https://geektimes.ru/post/282760/Инженер Google сравнил антивирусы с мёртвой канарейкой
- Обязательно представиться на русском языке кириллицей (заполнить поле "Имя").
- Фиктивные имена мы не приветствуем. Ивановых и Пупкиных здесь уже достаточно.
- Не писать свой вопрос в первую попавшуюся тему - вместо этого создать новую тему.
- За поиск, предложение и обсуждение пиратского ПО и средств взлома - бан без предупреждения.
- Рекламу и частные объявления "куплю/продам/есть халтура" мы не размещаем ни на каких условиях.
- Перед тем как что-то написать - читать здесь и здесь, а студентам - обязательно здесь.
- Не надо писать в ЛС администраторам свои технические вопросы. Администраторы форума отлично знают как работает форум, а не все-все контроллеры, о которых тут пишут.
Киберзащита АСУ ТП
-
- эксперт
- Сообщения: 1025
- Зарегистрирован: 25 июл 2008, 10:06
- Имя: Леонид
- Страна: РФ
- Благодарил (а): 28 раз
- Поблагодарили: 104 раза
Киберзащита АСУ ТП
Хард - это то, что можно швырнуть об стенку, а софт - это то, что можно лишь обматерить.
-
- администратор
- Сообщения: 17472
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 749 раз
- Поблагодарили: 1278 раз
Киберзащита АСУ ТП
И ещё один комментарий в продолжение.
И вот какой результат. Невозможно включить заземляющие ножи, не отключив при этом выключатель или не выкатив его. Для этого в ячейке стоит механическая блокировка, тяги. Есть аварийный режим, когда это можно сделать, для этого эту блокировку надо снять с места - толкнуть две тяги и тогда это будет возможно. удалённо по команде на терминал - без шансов, нельзя этого сделать.
Больше того, я просветился у коллеги релейщика, он сообщил что последнее время в дополнение к этой механике ставят ещё и контроллер, который собирает на себя все команды и состояния механики (заземлитель, выключатель, тележка) для того чтобы исключать нецелесообразные команды управления, например чтобы не держать под напряжением привод взведённого выключателя.
В целом, коллеги возбудились и выразили интерес внимательно посмотреть видео.
Так что вид полыхнувшей ячейки как апогей действия злоумышленника - это, извините, лажа. Эффектная, красивая, впечатляющая начальство лажа.
И на ОРУ такое тоже невозможно. См.разбор аварии на ОРУ Ростовской АЭС, например поверхностно тут, и более детальная информация тоже в сети есть.
Я сходил к коллегам и посмотрел на ячейки 6/10 кВ. Я их и раньше видел, но тут решил сам себя проверить.TEB писал(а): Ещё было сказано, что цель всего этого - показать руководителям предприятий серьёзность проблемы, а также показать что ей надо заниматься. Как руководитель предприятия по горе обрывочной узкоспецифичной информации это поймёт? Разве что, испугается многих страшных непонятных слов и видео полыхающего макета ячейки? И это всё? Так что цель-то достигается, и неважно как она потом будет реализовываться, главное - будет.
И вот какой результат. Невозможно включить заземляющие ножи, не отключив при этом выключатель или не выкатив его. Для этого в ячейке стоит механическая блокировка, тяги. Есть аварийный режим, когда это можно сделать, для этого эту блокировку надо снять с места - толкнуть две тяги и тогда это будет возможно. удалённо по команде на терминал - без шансов, нельзя этого сделать.
Больше того, я просветился у коллеги релейщика, он сообщил что последнее время в дополнение к этой механике ставят ещё и контроллер, который собирает на себя все команды и состояния механики (заземлитель, выключатель, тележка) для того чтобы исключать нецелесообразные команды управления, например чтобы не держать под напряжением привод взведённого выключателя.
В целом, коллеги возбудились и выразили интерес внимательно посмотреть видео.
Так что вид полыхнувшей ячейки как апогей действия злоумышленника - это, извините, лажа. Эффектная, красивая, впечатляющая начальство лажа.
И на ОРУ такое тоже невозможно. См.разбор аварии на ОРУ Ростовской АЭС, например поверхностно тут, и более детальная информация тоже в сети есть.
Занавес.
По вопросам работы Форума можно обратиться по этим контактам.
