Киберзащита АСУ ТП

[Jackson]

Тут зародилась мысль о том, что АСУТП для хакеров - всё равно что неуловимый Джо, который неуловим только потому что нафиг никому не сдалось его ловить. А теперь растрындели по всему миру про хакинг какой-то там заштатной подстанции районного масштаба (спасибо украинским журналистам за красиво придуманный бред с понятной целью) - и понеслась.

[CHANt]

В этом то и фишка - не было никакого хакинга, была авария, которую списали))) Ну бред же, что оперативный руководитель (диспетчер)сидит и смотрит как по ремотеадмин выключатели гасят чуваки которые четко понимают нормальный режим работы электросети, а затем ибп гасят))) Специалисту электрику, да с прямыми телефонными каналами на подстанции))) Да полчаса восстанавливали)))Это как пилот исправного самолет в гору его направил))) еще можно массу подобного приводить. НОоо, киберрззащитникам нужно чудо! Они его нарисовали и буду презентовать до опупения)))

[Anton Shipulin]

Тут зародилась мысль о том, что АСУТП для хакеров - всё равно что неуловимый Джо, который неуловим только потому что нафиг никому не сдалось его ловить. А теперь растрындели по всему миру про хакинг какой-то там заштатной подстанции районного масштаба (спасибо украинским журналистам за красиво придуманный бред с понятной целью) - и понеслась.

В 2016 году провели исследование с подставными системами управления электростанциями, и показали что атакующие не стремяться сразу выклюать объекты. Цитата отсюда:

APT-группировки смогли «захватить» контроль над распределением электроэнергии и реле, способными отключить электростанцию от магистральной сети и потенциально лишить электричества тысячи человек.

Также внимание хакеров должны были привлечь такие уловки, как неправильно сконфигурированные системы, незащищенные Wi-Fi-сети и другие приемы.

Потенциальные взломщики реагировали по-разному. Большей частью атакующие пытались установить слежку, похитить технические данные, составить карту сетей SCADA или внедрить вредоносное ПО. Имея возможность перехватить контроль над электросетью, группировки продемонстрировали различные качества: американцы, русские и китайцы решили быть джентльменами и не тронули сеть. Злоумышленники с Ближнего Востока, напротив, пытались вывести сеть из строя.

«Данные их вообще не интересуют, — признал Чаудхури. — Как только они захватывали контроль над системой управления питанием, они бросались во все тяжкие и делали все, что хотели».

В противоположность им влиятельные группировки дистанцировались от нанесения прямого ущерба электросети, но тем не менее пытались заполучить данные, необходимые для взлома.

Оригинал выступления:

[Jackson]

Прямо как в анекдоте: "в последнее время я просто худею, дорогая редакция" - пишет нам на радио мальчик Лёня 9 лет.

В этом исследовании случайно не говорится, на каких именно электростанциях были обнаружены SCADA-сервера, расшаренные в интернет каналом с руку толщиной? Любопытно посмотреть.

Всё больше крепнет мнение, что одни некомпетентные люди проблему создали, другие такие же делают вид что решают методом "лечения поноса пробкой", в результате ничего не решено (потому что этим методом оно решено быть не может), но и те и другие при деле и при деньгах.

Хоть убей, не понимаю, зачем в ГЩУ стратегического объекта нужен интернет. Антон Сергеевич, может хоть Вы объясните? Или Вы только по безопасности специалист?

[+] Всё это напоминает мне

фильм Хакеры, который кто-то воспринял как документальный, а на самом деле это комедия.

[CHANt]

Хоть убей, не понимаю, зачем в ГЩУ стратегического объекта нужен интернет

В нашей стране Системный оператор требует наличие и телевидения, и интернета на том же ГЩУ электростанции. Так как электростанция является участником оптового рынка ЭЭ и должна получать задание от РДУ или ОДУ. Но никто не требовал и не разрешал все это держать на одном рабочем месте с технологическими системами и в технологическом сегменте ЛВС))). А так, в свое время даже резервировал на ГЩУ ТЭЦ интернет с использованием спутникового комплекта. ОПСОСы тогда ничего приличного не предлагали.))

[Anton Shipulin]

Коллеги, еще одна возможность похоливарить наяву :)
Приходите 19 октября на панельную дискуссия от журнала Цифровой подстанция: "Кибербезопасность: где границы разумного?" в рамках RUGRIDS-ELECTRO

«Призрак кибербезопасности» не покидает кулуары и официальные мероприятия. «Опасности подстерегают на каждом шагу», - твердят производители. «Вирус нашли на атомной подстанции», - передают в СМИ. «Угроз нет… это будет не скоро…», - настаивают представители эксплуатации.

