Киберзащита АСУ ТП

[CHANt]

Но хотелось бы обратную связь от таких людей получать до того, как заканчивается подобный проект, а не через 3-4 года.

Хех, а кто из Вас хотел видеть эту обратную связь?
На места спускалась рабочая версия концепции которую надо было рассмотреть и дать замечания за 1-2 рабочих дня. Если я, или кто из моих коллег мог выделить пару часов хотя бы на чтение этого опуса, что уж говорить о замечаниях. Хотя, вроде мы и что-то там давали, в основном касающееся перехода от существующей модели к целевой, но, сколько помню, сквозь иерархическое сито ничего не прошло.

Если есть потребность - я могу предоставить контакты специалистов, они вам ответят на все ваши вопросы.

Потребность должна была быть у специалистов в момент разработки - ездить, смотреть, знакомиться с положением дел на местах, а не сидеть в офисе и сочинять "нетленки"

Я так же могу вам много чего рассказать по проектам для фск, мрск и генерации, в которых принимал участие работая в данной компании ( включая разработку той самой концепции), но при личном обращении.

Спасибо, как нибудь без личного! Мне лет через 20 на пенсию, надеюсь, надеюсь и на пенсию и что не доживу до целевой модели и не увижу иб без остальной безопасности объектов, так как одна иб - она только для специалистов по иб, не более)))

[Jackson]

Ну и вообще о деятельности крок в электроэнергетике можно судить не только по проекту разработки концепции.

Я так же могу вам много чего рассказать по проектам для фск, мрск и генерации, в которых принимал участие работая в данной компании ( включая разработку той самой концепции), но при личном обращении

Это бессмысленно, поскольку чтобы оценить эти проекты - придётся полностью их изучить от верхнего до нижнего уровня каждой системы. поэтому у меня вопрос для беглого ответа по тому объекту, который я лично хорошо изучил. Вопрос задаю с целью лучшего понимания Вашей концепции. Уважаемый Эдуард Владимирович (CHANt) эту концепцию сразу отметает и его точку зрения я прекрасно понимаю и солидарен с ней. Но я, при этом, сейчас хочу детальнее понять эту концепцию, благо представилась такая возможность.

[+] Объект энергетики

Сочи, Адлерский район, пос.Эсто-Садок, ГТЭС при ГТЦ "Галактика". Где-то есть однолинейка - если это важно то могу найти. ГТЭС ответственная (хотя и совсем смешная по мощности), поскольку питает объекты проведения Олимпийских соревнований и является одним из источником электропитания объектов какого-то особого значения, каких именно - не знаю даже я (только догадываюсь), но люди в чёрном (в прямом смысле) появлялись на ГТЭС не позднее чем через 15 минут после каждой аварийной остановки ГТЭС невзирая на пропускной режим.

Структура АСДУ классическая, поэтому ни разу не секретная: сервер сбора и хранения данных, коммуникационный сервер который стыкуется со всем что есть на среднем управляющем и нижнем исполнительном уровне. Диспетчерские АРМы (трёх-четырех видов для разных служб), получающие данные с сервера сбора данных. На среднем управляющем уровне - распределённая АСУ управления генерацией. На нижнем исполнительном уровне - блоки РЗА, турбогенераторы, вспомогательные системы турбогенераторов. Примерно так. Физическая связь всех упомянутых компонентов с внешним миром отсутствует. Для канцелярских работ стоит ПК, включенный в ЛВС здания управления, эта ЛВС (назовём её "офисная") не связана с ЛВС ГЩУ физически никак. Единственный способ перенести данные из офисной ЛВС в ЛВС АСДУ - посредством флешки, втыкаемой либо в любой из компов офисной сети, либо в АРМ КИПовца (который подключен только к серверу сбора данных и получает данные с него, являясь СКАДА-клиентом).

Вопрос 1: какие так называемые кибер-атаки или кибер-угрозы наиболее вероятны в такой АСДУ? Все локальные действия, как то подключение КИПовцев напрямую с контроллерам среднего управляющего уровня (не через сеть - пешком надо сходить к контроллеру с ноутбуком под допуск и запись в диспетчерском журнале) сразу прошу не учитывать, т.к. это явная прямая диверсия (против лома нет приёма).
Вопрос 2: Какие меры защиты от упомянутых угроз (которые Вы назовёте в ответ на первый вопрос) здесь наиболее эффективны?

[Anton Shipulin]

Есть предложение!

Кто из экспертов специалистов АСУ ТП готов прийти публично качественно и содержательно рассказать о своем мнении о кибербезопасности АСУ ТП? Можно попробовать это сделать на одном из следующих "нескучных" Industrial Cybersecurity Meetup.