-
- эксперт
- Сообщения: 1465
- Зарегистрирован: 25 июл 2008, 10:25
- Имя: Эдуард Владимирович
- Страна: СССР
- город/регион: Оренбург
- Благодарил (а): 43 раза
- Поблагодарили: 93 раза
Киберзащита АСУ ТП
Жаль. Только вот понятный язык пошел в обсуждении ) И слышал Вас нормально и понял все нормально )
И понятны Ваши мотивы участия в этих мероприятиях. Понятны. Вряд ли кто Вас за это осудит. И Вы нормальный стенд предложили. Я же задаю вопрос - зачем ломать конфигурируемое устройство терминал РЗА? Это то же что и ломать частотник, блок регулятора типа ТРМ, конф. контроллеры (тот же Данфосс ECL), датчики HART/Wireless/... и много прочих вещей! (Это не самолет) Вы же понимаете почему этот класс устройств имеет слабую инф. защиту?! Может донесете тогда до товарищей на таких собраниях. Да, должны предприниматься мероприятия для защиты таких устройств/сетей и организационные и технические. И вопросы мои были - покажите как проектируете защиту, или хотя бы структуру Ваших проектов, на чем основываются. Чтобы посмотреть что они предлагают то ))) ... Ну ответ Вы видели... А искать/подсказывать методы взлома таких устройств...слов и нет уже. Вот повторяю уже пост VADR viewtopic.php?p=73320#p73320
Понятно. Были еще работы московской Энергоавтоматики по созданию экспертной системы анализа состояния датчиков на базе нейросетей. Поэтому и спросил, возможно со стороны адвантеча что -то предлагается, или сам Александр что - то знает. ))) Я в основном работаю с аналоговыми приборами, если будет Smart - счета жкх за квартиры зашкаливать будут )Ryzhij писал(а): Критичная позиция? Проводите валидацию параметров прибора и сравнивайте с базой. Просто контрольную сумму параметров запросите из прибора. Это решение "в лоб". При этом используют или AI/AO-модули со SMART-функциями, или ставят SMART-мультиплексоры.
Можно также для диагностики брать по полевой шине, например, температуру с расходомера и сравнивать её с показаниями датчика температуры в той же линии.
--------------------------------------------------------------------------------------------
-
- осмотрелся
- Сообщения: 151
- Зарегистрирован: 21 янв 2014, 12:13
- Имя: Лифанов Александр Витальевич
- Страна: Россия
- город/регион: Москва
- Благодарил (а): 5 раз
- Поблагодарили: 16 раз
Киберзащита АСУ ТП
Не согласен.TEB писал(а):Очень странное мнение. Вот как раз сегодня с утра получил подарок в виде обесточивания на удалённом объекте (автоматика сама погасила все генераторы) - как раз и разбираюсь, это был сбой, ошибка оператора или диверсия. И как Вы думаете, с помощью чего? Логи АРМов, логи сервера СКАДА, логи каждого контроллера.
Если кто-то не знает о существовании логов, значит должен знать (или должен знать что в конкретном устройстве их нет), это его обязанность. Или должен знать где узнать. Короче кто-то должен за это отвечать. И ответ должен быть не "да х.з. что там за логи, кто о них слышал", а чёткий и определённый "да, посмотрю", "не знаю, пойду узнавать", "логи не пишутся/утеряны/недостаточно полные". А такой ответ - "да х.з. что там за логи, кто о них слышал" - это бардак о котором я писал выше, с таким подходом нельзя подходить к защите объекта, и к самому объекту тоже. Супротив такого бардака не сдюжит никакая система защиты.
У вас логи со СКУД в распечатанном виде для всех лежат, чтобы все знали кто когда вошел?
Логи реально отдозированных в партию компонентов доступны последней уборщице - отфоткай и отдай рецептуру конкурентам?
Логи с адресами конкретных станций ввода-вывода доступны оператору?
Моя позиция - сотрудник должен знать только что, что ему необходимо для исполнения служебных обязанностей. Не больше!!!
Не знаешь о существовании - не сломаешь и не украдешь.
Евгений, эта ваша фраза противоречит предыдущей.TEB писал(а): Найдите пожалуйста в толковых словарях смысловое значение слова "система". Любая система автоматически включает в себя набор определённых правил, которые должны соблюдаться безоговорочно, а не так.
Система регламентов, РАЗГРАНИЧИВАЮЩИХ доступ, как раз призвана предотвращать ситуацию - "Если кто-то не знает о существовании логов, значит должен знать".
Сильно на это надеюсь, как бывший модератор MO.YASENEVO из Fidonet.TEB писал(а):Тут ещё никто не выкинут или наказан исключительно из личной неприязни, даже если она и имеет иногда место.
