Киберзащита АСУ ТП

[rusik]

Скоро уже месяц, как остается без ответа моя просьба:
viewtopic.php?f=13&t=8253#p71731
Из этого простого факта можно сделать, например, такие выводы:
1. Мы (сообщество форума) не сведущи в вопросах практической информационной безопасности, рекомендуемой производителями по своим продуктам, но при этом тема "Киберзащита АСУ ТП" уже насчитывает более 300 сообщений каких-то букв.
2. Мы (сообщество форума) не помогаем друг другу, зато легко дискутируем и воспитываем совершеннолетних людей.

Надеюсь все-таки, что решение моей проблемы найдется.

[Technic4]

спец по ИБАСу

Черт, это шедевр

[Marrenoloth]

rusik, так тут ветка располагает к выяснением кто таки выше на дереве сидит (очень, кстати, интересно с точки зрения практической психологи). А ИБАСники же четко определили сами, что в этой области все практические знания или искать самому, или за деньги. Не вижу повода удивляться.

[Василий Иванович]

Вот Клинтон сегодня прямо обвиняет Россию в киберпреступлениях (не имея на это документальных подтверждений), но тем не менее Вы же не станете утверждать, что преступления эти не были совершены.

Стану.
Нет фактов - нет правды.

Оставлю без комментариев. Переубеждать Вас считаю бессмысленным, а непревзятый читатель сам разберётся.

Первым - те же люди, чей представитель как-то пробиркой с белым порошком на заседании ООН тряс.

Ага-ага, всюду политика и заговоры. Но только в нашем случае это не политик с трибуны, а уважаемая техническая организация, которая в принципе НИКОГО не обвиняет. Они констатируют лишь факт атаки. Обвинить там никого не получится, до тех пор, пока кто-то из преступников сам не сознается, настолько там тяжело с уликами.

И вообще, лгут все, и свои и чужие, с самых высоких трибун. Не буду здесь приводить примеров, чтобы не разводить флейм.
Но это ведь не повод безосновательно отрицать сообщения специалистов, причём одних из лучших в отрасли. Найдёте несоответствия - возражайте, а возражения навроде "у них там негров притесняют", это , извините, детский сад.

[Alkor]

Я вообще не понимаю, как должны функционировать контроль-фильтрация в протоколе с одним мастером. Не говоря уже о цели такой фильтрации. Запретить передачу запретных команд или данных?

Так вот суть этой полемики была - мужики, специалисты по ИБ, Вы говорите что есть у Вас люди обученные, в теме понимающие, так дайте им готовить статьи, обзоры или с нами "пообщаться". А то сплошные ляпы в статьях, непонятные взломы специализированных устройств, загадочные намеки на шифраторы пром. протоколов, теперь вот еще и МСЭ не понять на что ))) да еще и в нормативных документах ФСТЭК ))) Так вот, Василий Иванович, проще Вас и коллег по форуму спросить, чем получить ответ от "профессионалов ИБ". Ведь масса технических требований отраслевых, которые мы обязаны выполнять и в процессе проектирования, и в ходе эксплуатации, а тут нарисовались друзья со своим уставом (не предложениями), и давай загадочные нормы, аппараты, суперпродукты всякие нам "рекламировать/нормировать". ))) Вся тема в чушь свалилась. Ни один специалист в теме не оспаривает необходимость ИБ! Наоборот! Но все что нам предлагают это прочитать, взять на вооружение то что является сырым материалом, не выдерживающим никакой критики, а то и вообще является фантастикой. ))) Хочу конструктива! ))) Вот тебе мероприятия, вот тебе рынок устройств/систем, вот тебе порядок контроля, периодичность обслуживания, вот тебе виды проектной/эксплуатационной документации и все! Выполнишь - все защищено, иди честно за зарплатой. )))

Доброго времени суток всем!