Мы собираем представителей эксплуатации, производителей решений ИБ, производителей РЗА и АСУ ТП, чтобы однозначно определить «границы разумного» в вопросе кибербезопасности объектов электроэнергетики.

[Anton Shipulin]

Хоть убей, не понимаю, зачем в ГЩУ стратегического объекта нужен интернет. Антон Сергеевич, может хоть Вы объясните?

Не могу знать, Интернет на ГЩУ никогда не подключал :) Наверно для удобства

Или Вы только по безопасности специалист?

Как-то обидно звучит это ваше "только" :) Да моя специальность по диплому "комплексная обеспечение информационная безопасности автоматизированных систем" и аналогичный опыт работы инженером и руководителем проектов.

[Technic4]

https://www.youtube.com/watch?v=k4ilcYC9qbU
Разбор небольшой сценария атаки на электрическую сеть есть.
Ну, и реклама софта соответственно))))

[dtv]

...Да моя специальность по диплому "комплексная обеспечение информационная безопасности автоматизированных систем"...
Таджикский университет?

[Jackson]

В нашей стране Системный оператор требует наличие и телевидения, и интернета на том же ГЩУ электростанции. Так как электростанция является участником оптового рынка ЭЭ и должна получать задание от РДУ или ОДУ. Но никто не требовал и не разрешал все это держать на одном рабочем месте с технологическими системами и в технологическом сегменте ЛВС))). А так, в свое время даже резервировал на ГЩУ ТЭЦ интернет с использованием спутникового комплекта. ОПСОСы тогда ничего приличного не предлагали.))

Это понятно. Отдельный комп, отдельный провод - так и делается по необходимости/желанию. Я-то спрашиваю про операторские АРМы и вообще про АСУТП.
Кстати, подскажите пожалуйста, где конкретно отражено это требование? Мотивация ясна, просто хочется понять, это действительно регламентное требование или просто хотелка.

Отправлено спустя 1 минуту 27 секунд:

Не могу знать, Интернет на ГЩУ никогда не подключал :)

Ну тогда сразу вдогонку: о каком взломе хакерами и получения контроля над АСУ электростанций Вы тут говорите? Я понимаю что это не Вы, а кто-то там. Но зачем глупость-то транслировать?

Отправлено спустя 4 минуты 40 секунд:

Как-то обидно звучит это ваше "только" :)

Это уже Ваше восприятие. А я хочу знать с кем имею дело. И я не ошибся: в АСУТП Вы не специалист. Теперь я прямо спрошу: что Вы забыли в АСУТП, если Вы в ней не разбираетесь?
Есть случаи, когда совершеннейшие дилетанты приходят со своим научным подходом и дают действительно дельные советы и делают гениальные вещи, именно потому что они дилетанты. Я даже лично пользовался их творениями.

[+] вот например

Но это всё-таки редкость, и здесь не тот случай.

Тут на протяжении 11 страниц уже издеваются над безопасниками, потому что иначе к этому относиться не получается - Вы только сейчас это заметили?

Отправлено спустя 1 час 9 минут 20 секунд:

Приходите 19 октября на панельную дискуссия

Панельная дискуссия - в смысле девочки тоже будут? :)

[Anton Shipulin]

Ну тогда сразу вдогонку: о каком взломе хакерами и получения контроля над АСУ электростанций Вы тут говорите? Я понимаю что это не Вы, а кто-то там. Но зачем глупость-то транслировать?

Ну что бы говорить что это глупость (что результаты не правдоподобны, исследование сделано плохо, объекты не похожы на настоящие, атакующие их разоблачилии и так далее) надо быть специалистом по безопасности не хуже автора исследования, специалистом по анализу защищенности. Если вы следитие за развитием технологий то наверняка знаете про развитие возможностей и способностей атакующих. В чем глупость? В том что автор показал объект с подключением к Интернету и плохо настроенным фаерволом? Так практика аудитов показывает что это жизненная ситуация.

И я не ошибся: в АСУТП Вы не специалист. Теперь я прямо спрошу: что Вы забыли в АСУТП, если Вы в ней не разбираетесь?

