софтварные решения по шифрованию какие-то и т.п.). Т.е. сейчас все кто был на выставке предлагают только защитить канал во внешний мир.

5. Есть еще несколько экзотических решений но даже те кто их предлагают с трудом представляют, как их вообще использовать на практике. Т.е. построение модели для поиска уязвимостей в системе это хорошо на модельке а вот про реальный объект полный глушняк.

6. Коробочных решений (типа берите предлагаемый нами комплекс мер и вы сразу выполните все требования по безопасности) не существует и не будет существовать в обозримом будущем.

7. Реальных внедрений и каких то примеров работающих систем, где реализовано хоть что то большее стандартных мер, тоже нет ни у кого. Один товарищ многозначительно намекал что все супер просто он не может говорить т.к. это тайна, но под наводящими вопросами с другой стороны выяснилось, что это все тоже шифрование внешнего канала какой то купленной железкой (или их собственной разработкой. так и не понял за всеми этими намеками на тайны и конфиденциальность).

8. Никто из крупных контор в АСУ ТП (из разработчиков ПТК) пока даже не парится по этому поводу. Т.е. резво подгонять свои решения под требования защититься от того, что внутрь на шину данных типа влезет злоумышленник и начнет подменять значения с модулей УСО, никто пока не собирается.

9. С виду большинство товарищей, писавших на стендах АСУ ТП, пришло из других сфер просто почуяв, что тут можно попробовать поделить дополнительный пирожок на непонятно кем поднятой волне. Т.к. этот переход (или заход) в данную область случился сравнительно недавно, то опыта и понимания ситуации в целом просто пока нет. Одни страшилки про то, что все плохо и завтра взорвется ядреная электростанция если сегодня не купить их решение.

Вот как то так.

Правда есть и положительные моменты, но их сравнительно немного и о них потом. Чтобы не мешать вам холиварить.

Василий Иванович
авторитет
авторитет
Сообщения: 878
Зарегистрирован: 21 авг 2009, 14:25
Имя: Василий Иванович
Благодарил (а): 1 раз
Поблагодарили: 3 раза

Киберзащита АСУ ТП

Сообщение Василий Иванович »

Вот видите, Евгений - Вы пишете "никто этим не занимается", а в то же время выставка полна предложениями на шифрование канала связи.

Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 5793
Зарегистрирован: 07 окт 2011, 09:12
Имя: Гаско Вячеслав Эриевич
Страна: Россия
город/регион: Рязань
Благодарил (а): 674 раза
Поблагодарили: 845 раз

Киберзащита АСУ ТП

Сообщение Ryzhij »

Василий Иванович писал(а): Вот видите, Евгений - Вы пишете "никто этим не занимается", а в то же время выставка полна предложениями на шифрование канала связи.
Вангую - в связи с развитием и внедрением телемеханики в армии и флоте, где передачи ведутся по каналам общего пользования и обмен требует криптозащиты, многие фирмы пытаются приспособить свои наработки к АСУ ТП на гражданке.
Беда только в том, что при другой архитектуре системы и других целевых функциях, других рисках, решения для беспилотника неприменимы в промышленности.
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)

Степа
осмотрелся
осмотрелся
Сообщения: 158
Зарегистрирован: 25 окт 2010, 10:30
Имя: Капуста Степан Степанович
Поблагодарили: 7 раз

Киберзащита АСУ ТП

Сообщение Степа »