------------------------------------
Лифанов Александр
Siemens Москва, DI FA AS
Лифанов Александр
Siemens Москва, DI FA AS
-
- администратор
- Сообщения: 17472
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 749 раз
- Поблагодарили: 1278 раз
Киберзащита АСУ ТП
С чем Вы не согласны - я не понял? С тем что персоналу можно показывать логи?
По вопросам работы Форума можно обратиться по этим контактам.
-
- шаман
- Сообщения: 973
- Зарегистрирован: 27 июн 2013, 12:20
- Имя: Валерич
- Страна: СССР
- Благодарил (а): 35 раз
- Поблагодарили: 78 раз
Киберзащита АСУ ТП
Не думаю, что даже в самом конце списка достоинств элементов киберзащиты фигурирует снижение расходов конечного пользователя.CHANt писал(а):...если будет Smart - счета жкх за квартиры зашкаливать будут )
-
- администратор
- Сообщения: 17472
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 749 раз
- Поблагодарили: 1278 раз
Киберзащита АСУ ТП
А чтобы ничего не воровали, людей воспитывать надо той же дисциплиной, это не вопрос кибербезопасности. И потом, речь об энергетике зашла как о стратегической области. Пищевка - коммерческая. Не надо одно с другим мешать. В своей коммерческой части можете творить все что угодно и любые правила придумывать. В энергетике есть регламенты и строгая дисциплина, с чем попало туда лезть не надо. А будете попирать эти регламенты - без света останетесь, совсем. И без тепла. Кому тогда Ваша рецептура будет нужна?
По вопросам работы Форума можно обратиться по этим контактам.
-
- осмотрелся
- Сообщения: 151
- Зарегистрирован: 21 янв 2014, 12:13
- Имя: Лифанов Александр Витальевич
- Страна: Россия
- город/регион: Москва
- Благодарил (а): 5 раз
- Поблагодарили: 16 раз
Киберзащита АСУ ТП
Что значит "слабый" или "сильный"? Я понимаю - "достаточный" или "недостаточный" для каких-то конкретных условия.CHANt писал(а):Это то же что и ломать частотник, блок регулятора типа ТРМ, конф. контроллеры (тот же Данфосс ECL), датчики HART/Wireless/... и много прочих вещей! (Это не самолет) Вы же понимаете почему этот класс устройств имеет слабую инф. защиту?! Может донесете тогда до товарищей на таких собраниях.
Уровень требуемой защиты определяется очень просто - стоимость проведения атаки должна превышать потенциальную стоимость ущерба для атакуемого.
Пример. Сетка с электросчетчиками у меня в дачном поселке. За месяц я могу нагреть энергокомпанию максимум тысячи на три рублей. Соответственно, вешать сюда мегасуперпупер Cisco ASA смысла нет.
Пример 2. Одна из линий, которой я занимался лет 10 назад. Если бы кто-то влез и сломал ее (не спалив при этом аппаратно) - у хозяина возникла бы недополученная выручка со скоростью приблизительно $1000 в час. На восстановление и проверку всего ПО нужно день-два - значит опорная цифра 30-40 тыс долларов в тех ценах.
На тему "как проектируете" - ок, отвечу я. С точки зрения именно общего подхода мне наиболее полезен был вот этот семинар - http://www.croc.ru/action/webinars/59878/ , Антон видимо про него забыл по запарке.CHANt писал(а): Да, должны предприниматься мероприятия для защиты таких устройств/сетей и организационные и технические. И вопросы мои были - покажите как проектируете защиту, или хотя бы структуру Ваших проектов, на чем основываются. Чтобы посмотреть что они предлагают то ))) ... Ну ответ Вы видели...
Организационная часть лучше всего изложена у Лобашова. Более конкретные примеры можно посмотреть у Шебулдаева и Матыкова.
В этом отношении (аналоговые датчики, корелляция параллельно получаемых параметров) у нас особых наработок нет.CHANt писал(а): Понятно. Были еще работы московской Энергоавтоматики по созданию экспертной системы анализа состояния датчиков на базе нейросетей. Поэтому и спросил, возможно со стороны адвантеча что -то предлагается, или сам Александр что - то знает.
Есть определенные наработки с точки зрения прогнозирования отказа сервоприводов ЧПУ-станков исходя из тока/момента и т.п., но сам эту штуку не видел. Основная идея - наблюдение за "сползанием" характеристик на больших периодах времени.
