Киберзащита АСУ ТП

[VADR]

Самый лучший способ защиты - это секретность и маскировка, а любой стандарт предполагает публичность своих основ.

А вот не согласен. Если идти по этому пути, получаем с вероятностью, близкой к единице, офигительную иллюзию защищённости вместо собственно защиты.

[Jackson]

Ну вот, дочитался:

А что там? :)

[Romcheg]

Ну вот, дочитался:

А что там? :)

Там контекстная реклама от Яндекса на тему ИБ и ФСТЭК, у меня теперь тоже весь браузер пестрит этими банерами по всем страницам после данной темы форума, которую регулярно открываю. :)

[dtv]

Используйте AdBlock, отлично помогает.

[Jackson]

Там контекстная реклама от Яндекса на тему ИБ и ФСТЭК

Это я понял. :) Правда мне другие вещи показывают.
Я имел в виду - куда ведёт ссылка?

Используйте AdBlock, отлично помогает.

Блокируя баннеры на нашем форуме, вы отнимаете деньги, которые идут на оплату хостинга.

[Romcheg]

На вот это вроде оно все время ссылается:
http://infosystems.ru/services/informac ... su_tp.html
http://infosystems.ru/index.php?id=742

[Valerich]

Блокируя баннеры на нашем форуме, вы отнимаете деньги, которые идут на оплату хостинга.

Пользуюсь AdGuard, но asutpforum.ru и многие другие сайты, которые хочется поддержать, у меня в исключениях.

[AGorskiy]

Обезопасить критически важную инфраструктуру - в России создается глобальный центр компьютерной безопасности для транспортных, энергетических, коммунальных и подобных им компаний. Что бывает, если злоумышленники получают доступ в индустриальные сети, как от этого защититься и кто этим займется.

Видео - http://www.vesti.ru/videos/show/vid/694686/cid/160/#

[izhidkov]

И люди с форма мелькнули на видео

Я готов обратиться в центр Кибербезопасности! ) У меня с "Моего Компьютера" пропали 2 жестких и 2 сетевых диска,а 1 остался. Я подозреваю, что мой ПК стал частью БотНетСети пытающейся уничтожить Мир.

[Anton Shipulin]

Обезопасить критически важную инфраструктуру - в России создается глобальный центр компьютерной безопасности для транспортных, энергетических, коммунальных и подобных им компаний. Что бывает, если злоумышленники получают доступ в индустриальные сети, как от этого защититься и кто этим займется.

Видео - http://www.vesti.ru/videos/show/vid/694686/cid/160/#

Собственно Kaspersky Lab Industrial Control Systems Cyber Emergency Response Team (ICS CERT)

[Василий Иванович]

Не могу знать, Интернет на ГЩУ никогда не подключал :)

Ну тогда сразу вдогонку: о каком взломе хакерами и получения контроля над АСУ электростанций Вы тут говорите? Я понимаю что это не Вы, а кто-то там. Но зачем глупость-то транслировать?

Я бы не стал так скептически относиться к наличию удалённого доступа к АСУТП электростанции. Возьмём одного из мировых лидеров в автоматизации электростанций - систему T3000:
http://www.energy.siemens.com/hq/en/aut ... -t3000.htm
Обратите внимание на список объектов из рекламки - по всему миру разбросано.
Так вот, в потрохах своей системы Сименс копаться не дозволяет и продаёт закрытые блоки. Которые может грузить удалённо на любой свой объект, чем и пользуются заказчики. Вот Вам столь желанный Вами пример.

И потом, критическая инфраструктура - это не всегда электростанция. Это может быть и водокачка, и очистные, и железнодорожная диспетчерская. А вот химзавод - может ею и не быть, например. Ещё лет десять-пятнадцать тому назад один обиженный уволенный инженер АСУ открыл по удалёнке шлюзы очистных и выпустил дерьмо в реку - вот Вам ещё один пример из критической инфраструктуры, причём самая настоящая дыра с самым настоящим злоумышленником и крупным ущербом.