TEB писал(а): Так вот не надо лукавить. Чаще всего внешний мир как раз ни на чёрта не сдался для управления.
Вот иманна, вот иманна! (с)
Не надо лукавить: я ни слова не говорил за управление
Там, во внешнем мире, очень желают знать, как работает система, ее текущие параметры, ее состояние и т.п.
Для управления - тут без вариантов: мало где действительно нужен внешний мир /даже если он там сейчас по факту есть/. А вот для получения всякой полезной информации...
TEB писал(а): Если система сделана по-человечески, то есть абсолютно ничего лишнего, никаких рюшечек, только необходимое - здесь всё будет в порядке, потому что лишних средств доступа в ней просто нет.
Лишних и не надо, хватит тех, что есть.
Ну кто может поручиться, что в том же ОВЕН ТРМ нет ошибок? Пока их никто не обнаружил: с приборами работают грамотные люди, задача которых - сделать систему, в рамках решения задачи они делают обмен. Строго по протоколу. Если обмен строго по протоколу - все хорошо. Но что будет если прислать пакетик, не соответствующий протоколу? Сейчас это проверять просто некому, незачем и времени на это нет.
Пока посторонних во внутренней сети нет - так и будет все хорошо.
К примеру, вот системка. В таком виде - почти нереально влезть в сеть RS-485 и что-то там сотворить. Если преобразователь интерфейсов /слева вверху I-7520/ заменить на Ethernet/RS-485 - уже влезть куда как проще... Особенно, если тот Ethernet обычный офисный и там шаробанятся все, кому не лень... А это вполне может случиться - "да кому мы нужны", "если что - оператор заметит".
Если что - прибор очень быстро можно перенастроить по сети безо всяких паролей даже на его минимально возможной штатной скорости 2400 бит/сек, руками - опухнуть можно, сколько раз там кнопки нажать надо, чтобы просто температуру в одной зоне немного изменить /даже без пароля; с паролем - еще больше/.

Давненько так один приборчик изучал /надо было перевести работу с прибором с очень древнего ПК на современный; старый ПК гавкнулся, спецификаций за исключением обрывков схем - никаких, поспрошать просто некого/ - там был такой косячок: хвост пакета длиннее определенной длины записывался в область настроек прибора... Пакет был очень намного длиннее, положенного по протоколу /протокол чуть позже восстанавливался по дизассеблированной программе, сначала, по сути, фаззингом занимались - некоторую часть посылок удалось получить, вот и пытались по-быстрому угадать остальные нужные посылки/. Прибор, правда, это замечал, осуществлял перезапуск с восстановлением настроек по умолчанию. Но картинка-то получалась прикольной - простенькая программуля прибор в перезапуск отправляет /я ей потом некоторое время пользовался, если надо было на приборе Reset нажать, а идти до него было очень лень/. Приборчик не очень важный и на нем не было ничего опасного, но все равно неприятно бы было, если бы подобной программой воспользовался бы кто-то с недобрыми намерениями...
Василий Иванович писал(а): Да хоть десять мастеров! Только каждый мастер общается только со своими слэйвами, а не с чужими. Иначе будет распознан конфликт на шине. Совершенно штатными средствами.
Если пауза между циклами обмена меньше времени цикла обмена - конфликт будет распознан. Если между циклами времени много больше времени цикла обмена - влезть в паузу штатного мастера без проблем, программа ненамного сложнее получается. И штатные средства будут помалкивать: ни разу не видел мастера, который бы контролировал состояние шины в паузах.
Единственная возможная проблема - если у штатного мастера буфер приема не чистится перед ожиданием ответа в своем цикле... Кстати, это очень нехорошо: если в паузе приемником распознался помеховый импульс как начало посылки и получился принятым байтик, то цикл обмена после этого не пройдет.
А слейву вообще вдоль борта, кто его спросил...
Василий Иванович писал(а): Не съезжайте с темы.
А где тут съезд с темы? Самый простой способ сделать более одного мастера на RS-485 - это использовать преобразователь Ethernet/RS-485 и разрешить работу с одним портом нескольким абонентам. До этого преобразователя, если повезет, хоть с другой стороны земного шара достучаться можно...
С преобразователем RS-232/RS-485, USB/RS-485 или встроенным портом RS-485 уже так не получится.
Ryzhij писал(а): Беда только в том, что при другой архитектуре системы и других целевых функциях, других рисках, решения для беспилотника неприменимы в промышленности.
Да легко.
Связь с подвижными объектами и в промышленности может понадобиться. У нас в одном проекте есть четыре точки на подвижных объектах, которым нужна связь с общецеховой сетью: там будет рожаться некий наборчик информации, а туда планируется передавать задания оператору. Связь нужна постоянно, полностью контролируемая и, желательно, бесплатно - сотовые операторы отпадают. Кабель нереален. Какие-то другие средства беспроводной цифровой связи с достаточной дальностью связи используют лицензируемую полосу частот. Wi-Fi - наиболее реальное и весьма небезопасное решение /как минимум из-за отсутствия функции обмена ключами/.
Резервные каналы, аварийные, временные, через труднопреодолимые препятствия... Да мало ли где может понадобиться канал не только с шифрованием, но и с обменом ключами и с защитой от навязывания.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18777
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 974 раза
Поблагодарили: 1856 раз

Киберзащита АСУ ТП

Сообщение Jackson »

Разговор в пользу бедных.
Уже неоднократно сказано что закрытые системы с закрытыми интерфейсами (которые торчат наружу) решают такие проблемы. Но это не услышано.
Вот теперь тему можно закрывать.
По вопросам работы Форума можно обратиться по этим контактам.

Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 5793
Зарегистрирован: 07 окт 2011, 09:12
Имя: Гаско Вячеслав Эриевич
Страна: Россия
город/регион: Рязань
Благодарил (а): 674 раза
Поблагодарили: 845 раз

Киберзащита АСУ ТП

Сообщение Ryzhij »

Степа писал(а): Связь с подвижными объектами и в промышленности может понадобиться
Ключевое слово "может".
Я вот в этом бизнесе уже больше трёх десятков лет, а всё никак.
Вот не надобится и всё тут!
И проблема 2k, и многое другое не понадобилось, а попытки развести на бабло никак не прекращаются ;)
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)

Василий Иванович
авторитет
авторитет
Сообщения: 878
Зарегистрирован: 21 авг 2009, 14:25
Имя: Василий Иванович
Благодарил (а): 1 раз
Поблагодарили: 3 раза

Киберзащита АСУ ТП

Сообщение Василий Иванович »

Степа писал(а):Единственная возможная проблема - если у штатного мастера буфер приема не чистится перед ожиданием ответа в своем цикле... Кстати, это очень нехорошо: если в паузе приемником распознался помеховый импульс как начало посылки и получился принятым байтик, то цикл обмена после этого не пройдет.
А слейву вообще вдоль борта, кто его спросил...
Я не вижу никаких особых на то причин мастеру чистить буфер перед ожиданием ответа. Более того, в случае Профибаса я бы осмелился утверждать, что там и между посылками не влезешь, и слейву далеко не всё равно, кто его спросил, и мастеру для того, чтобы что-то отправить, перед этим токен нужно получить.
Степа писал(а):
Василий Иванович писал(а): Не съезжайте с темы.
А где тут съезд с темы? Самый простой способ сделать более одного мастера на RS-485 - это использовать преобразователь Ethernet/RS-485
Стёпа, самый простой способ сделать больше одного мастера на RS-485 - это включить его в сеть. Этот стандарт не ограничивает число мастеров. Он вообще не знает, что такое мастер. Это физика, не более.

Василий Иванович
авторитет
авторитет
Сообщения: 878
Зарегистрирован: 21 авг 2009, 14:25
Имя: Василий Иванович
Благодарил (а): 1 раз
Поблагодарили: 3 раза

Киберзащита АСУ ТП

Сообщение Василий Иванович »

TEB писал(а): Разговор в пользу бедных.
Уже неоднократно сказано что закрытые системы с закрытыми интерфейсами (которые торчат наружу) решают такие проблемы. Но это не услышано.
Вот теперь тему можно закрывать.
Хоть я и не понял, что такое закрытый интерфейс, который торчит наружу, я в принципе согласен, что вряд ли кто-то из участников способен изменить своё мнение. А кто не участвовал - тот может сам прийти к своему, прочитав всё вышенаписанное.

Степа
осмотрелся
осмотрелся
Сообщения: 158
Зарегистрирован: 25 окт 2010, 10:30
Имя: Капуста Степан Степанович
Поблагодарили: 7 раз

Киберзащита АСУ ТП

Сообщение Степа »

TEB писал(а): закрытые системы с закрытыми интерфейсами (которые торчат наружу)
Я таки не понял, что сие значит...
Ну да ладно, наплевать и забыть.
Ryzhij писал(а): вот в этом бизнесе уже больше трёх десятков лет, а всё никак.
Я чуть меньше - четверть века всего. На настоящий момент пока четыре подвижных объекта могу назвать, которым в перспективе нужна связь /это пока только проект, до реализации пока дело не дошло/. Плюс пара-тройка случаев, когда было бы как минимум сильно быстрее что-нибудь беспроводное, было б чего-нибудь побезопаснее Wi-Fi в качестве временного канала. Наверное, все...
В остальных случаях - провода.
Василий Иванович писал(а): Я не вижу никаких особых на то причин мастеру чистить буфер перед ожиданием ответа.
- Видишь суслика?
- Нет.
- И я нет. А он - есть! (С)
Василий Иванович писал(а): Более того, в случае Профибаса я бы осмелился утверждать, что там и между посылками не влезешь, и слейву далеко не всё равно, кто его спросил, и мастеру для того, чтобы что-то отправить, перед этим токен нужно получить.
А вот Modbus /хоть RTU, хоть ASCII/ - легко и непринужденно.
Василий Иванович писал(а): Он вообще не знает, что такое мастер.
А вот это называется "съезд с темы".

Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 5793
Зарегистрирован: 07 окт 2011, 09:12
Имя: Гаско Вячеслав Эриевич
Страна: Россия
город/регион: Рязань
Благодарил (а): 674 раза
Поблагодарили: 845 раз

Киберзащита АСУ ТП

Сообщение Ryzhij »

Степа писал(а):
Я чуть меньше - четверть века всего. На настоящий момент пока четыре подвижных объекта могу назвать, которым в перспективе нужна связь /это пока только проект, до реализации пока дело не дошло/. Плюс пара-тройка случаев, когда было бы как минимум сильно быстрее что-нибудь беспроводное, было б чего-нибудь побезопаснее Wi-Fi в качестве временного канала. Наверное, все...
И эти четыре относятся к ОПО? Честно?!
Не верю!
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)

Михайло
эксперт
эксперт
Сообщения: 3644
Зарегистрирован: 10 ноя 2009, 04:58
Имя: Толмачев Михаил Алексеевич
город/регион: г. Чехов, МО
Благодарил (а): 8 раз
Поблагодарили: 286 раз

Киберзащита АСУ ТП

Сообщение Михайло »

Ryzhij писал(а): И эти четыре относятся к ОПО? Честно?!
Не верю!
Я знаю, Степа не различает степени опасности объектов, он на все повешает киберзащиту, спецсвязь и приставит ФСБшника, специалиста по ИБ. Действительно, зачем глубоко разбираться?

Степа
осмотрелся
осмотрелся
Сообщения: 158
Зарегистрирован: 25 окт 2010, 10:30
Имя: Капуста Степан Степанович
Поблагодарили: 7 раз

Киберзащита АСУ ТП

Сообщение Степа »

Ryzhij писал(а): И эти четыре относятся к ОПО?
Ну как сказать... Всякие там надзоры за ними наблюдают.
Краны мостовые, обыкновенные, если быть точным.

Это... А что, более-менее приличная закрытая связь на промплощадке нужна исключительно только ОПО? Остальные обойдутся открытой или условно закрытой /типа Wi-Fi/?
Скажем, объект у меня один был: пост измерения температуры. Надо было прямо срочно-срочно поставить, потому пока тянулась туда нормальная сеть, кинули туда хвост через Wi-Fi. Опасный объект? Да ни разу. Но Wi-Fi - это условно закрытая точка доступа во внутреннюю сеть, огражденную МСЭ и прочими фишками безопасности т.п. Подключиться к той сети - пара пустяков: у каждого третьего /если не у каждого второго/ в кармане смарт с Wi-Fi. Всех забот - пароль подобрать. Как это сделать - тысячи и тысячи материалов. Можно даже к объекту не подходить. Взорвать там что-то вряд ли можно, но вот крови попортить - как два пальца...

Кстати. На Радиосканере есть тема Охота за позывными - воспоминания радиоразведчика. Там где-то на одной из пятидесяти страниц есть рассказ, как прослушивая открытую радиолинию на морг /канала ЗАС на начальника разведки не всегда хватало, а тут какой-то морг, что там может быть важного/ боевики планировали засады.
И это, кстати, иллюстрация к вопросу об "управлении рисками"...
Михайло писал(а): Действительно, зачем глубоко разбираться?
Господин инженер-электрик уже научился схемы рисовать? Или "зачем глубоко разбираться", на схему похоже и ладно?

Василий Иванович
авторитет
авторитет
Сообщения: 878
Зарегистрирован: 21 авг 2009, 14:25
Имя: Василий Иванович
Благодарил (а): 1 раз
Поблагодарили: 3 раза

Киберзащита АСУ ТП

Сообщение Василий Иванович »

Господа, я бы не советовал вам пихаться тут принародно локтями. Каждый из вас написал тут предостаточно ляпсусов, но это не повод переходить на личности.

Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 5793
Зарегистрирован: 07 окт 2011, 09:12
Имя: Гаско Вячеслав Эриевич
Страна: Россия
город/регион: Рязань
Благодарил (а): 674 раза
Поблагодарили: 845 раз

Киберзащита АСУ ТП

Сообщение Ryzhij »

Степа писал(а): А что, более-менее приличная закрытая связь на промплощадке нужна исключительно только ОПО? Остальные обойдутся открытой или условно закрытой /типа Wi-Fi/?
Я Вам больше скажу, даже на ОПО есть смысл заморачиваться лишь с защитой контуров, определяющих опасность объекта. Остальное - по вкусу и при желании "распилить".
Последний раз редактировалось Ryzhij 22 сен 2016, 13:25, всего редактировалось 1 раз.
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)
Аватара пользователя

izhidkov
частый гость
частый гость
Сообщения: 404
Зарегистрирован: 25 фев 2016, 12:18
Имя: Жидков Игорь Алексеевич
Страна: РФ
город/регион: Королев/Фрязино
Благодарил (а): 4 раза
Поблагодарили: 12 раз

Киберзащита АСУ ТП

Сообщение izhidkov »

Кстати, если принудят АСУТПшников использовать СКЗИ, то как они будут такие системы обслуживать без лицензии "на защиту информации"? Кроме того разработчики систем АСУТП также должны будут лицензии получать чтобы проектировать чтолибо?
Компилятор - лучший друг человека!

Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 5793
Зарегистрирован: 07 окт 2011, 09:12
Имя: Гаско Вячеслав Эриевич
Страна: Россия
город/регион: Рязань
Благодарил (а): 674 раза
Поблагодарили: 845 раз

Киберзащита АСУ ТП

Сообщение Ryzhij »

izhidkov писал(а): Кстати, если принудят АСУТПшников использовать СКЗИ, то как они будут такие системы обслуживать без лицензии "на защиту информации"?
Точно не помню, но кажется там не всё так уныло. Лицензия нужна для предоставления услуг криптографии "на сторону", а в своем "курятнике"...
izhidkov писал(а): Кроме того разработчики систем АСУТП также должны будут лицензии получать чтобы проектировать чтолибо?
Ну так сами-то СКЗИ разрабатываются не в рамках АТХ, а применяются готовые ;)
Придётся во время эксплуатации на аутсорсинге к-либо контору держать.
Дык, ради этого и нагнетают!
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)

Степа
осмотрелся
осмотрелся
Сообщения: 158
Зарегистрирован: 25 окт 2010, 10:30
Имя: Капуста Степан Степанович
Поблагодарили: 7 раз

Киберзащита АСУ ТП

Сообщение Степа »

Ryzhij писал(а): даже на ОПО есть смысл заморачиваться лишь с защитой контуров, определяющих опасность объекта
Видите ли, имея открытый информационный канал на неважный и неопасный объект вполне можно поэксплуатировать и опасный. Уже будучи внутри информационного периметра. Например, кофеварка - ни разу не опасный объект. Тем не менее кофеварка может стать угрозой финансовому благосостоянию.
Так что тут никакими распилами и не пахнет... Распилом пахнет как раз попытка позаниматься "управлением рисками" не вникая в имеющиеся потоки данных и в возможности абонентов информационного обмена.
izhidkov писал(а): если принудят АСУТПшников использовать СКЗИ, то как они будут такие системы обслуживать без лицензии "на защиту информации"?
Если верить ФЗ "о лицензировании отдельных видов деятельности" /статья 12/, то обслуживать криптографические средства защиты, используемые для собственных нужд, можно без лицензии.
Разрабатывать криптографические средства защиты - это лицензия нужна.
Использовать же готовые устройства... В принципе, данный вид деятельности под п.5 части 1 попадает.

Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 5793
Зарегистрирован: 07 окт 2011, 09:12
Имя: Гаско Вячеслав Эриевич
Страна: Россия
город/регион: Рязань
Благодарил (а): 674 раза
Поблагодарили: 845 раз

Киберзащита АСУ ТП

Сообщение Ryzhij »

Степа писал(а):
Видите ли, имея открытый информационный канал на неважный и неопасный объект вполне можно поэксплуатировать и опасный. Уже будучи внутри информационного периметра. Например, кофеварка - ни разу не опасный объект. Тем не менее кофеварка может стать угрозой финансовому благосостоянию.
Ну, Вы же знаете правильный ответ, почему ж тогда других держите за... непонятно кого.

