1. Обязательно представиться на русском языке кириллицей (заполнить поле "Имя").
  2. Фиктивные имена мы не приветствуем. Ивановых и Пупкиных здесь уже достаточно.
  3. Не писать свой вопрос в первую попавшуюся тему - вместо этого создать новую тему.
  4. За поиск, предложение и обсуждение пиратского ПО и средств взлома - бан без предупреждения.
  5. Рекламу и частные объявления "куплю/продам/есть халтура" мы не размещаем ни на каких условиях.
  6. Перед тем как что-то написать - читать здесь и здесь, а студентам - обязательно здесь.
  7. Не надо писать в ЛС администраторам свои технические вопросы. Администраторы форума отлично знают как работает форум, а не все-все контроллеры, о которых тут пишут.

Киберзащита АСУ ТП

Ответить

leon78
эксперт
эксперт
Сообщения: 1025
Зарегистрирован: 25 июл 2008, 10:06
Имя: Леонид
Страна: РФ
Благодарил (а): 28 раз
Поблагодарили: 104 раза

Киберзащита АСУ ТП

Сообщение leon78 »

Инженер Google сравнил антивирусы с мёртвой канарейкой
https://geektimes.ru/post/282760/
Хард - это то, что можно швырнуть об стенку, а софт - это то, что можно лишь обматерить.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 17481
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 749 раз
Поблагодарили: 1281 раз

Киберзащита АСУ ТП

Сообщение Jackson »

И ещё один комментарий в продолжение.
TEB писал(а): Ещё было сказано, что цель всего этого - показать руководителям предприятий серьёзность проблемы, а также показать что ей надо заниматься. Как руководитель предприятия по горе обрывочной узкоспецифичной информации это поймёт? Разве что, испугается многих страшных непонятных слов и видео полыхающего макета ячейки? И это всё? Так что цель-то достигается, и неважно как она потом будет реализовываться, главное - будет.
Я сходил к коллегам и посмотрел на ячейки 6/10 кВ. Я их и раньше видел, но тут решил сам себя проверить.
И вот какой результат. Невозможно включить заземляющие ножи, не отключив при этом выключатель или не выкатив его. Для этого в ячейке стоит механическая блокировка, тяги. Есть аварийный режим, когда это можно сделать, для этого эту блокировку надо снять с места - толкнуть две тяги и тогда это будет возможно. удалённо по команде на терминал - без шансов, нельзя этого сделать.
Больше того, я просветился у коллеги релейщика, он сообщил что последнее время в дополнение к этой механике ставят ещё и контроллер, который собирает на себя все команды и состояния механики (заземлитель, выключатель, тележка) для того чтобы исключать нецелесообразные команды управления, например чтобы не держать под напряжением привод взведённого выключателя.
В целом, коллеги возбудились и выразили интерес внимательно посмотреть видео.

Так что вид полыхнувшей ячейки как апогей действия злоумышленника - это, извините, лажа. Эффектная, красивая, впечатляющая начальство лажа.

И на ОРУ такое тоже невозможно. См.разбор аварии на ОРУ Ростовской АЭС, например поверхностно тут, и более детальная информация тоже в сети есть.
Romcheg писал(а): "чтобы поверили в ложь она должна быть чудовищной" (с)
Занавес.
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

CHANt
эксперт
эксперт
Сообщения: 1465
Зарегистрирован: 25 июл 2008, 10:25
Имя: Эдуард Владимирович
Страна: СССР
город/регион: Оренбург
Благодарил (а): 43 раза
Поблагодарили: 93 раза

Киберзащита АСУ ТП

Сообщение CHANt »

Lifanov писал(а): Уф. Излил, больше на эту тему обещаю здесь не высказываться ;)
Жаль. Только вот понятный язык пошел в обсуждении ) И слышал Вас нормально и понял все нормально )
И понятны Ваши мотивы участия в этих мероприятиях. Понятны. Вряд ли кто Вас за это осудит. И Вы нормальный стенд предложили. Я же задаю вопрос - зачем ломать конфигурируемое устройство терминал РЗА? Это то же что и ломать частотник, блок регулятора типа ТРМ, конф. контроллеры (тот же Данфосс ECL), датчики HART/Wireless/... и много прочих вещей! (Это не самолет) Вы же понимаете почему этот класс устройств имеет слабую инф. защиту?! Может донесете тогда до товарищей на таких собраниях. Да, должны предприниматься мероприятия для защиты таких устройств/сетей и организационные и технические. И вопросы мои были - покажите как проектируете защиту, или хотя бы структуру Ваших проектов, на чем основываются. Чтобы посмотреть что они предлагают то ))) ... Ну ответ Вы видели... А искать/подсказывать методы взлома таких устройств...слов и нет уже. Вот повторяю уже пост VADR viewtopic.php?p=73320#p73320
Ryzhij писал(а): Критичная позиция? Проводите валидацию параметров прибора и сравнивайте с базой. Просто контрольную сумму параметров запросите из прибора. Это решение "в лоб". При этом используют или AI/AO-модули со SMART-функциями, или ставят SMART-мультиплексоры.
Можно также для диагностики брать по полевой шине, например, температуру с расходомера и сравнивать её с показаниями датчика температуры в той же линии.
Понятно. Были еще работы московской Энергоавтоматики по созданию экспертной системы анализа состояния датчиков на базе нейросетей. Поэтому и спросил, возможно со стороны адвантеча что -то предлагается, или сам Александр что - то знает. ))) Я в основном работаю с аналоговыми приборами, если будет Smart - счета жкх за квартиры зашкаливать будут )
--------------------------------------------------------------------------------------------
Аватара пользователя

Lifanov
осмотрелся
осмотрелся
Сообщения: 151
Зарегистрирован: 21 янв 2014, 12:13
Имя: Лифанов Александр Витальевич
Страна: Россия
город/регион: Москва
Благодарил (а): 5 раз
Поблагодарили: 16 раз

Киберзащита АСУ ТП

Сообщение Lifanov »

TEB писал(а):
Lifanov писал(а): Логи - это вообще отдельная тема. Что, как, куда и (главное) кто вообще знает о существовании этих логов :)
Очень странное мнение. Вот как раз сегодня с утра получил подарок в виде обесточивания на удалённом объекте (автоматика сама погасила все генераторы) - как раз и разбираюсь, это был сбой, ошибка оператора или диверсия. И как Вы думаете, с помощью чего? Логи АРМов, логи сервера СКАДА, логи каждого контроллера.