Тема на самом деле не высосана из пальца, просто около неё уже очень много народу (квалифицированного и не очень, честного и не очень) кормиться хочет. Но это ведь нормально. Всюду, где заказы - всюду море желающих их освоить.

[Jackson]

Василий Иванович, конечно я тоже знаю что удалённый доступ используется и очень широко - у самих есть крупный пример с контролем ветряков по всему миру (и куча мелких), это не редкость и не только в энергетике. Вопрос реализации.

Но я хотел это всё или что-то подобное вразумительное услышать от того, кому свои вопросы я адресовал.

[Василий Иванович]

Для нас с Вами не секрет, что наша профессия - пересечение разных дисциплин, одинаково хорошо разбираются в которых совсем немногие. Причём хорошие электрики как правило выбиваются в начальство, поскольку могут нести ответственность, а хорошие программисты с админами как правило уходят в чистое айти, поскольку там лучше платят. В результате имеем ситуацию в отрасли, когда в начальство слабо разбирается в айти (зато апломб - огого какой у многих), а подчинённые - желторотые выпускники ВУЗов или недоучившиеся самоучки (и у этих с эго тоже всё в порядке). Это на самом деле беда, но как-то с этим надо жить, причём выход - не поиск пробелов в знаниях других, а сотрудничество и взаимопомощь.

[Jackson]

Это на самом деле беда, но как-то с этим надо жить, причём выход - не поиск пробелов в знаниях других, а сотрудничество и взаимопомощь

Всё верно, я полностью согласен!
Но согласитесь и Вы: одно дело когда человек, не обладающий знаниями советуется или хотя бы прислушивается, и совсем другое - человек считает что его знаний достаточно и начинает что-то уверенно утверждать, а в рассматриваемом вопросе ещё и претендовать на определение общих тех.решений по всей отрасли. С чем человек пришёл - с тем и ушёл. Антон ведь мог задать какой-то вопрос - он не задал ни одного, он мог честно сказать "я не знаю" (хотя 1 раз всё-таки смог). Он же цитировал, мягко говоря, спорные вещи и принимал их за истину, а наверное теперь недоумевает (если нет - плохо дело). Тут вопрос даже не в технике а в элементарном воспитании: не стоит так уверенно лезть со своим уставом в чужой монастырь.
Я считаю, ему очень много объяснили, а в таком тоне потому как сам слишком много объяснял и слишком мало слушал. Мне научрук говорил: сейчас никто не читает - сейчас все пишут, потому что на чтении ты ничего не заработаешь. Так что это тоже часть образования молодого специалиста, потому как общечеловеческие качества тут не последнюю роль играют. Если немного попридержит своё самолюбие - поймёт что к чему и выйдет толк.

[Anton Shipulin]

Это на самом деле беда, но как-то с этим надо жить, причём выход - не поиск пробелов в знаниях других, а сотрудничество и взаимопомощь

Всё верно, я полностью согласен!
Но согласитесь и Вы: одно дело когда человек, не обладающий знаниями советуется или хотя бы прислушивается, и совсем другое - человек считает что его знаний достаточно и начинает что-то уверенно утверждать, а в рассматриваемом вопросе ещё и претендовать на определение общих тех.решений по всей отрасли. С чем человек пришёл - с тем и ушёл. Антон ведь мог задать какой-то вопрос - он не задал ни одного, он мог честно сказать "я не знаю" (хотя 1 раз всё-таки смог). Он же цитировал, мягко говоря, спорные вещи и принимал их за истину, а наверное теперь недоумевает (если нет - плохо дело). Тут вопрос даже не в технике а в элементарном воспитании: не стоит так уверенно лезть со своим уставом в чужой монастырь.
Я считаю, ему очень много объяснили, а в таком тоне потому как сам слишком много объяснял и слишком мало слушал. Мне научрук говорил: сейчас никто не читает - сейчас все пишут, потому что на чтении ты ничего не заработаешь. Так что это тоже часть образования молодого специалиста, потому как общечеловеческие качества тут не последнюю роль играют. Если немного попридержит своё самолюбие - поймёт что к чему и выйдет толк.