------------------------------------
Лифанов Александр
Siemens Москва, DI FA AS
Лифанов Александр
Siemens Москва, DI FA AS
-
- осмотрелся
- Сообщения: 151
- Зарегистрирован: 21 янв 2014, 12:13
- Имя: Лифанов Александр Витальевич
- Страна: Россия
- город/регион: Москва
- Благодарил (а): 5 раз
- Поблагодарили: 16 раз
Киберзащита АСУ ТП
С тем, что ВСЕМУ персоналу давать знать о существовании ВСЕХ логов.
Оригинальная цитата:
Для меня "кто-то" - это любой человек, присутствующий на территории предприятия.Если кто-то не знает о существовании логов, значит должен знать
Если вы имели ввиду что-то другое - так и следовало писать.
------------------------------------
Лифанов Александр
Siemens Москва, DI FA AS
Лифанов Александр
Siemens Москва, DI FA AS
-
- осмотрелся
- Сообщения: 151
- Зарегистрирован: 21 янв 2014, 12:13
- Имя: Лифанов Александр Витальевич
- Страна: Россия
- город/регион: Москва
- Благодарил (а): 5 раз
- Поблагодарили: 16 раз
Киберзащита АСУ ТП
ФСТЭК имеет другое мнение. Приказ 31 от 14 марта 2014.TEB писал(а): В своей коммерческой части можете творить все что угодно и любые правила придумывать. В энергетике есть регламенты и строгая дисциплина, с чем попало туда лезть не надо. А будете попирать эти регламенты - без света останетесь, совсем. И без тепла. Кому тогда Ваша рецептура будет нужна?
Под него подпадает, например, любое производство с использованием пара. Коммерческое или некоммерческое, неважно.
А насчет энергетики - вы мне лучше расскажите, когда наконец будут унифицированы ГОСТ 61850-3-2005 (которому железо должно соответствовать) и СТО 56947007-29.240.044-2010 (по которому оно тестируется на соответствие). Один документ требует 30 вольт по 61000-4-16, другой 10 вольт. Один требует 70 ампер/метр по 61000-4-8, другой 40... Это че, строгая дисциплина?
------------------------------------
Лифанов Александр
Siemens Москва, DI FA AS
Лифанов Александр
Siemens Москва, DI FA AS
-
- почётный участник форума
- Сообщения: 5622
- Зарегистрирован: 07 окт 2011, 09:12
- Имя: Гаско Вячеслав Эриевич
- Страна: Россия
- город/регион: Рязань
- Благодарил (а): 544 раза
- Поблагодарили: 706 раз
Киберзащита АСУ ТП
Причём тут пар? Сам приказ лежит тут
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)
-
- администратор
- Сообщения: 17472
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 749 раз
- Поблагодарили: 1278 раз
Киберзащита АСУ ТП
Э.... Вы, по-моему, не того человека спрашиваете. Это во-2-х, а во-1-х, Вы уводите дискуссию в сторону, отвечая левым вопросом на вполне конкретный вопрос. Так что не лучше.
Отправлено спустя 2 минуты 14 секунд:
Чего-чего?
Открываем текст приказа, тупо запускаем поиск по сроке "пар", "паров" - и?
Или это у меня лыжи не едут?
По вопросам работы Форума можно обратиться по этим контактам.
-
- осмотрелся
- Сообщения: 151
- Зарегистрирован: 21 янв 2014, 12:13
- Имя: Лифанов Александр Витальевич
- Страна: Россия
- город/регион: Москва
- Благодарил (а): 5 раз
- Поблагодарили: 16 раз
Киберзащита АСУ ТП
А при том.Ryzhij писал(а):Причём тут пар?
Определение опасного производственного объекта приведено в РД-03-260-99 Госгортехнадзора (http://www.rosteplo.ru/Npb_files/npb_shablon.php?id=196). В частности:2. Настоящие Требования направлены на обеспечение функционирования (...) в том числе опасных производственных объектов (далее – управляемые (контролируемые) объекты), безопасность которых обеспечивается в соответствии с законодательством Российской Федерации о безопасности объектов топливно-энергетического комплекса, о транспортной безопасности, об использовании атомной энергии, о промышленной безопасности опасных производственных объектов, о безопасности гидротехнических сооружений и иных законодательных актов Российской Федерации.]