Вот чем эта самая "умная кофеварка" отличается от любого другого нода в сети общего пользования или в сети предприятия?
Что там делает АСУТП ОПО?

Так можно дойти до абсурда, если проводить информационные границы ОПО как "левая нога захочет". Сейчас Вам выгодна граница тут, а через страницу - уже там.
Так дискуссии не ведут.

Почему ОПО имеет незащищённый канал с "кофеваркой"? /Это если "кофеварка" не входит в ОПО/
А если входит, то мы имеем классического "троянского коня", против которого бессильны предлагаемые СКЗИ, устанавливаемые по периметру.
Внедрение же СКЗИ внутрь АСУТП сразу вызовет к жизни анекдот из прикладной мэрфологии: "Система обеспечения безопасности выводит из строя остальные системы".
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)

Степа
осмотрелся
осмотрелся
Сообщения: 158
Зарегистрирован: 25 окт 2010, 10:30
Имя: Капуста Степан Степанович
Поблагодарили: 7 раз

Киберзащита АСУ ТП

Сообщение Степа »

Ryzhij, может непонятно говорил...
В общем, СКЗИ вводить надо в одном случае - на беспроводные каналы связи. Не разбираясь в опасности объекта, к которому кинут канал. Ну как максимум - в случаях прохода кабеля связи через физически неконтролируемые зоны. В других случаях кроме лишних затрат они реально ничего не принесут.
Причем СКЗИ надо с возможностью автоматической смены сеансовых ключей, с защитой от навязывания. Многолетняя криптостойкость тут не требуется - AES, ГОСТ чересчур избыточны, надо что-то полегче и попроще, что-то навроде RC4. Длина ключа 40 бит - даже с перебором при смене сеансовых ключей каждые полчаса-час.
В проводной сети вполне можно обойтись либо физическим разделением сетей с МСЭ на границах /грубо: на входе в цех, в промзону и, может, в крупные узлы промзоны типа участков, больших линий/ либо логическим с помощью VLAN. Остальные средства защиты - чисто программные: урезанные права пользователей, МСЭ на компьютерах, программы контроля целостности файловой системы, программы восстановления ФС /навроде FreezePC/... Ну, может, для успокоения особо нервных - антивирус /хотя пока никто внятно сказать не может, какой вирус может отловить антивирус при таких средствах защиты/.
Может еще чего надо, но это уже сильно выше АСУ ТП.
Вот как-то так.
Аватара пользователя

izhidkov
частый гость
частый гость
Сообщения: 404
Зарегистрирован: 25 фев 2016, 12:18
Имя: Жидков Игорь Алексеевич
Страна: РФ
город/регион: Королев/Фрязино
Благодарил (а): 4 раза
Поблагодарили: 12 раз

Киберзащита АСУ ТП

Сообщение izhidkov »

Степа писал(а): Если верить ФЗ "о лицензировании отдельных видов деятельности" /статья 12/, то обслуживать криптографические средства защиты, используемые для собственных нужд, можно без лицензии.
Разрабатывать криптографические средства защиты - это лицензия нужна.
Использовать же готовые устройства... В принципе, данный вид деятельности под п.5 части 1 попадает.
Я вот как-то раз конкурс на наладку пары ПЛК в ЦАГИ видел. Так вот они приплели к конкурсу требование по наличию лицензии на гос.тайну только из-за того что она нужна чтобы через турникет в ЦАГИ пройти, потому что так директор ЦАГИ решил ( ну или их ЦАГИ СБ). Так что эти "оговорки" на практике не работают. Идет к тому что хочешь заниматься АСУТП, будь добр плати лицензию на СКЗИ, а если провинишься, то и будет чем тебя шантажировать (отбором лицензии).
Компилятор - лучший друг человека!

Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 5793
Зарегистрирован: 07 окт 2011, 09:12
Имя: Гаско Вячеслав Эриевич
Страна: Россия
город/регион: Рязань
Благодарил (а): 674 раза
Поблагодарили: 845 раз

Киберзащита АСУ ТП

Сообщение Ryzhij »

Степа писал(а): Причем СКЗИ надо с возможностью автоматической смены сеансовых ключей, с защитой от навязывания. Многолетняя криптостойкость тут не требуется - AES, ГОСТ чересчур избыточны, надо что-то полегче и попроще, что-то навроде RC4. Длина ключа 40 бит - даже с перебором при смене сеансовых ключей каждые полчаса-час.
Вообще-то примерно так и работают пропиетарные протоколы беспроводной промышленной связи у того же Turck.
Да и у других производителей, наверняка, так же.

И зачем тогда изобретать велосипед, заморачиваться с лицензированием на криптографию?

Знаете, чем в корне плохи беспроводные технологии? Приёмнику легко и дёшево можно поставить помеху такой мощности, что сделает канал неработоспособным. А устойчивые к таким атакам системы с широкополосным шумоподобным сигналом слишком дороги. По крайней мере пока.
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)
Аватара пользователя

Anton Shipulin
read only
read only
Сообщения: 54
Зарегистрирован: 30 июл 2016, 22:00
Имя: Шипулин Антон Сергеевич
Страна: Россия
город/регион: Москва
Благодарил (а): 6 раз
Поблагодарили: 1 раз

Киберзащита АСУ ТП

Сообщение Anton Shipulin »

Ryzhij писал(а):
Внедрение же СКЗИ внутрь АСУТП сразу вызовет к жизни анекдот из прикладной мэрфологии: "Система обеспечения безопасности выводит из строя остальные системы".
А тем временем General Electric, Rockwell Automation, Schneider Electric и Siemens в этом году рассказали как они повышают защищенность своего оборудования и в том числе внедряют туда криптографию :)



Описание:
"PLC's, RTU's and other controllers have made securing industrial control systems (ICS) almost impossible. These devices were insecure by design. The features and functions provided everything an attacker would want without a vulnerability and exploit.

Fortunately this is changing. We are now seeing signed firmware, encrypted ICS protocols and other important security features so that an asset owner who cares about security can purchase or upgrade to a securable solution.

This panel discussion brings together the top PLC experts from the top PLC vendors: General Electric, Rockwell Automation, Schneider Electric and Siemens.
"
ICS Security Fan • Kaspersky Industrial Cybersecurity Business Development • RUSCADASEC Community Co-founder • Industrial Cybersecurity Center (CCI) Coordinator for Russia

Степа
осмотрелся
осмотрелся
Сообщения: 158
Зарегистрирован: 25 окт 2010, 10:30
Имя: Капуста Степан Степанович
Поблагодарили: 7 раз

Киберзащита АСУ ТП

Сообщение Степа »

izhidkov писал(а): Я вот как-то раз конкурс на наладку пары ПЛК в ЦАГИ видел. Так вот они приплели к конкурсу требование по наличию лицензии на гос.тайну только из-за того что она нужна чтобы через турникет в ЦАГИ пройти, потому что так директор ЦАГИ решил ( ну или их ЦАГИ СБ).
Я не видел, я в таком участвовал. Правда, то не конкурс был. Точнее конкурс - соревнование "кто быстрее сделает": специализированная контора или коллектив теоретически знакомых с задачей. Оформлялась куча бумаг на допуск, небось, еще и проверка какая-то проходила, выписали допуск... К тому времени, как допуск был получен, до начальства дошло, что спецконтора по-любому справится быстрее и допуск отняли. Даже до меня информацию о допуске довести в общем-то не успели: на выдаче допуска я сразу же расписывался и о снятии. Но то ли на пять, то ли на семь лет я стал невыездным...
Ryzhij писал(а): Вообще-то примерно так и работают пропиетарные протоколы беспроводной промышленной связи у того же Turck.
Благодарю. Надо будет посмотреть...
Как раз тут их представитель в поле видимости появился.
Ryzhij писал(а): Знаете, чем в корне плохи беспроводные технологии?
Потому я изначально так и говорил: временные каналы, аварийные и где без них не обойтись /на подвижных объектах большой протяженности пути - те же краны, к примеру/. Таких на самом деле будет очень немного - по пальцам одной, максимум двух рук посчитать, если к делу с умом подходить.
Ответить

Вернуться в «Информационная безопасность»