Если кто-то не знает о существовании логов, значит должен знать (или должен знать что в конкретном устройстве их нет), это его обязанность. Или должен знать где узнать. Короче кто-то должен за это отвечать. И ответ должен быть не "да х.з. что там за логи, кто о них слышал", а чёткий и определённый "да, посмотрю", "не знаю, пойду узнавать", "логи не пишутся/утеряны/недостаточно полные". А такой ответ - "да х.з. что там за логи, кто о них слышал" - это бардак о котором я писал выше, с таким подходом нельзя подходить к защите объекта, и к самому объекту тоже. Супротив такого бардака не сдюжит никакая система защиты.
Не согласен.
У вас логи со СКУД в распечатанном виде для всех лежат, чтобы все знали кто когда вошел?
Логи реально отдозированных в партию компонентов доступны последней уборщице - отфоткай и отдай рецептуру конкурентам?
Логи с адресами конкретных станций ввода-вывода доступны оператору?

Моя позиция - сотрудник должен знать только что, что ему необходимо для исполнения служебных обязанностей. Не больше!!!
Не знаешь о существовании - не сломаешь и не украдешь.
TEB писал(а): Найдите пожалуйста в толковых словарях смысловое значение слова "система". Любая система автоматически включает в себя набор определённых правил, которые должны соблюдаться безоговорочно, а не так.
Евгений, эта ваша фраза противоречит предыдущей.
Система регламентов, РАЗГРАНИЧИВАЮЩИХ доступ, как раз призвана предотвращать ситуацию - "Если кто-то не знает о существовании логов, значит должен знать".
TEB писал(а):Тут ещё никто не выкинут или наказан исключительно из личной неприязни, даже если она и имеет иногда место.
Сильно на это надеюсь, как бывший модератор MO.YASENEVO из Fidonet.
------------------------------------
Лифанов Александр
Siemens Москва, DI FA AS
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 17481
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 749 раз
Поблагодарили: 1281 раз

Киберзащита АСУ ТП

Сообщение Jackson »

С чем Вы не согласны - я не понял? С тем что персоналу можно показывать логи?
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

Valerich
шаман
шаман
Сообщения: 973
Зарегистрирован: 27 июн 2013, 12:20
Имя: Валерич
Страна: СССР
Благодарил (а): 35 раз
Поблагодарили: 78 раз

Киберзащита АСУ ТП

Сообщение Valerich »

CHANt писал(а):...если будет Smart - счета жкх за квартиры зашкаливать будут )
Не думаю, что даже в самом конце списка достоинств элементов киберзащиты фигурирует снижение расходов конечного пользователя. :ges_hmm:
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 17481
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 749 раз
Поблагодарили: 1281 раз

Киберзащита АСУ ТП

Сообщение Jackson »

А чтобы ничего не воровали, людей воспитывать надо той же дисциплиной, это не вопрос кибербезопасности. И потом, речь об энергетике зашла как о стратегической области. Пищевка - коммерческая. Не надо одно с другим мешать. В своей коммерческой части можете творить все что угодно и любые правила придумывать. В энергетике есть регламенты и строгая дисциплина, с чем попало туда лезть не надо. А будете попирать эти регламенты - без света останетесь, совсем. И без тепла. Кому тогда Ваша рецептура будет нужна?
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

Lifanov
осмотрелся
осмотрелся
Сообщения: 151
Зарегистрирован: 21 янв 2014, 12:13
Имя: Лифанов Александр Витальевич
Страна: Россия
город/регион: Москва
Благодарил (а): 5 раз
Поблагодарили: 16 раз

Киберзащита АСУ ТП

Сообщение Lifanov »

CHANt писал(а):Это то же что и ломать частотник, блок регулятора типа ТРМ, конф. контроллеры (тот же Данфосс ECL), датчики HART/Wireless/... и много прочих вещей! (Это не самолет) Вы же понимаете почему этот класс устройств имеет слабую инф. защиту?! Может донесете тогда до товарищей на таких собраниях.
Что значит "слабый" или "сильный"? Я понимаю - "достаточный" или "недостаточный" для каких-то конкретных условия.
Уровень требуемой защиты определяется очень просто - стоимость проведения атаки должна превышать потенциальную стоимость ущерба для атакуемого.

Пример. Сетка с электросчетчиками у меня в дачном поселке. За месяц я могу нагреть энергокомпанию максимум тысячи на три рублей. Соответственно, вешать сюда мегасуперпупер Cisco ASA смысла нет.