Я смею считать что кое-что понимаю в кибербезопасности. И использую это со всеми предосторожностями для АСУ ТП. Кто Вам сказал что я в ней прям "не разбираюсь"? А то что я не знаю в АСУ ТП, я давно учу, учусь у друзей, коллег, клиентов специалистов по АСУ ТП. И тем самым мы взаимно дополняем знания друг друга.

А теперь в такой же форме я спрошу Вас: "Что из ИТ безопасности знаете Вы чтобы утверждать какие проблемы кибербезопасности реальны, и какие меры будут эффективны для АСУ ТП (которые базируются нынче на традиционных информационных технологиях)?

Тут на протяжении 11 страниц уже издеваются над безопасниками, потому что иначе к этому относиться не получается - Вы только сейчас это заметили?

Я считал что общаюсь, делюсь информацией с интеллигентными людьми.
А выходит что это идевательство :)

Мне не нравится ваш враждебный настрой. Для него нет оснований. Я со всем уважением читаю ваши мнения, делюсь с вами фактами и исследованиями, из которых можно вынести знания, здравое зерно, а в ответ получаю негатив.

Зачем эта конфронтация?

[VADR]

какие проблемы кибербезопасности реальны, и какие меры будут эффективны для АСУ ТП (которые базируются нынче на традиционных информационных технологиях)

Вообще говоря, не совсем так. Скорее - небазируются, но используют. Используют активно, иногда - бездумно. Но суть в том, что в АСУТП несколько другие приоритеты, нежели в обычных IT. К примеру, у IT-шников отключение сети и недоступность оборудования в течение 5 минут - это неприятность, в АСУТП это почти катастрофа. В IT появившиеся на рабочих станциях или серверах вирусы - достаточная причина, чтобы инфицированный объект отключить, в АСУТП он должен работать, ибо это меньшая беда, чем потеря контроля над оборудованием. Ну и так далее. Основной принцип - технология первична, со всем, что мешает работать, надо разбираться очень осторожно. И ещё более осторожно пускать козла в огород в систему людей, компетентность которых в этой системе вызывает сомнения. А именно такие сомнения возникают, когда читаешь документ под названием "ПРОФИЛЬ ЗАЩИТЫ МЕЖСЕТЕВЫХ ЭКРАНОВ ТИПА
«Д» ШЕСТОГО КЛАССА ЗАЩИТЫ ИТ.МЭ.Д6.ПЗ", а в нём - такой вот перл:

МЭ типа «Д» может иметь программное или программно-техническое исполнение и должен обеспечивать контроль и фильтрацию промышленных протоколов передачи данных (Modbus, Profibus, CAN, HART, Industrial Ethernet и (или) иные протоколы).

К людям, придумавшим такое требование, есть два вопроса:
1. Не могли бы вы показать рабочий пример такого МЭ?
2. Вы имеете представление о том, что такое Modbus, Profibus, CAN, HART, или просто вписали в текст все слова, которые нашёл гугль относительно предметной области?

[+] Анекдот на тему

Приходит в войсковую часть молодой лейтенант, вчерашний выпускник военного училища. Командир задаёт ему вопрос:
- Товарищ лейтенант, вы можете взять на себя командование взводом?
- Так точно!
- Ротой?
- Так точно!
- Полком?
- Так точно!
- Кораблём, подводной лодкой - можете командовать?
- Так точно!
- Продемонстрируйте!
- Подводная лодка! Равняйсь! Смирно!

[Ryzhij]

«Д» ШЕСТОГО КЛАССА ЗАЩИТЫ ИТ.МЭ.Д6.ПЗ", а в нём - такой вот перл:

МЭ типа «Д» может иметь программное или программно-техническое исполнение и должен обеспечивать контроль и фильтрацию промышленных протоколов передачи данных (Modbus, Profibus, CAN, HART, Industrial Ethernet и (или) иные протоколы).

К людям, придумавшим такое требование, есть два вопроса:
1. Не могли бы вы показать рабочий пример такого МЭ?
2. Вы имеете представление о том, что такое Modbus, Profibus, CAN, HART, или просто вписали в текст все слова, которые нашёл гугль относительно предметной области?

Можно и третий вопрос задать:
3. С каких это пор Industrial Ethernet стал считаться протоколом? ;)

[Anton Shipulin]

Скорее - небазируются, но используют. Используют активно, иногда - бездумно

Использование SNMP и Веб интерфейса (например) на контроллере это "базируются" или "используются"? Ответ: какая разница как это назвать. Наличие этого и неправильная настройка этого в АСУ ТП риски повышает.