Уважаемый, Евгений свет Брониславович, отвечаю вам из очередной командировки. К сожалению не всегда есть возможность вести с вами длинную полемику. Но тут считаю нужно ответить. К сожалению, у вас сложилось странное неправильное паредставление обо мне. Вы видите во мне какого то "врага" вашим убеждениям. Хотя для этого нет оснований. Нигде в своих сообщениях я не говорил что умнее кого-то в автоматизации процессов, не называл себя экспертом в этом. Я рассказываю дополнительную актуальную информацию по безопаности (которуе вы почему то воспринимаете в штыки) с целью поделиться, помочь (я трачу личное время для поиска и предоставления этой информации сообществу). И делаю это без выпячивания самолюбию. Это не значит "лезть в чужой монастрырь". И к советам прислушиваюсь. Я как я писал выше, может быть вы не заметили, у меня много друзей специалистов АСУ ТП среди вендоров, заказчиков коллег, у которых я учусь. В общем бросайте Вы эту конфронтацию. Попробуйте увидеть позитив в моих сообщениях. Приходите на живые встречи!
К сожалению формат форума и отсутвие личного времени не позволяет делиться здесь всей информации. За этим можно следить в группе фэйсбук и чате телеграм.

[Anton Shipulin]

Это на самом деле беда, но как-то с этим надо жить, причём выход - не поиск пробелов в знаниях других, а сотрудничество и взаимопомощь.

Согласен с вами на 100%. Действую в соответсвии с этим принципом

[Anton Shipulin]

Василий Иванович, конечно я тоже знаю что удалённый доступ используется и очень широко - у самих есть крупный пример с контролем ветряков по всему миру (и куча мелких), это не редкость и не только в энергетике. Вопрос реализации.

Но я хотел это всё или что-то подобное вразумительное услышать от того, кому свои вопросы я адресовал.

Какая разница от кого получен правильный ответ, если он в итоге получен :) Думайте не обо мне, а о том как ответ вам поможет в работе.
И я кстати отвечал вам, но видимо это недостаточно вразумительно. А в итоге все согласны что это жизненная ситуация.

В чем глупость? В том что автор показал объект с подключением к Интернету и плохо настроенным фаерволом? Так практика аудитов показывает что это жизненная ситуация.

[Anton Shipulin]

Ничего подобного. Если доведётся попасть на ПНР именно по АСУТП куда-то на отдалённый объект - Вам быстро там объяснят что и как, сами увидите. Попробуете им там объяснить что-то про безопасность. А пока Вы теоретизируете о том, чего не знаете. У Вас есть целая теория по заворачиванию болтов, но гаечного ключа Вы в руках не держали ни разу - именно поэтому вся эта теория ничего не стОит ровным счётом.

Доводится работать со специалистами заказчиков по АСУ ТП, почему-то попадаются адекватные понимающие проблему безопаности специалисты. Участвуем большой компетентной командой. Получается совместно находиться оптимальное конструктивное решение.

А если бы Вы были в курсе технологий АСУТП, то прекрасно бы знали что все эти возможности атакующих легко разбиваются об отрезанный провод, и всё.

1. Специалисты "в курсе технологий АСУТП" потверждают опасность возможностей атакующих
2. Отрежте провод на картинке ниже. И вектора останутся
3. Отрезанный провод - это состяние в один момент времени. Завтра кто то может сделать себе для удобсва дополнительный канал например временно (и оставит его на всегда). Практика аудитов.

Зачем на ГЩУ ЭС нужен интернет - Вы даже понятия не имеете зачем, но утверждаете что его надо защищать. Человек, который утверждает то, о чём не знает - хороший специалист? К его мнению стОит прислушаться, да?

Вы меня спрасили "Зачем на ГЩУ ЭС нужен интернет" - а должны были спросить того кто этот Интрнет туда подключал, причем тут я? :) Я лишь ли могу показать риски связанные с наличем данного интернета, после детального изучения объекта. И посоветовать как эти риски снизить.