Пример 2. Одна из линий, которой я занимался лет 10 назад. Если бы кто-то влез и сломал ее (не спалив при этом аппаратно) - у хозяина возникла бы недополученная выручка со скоростью приблизительно $1000 в час. На восстановление и проверку всего ПО нужно день-два - значит опорная цифра 30-40 тыс долларов в тех ценах.
CHANt писал(а): Да, должны предприниматься мероприятия для защиты таких устройств/сетей и организационные и технические. И вопросы мои были - покажите как проектируете защиту, или хотя бы структуру Ваших проектов, на чем основываются. Чтобы посмотреть что они предлагают то ))) ... Ну ответ Вы видели...
На тему "как проектируете" - ок, отвечу я. С точки зрения именно общего подхода мне наиболее полезен был вот этот семинар - http://www.croc.ru/action/webinars/59878/ , Антон видимо про него забыл по запарке.
Организационная часть лучше всего изложена у Лобашова. Более конкретные примеры можно посмотреть у Шебулдаева и Матыкова.
CHANt писал(а): Понятно. Были еще работы московской Энергоавтоматики по созданию экспертной системы анализа состояния датчиков на базе нейросетей. Поэтому и спросил, возможно со стороны адвантеча что -то предлагается, или сам Александр что - то знает.
В этом отношении (аналоговые датчики, корелляция параллельно получаемых параметров) у нас особых наработок нет.
Есть определенные наработки с точки зрения прогнозирования отказа сервоприводов ЧПУ-станков исходя из тока/момента и т.п., но сам эту штуку не видел. Основная идея - наблюдение за "сползанием" характеристик на больших периодах времени.
------------------------------------
Лифанов Александр
Siemens Москва, DI FA AS
Аватара пользователя

Lifanov
осмотрелся
осмотрелся
Сообщения: 151
Зарегистрирован: 21 янв 2014, 12:13
Имя: Лифанов Александр Витальевич
Страна: Россия
город/регион: Москва
Благодарил (а): 5 раз
Поблагодарили: 16 раз

Киберзащита АСУ ТП

Сообщение Lifanov »

TEB писал(а): С чем Вы не согласны - я не понял? С тем что персоналу можно показывать логи?
С тем, что ВСЕМУ персоналу давать знать о существовании ВСЕХ логов.

Оригинальная цитата:
Если кто-то не знает о существовании логов, значит должен знать
Для меня "кто-то" - это любой человек, присутствующий на территории предприятия.
Если вы имели ввиду что-то другое - так и следовало писать.
------------------------------------
Лифанов Александр
Siemens Москва, DI FA AS
Аватара пользователя

Lifanov
осмотрелся
осмотрелся
Сообщения: 151
Зарегистрирован: 21 янв 2014, 12:13
Имя: Лифанов Александр Витальевич
Страна: Россия
город/регион: Москва
Благодарил (а): 5 раз
Поблагодарили: 16 раз

Киберзащита АСУ ТП

Сообщение Lifanov »

TEB писал(а): В своей коммерческой части можете творить все что угодно и любые правила придумывать. В энергетике есть регламенты и строгая дисциплина, с чем попало туда лезть не надо. А будете попирать эти регламенты - без света останетесь, совсем. И без тепла. Кому тогда Ваша рецептура будет нужна?
ФСТЭК имеет другое мнение. Приказ 31 от 14 марта 2014.
Под него подпадает, например, любое производство с использованием пара. Коммерческое или некоммерческое, неважно.

А насчет энергетики - вы мне лучше расскажите, когда наконец будут унифицированы ГОСТ 61850-3-2005 (которому железо должно соответствовать) и СТО 56947007-29.240.044-2010 (по которому оно тестируется на соответствие). Один документ требует 30 вольт по 61000-4-16, другой 10 вольт. Один требует 70 ампер/метр по 61000-4-8, другой 40... Это че, строгая дисциплина? :-P
------------------------------------
Лифанов Александр
Siemens Москва, DI FA AS

Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 5623
Зарегистрирован: 07 окт 2011, 09:12
Имя: Гаско Вячеслав Эриевич
Страна: Россия
город/регион: Рязань
Благодарил (а): 546 раз
Поблагодарили: 706 раз

Киберзащита АСУ ТП

Сообщение Ryzhij »

Lifanov писал(а): ФСТЭК имеет другое мнение. Приказ 31 от 14 марта 2014.
Под него подпадает, например, любое производство с использованием пара. Коммерческое или некоммерческое, неважно
Причём тут пар?
[+] Общие положения приказа (отмечено мной)
ТРЕБОВАНИЯ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ УПРАВЛЕНИЯ ПРОИЗВОДСТВЕННЫМИ И ТЕХНОЛОГИЧЕСКИМИ ПРОЦЕССАМИ НА КРИТИЧЕСКИ ВАЖНЫХ ОБЪЕКТАХ, ПОТЕНЦИАЛЬНО ОПАСНЫХ ОБЪЕКТАХ, А ТАКЖЕ ОБЪЕКТАХ, ПРЕДСТАВЛЯЮЩИХ ПОВЫШЕННУЮ ОПАСНОСТЬ ДЛЯ ЖИЗНИ И ЗДОРОВЬЯ ЛЮДЕЙ И ДЛЯ ОКРУЖАЮЩЕЙ ПРИРОДНОЙ СРЕДЫ



I. Общие положения

1. В настоящем документе устанавливаются требования к обеспечению защиты информации, обработка которой осуществляется автоматизированными системами управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды (далее - автоматизированные системы управления), от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации, в том числе от деструктивных информационных воздействий (компьютерных атак), следствием которых может стать нарушение функционирования автоматизированной системы управления.

Настоящие Требования применяются в случае принятия владельцем автоматизированной системы управления решения об обеспечении защиты информации, обработка которой осуществляется этой системой и нарушение безопасности которой может привести к нарушению функционирования автоматизированной системы управления.

В случае необходимости применение криптографических методов защиты информации и шифровальных (криптографических) средств защиты информации осуществляется в соответствии с законодательством Российской Федерации.