Очень хороший пост, отражает по сути то, что творится сейчас в нашей отрасли ИБ
Поскольку это мое первое сообщение здесь, напишу немного о себе: инженер, диплом закрытый - открытая специализация инженер по эксплуатации средств электросвязи 1986 год. Более 20 лет служил в ВМФ на Северном флоте, с 1995 года профессионально занимаюсь вопросами информационной безопасности (ИБ).
В настоящее время, более 15 лет уже работаю в различных компаниях по направлению информационная безопасность. Практик, МВА у меня нет. Предположу, что многие в ИБ меня знают :).

Теперь по сути темы форума и поста, приведенного мной выше:

1. Информационную безопасность на 80-90% в АСУ ТП можно обеспечить организационными мерами, вы в этом совершенно правы на форуме. Только эти меры должны быть грамотно продуманы, соответствовать реалиям и главное практически выполнимы. Их также нужно периодически контролировать на предмет выполнимости.

2. Тему ИБ и киберзащиты АСУ ТП искусственно грели несколько лет, раздувая с каждым годом масштабы проблемы отдельные производители продуктов ИБ и менеджеры. Это закон рынка в общем то, на волне новой темы он развивается и растет, в отрасль ИБ идут новые специалисты и темы.

3. Специалисты - настоящих, тех что могут называться безопасником с большой буквы и которых вы хотели бы послушать - относительно немного, особенно если сравнивать количество, масштабность, посещаемость всех мероприятий по ИБ и поток статей в тему. Но достойные люди все же в отрасли присутствуют в достаточном количестве, правда в основном они также, как и вы занимаются своими прямыми делами и им просто некогда писать статьи. Вместе с тем, в отрасли ИБ стало очень много маркетологов, менеджеров, продавцов, да и просто случайных (временных) людей. Отсюда и материалы, читать или слушать которые откровенно не интересно, а порой и вредно. Также, порой бессмысленные продажи железа и ПО ИБ к вам на объекты.

4. Тема 31 приказа ФСТЭК выглядит даже намного серьезнее, чем вы уважаемые коллеги здесь ее обсуждаете. Если коротко, то основная проблема сейчас кроется даже в базовых понятиях и терминологии во всех издаваемых руководящих документах ИБ, затрагивающих объекты АСУ ТП, КВО и прочие объекты. Что важно понимать: "Выполнишь - все защищено, иди честно за зарплатой" - это по большому счету иллюзия. Даже если выполнить все (это предположение, а не утверждение), но инцидент ИБ тем не менее произойдет, то в зависимости от последствий инцидента будут сделаны выводы и произведено наказание.

Задача настоящего специалиста разобраться самому и помочь вам разобраться с выполнением всех необходимых и достаточных мер, а также грамотно обосновать это.


В общем, если у вас коллеги, есть вопросы по теме ИБ, я готов давать по ним пояснения и ответы, по мере своих возможностей:)

[UA9WNF]

Всем добрый вечер. Не прошёл мимо этой темы, увидев ссылку сюда на фонтанке, "с интервью чела из касперский".
Да действительно безопасная эксплуатация АСУ ТП (далее система) (в особенности ОПО) обеспечивается наличием ПСД, прошедшей экспертизу пром.безопасности..., изменения в объекте, в проекте не допускаются, - ФЗ 116. Объект должен эксплуатироваться в соответствии с ПСД, - ФЗ-384...
Да подтверждаю, что в некоторых случаях раздувается "истерия", чтобы срубить доп.денежные средства, особенно ведутся на такие действия около специалисты ...а уж из бюджета "попилить"... только дай такую возможность...
Прочитал все сообщения с интересом в теме, по некоторым ссылкам (в ютубе) не ходил, бессмысленно...
Да экраны, с шифрованием конечно вещь "хорошая", особенно между датчиком например на трубе и контроллером по 4-20 в аналоге, и не удивлюсь, если начнут и туда экраны впаривать...
Безопасность АСУ объекта, а тем более ОПО, будет обеспечена, если не будет никакой связи с внешним миром (имеется ввиду с ИТешной инфраструктурой). А то есть вообще никакой, никаких патчей, апдейтов, флешек не должно быть в помине, - это те же нарушения ФЗ-116.
И так же, если системе требуются патчи, апдейты и прочее, это сырая и недоработанная система, а то бишь производитель продал недоработанный продукт. В соответствии с теме же требованиями ФЗ-116, производитель устанавливает срок экспл. системы, если он не установлен производителем, то это 20 лет. В течении 10 лет производитель обязан обеспечить возможность ремонта, "содержания", так сказать проще..."сопровождения"...то есть поддержания именно в таком качестве и составе систему, как это предусмотрено ПСД. Если производитель этого не гарантирует, то выбирать такого производителя нельзя!!!
Про функции системы, действительно выполнение функций АСУ должно быть организовано так, чтобы в системе никакими возможностями, хоть по ПО, хоть в железе невозможно будет внести какие-либо некорректные действия...
Остальноё всё от лукавого...