[Anton Shipulin]

Можно примеры? Может быть, я с гуглом справиться не смог, но ничего вразумительного не нашёл. И потом... Belden известен в основном хорошими кабелями, Феникс - приличными блоками питания. И у тех, и у других есть сетевое оборудование, но они далеко не лидеры в этой области (как и в полевых шинах). Откуда у них такие разработки, да ещё и впереди планеты всей? Или они тоже решили пополнить ряды стремящихся занять новую нишу на рынке?

Кое какие примеры привели коллеги к еомментариях здесь:
https://www.facebook.com/groups/RusCybe ... 299119484/

Пара примеров:
http://symanitron.ru/Firewalls.aspx
https://www.tofinosecurity.com/products ... -appliance

[Anton Shipulin]

Статья на цифровой подстанции "Кибербезопасность: где границы разумного?"
Много мнений

[VADR]

Статья на цифровой подстанции "Кибербезопасность: где границы разумного?"
Много мнений

Нашумевший инцидент, произошедший в декабре 2015 года в нескольких областях Украины, где более 220 000 потребителей в течение почти 6 часов остались без электричества из-за организованной кибератаки на энергокомпании.

Антон, тут этот инцидент тоже обсуждался и заставил изрядно поулыбаться.

Отправлено спустя 17 минут 58 секунд:

Можно примеры? Может быть, я с гуглом справиться не смог, но ничего вразумительного не нашёл. И потом... Belden известен в основном хорошими кабелями, Феникс - приличными блоками питания. И у тех, и у других есть сетевое оборудование, но они далеко не лидеры в этой области (как и в полевых шинах). Откуда у них такие разработки, да ещё и впереди планеты всей? Или они тоже решили пополнить ряды стремящихся занять новую нишу на рынке?

Кое какие примеры привели коллеги к еомментариях здесь:
https://www.facebook.com/groups/RusCybe ... 299119484/

Пара примеров:
http://symanitron.ru/Firewalls.aspx
https://www.tofinosecurity.com/products ... -appliance

Ну, по первой ссылке (в фейсбуке) я уже был и действительно видел ссылки на устройства, фильтрующие что-то промышленное (modbus tcp) или околопромышленное (OPC, например), однако же исключительно tcp-based. Реальных шлюзов, каким-то образом защищающих profibus, modbus rtu, can - не увидел. Были ссылки на шлюзы, но это скорее походило на попытки подтянуть "то, что есть" к "тому, что надо".
По новым ссылкам глубоко не ходил, но первое, что увидел: SEWM-DF-S500. Копипастить сюда его ТТХ смысла нет, желающие сходят по ссылке и почитают. Но вот лично я из всех его характеристик относящиеся к промприменениям нашёл только темературу от -40, питание от 24В и монтаж на din-рейку. Всё. Функционально - это обычный коммутатор, предназначенный для работы в суровых промышленных условиях эксплуатации. Ничего больше.

[quq]

Статья на цифровой подстанции "Кибербезопасность: где границы разумного?"

полностью согласен с человеческим фактором:
>(становятся «бомбой замедленного действия»:
низкоквалифицированный обслуживающий персонал (ошибки при самостоятельном параметрировании терминалов и т.д.);
несоблюдение правил доступа к оборудованию (применение одинаковых паролей, возможность несанкционированного доступа к журналу паролей и т.д.);
возможность попадания на АРМ различного вредоносного ПО (особенно стоит обратить внимание на переносное АРМ, с которого осуществляется наладка МП-терминалов РЗА).<
А технические пути атак можно отсечь созданием правильной политики прав, удаленным доступом с шифрованием к виртуальным (экран + навигация) СКАДам без доступа к другим уровням ОС, в большинстве случаев достаточно только прав чтения ограниченных параметров ТП в т.ч и внутри сети ТП. Максимальной изоляции сетей офис- АСУТП, передача данных через буфера а не прямой доступ.
Ну и классика: Цена взлома >цены результата взлома <= цены защиты.
Сталкивался с реальным Stuxnet (перехвачен на "чужой" флешке - человеческий фактор).
И "человеческий фактор" из мой практики - больше всего проблем с высоким начальством и "уборщицами", одни не хотят, а другие не могут соответствовать безопасности.
PS имею опыт хронологически: >10 лет сисадмина дерева доменов, 2 года безопасность IT, 6 лет сопровождения АСУ ТП (верхний и нижний уровень). ну вот и я померялся :)