2. Настоящие Требования направлены на обеспечение функционирования автоматизированной системы управления в штатном режиме, при котором обеспечивается соблюдение проектных пределов значений параметров выполнения целевых функций автоматизированной системы управления в условиях воздействия угроз безопасности информации, а также на снижение рисков незаконного вмешательства в процессы функционирования автоматизированных систем управления критически важных объектов, потенциально опасных объектов, объектов, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, в том числе опасных производственных объектов (далее – управляемые (контролируемые) объекты), безопасность которых обеспечивается в соответствии с законодательством Российской Федерации о безопасности объектов топливно-энергетического комплекса, о транспортной безопасности, об использовании атомной энергии, о промышленной безопасности опасных производственных объектов, о безопасности гидротехнических сооружений и иных законодательных актов Российской Федерации.

3. Действие настоящих требований распространяется на автоматизированные системы управления, обеспечивающие контроль и управление технологическим и (или) производственным оборудованием (исполнительными устройствами) и реализованными на нем технологическими и (или) производственными процессами (в том числе системы диспетчерского управления, системы сбора (передачи) данных, системы, построенные на основе программируемых логических контроллеров, распределенные системы управления, системы управления станками с числовым программным управлением).

4. Настоящие Требования предназначены для лиц, устанавливающих требования к защите информации в автоматизированных системах управления (далее – заказчик), лиц, обеспечивающих эксплуатацию автоматизированных систем управления(далее – оператор), а также лиц, привлекаемых в соответствии с законодательством Российской Федерации к проведению работ по созданию (проектированию) автоматизированных систем управления и (или) их систем защиты (далее – разработчик).

5. При обработке в автоматизированной системе управления информации, составляющей государственную тайну, ее защита обеспечивается в соответствии с законодательством Российской Федерации о государственной тайне.

6. Защита информации в автоматизированной системе управления обеспечивается путем выполнения заказчиком, оператором и разработчиком требований к организации защиты информации в автоматизированной системе управления и требований к мерам защиты информации в автоматизированной системе управления.
Сам приказ лежит тут
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 17481
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 749 раз
Поблагодарили: 1281 раз

Киберзащита АСУ ТП

Сообщение Jackson »

Lifanov писал(а): А насчет энергетики - вы мне лучше расскажите, когда наконец будут унифицированы ГОСТ
Э.... Вы, по-моему, не того человека спрашиваете. :ges_hmm: Это во-2-х, а во-1-х, Вы уводите дискуссию в сторону, отвечая левым вопросом на вполне конкретный вопрос. Так что не лучше.

Отправлено спустя 2 минуты 14 секунд:
Lifanov писал(а): Приказ 31 от 14 марта 2014.
Под него подпадает, например, любое производство с использованием пара.
Чего-чего?
Открываем текст приказа, тупо запускаем поиск по сроке "пар", "паров" - и?
Или это у меня лыжи не едут?
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

Lifanov
осмотрелся
осмотрелся
Сообщения: 151
Зарегистрирован: 21 янв 2014, 12:13
Имя: Лифанов Александр Витальевич
Страна: Россия
город/регион: Москва
Благодарил (а): 5 раз
Поблагодарили: 16 раз

Киберзащита АСУ ТП

Сообщение Lifanov »

Ryzhij писал(а):Причём тут пар?
А при том.
2. Настоящие Требования направлены на обеспечение функционирования (...) в том числе опасных производственных объектов (далее – управляемые (контролируемые) объекты), безопасность которых обеспечивается в соответствии с законодательством Российской Федерации о безопасности объектов топливно-энергетического комплекса, о транспортной безопасности, об использовании атомной энергии, о промышленной безопасности опасных производственных объектов, о безопасности гидротехнических сооружений и иных законодательных актов Российской Федерации.]
Определение опасного производственного объекта приведено в РД-03-260-99 Госгортехнадзора (http://www.rosteplo.ru/Npb_files/npb_shablon.php?id=196). В частности:
5.1.2. Используется оборудование, работающее под давлением более 0,07 МПа или при температуре нагрева воды более 115 градусов Цельсия;
А насчет выделенной вами фразы про "в случае принятия решения"... Хе-хе... Посмотрите 13й раздел того же приказа. Принятие решения должно осуществляться не просто так, хочу - не хочу, а на основании определенных методик, разработки модели угроз и т.п.
------------------------------------
Лифанов Александр
Siemens Москва, DI FA AS
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 17481
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 749 раз
Поблагодарили: 1281 раз

Киберзащита АСУ ТП

Сообщение Jackson »

Lifanov писал(а):
TEB писал(а): С чем Вы не согласны - я не понял? С тем что персоналу можно показывать логи?
С тем, что ВСЕМУ персоналу давать знать о существовании ВСЕХ логов.
А кто-то об этом разве говорил? Слово "Логи" вообще по-моему впервые всплыло за все 17 страниц. И потом, Ваше мнение понятно, но есть мнение Регламентов, которое имеет явно бОльший вес.
И потом, хотите логи приложу, по которым я сегодня нашёл причину аварии? Расскажите мне что-нибудь по этим логам - адреса там, типы устройств, режимы, сценарии (аналог предложенных Вами рецептур), или что Вы так боитесь раскрывать, а я потом скажу, угадали или нет. Как такое предложение?