[Ryzhij]

Где бы ещё такие компы найти, что лет двадцать выпускаться будут ;)

[UA9WNF]

"А разве про компы речь идёт?!" или это такой "стёб"...речь идёт про ИБ в АСУ ТП, и про АСУ ТП, которое работает в том же ОПО, или ином ответственном объекте...
Про 20 лет это, что написано буквально в ФЗ-116 по ОПО, если производителем не установлен иной срок эксплуатации прибора, устройства.... Не более того, что хотел написать. А то есть, если устройство на ОПО скажем так не обеспечивает его работоспособность в течении срока эксплуатации установленного в тех. паспорте и производитель не гарантирует его работоспособность, предусмотренную в ПСД, а ПСД по ОПО понятно откуда берётся, то что? ...

[AGorskiy]

Не прошёл мимо этой темы, увидев ссылку сюда на фонтанке, "с интервью чела из касперский".

Не могли бы указать эту ссылку, я увы не нашел. Спасибо.

[UA9WNF]

Не могли бы указать эту ссылку, я увы не нашел. Спасибо.

http://www.fontanka.ru/2016/10/22/061/

[Jackson]

http://www.fontanka.ru/2016/10/22/061/

И где там конкретно?

[AGorskiy]

Женя, я нашел, это в коментах
http://blog.fontanka.ru/posts/206643/#cmt-7829858

Написал tuzic •
22 октября 2016 г. 22:56
grannie: А чего мудрого то? Атака "человек посередине" на государственном уровне это конечно очень мудро. Вообще похоже у ребят стало плохо с деньгами. И они лезут своими грязными ногами всюду где их не ждут. Вот тут про их инициативы в АСУ ТП viewtopic.php?f=104&t=8123 Ну не уроды же?

[Jackson]

Женя, я нашел, это в коментах

Вон оно где. :)
Интересно, они хоть поняли на что сослались? :)

[UA9WNF]

Тут в теме задавался вопрос, а как удобоваримы датчики например эмерсон по вай фай в АСУ ТП?! В ключе естественно по ИБ АСУ ТП. Если отвечать на вопрос в части ИБ, то никак, уязвимая вещь, просто тупо передатчик включил с несущей на частоте датчика (ов) и вся система не работает, даже с конспирологической теорией это возможно сделать из космоса...и зачем "угадывать" ключи шифрования...?! и кто будет ловить и вычислять помеху?! Службу для этого надо иметь с приборами...
В АСУ ТП такие действия вообще недопустимы, поскольку технологический процесс это непрерывные действия...То бишь зная риск, что на расстоянии возможно его остановить фактически, то выбирать например на ОПО такие устройства не стоит, это моё мнение, на этой стадии...
В коммуналке да в части автоматизации процессов, такие устройства даже очень желанны, но они дороги...Вот туда бы направили свои действия, вопрос только заключается в объёмах извлечения прибыли..в нефтянке это проще делать, самое главное "втереть" кому надо...
Тоже в телемеханике, составляющей части АСУ ТП, тоже не вопрос...желанно...
Вопрос экономии меди, как "акцентируют" лоббисты этих устройств для их применения, не актуален, есть иные способы, присоединения к системе датчиков, той же оптикой...