А насчет выделенной вами фразы про "в случае принятия решения"... Хе-хе... Посмотрите 13й раздел того же приказа. Принятие решения должно осуществляться не просто так, хочу - не хочу, а на основании определенных методик, разработки модели угроз и т.п.5.1.2. Используется оборудование, работающее под давлением более 0,07 МПа или при температуре нагрева воды более 115 градусов Цельсия;
------------------------------------
Лифанов Александр
Siemens Москва, DI FA AS
Лифанов Александр
Siemens Москва, DI FA AS
-
- администратор
- Сообщения: 17472
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 749 раз
- Поблагодарили: 1278 раз
Киберзащита АСУ ТП
А кто-то об этом разве говорил? Слово "Логи" вообще по-моему впервые всплыло за все 17 страниц. И потом, Ваше мнение понятно, но есть мнение Регламентов, которое имеет явно бОльший вес.
И потом, хотите логи приложу, по которым я сегодня нашёл причину аварии? Расскажите мне что-нибудь по этим логам - адреса там, типы устройств, режимы, сценарии (аналог предложенных Вами рецептур), или что Вы так боитесь раскрывать, а я потом скажу, угадали или нет. Как такое предложение?
Короче, не лезьте с бытовой коммерцией в объекты повышенной опасности и стратегические объекты , ей богу, пожалуйста, очень прошу. От лица всех энергетиков прошу. И своих-то дилетантов хватает, иной раз спасу нет, так ещё со стороны лезут. 31 приказ Ваших примеров вообще не касается, городите у себя на пищёвке любые СКУДы или наоборот ворота настежь открывайте - Ваше право. Но в энергетике есть регламенты. С ними можно не соглашаться, но соблюдать их надо. Иначе - повторюсь - без света оставите и себя и полстраны. Они кровью написаны, порой в буквальном смысле.
По вопросам работы Форума можно обратиться по этим контактам.
-
- осмотрелся
- Сообщения: 151
- Зарегистрирован: 21 янв 2014, 12:13
- Имя: Лифанов Александр Витальевич
- Страна: Россия
- город/регион: Москва
- Благодарил (а): 5 раз
- Поблагодарили: 16 раз
Киберзащита АСУ ТП
Говорили. Вы. Сообщение №73334. Я цитату дважды приводил.
Номерок регламента, пожалуйста. Тоже хочу ознакомиться.TEB писал(а):И потом, Ваше мнение понятно, но есть мнение Регламентов, которое имеет явно бОльший вес.
Давайте, гляну. Через "личные сообщения" пролезет или надо е-мейл внешний давать? Плюс, отвечать публично или приватно?TEB писал(а):И потом, хотите логи приложу, по которым я сегодня нашёл причину аварии? Расскажите мне что-нибудь по этим логам - адреса там, типы устройств, режимы, сценарии (аналог предложенных Вами рецептур), или что Вы так боитесь раскрывать, а я потом скажу, угадали или нет. Как такое предложение?
Ну, ок, я прокукарекал, а там хоть не рассветай :)TEB писал(а): 31 приказ Ваших примеров вообще не касается, городите у себя на пищёвке любые СКУДы или наоборот ворота настежь открывайте - Ваше право.
Только напомню, а нашей стране (особенно на производстве) значение имеет бумажка, которую можно показать инспектору или прокурору.
------------------------------------
Лифанов Александр
Siemens Москва, DI FA AS
Лифанов Александр
Siemens Москва, DI FA AS
-
- администратор
- Сообщения: 17472
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 749 раз
- Поблагодарили: 1278 раз
Киберзащита АСУ ТП
О том что всё должно быть напоказ? О том что всё надо скрывать? Вот так просто по номеру крайне неудобно искать, дайте цитату.
Держите
Ничего секретного. Заодно может кто-то ещё из участников форума сможет что-то рассказать про объект по этим логам. Интересно. Будем считать это небольшим тестом на секурность. А в перспективе я могу и какой-нибудь контроллер с реального генератора в интернет расшарить - приз тому кто повторит диверсию с несинхронным включением даже при условии наличия прямого канала доступа и отсутствия секурности напрочь. Особо упёрных могу даже в гости пригласить и отдать этот контроллер вместе с генератором в руки.
Отправлено спустя 14 минут 3 секунды:
Знаете что, вот после этого
авторитет этой движухи вокруг безопасности серьезно подорван. Заметьте, никто не торопится парировать. Никто не задаёт ни одного вопроса. И то что этому докладчику аплодировали стоя и не выразил удивления по поводу такой явной лажи ни один из участников мероприятия, только подтверждает что дилетанты пытаются лезть туда, где ни бельмеса не соображают. И это естественно будет раздражать, от этого естественно будут ограждаться - это нормальная реакция. Вы будете также реагировать, когда к Вам придёт сисадмин Вашего интернет-провайдера и начнёт рассказывать как Вам строить полевые шины.