Короче, не лезьте с бытовой коммерцией в объекты повышенной опасности и стратегические объекты , ей богу, пожалуйста, очень прошу. От лица всех энергетиков прошу. И своих-то дилетантов хватает, иной раз спасу нет, так ещё со стороны лезут. 31 приказ Ваших примеров вообще не касается, городите у себя на пищёвке любые СКУДы или наоборот ворота настежь открывайте - Ваше право. Но в энергетике есть регламенты. С ними можно не соглашаться, но соблюдать их надо. Иначе - повторюсь - без света оставите и себя и полстраны. Они кровью написаны, порой в буквальном смысле.
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

Lifanov
осмотрелся
осмотрелся
Сообщения: 151
Зарегистрирован: 21 янв 2014, 12:13
Имя: Лифанов Александр Витальевич
Страна: Россия
город/регион: Москва
Благодарил (а): 5 раз
Поблагодарили: 16 раз

Киберзащита АСУ ТП

Сообщение Lifanov »

TEB писал(а):
Lifanov писал(а):
TEB писал(а): С чем Вы не согласны - я не понял? С тем что персоналу можно показывать логи?
С тем, что ВСЕМУ персоналу давать знать о существовании ВСЕХ логов.
А кто-то об этом разве говорил? Слово "Логи" вообще по-моему впервые всплыло за все 17 страниц.
Говорили. Вы. Сообщение №73334. Я цитату дважды приводил.
TEB писал(а):И потом, Ваше мнение понятно, но есть мнение Регламентов, которое имеет явно бОльший вес.
Номерок регламента, пожалуйста. Тоже хочу ознакомиться.
TEB писал(а):И потом, хотите логи приложу, по которым я сегодня нашёл причину аварии? Расскажите мне что-нибудь по этим логам - адреса там, типы устройств, режимы, сценарии (аналог предложенных Вами рецептур), или что Вы так боитесь раскрывать, а я потом скажу, угадали или нет. Как такое предложение?
Давайте, гляну. Через "личные сообщения" пролезет или надо е-мейл внешний давать? Плюс, отвечать публично или приватно?
TEB писал(а): 31 приказ Ваших примеров вообще не касается, городите у себя на пищёвке любые СКУДы или наоборот ворота настежь открывайте - Ваше право.
Ну, ок, я прокукарекал, а там хоть не рассветай :)
Только напомню, а нашей стране (особенно на производстве) значение имеет бумажка, которую можно показать инспектору или прокурору.
------------------------------------
Лифанов Александр
Siemens Москва, DI FA AS
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 17481
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 749 раз
Поблагодарили: 1281 раз

Киберзащита АСУ ТП

Сообщение Jackson »

Lifanov писал(а): Говорили. Вы. Сообщение №73334. Я цитату дважды приводил.
О том что всё должно быть напоказ? О том что всё надо скрывать? Вот так просто по номеру крайне неудобно искать, дайте цитату.
Lifanov писал(а): Давайте, гляну.
Держите
Lifanov писал(а): люс, отвечать публично или приватно?
Ничего секретного. Заодно может кто-то ещё из участников форума сможет что-то рассказать про объект по этим логам. Интересно. Будем считать это небольшим тестом на секурность. А в перспективе я могу и какой-нибудь контроллер с реального генератора в интернет расшарить - приз тому кто повторит диверсию с несинхронным включением даже при условии наличия прямого канала доступа и отсутствия секурности напрочь. Особо упёрных могу даже в гости пригласить и отдать этот контроллер вместе с генератором в руки.

Отправлено спустя 14 минут 3 секунды:
Знаете что, вот после этого
TEB писал(а): Так что вид полыхнувшей ячейки как апогей действия злоумышленника - это, извините, лажа. Эффектная, красивая, впечатляющая начальство лажа.
авторитет этой движухи вокруг безопасности серьезно подорван. Заметьте, никто не торопится парировать. Никто не задаёт ни одного вопроса. И то что этому докладчику аплодировали стоя и не выразил удивления по поводу такой явной лажи ни один из участников мероприятия, только подтверждает что дилетанты пытаются лезть туда, где ни бельмеса не соображают. И это естественно будет раздражать, от этого естественно будут ограждаться - это нормальная реакция. Вы будете также реагировать, когда к Вам придёт сисадмин Вашего интернет-провайдера и начнёт рассказывать как Вам строить полевые шины.
Lifanov писал(а): Номерок регламента, пожалуйста
Какого и о чём? О необходимости блокировки заземлителей? О порядке доступа в помещения ЗРУ?
У вас нет необходимых прав для просмотра вложений в этом сообщении.
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

Lifanov
осмотрелся
осмотрелся
Сообщения: 151
Зарегистрирован: 21 янв 2014, 12:13
Имя: Лифанов Александр Витальевич
Страна: Россия
город/регион: Москва
Благодарил (а): 5 раз
Поблагодарили: 16 раз

Киберзащита АСУ ТП

Сообщение Lifanov »

TEB писал(а):И потом, хотите логи приложу, по которым я сегодня нашёл причину аварии? Расскажите мне что-нибудь по этим логам - адреса там, типы устройств, режимы, сценарии (аналог предложенных Вами рецептур), или что Вы так боитесь раскрывать, а я потом скажу, угадали или нет. Как такое предложение?
Ну, посмотрел.
Комплекс из трех генераторов (адреса 1, 2 и 4). Третий либо не включали, либо отсутствует. Номинальные обороты 1500 об/мин, скорее всего дизель, хотя может быть и газовый. Рабочее 10 кВ. Суммарная мощность судя по всему 1100-1200 квт, реальная нагрузка до 800 квт. Ввод с улицы видел только один, есть секционник-ВТВшка.

Стоит судя по всему где-то в регионе, операторы его боятся, эксплуатируют только в полуавтоматическом режиме. Видимо, нет опыта работы, комплекс в середине октября только запустили - там явно наладчик был.