[Anton Shipulin]

А тем временем 18 октября 2016 г. ФСТЭК утвердила требования по безопасности к операционным системам. Требования распространяются и на автоматизированные системы управления производственными и технологическими процессами

с 1 июня 2017 г. разрабатываемые и производимые операционные системы, используемые для защиты информации, должны соответствовать Требованиям.

В соответствии с Требованиями выделяются следующие типы операционных систем:

операционная система общего назначения (тип «А») – операционная система, предназначенная для функционирования на средствах вычислительной техники общего назначения (автоматизированные рабочие места, серверы, смартфоны, планшеты, телефоны и иные);

встраиваемая операционная система (тип «Б») – операционная система, встроенная (прошитая) в специализированные технические устройства, предназначенные для решения заранее определенного набора задач;

операционная система реального времени (тип «В») – операционная система, предназначенная для обеспечения реагирования на события в рамках заданных временных ограничений при заданном уровне функциональности.

Операционные системы, соответствующие 6 классу защиты, применяются в ... автоматизированных системах управления производственными и технологическими процессами 3 класса защищенности...

Операционные системы, соответствующие 5 классу защиты, применяются в ... автоматизированных системах управления производственными и технологическими процессами 2 класса защищенности...

Операционные системы, соответствующие 4 классу защиты, применяются в ... автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности...

[Ryzhij]

Выделено мной

Требования применяются к операционным системам, используемым в целях обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, и иной информации ограниченного доступа при ее обработке в информационных системах (автоматизированных системах управления).

Требования предназначены для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию средств защиты информации, заявителей на осуществление обязательной сертификации продукции, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям безопасности информации.

Выполнение Требований является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств технической защиты информации и средств обеспечения безопасности информационных технологий, организуемых ФСТЭК России в пределах своих полномочий.

Прям легче стало...

[Василий Иванович]

Тут в теме задавался вопрос, а как удобоваримы датчики например эмерсон по вай фай в АСУ ТП?! В ключе естественно по ИБ АСУ ТП. Если отвечать на вопрос в части ИБ, то никак, уязвимая вещь, просто тупо передатчик включил с несущей на частоте датчика (ов) и вся система не работает, даже с конспирологической теорией это возможно сделать из космоса...и зачем "угадывать" ключи шифрования...?! и кто будет ловить и вычислять помеху?! Службу для этого надо иметь с приборами...

Вы ошибаетесь, так не получится. У Эмерсона в случае помехи на одной частоте система перепрыгивает на другую.

[VADR]

Вы ошибаетесь, так не получится. У Эмерсона в случае помехи на одной частоте система перепрыгивает на другую.

При желании закрыть все частоты - не проблема. Как статически - пачка генераторов на каждую частоту, так и динамически - приёмник перебирает частоты, ищет ту, на которой пытаются работать - и глушит её.

[Jackson]

Вы ошибаетесь, так не получится. У Эмерсона в случае помехи на одной частоте система перепрыгивает на другую.

А широкополосный пробкотрон? У Wi-Fi не такой уж широкий диапазон частот, не проблема закрыть весь. Эти глушилки даже на рынках порой продаются, пользуются спросом у охранных фирм и преступников (у последних - например для угона автомобилей) и даже рассматривался какой-то закон по их легализации - не могу сказать, в итоге приняли или нет.

А у Александра, насколько я помню (поправь, Саш, если я ошибаюсь), Wi-Fi глохнет и без всяких глушилок - от проезжающего неподалеку электровоза.