[Anton Shipulin]

Ну, по первой ссылке (в фейсбуке) я уже был и действительно видел ссылки на устройства, фильтрующие что-то промышленное (modbus tcp) или околопромышленное (OPC, например), однако же исключительно tcp-based. Реальных шлюзов, каким-то образом защищающих profibus, modbus rtu, can - не увидел. Были ссылки на шлюзы, но это скорее походило на попытки подтянуть "то, что есть" к "тому, что надо".
По новым ссылкам глубоко не ходил, но первое, что увидел: SEWM-DF-S500. Копипастить сюда его ТТХ смысла нет, желающие сходят по ссылке и почитают. Но вот лично я из всех его характеристик относящиеся к промприменениям нашёл только темературу от -40, питание от 24В и монтаж на din-рейку. Всё. Функционально - это обычный коммутатор, предназначенный для работы в суровых промышленных условиях эксплуатации. Ничего больше.

Обращаю внимание, что я хвалю существующие решения, и не говорю об их нужности и эффективности, а лишь привожу примеры, которые вынуждают ФСТЭК придумывать профили защиты для нового класса(типа) средств защиты. Появляются решения/шлюзы которые заявляют что могут технически фильтровать(или только мониторить) данные в последовательных каналах и называют себя промышленные межсетевые экраны, и спорить об их качестве и соответсвии требованиям нужно не со мной а с производителем. А про ФСТЭК, добавлю я считаю что они указали лишь пример протоколов (признаком является список в скобках с окончанием "и др."). Вы считаете что они строго определяют требования к способности фильтрации данных протоколов. Но спорить тут не нужно. Нужно узнавать что имела ввиду ФСТЭК :) Опыт задавания вопросов ФСТЭК мне позволяет быть уверенным в моем варианта ответа.

[Anton Shipulin]

Антон, тут этот инцидент тоже обсуждался и заставил изрядно поулыбаться.

Улыбка это всегда хорошо, это хорошие эмоции :)

[VADR]

А про ФСТЭК, добавлю я считаю что они указали лишь пример протоколов (признаком является список в скобках с окончанием "и др."). Вы считаете что они строго определяют требования к способности фильтрации данных протоколов. Но спорить тут не нужно. Нужно узнавать что имела ввиду ФСТЭК

Чтобы было понятно моё отношение к этим документам, приведу другой пример. Есть такие нормативные документы, как Правила устройства улектрооборудования (сокращённо ПУЭ), Правила устройства и безопасной эксплуатации ... (тут несколько вариантов из разных областей). В них тоже прописано, что вот это должно быть устроено так-то, кабель должен быть такой-то, труба такая-то, и т.д. и т.п. И если, к примеру, на гидравлических испытаниях чего-либо заказчик и инспектор Ростехнадзора заставят подрядчика давать давление 1.25 номинального (как в правилах предписано), то их не будет волновать, что имели в виду авторы документа: что имели в виду, то и написали. И слова про "неудачный пример" там тоже не пройдут: нормативный документ читается и исполняется дословно.

Отправлено спустя 6 минут 55 секунд:

Антон, тут этот инцидент тоже обсуждался и заставил изрядно поулыбаться.

Улыбка это всегда хорошо, это хорошие эмоции :)

Улыбка была вызвана тем, что по всем признакам не было там никакой кибератаки, авария была вызвана причинами, которые не хотят афишировать (наиболее вероятно - "человеческий фактор"). Обвинения в адрес "российских хакеров" - это уже по накатанной: во всех украинских проблемах автоматически обвиняются российские спецслужбы и вообще - Россия. А расследования по этому поводу относятся к категории "филькина грамота".