По последним суткам. Предполагаю, оторвали датчик тока, в районе 18:50. После этого дольше 10 минут он так и не смог проработать, останавливался по внешним сенсорам на дискретных входах 44 и 50. Оператора даже жалко, пробовал его запустить и в автомате, и в полуавто, и чай ходил пить, и внешнее питание гасил.
------------------------------------
Лифанов Александр
Siemens Москва, DI FA AS

Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 5623
Зарегистрирован: 07 окт 2011, 09:12
Имя: Гаско Вячеслав Эриевич
Страна: Россия
город/регион: Рязань
Благодарил (а): 546 раз
Поблагодарили: 706 раз

Киберзащита АСУ ТП

Сообщение Ryzhij »

Lifanov писал(а): Хе-хе... Посмотрите 13й раздел того же приказа. Принятие решения должно осуществляться не просто так, хочу - не хочу, а на основании определенных методик, разработки модели угроз и т.п.
Эхе-хе...
Что же, давайте поработаем с текстом этого приказа.
Проведём герменевтический анализ рекомендованного 13-го раздела.
Это с 6-й страницы.

Сам раздел называется "Формирование требований к защите информации в автоматизированной системе управления".
Общая вводная часть трактует о том кто и как формирует требования к защите информации.
Кто? - Заказчик.
Как? - Во-первых, заказчик принимает (или не принимает) решение о необходимости защиты информации;
- Во-вторых, если решение о необходимости защиты принято, то требования к защите формируются с учётом ГОСТ Р 51583,
ГОСТ Р 51624 и стандартов организации.
- В-третьих, процесс формирования заказчиком требований к защите информации в обязательном порядке включает в себя этапы:
* принятие решения о необходимости защиты информации в автоматизированной системе управления;
* классификацию автоматизированной системы управления по требованиям защиты информации (далее – классификация автоматизированной системы управления);
* определение угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования автоматизированной системы управления, и разработку на их основе модели угроз безопасности информации;
* определение требований к системе защиты автоматизированной системы управления.

Затем в пунктах приказа с 13.1 по 13.4 раскрывается содержание каждого из этапов.

Нас, прежде всего, интересует этап принятия решения о защите информации, т.е. пункт 13.1, который трактует о том, что при принятии решения (не ДЛЯ принятия решения, а ПРИ принятии решения) о необходимости защиты информации следует:
а) определиться с вопросом: "А что, собственно, делает эта самая АСУ (АСУ ТП), и на хрена она нужна?";
б) уяснить, а что тут надо защищать? Какую такую критическую инфу? И зачем? А чё будет, если не защищать?
в) разобраться с законами и нормами (в т.ч. местечковыми), которым должна соответствовать АСУ (АСУ ТП), инфу в которой заказчик захотел защитить;
г) принять (или не принять) решение о создании СИСТЕМЫ (т.е. комплекса административно-технических средств) ЗАЩИТЫ АСУ (АСУ ТП) и определиться с целями и задачами защиты информации в АСУ (АСУ ТП) заказчика.

Вот о чём на самом деле написано в этом приказе.
Согласитесь, Александр Витальевич, что это немного не то, что Вы написали. :ges_hmm:

PS: Что там у Вас было в Правиле № 1?
ВЕРИТЬ НЕЛЬЗЯ НИКОМУ!
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)

Technic4
осмотрелся
осмотрелся
Сообщения: 109
Зарегистрирован: 10 мар 2016, 06:51
Имя: Ильгиз Ильдарович
Благодарил (а): 4 раза
Поблагодарили: 9 раз

Киберзащита АСУ ТП

Сообщение Technic4 »

http://fstec.ru/component/attachments/download/714
Касательно пункта 13.2 "...Требование к классу защищенности включается в техническое задание на создание автоматизированной системы управления и (или) техническое задание (частное техническое задание) на создание системы защиты автоматизированной системы управления, разрабатываемые с учетом ГОСТ 34.602 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы» (далее – ГОСТ 34.602)..."

Отмечу, что по 34.602 этого не делают.
Защиту информации реализуют программными паролями пользователя в АСУТП, учет пользователей, время их работы, их действия (опять те же Логи).
А вот при подключении АСУТП к общезаводским сетям предусматриваются серверные станции для передачи данных в эти сети. Например OPC-сервер смотрящий наружу через файрвол. И у этого OPC не может управлять процессом.
Некоторые OPC-сервера вообще данные с АРМов забирают (не с контроллера). И их отделяют от технологической сети.
Т.е.:
- Контроллеры пересылают данные на АРМ по технологичесокой сети.
- OPC-сервера забирают данные с АРМов по офисной сети (к офисной сети относя все, что не участвует в управлении техпроцессом, например принтер).
- OPC-сервер передает данные по заводской сети.

Вот и вся защита требуемая по ГОСТ 34.602.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 17481
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 749 раз
Поблагодарили: 1281 раз

Киберзащита АСУ ТП

Сообщение Jackson »

Lifanov писал(а): Ну, посмотрел.
Угадали процентов на 30 где-то, не больше. Если интересно то могу разложить подробно.
Я-то больше надеялся на разбор с т.зр.секурности. А что за устройство, каков канал связи, адрес устройства (о чём Вы упомянули как о причине того чтобы скрывать логи) и соответственно возможность управления им - это не раскрыто. Для совершения диверсии надо знать ещё режим генерации (для "продвинутой" диверсии - простая диверсия типа устроить КЗ тут не пройдет), это тоже не раскрыто.