Но суть в том, что в АСУТП несколько другие приоритеты, нежели в обычных IT. К примеру, у IT-шников отключение сети и недоступность оборудования в течение 5 минут - это неприятность, в АСУТП это почти катастрофа. В IT появившиеся на рабочих станциях или серверах вирусы - достаточная причина, чтобы инфицированный объект отключить, в АСУТП он должен работать, ибо это меньшая беда, чем потеря контроля над оборудованием. Ну и так далее. Основной принцип - технология первична, со всем, что мешает работать, надо разбираться очень осторожно.

Эту суть понимает каждый профессиональный"безопасник" АСУ ТП и сам обычно об этом всем рассказывает и использует этот принцип в свое работе. С этого начинается любой курс по безопасности АСУ ТП, любой стандарт по безопасности АСУ ТП. Соотвественно с этим никто никогда не спорит - это старая прописная истина.

И ещё более осторожно пускать козла в огород в систему людей, компетентность которых в этой системе вызывает сомнения. А именно такие сомнения возникают, когда читаешь документ под названием "ПРОФИЛЬ ЗАЩИТЫ МЕЖСЕТЕВЫХ ЭКРАНОВ ТИПА
«Д» ШЕСТОГО КЛАССА ЗАЩИТЫ ИТ.МЭ.Д6.ПЗ", а в нём - такой вот перл

А это уже вопрос профессиональности в безопасности АСУ ТП того кого пускают.
Вопросы по документу модно адресовать их автору.

Modbus, Profibus, CAN, HART, Industrial Ethernet

Это привдены лишь примеры. Надо сказать не самые правильные.

На рынке (мировом и российском) начали появляться устройства называющие себя классом "промышленные межсетевые экоаны" (например Tofino(Belden), Phoenix Contact и др.). К примеру поддерживающие фильтрацию на уровне содержимого промышленных протоколов (Modbus TCP, 104, DNP3, OPC и т.д.)
ФСТЭК попыталось стандартизировать требования к ним, соотвественно создало для них отдельный тип "Д" (ФСТЭК не придумывал этот рынок!). Я глубоко требования не анализировал. Но при беглом осмотре кроме указанных примеров протоколов больше промышленной специфики не видел в требованиях к типу "Д".

[izhidkov]

Мне не нравится ваш враждебный настрой. Для него нет оснований.

Есть. Безопасность IT пытается занять нишу АСУТП, что естественно вызывает противоборство АСУТПшников, т.к. "безопасность" IT это вопрос "IT", а не АСУТП.
Для АСУТП дыры ( а именно это ДЫРЫ IT, недоработки, фейлы и т.п.) IT это проблема IT, и путь ее решают IT.

Иначе: если IT пытаются предложить дырявое ПО для АСУТП, то пусть его доделают до нормального при любых обстоятельствах.

[Anton Shipulin]

Мне не нравится ваш враждебный настрой. Для него нет оснований.

Есть.

Имел ввиду лично ко мне. Я ничью нишу занять не пытаюсь :)

Безопасность IT пытается занять нишу АСУТП, что естественно вызывает противоборство АСУТПшников, т.к. "безопасность" IT это вопрос "IT", а не АСУТП.
Для АСУТП дыры ( а именно это ДЫРЫ IT, недоработки, фейлы и т.п.) IT это проблема IT, и путь ее решают IT.

Иначе: если IT пытаются предложить дырявое ПО для АСУТП, то пусть его доделают до нормального при любых обстоятельствах.

Я окончательно запустался :)
АСУ ТП содержит значительное количество IT (информационные технологии) в себе, с проблемами безопасности в том числе. Что делать с этими проблемами IT(дыры, недоработки, фейлы) известно. Специфика АСУ ТП безусловно должна учитываться.

Вроде у всех мысли в одном направлении, одна цель - безотказное штатное течение технологических процессов. Зачем этот поиск врага?
Враг - это глупый, безответсвенный "специалист" по АСУ ТП, IT, ИБ в своей области, не пытающийся понять точку зрения и доводов смежных областей.

[izhidkov]

Я ничью нишу занять не пытаюсь :)

Есть мнение, что ваш "заказчик" пытается.

[VADR]

На рынке (мировом и российском) начали появляться устройства называющие себя классом "промышленные межсетевые экоаны" (например Tofino(Belden), Phoenix Contact и др.). К примеру поддерживающие фильтрацию на уровне содержимого промышленных протоколов (Modbus TCP, 104, DNP3, OPC и т.д.)