Другой вопрос в том, что злоумышленник должен наверняка знать, что на объекте есть датчики с Wi-Fi, чтобы точно взять с собой глушилку, и чтобы привести её в действие удалённо, её сначала надо разместить в нужном месте, то есть получить физический доступ на объект. А когда физический доступ получен - уже абсолютно неважно какой там датчик: он будет выведен из строя хоть кусачками хоть глушилкой, если надо. И этот способ диверсии, мне кажется, рассматривать вовсе бессмысленно, т.к. против лома нет приёма, кроме как другого лома. Тип датчика тут роли не играет.
Правда есть совершенно невообразимый сценарий о том, чтобы удалённо влезть в сеть предприятия, запустить туда ложный наряд на выполнение сварочных работ электросваркой в районе датчика в нужное время, и когда рабочие начнут варить то Wi-Fi в радиусе 20 метров от них загнётся точно. Но и это уже к типу датчика отношения не имеет: раз влезли в сеть предприятия - пустят любую пулю какую надо, необязательно такие сложности изобретать, и надо детально знать производство для такого невообразимого сценария, то есть получить туда физический доступ. И значит снова датчики ни при чём.

Так что применяйте датчики с Wi-Fi спокойно (если решили) - при необходимости их сломают точно также как и любые другие.

[andrmur]

Так что применяйте датчики с Wi-Fi спокойно

Хоть это не меняет суть дискуссии, для чистоты вопроса -- никакие промышленные датчики не используют Wi-Fi. Датчики работают на стандарте IEEE 802.15.4 (low power mesh), прикладные протоколы WirelessHART или ISA100.11a.
ПМСМ, широкополосная глушилка беспроводного сигнала это такая же кибератака, как перерубание кабеля топором.
Вопросы ИБ для беспроводной сети подробно освещены тут:
http://www2.emersonprocess.com/siteadmi ... curity.pdf

[Jackson]

ПМСМ, широкополосная глушилка беспроводного сигнала это такая же кибератака, как перерубание кабеля топором.

Андрей, привет!
Я хотел сказать, что в любом случае это подразумевает прямой физический доступ на объект, а значит этот вопрос уже не лежит в области топика совершенно. "Я так дУмаю" (с)

[Anton Shipulin]

Опубликованы материалы выступлений с четвертой конференции Лаборатории Касперского "Кибербезопасность АСУ ТП", прошедшей в г. Иннополис 10-12 октября

[VADR]

А у Александра, насколько я помню (поправь, Саш, если я ошибаюсь), Wi-Fi глохнет и без всяких глушилок - от проезжающего неподалеку электровоза.

Не совсем у меня и не совсем WiFi :). У нас в окрестности железной дороги (в пределах метров 500-700 от линии) при проезде электровоза из-за помех цифровое ТВ DVB-T2 не работает совсем.

чтобы привести её в действие удалённо, её сначала надо разместить в нужном месте, то есть получить физический доступ на объект

Тут всё зависит от того, какие ресурсы атакующих готов использовать для реализации атаки. Глушилка WiFi прекрасно поместится в каком-нибудь гаджете, подаренном уборщице. Тут вопрос психологический - каким образом подарить (дать найти на лестничной площадке, к примеру) и что это может быть, чтобы она унесла это на работу (портативный телевизор?). Активировать можно по SMS. Всё это на сегодняшний день уже не запредельно дорого и весьма компактно.

[Jackson]

Тут всё зависит от того, какие ресурсы атакующих готов использовать для реализации атаки. Глушилка WiFi прекрасно поместится в каком-нибудь гаджете, подаренном уборщице

Так это и есть прямой физический доступ. Когда он есть - сделают всё что надо, можно расслабиться.

Не совсем у меня и не совсем WiFi :).

Я подзабыл чего-то. кто-то рассказывал в теме про беспроводные датчики про дохнущую из-за электровоза связь, мне казалось это был ты.

[VADR]

мне казалось это был ты

Нет, не я.