Отправлено спустя 10 минут 11 секунд:
Ryzhij писал(а): PS: Что там у Вас было в Правиле № 1?
ВЕРИТЬ НЕЛЬЗЯ НИКОМУ!
У моего науч.рука было похожее правило: "Все книги врут. Включая мои собственные. Включая конспекты."
[+] на эту тему анекдот хороший есть
Мужик стоит в трусах перед тазиком с водой, в котором тщательно застирывает штаны. Стоит, трёт, останавливается и изрекает:
- никому верить нельзя!
Продолжает застирывать. Снова прерывается:
- Даже себе!
Снова продолжает процесс, опять прерывается:
- А ведь всего лишь пукнуть хотел....
По-моему, так и получилось с опытом полыхнувшей ячейки.
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

Lifanov
осмотрелся
осмотрелся
Сообщения: 151
Зарегистрирован: 21 янв 2014, 12:13
Имя: Лифанов Александр Витальевич
Страна: Россия
город/регион: Москва
Благодарил (а): 5 раз
Поблагодарили: 16 раз

Киберзащита АСУ ТП

Сообщение Lifanov »

TEB писал(а):
Lifanov писал(а): Ну, посмотрел.
Угадали процентов на 30 где-то, не больше. Если интересно то могу разложить подробно.
Я-то больше надеялся на разбор с т.зр.секурности. А что за устройство, каков канал связи, адрес устройства (о чём Вы упомянули как о причине того чтобы скрывать логи) и соответственно возможность управления им - это не раскрыто. Для совершения диверсии надо знать ещё режим генерации (для "продвинутой" диверсии - простая диверсия типа устроить КЗ тут не пройдет), это тоже не раскрыто.
Евгений, вы не забываете, что я не ИБ-шник и не пентестер?

Устройство AGC-4, канал связи, предполагаю, модемный через M-Vision. Модбасовская опция в устройстве стояла, но упоминаний использования не видел. Опция G3 есть, опции G5 нет, значит скорее всего multiple gen load sharing. Только смысла нет, т.к. он по большей части в semi-auto работал.

По поводу диверсии - можно придумать что-то типа параметр 4251=20, или учитывая склонность к перегреву подшипника 4815=off...
------------------------------------
Лифанов Александр
Siemens Москва, DI FA AS
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 17481
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 749 раз
Поблагодарили: 1281 раз

Киберзащита АСУ ТП

Сообщение Jackson »

Lifanov писал(а): Евгений, вы не забываете, что я не ИБ-шник и не пентестер?
Вы же сами говорили о воровстве рецептов и адресов устройств и прочих критичных данных из логов. Я вот и хотел посмотреть, как это возможно.
Lifanov писал(а): Устройство AGC-4, канал связи, предполагаю, модемный через M-Vision. Модбасовская опция в устройстве стояла, но упоминаний использования не видел. Опция G3 есть, опции G5 нет, значит скорее всего multiple gen load sharing. Только смысла нет, т.к. он по большей части в semi-auto работал.
Практически всё неправильно. :)
Lifanov писал(а): По поводу диверсии - можно придумать что-то типа параметр 4251=20, или учитывая склонность к перегреву подшипника 4815=off
Направление понял. А как Вы это сделали бы на месте злоумышленника? По шагам.

Отправлено спустя 1 час 12 минут 47 секунд:
Если хотите, я могу откомментировать где Вы ошиблись и почему. Разбираться так разбираться.
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

Lifanov
осмотрелся
осмотрелся
Сообщения: 151
Зарегистрирован: 21 янв 2014, 12:13
Имя: Лифанов Александр Витальевич
Страна: Россия
город/регион: Москва
Благодарил (а): 5 раз
Поблагодарили: 16 раз

Киберзащита АСУ ТП

Сообщение Lifanov »

TEB писал(а):
Lifanov писал(а): По поводу диверсии - можно придумать что-то типа параметр 4251=20, или учитывая склонность к перегреву подшипника 4815=off
Направление понял. А как Вы это сделали бы на месте злоумышленника? По шагам.
Что на входе - логи или живая система?
Поиск точки входа. Прослушивание протокола "там". Поиск родного софта на торрентах. Попытки обратного считывания данных софтом. Если запаролено - тогда словарем или прямым подбором. Есть считывание - попытки записи софтом или врукопашную собранными пакетами.
TEB писал(а): Отправлено спустя 1 час 12 минут 47 секунд:
Если хотите, я могу откомментировать где Вы ошиблись и почему. Разбираться так разбираться.
Давайте, полезно будет.
------------------------------------
Лифанов Александр
Siemens Москва, DI FA AS

Romcheg
SCADA+
SCADA+
Сообщения: 592
Зарегистрирован: 05 ноя 2009, 11:18
Имя: Бузинов Роман Анатольевич
Страна: Россия
город/регион: Москва
Благодарил (а): 8 раз
Поблагодарили: 33 раза

Киберзащита АСУ ТП

Сообщение Romcheg »

Рекомендую почитать, статьи у этого автора достаточно адекватные: https://habrahabr.ru/post/316184/
SCADA+
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 17481
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 749 раз
Поблагодарили: 1281 раз

Киберзащита АСУ ТП

Сообщение Jackson »

Lifanov писал(а): Что на входе - логи или живая система?
Не понял вопроса. :)
Вы видите логи снятые с устройства. Это можно сделать только одним способом - подключившись к сервисному порту сервисным ПО. Т.е. тот кто это сделал, может сотворить что угодно (если знает пароль - для чтения логов пароль не нужен). Я облегчил задачу. :) В СКАДА логи ещё скуднее, но и их достаточно для работы, а тут всё довольно подробно, даже слишком.
[+] разбор
Lifanov писал(а): Прослушивание протокола "там"
Там модбас на 485-м или профибас. Если профибас то там вообще ничего не сделаете, совсем (так сделано изначально), если модбас то потребуется кое-какое извращение, самому интересно смогут ли до него догадаться непосвящённые. Но смысла в этом нет потому что тот кто принес эти логи имеет и так уже прямой доступ. Так что это вопрос не кибер-, а просто внутренней безопасности и дисциплины, с чего всё и должно начинаться. А структура связи на этом уровне бывает очень разная. Например в качестве OPC может использоваться ПЛК
Lifanov писал(а): Поиск родного софта на торрентах
Его там нет. :) Правда.
Lifanov писал(а): Давайте, полезно будет.
Ок.