Можно примеры? Может быть, я с гуглом справиться не смог, но ничего вразумительного не нашёл. И потом... Belden известен в основном хорошими кабелями, Феникс - приличными блоками питания. И у тех, и у других есть сетевое оборудование, но они далеко не лидеры в этой области (как и в полевых шинах). Откуда у них такие разработки, да ещё и впереди планеты всей? Или они тоже решили пополнить ряды стремящихся занять новую нишу на рынке?
Впрочем, напомню, что я писал чуть выше:

К людям, придумавшим такое требование, есть два вопроса:
1. Не могли бы вы показать рабочий пример такого МЭ?
...

Ладно, пусть это будет не рабочий пример (тут как-никак денежку вкладывать в оборудование надо), а схема с указанием устройств, подключений и выполняемых функций. Иначе всё это - беспредметный разговор.

[Marrenoloth]

Я пожалуй, подброшу дровишек.
http://plcforum.uz.ua/viewtopic.php?f=9&t=24526

[Jackson]

Кто Вам сказал что я в ней прям "не разбираюсь"? А то что я не знаю в АСУ ТП, я давно учу, учусь у друзей, коллег, клиентов специалистов по АСУ ТП. И тем самым мы взаимно дополняем знания друг друга.

Никто не сказал. Я же ясно написал: сделал такой вывод. Почему я так решил? Потому что Вы не ответили ни на один прямой вопрос, причем совершенно практический. А без практики тут делать нечего. Или Вы просто не хотите отвечать - тогда зачем этот разговор, если одна из сторон глухая?

Ну что бы говорить что это глупость (что результаты не правдоподобны, исследование сделано плохо, объекты не похожы на настоящие, атакующие их разоблачилии и так далее) надо быть специалистом по безопасности не хуже автора исследования

Ничего подобного. Если доведётся попасть на ПНР именно по АСУТП куда-то на отдалённый объект - Вам быстро там объяснят что и как, сами увидите. Попробуете им там объяснить что-то про безопасность. А пока Вы теоретизируете о том, чего не знаете. У Вас есть целая теория по заворачиванию болтов, но гаечного ключа Вы в руках не держали ни разу - именно поэтому вся эта теория ничего не стОит ровным счётом.

В чем глупость? В том что автор показал объект с подключением к Интернету и плохо настроенным фаерволом? Так практика аудитов показывает что это жизненная ситуация.

Глупость не бывает массовой?
Это стадный инстинкт: как везде - значит правильно. Ничего подобного.

Если вы следитие за развитием технологий то наверняка знаете про развитие возможностей и способностей атакующих.

А если бы Вы были в курсе технологий АСУТП, то прекрасно бы знали что все эти возможности атакующих легко разбиваются об отрезанный провод, и всё.

Зачем на ГЩУ ЭС нужен интернет - Вы даже понятия не имеете зачем, но утверждаете что его надо защищать. Человек, который утверждает то, о чём не знает - хороший специалист? К его мнению стОит прислушаться, да? Тут больше продажами попахивает: "неважно что это у вас, но вам очень нужно нам заплатить чтобы мы это обслуживали за ваши деньги, потому что нам виднее ". Чистый бизнес. Как пенсионеров сейчас на лекарства разводят - слышали? А я видел этих разводил. Подход - ровно 1 в 1 такой же. И вот такие в основном новые "эффективные безопасники".

[Jackson]

Это привдены лишь примеры. Надо сказать не самые правильные.

Это не пример, а конкретное указание. Как уголовный кодекс - он не может быть "например". Это ведь документ, а не повесть о жизни контроллеров.

Вот и интересно посмотреть, кто и как собирается фильтровать CAN J1939 где телеграммы летят каждые 5-10 мсек и задержка еще на 5 мсек черевата остановкой или провалом агрегата. А главное - зачем и от чего.

[Marrenoloth]

А как вот от такого защищаться?
https://m.habrahabr.ru/post/302276/

[pike]

Помню в ряде старых контроллеров с которыми мне доводилось работать был физический переключатель, который блокировал любую связь с памятью программы: изменение, копирование, стирание.

[Valerich]

Ну вот, дочитался:

img-2016-10-11-20-17-08.png

[vodav]

Ересь все это. Какие могут быть стандарты в защищенной системе? Самый лучший способ защиты - это секретность и маскировка, а любой стандарт предполагает публичность своих основ. Берите за основу принципы информационной защиты 1-го отдела и будет вам счастье.