Пишите мне, подумаем

Предыдущий Meetup:
https://laboratoriya-kasperskogo.timepa ... nt/348308/

Запись предыдущего Meetup:
https://www.youtube.com/watch?v=dtUGxbxsjJY

[Anton Shipulin]

[+] Объект энергетики

Сочи, Адлерский район, пос.Эсто-Садок, ГТЭС при ГТЦ "Галактика". Где-то есть однолинейка - если это важно то могу найти. ГТЭС ответственная (хотя и совсем смешная по мощности), поскольку питает объекты проведения Олимпийских соревнований и является одним из источником электропитания объектов какого-то особого значения, каких именно - не знаю даже я (только догадываюсь), но люди в чёрном (в прямом смысле) появлялись на ГТЭС не позднее чем через 15 минут после каждой аварийной остановки ГТЭС невзирая на пропускной режим.

Структура АСДУ классическая, поэтому ни разу не секретная: сервер сбора и хранения данных, коммуникационный сервер который стыкуется со всем что есть на среднем управляющем и нижнем исполнительном уровне. Диспетчерские АРМы (трёх-четырех видов для разных служб), получающие данные с сервера сбора данных. На среднем управляющем уровне - распределённая АСУ управления генерацией. На нижнем исполнительном уровне - блоки РЗА, турбогенераторы, вспомогательные системы турбогенераторов. Примерно так. Физическая связь всех упомянутых компонентов с внешним миром отсутствует. Для канцелярских работ стоит ПК, включенный в ЛВС здания управления, эта ЛВС (назовём её "офисная") не связана с ЛВС ГЩУ физически никак. Единственный способ перенести данные из офисной ЛВС в ЛВС АСДУ - посредством флешки, втыкаемой либо в любой из компов офисной сети, либо в АРМ КИПовца (который подключен только к серверу сбора данных и получает данные с него, являясь СКАДА-клиентом).

Вопрос 1: какие так называемые кибер-атаки или кибер-угрозы наиболее вероятны в такой АСДУ? Все локальные действия, как то подключение КИПовцев напрямую с контроллерам среднего управляющего уровня (не через сеть - пешком надо сходить к контроллеру с ноутбуком под допуск и запись в диспетчерском журнале) сразу прошу не учитывать, т.к. это явная прямая диверсия (против лома нет приёма).
Вопрос 2: Какие меры защиты от упомянутых угроз (которые Вы назовёте в ответ на первый вопрос) здесь наиболее эффективны?

Лучше бы нарисовать картинку с оборудованием и L2 сетью с указанием моделей оборудования, ОС и прикладного ПО на нарисованном оборудовании, так как из текста много можно не увидеть. И тогда как-то в общих чертах можно показать слабые места и вектора угроз и возможные меры защиты (Но более точнее это делается на полноценном анализе/оценке защищенности)

Мне например нравится это символическое изображение векторов угроз (обратите внимание что они есть даже если убрать сетевые соединения)

[Exactamente]

Автора зацепили мои слова, а так же у него есть свое видение деятельности моего предыдущего работодателя

Вы невнимательны. Я в отличие от CHANt отношусь к Кроку скорее положительно, по большей части на основании блога на хабре - больше нигде с компанией не пересекался :)

Я прочитал все комментарии, не сомневайтесь. Скажите, как при этом:

Тогда как ибэшники, включая вендоров уже давно имеют в штате и релейщиков, и автоматизаторов из разных отраслей

получается так, что на тему ИБ они не высказываются? Вот здесь же в топике была ссылка на очередную конференцию, где спикеры - половина руководство, половина маркетинг? Куда вы (собирательное "вы") деваете этих спецов от автоматизации? Кто эти люди? Хочу видео, где релейщик (раз уж тут всем энергетика ближе), запустивший с десяток крупных ПС, говорит: ребята, да, без антивируса от касперского вообще никак не прожить! (а глазом такой SOS моргает ...---..., мол, камрады, меня заставили)

Чтобы сделать АСУТП лучше, безопасней есть множество "векторов", и дополнительные ограничивающие сущности в этой экосистеме к ним не относятся. Вендоры в 2016 году едва-едва начинают отказываться от лютого легаси-кода конца 90-х - начала нулевых (ActiveX? DDE? orly?), любая скада, имхо, решето на двух подпорках, одна из которых подпилена. Я понимаю, что никто не станет без внешней мотивации что-то делать, но вы им задаёте неправильное направление.

[izhidkov]

Кто из экспертов специалистов АСУ ТП готов прийти публично качественно и содержательно рассказать о своем мнении о кибербезопасности АСУ ТП?

Вот бы там после митапов статьи бы потом издавали. Хоть толк бы был, а то только воду переливают.