Вам повезло, в журналах Вы увидели перезапуск устройства, где видна его аппаратная конфигурация и тип. Далеко не вся видна кстати. А вообще устройства работают годами не выключаясь, есть случаи когда проблемы давно уже есть. но "стрельнут" они только при перезапуске, которого не происходит на протяжении многих лет (предел в моей практике - 12 лет).
Lifanov писал(а): Комплекс из трех генераторов (адреса 1, 2 и 4)
Нет. Вы видите только ID устройств, с которыми пропадала связь. С другими связь не пропадала.
Lifanov писал(а): Номинальные обороты 1500 об/мин, скорее всего дизель, хотя может быть и газовый
В контроллере от производителя всегда забиты дефолтные значения. Обороты важны только если они измеряются (есть датчик), тут я не знаю, есть ли датчик. 1500 об/мин может быть как дизель так и газ (если измеряем обороты). А когда датчика нет то номинально задано просто дефолтное значение 1500 об/мин, оно никак не связано с реальным. ЧВ ведь можно пересчитать и из электрической частоты, но не факт что здесь оно пересчитывается корректно, надо проверять. И так практически со всеми параметрами.
Lifanov писал(а): Рабочее 10 кВ
Да, 10.5 кВ.
Lifanov писал(а): Суммарная мощность судя по всему 1100-1200 квт
Не-а. :) Здесь нет параметров, позволяющих это определить. Видна срабатывавшая защита по перегрузке 06.10.2016 11:52:24, но она срабатывала при значениях от от 200 до 450 кВт. И главное что защита от перегрузки может использоваться не только для собственно защиты, и уставки бывают практически от 0% - конкретно здесь это как раз тот случай.
Lifanov писал(а): Ввод с улицы видел только один, есть секционник-ВТВшка
Снова нет. Кол-во секционников не говорит о кол-ве вводов. Есть станции вообще без вводов, или с четырьмя например.
Lifanov писал(а): реальная нагрузка до 800 квт
Тоже малоинформативно, т.к. нагрузка бывает распределяется и асимметрично, намеренно, это не редкость.
Lifanov писал(а): Стоит судя по всему где-то в регионе, операторы его боятся, эксплуатируют только в полуавтоматическом режиме.
Вы же не знаете, это режим одного устройства или всей станции. А от места к месту бывает по-разному. Но большие станции в полном автомате не работают никогда.
Lifanov писал(а): Видимо, нет опыта работы, комплекс в середине октября только запустили - там явно наладчик был.
Глубина логов небольшая, собственно Вы всё и видите. Неизвестно что было до того. И агрегат мог вполне быть, например, в ремонте долгое время, а теперь вводиться в работу.
Lifanov писал(а): Предполагаю, оторвали датчик тока, в районе 18:50. После этого дольше 10 минут он так и не смог проработать, останавливался по внешним сенсорам на дискретных входах 44 и 50. Оператора даже жалко, пробовал его запустить и в автомате, и в полуавто, и чай ходил пить, и внешнее питание гасил.
Не, там совсем другая история. Но это ладно, не разбором полетов персонала занимаемся.
Lifanov писал(а): Устройство AGC-4, канал связи, предполагаю, модемный через M-Vision
Устройство правильно (оно ж тут написано), а вот канал связи - нет. Да и M-Vision тут давно уже не применяют.
Lifanov писал(а): Опция G3 есть, опции G5 нет, значит скорее всего multiple gen load sharing
Я же говорил, что не вся конфигурация пишется, она тут вся и не нужна. :) И это противоречит тому, что Вы утверждаете: есть один ввод - конечно можно извратиться и заставить станцию работать со вводом и в таком режиме, но вероятность такого извращения ничтожно мала.
Lifanov писал(а): Только смысла нет, т.к. он по большей части в semi-auto работал.
Почему нет смысла? Можно и так.
Lifanov писал(а): можно придумать что-то типа параметр 4251=20, или учитывая склонность к перегреву подшипника 4815=off
Вот тут надо уже знать технологию, ввиду нехватки времени гадаете - это я понимаю.
Как думаете, о каком подшипнике идёт речь? :) Может и склонен, может и нет, может 10 и более лет проработать нормально при нормальном плановом обслуживании, это не редкость.

Короче, тут для прямой диверсии нужна ещё хоть какая-то документация, или конфигурация на крайний случай. Но тот кто сольёт конфигурацию, имеет прямой доступ, и значит это уже не кибербезопасность а банальная дисциплина.
Все эти тех.нюансы изучать достаточно долго и, только читая документацию одного устройства, всё не понять. Перечень внешних команд и их формат можно в принципе найти, но осталось каким-то образом команду еще и отправить.
Вот видите, так запросто в лоб не получится.
Это на примере только одного устройства. Берём аналогичные системы от конкурентов - там будет совсем другая картина. Плюс от объекта к объекту всё может заметно отличаться по распределению функций между системами. На крупных объектах есть подобие между собой конечно - нормативная база общая, поставщики систем как правило либо одни и те же либо им задают сделать так чтобы всё было единообразно. А уходим на объекты поменьше - начинаются вариации. Но даже на относительно небольших объектах, если нормально налажена дисциплина и порядок, к таким системам и близко не подойти кому не положено. Конечно нет ничего невозможного, но средства далеко не всегда оправдывают цель.
По вопросам работы Форума можно обратиться по этим контактам.
Ответить

Вернуться в «Информационная безопасность»