[Jackson]

Лучше бы нарисовать картинку с оборудованием и L2 сетью с указанием моделей оборудования, ОС и прикладного ПО на нарисованном оборудовании, так как из текста много можно не увидеть.

Вы привели иллюстрацию - спасибо! Собственно по ней всё понято (она, хоть и общая, но как раз и иллюстрирует описанную мной структуру) и ответы на мои вопросы хорошо видны: полностью отрезав объект от внешнего мира (что там уже и сделано), в остатке получаем только один путь появления вредоносного кода - внешние USB-носители, с этим бороться достаточно легко административными мерами, собственно и всё. :). В этой системе я не вижу возможности сколь-нибудь серьёзной диверсии извне, т.к. удалённое управление получить в принципе невозможно. Даже если вывести из строя весь верхний уровень, то никакие функции управления не теряются, ничего вообще не произойдёт - всё управление доступно из помещения ЗРУ и даже с одного поста. Пока персонал сообразит что что-то не так (до ЗРУ идти 20 метров), распределённый средний управляющий уровень продолжает управлять генерацией, ему нужны внешние команды (от верхнего уровня или с резервного поста) только для изменения режимов, пока режим не меняется - он живёт сам по себе, он самодостаточен.

Оборудование там - на верхнем уровне клиенты IBM PC с Windows XP, WinCC. На среднем управляющем DEIF A/S (Multi-Line 2 если быть точным), Simatic S7-300. На нижнем исполнительном -ABB REF. Структура управляющего уровня - в приложении, остальное - как на Вашей иллюстрации 1 в 1.

1. Приложение 1 (структурная схема) v.2.pdf

Кстати, Вы натолкнули меня на отличную мысль, которая подтверждает правильность организации управления в контроллерах Multi-Line-2 от DEIF (т.к. я DEIF и представляю). Плюс эти контроллеры автоматически дают персоналу как минимум один резервный пост управления всей станцией, а их можно сделать и несколько - только средствами самих контроллеров.

[Михайло]

полностью отрезав объект от внешнего мира

внешние USB-носители, с этим бороться достаточно легко административными мерами, собственно и всё.

Ну и как система работать тогда должна? Должны же быть некие интерфейсы с окружающим миром?..

[Ryzhij]

Ну и как система работать тогда должна? Должны же быть некие интерфейсы с окружающим миром?..

А Вы знаете, уже работают!
А с верхним уровнем через базы данных общаются. Вот на эти каналы достаточно роутер настроить. Большего там не надо. И уж тем более, не надо каких-то специализированных осей на станциях оператора.
Валидная система должна быть в роутере, а это уже не относится к АСУ ТП. Это часть IT между АСУТП и АСУП.

[Jackson]

Ну и как система работать тогда должна?

Замечательно должна работать. Сейчас же работает.

Должны же быть некие интерфейсы с окружающим миром?

Для каких целей?

[Михайло]

Вы очень узко смотрите, посмотрите наиболее общую схему ИТ-рисков выше. Или Вы со своей колокольни-крепости готовы биться с вирусописателями? Вы их недооцениваете. У них есть мотивация, а у Вас она абсолютно нулевая.

[Jackson]

Вы очень узко смотрите, посмотрите наиболее общую схему ИТ-рисков выше.

Это к кому и к чему реплика?

[Ryzhij]

Вы очень узко смотрите, посмотрите наиболее общую схему ИТ-рисков выше. Или Вы со своей колокольни-крепости готовы биться с вирусописателями? Вы их недооцениваете. У них есть мотивация, а у Вас она абсолютно нулевая.

Вы правы в одном: не все проблемы безопасности эффективно разрешимы техническими средствами.
Многие вопросы гораздо эффективней решаются организационными мероприятиями.
Например, не стоит брать дураков на работу.

Только причём тут IT?!

[Jackson]

А, вот это к чему.... Тогда, во-1-х, я полностью согласен с Вячеславом. Административными средствами порой можно добиться очень многого, намного больше чем техническими и притом без каких-либо проектных работ, поставок оборудования, ПНР. Больше того, любая безопасность должна начинаться с дисциплины, а дисциплина достигается в первую очередь административными мерами, технические средства в этом вопросе - только инструмент, такой же как авторучка или телефон.

А во-2-х,

посмотрите наиболее общую схему ИТ

А зачем её смотреть? Я же как раз обратный пример привёл - выкиньте Вы ИТ-сети из АСУТП, и всё. Любая открытая сеть предоставляет возможность туда влезть - бесспорно. Уберите открытые сети как минимум из управляющего уровня - вот и вся безопасность. В сочетании с административными мерами это даст мощный эффект.

И вопрос с внешним интерфейсом мне так и не понятен. Опять же в моём примере - какой нужен внешний интерфейс? Его там нет, станция отлично работает уже несколько лет...

[Romcheg]

Тсссс!!! Ни в коем случае нельзя выносить на широкую публику тему, что почти 90% вопросов ИБ решаются административно!
Вы же убьете этот рынок! А его так тщательно сейчас раздувают...

[izhidkov]

Тсссс!!! Ни в коем случае нельзя выносить на широкую публику тему, что почти 90% вопросов ИБ решаются административно!
Вы же убьете этот рынок! А его так тщательно сейчас раздувают...

Возможно вам в рекламе Scada+ уже пора указывать что она кибербезопасная

[Михайло]

Вы реально думаете, что против организованной кибер-атаки можно постоять организационными методами? Типа хороший сисадмин - и все проблемы решены?

[Ryzhij]

Я реально думаю, что при отсутствии внешних сетевых связей и при вменяемом персонале, который не будет вставлять в компьютеры внешние носители, для кибер-атаки просто не остаётся "поля боя".
А Вы строите свои системы непременно с удалённым администрированием?

Остальные уязвимости под определение "кибер-" не подпадают.

ЗЫ
Я тут недавно прослышал, что отдельные безбашенные IT-шники свои UPS решили по общей сетке мониторить.
Не знаю, какие меры взыскания к ним применили по результатам аудита, но мы, "АСУТП-исты", ;) были в шоке.
Я бы таких деятелей увольнял за проф-непригодность.

[Jackson]

Давайте лучше приведём пример такой АСУТП, которая обязательно должна быть подключена к интернету и его него там не обойтись.
Нет таких систем - нет и проблемы.

[izhidkov]

Давайте лучше приведём пример такой АСУТП, которая обязательно должна быть подключена к интернету

В любом случае какой либо канал связи с "внешним миром" в АСУТП да найдется, если не фиксированный, то временный.
Да и в общем думаю нет смысла особого прятать систему от внешней сети, кроме как из-за соображений безопасности и надежности.

[Darensky Dmitry]

Господа автоматизаторы, подскажите, а канал технологической связи сспи например, в цус или рду вы за каналы связи "наружу" не считаете? И то что онив большигстве своем арендованые у операторов связы к данному вопросу не относится? С чего у вас сложился стереотип, что связь пс с внешним миром -это обязательно интернет? Вы про етссэ, построенную по сути на базе телеком инфраструктуры не принадлежащей фск забыли? А про размещение оборудования ррлс на площадках узлов связи ближайших населенных пунктов, которые толком нткто не охраняет не забыли случаем? А про полукомплекты защиты с резервом по оптике помните, не? Покажите ибэшнткам пс классом 110 и выше без единой линии связи, выходящей за забор, тогда они вам поверят что у вас есть автономные обьекты.

[Anton Shipulin]

Вот бы там после митапов статьи бы потом издавали. Хоть толк бы был, а то только воду переливают.

А вы провоцируете :) Эти встречи для обсуждения и возможности высказаться, донести идеи. Записи опубликованы. Недостаточно хорошо для Вас? Статьи это личное дело каждого. Многие пишут. Многое обсуждается на имеющихся площадках.

[Михайло]

Да что спорить? Одни учитывают ВСЕ риски, а другие - только риски безалаберности, против которых достаточно взять на работу трудолюбивого сисадмина.
Вы новости про выборы в США читаете? Думаете там плохие сисадмины сидят?

[Ryzhij]

Господа автоматизаторы, подскажите, а канал технологической связи сспи например, в цус или рду вы за каналы связи "наружу" не считаете? И то что онив большигстве своем арендованые у операторов связы к данному вопросу не относится? С чего у вас сложился стереотип, что связь пс с внешним миром -это обязательно интернет? Вы про етссэ, построенную по сути на базе телеком инфраструктуры не принадлежащей фск забыли? А про размещение оборудования ррлс на площадках узлов связи ближайших населенных пунктов, которые толком нткто не охраняет не забыли случаем? А про полукомплекты защиты с резервом по оптике помните, не? Покажите ибэшнткам пс классом 110 и выше без единой линии связи, выходящей за забор, тогда они вам поверят что у вас есть автономные обьекты.

Скажу честно, у меня таких каналов, выходящих за границу охраняемой территории, просто нет. Может потому я не понял ни единой из аббревиатур?

[Ryzhij]

Да что спорить? Одни учитывают ВСЕ риски, а другие - только риски безалаберности...

Можно ведь и продолжить. Одни четко представляют себе АСУ-ТП, а другие все валят в кучу - АСУТП, АСУП, АСОДУ.