Какого и о чём? О необходимости блокировки заземлителей? О порядке доступа в помещения ЗРУ?
У вас нет необходимых прав для просмотра вложений в этом сообщении.
По вопросам работы Форума можно обратиться по этим контактам.
-
- осмотрелся
- Сообщения: 151
- Зарегистрирован: 21 янв 2014, 12:13
- Имя: Лифанов Александр Витальевич
- Страна: Россия
- город/регион: Москва
- Благодарил (а): 5 раз
- Поблагодарили: 16 раз
Киберзащита АСУ ТП
Ну, посмотрел.TEB писал(а):И потом, хотите логи приложу, по которым я сегодня нашёл причину аварии? Расскажите мне что-нибудь по этим логам - адреса там, типы устройств, режимы, сценарии (аналог предложенных Вами рецептур), или что Вы так боитесь раскрывать, а я потом скажу, угадали или нет. Как такое предложение?
Комплекс из трех генераторов (адреса 1, 2 и 4). Третий либо не включали, либо отсутствует. Номинальные обороты 1500 об/мин, скорее всего дизель, хотя может быть и газовый. Рабочее 10 кВ. Суммарная мощность судя по всему 1100-1200 квт, реальная нагрузка до 800 квт. Ввод с улицы видел только один, есть секционник-ВТВшка.
Стоит судя по всему где-то в регионе, операторы его боятся, эксплуатируют только в полуавтоматическом режиме. Видимо, нет опыта работы, комплекс в середине октября только запустили - там явно наладчик был.
По последним суткам. Предполагаю, оторвали датчик тока, в районе 18:50. После этого дольше 10 минут он так и не смог проработать, останавливался по внешним сенсорам на дискретных входах 44 и 50. Оператора даже жалко, пробовал его запустить и в автомате, и в полуавто, и чай ходил пить, и внешнее питание гасил.
------------------------------------
Лифанов Александр
Siemens Москва, DI FA AS
Лифанов Александр
Siemens Москва, DI FA AS
-
- почётный участник форума
- Сообщения: 5622
- Зарегистрирован: 07 окт 2011, 09:12
- Имя: Гаско Вячеслав Эриевич
- Страна: Россия
- город/регион: Рязань
- Благодарил (а): 544 раза
- Поблагодарили: 706 раз
Киберзащита АСУ ТП
Эхе-хе...
Что же, давайте поработаем с текстом этого приказа.
Проведём герменевтический анализ рекомендованного 13-го раздела.
Это с 6-й страницы.
Сам раздел называется "Формирование требований к защите информации в автоматизированной системе управления".
Общая вводная часть трактует о том кто и как формирует требования к защите информации.
Кто? - Заказчик.
Как? - Во-первых, заказчик принимает (или не принимает) решение о необходимости защиты информации;
- Во-вторых, если решение о необходимости защиты принято, то требования к защите формируются с учётом ГОСТ Р 51583,
ГОСТ Р 51624 и стандартов организации.
- В-третьих, процесс формирования заказчиком требований к защите информации в обязательном порядке включает в себя этапы:
* принятие решения о необходимости защиты информации в автоматизированной системе управления;
* классификацию автоматизированной системы управления по требованиям защиты информации (далее – классификация автоматизированной системы управления);
* определение угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования автоматизированной системы управления, и разработку на их основе модели угроз безопасности информации;
* определение требований к системе защиты автоматизированной системы управления.
Затем в пунктах приказа с 13.1 по 13.4 раскрывается содержание каждого из этапов.
Нас, прежде всего, интересует этап принятия решения о защите информации, т.е. пункт 13.1, который трактует о том, что при принятии решения (не ДЛЯ принятия решения, а ПРИ принятии решения) о необходимости защиты информации следует:
а) определиться с вопросом: "А что, собственно, делает эта самая АСУ (АСУ ТП), и на хрена она нужна?";
б) уяснить, а что тут надо защищать? Какую такую критическую инфу? И зачем? А чё будет, если не защищать?
в) разобраться с законами и нормами (в т.ч. местечковыми), которым должна соответствовать АСУ (АСУ ТП), инфу в которой заказчик захотел защитить;
г) принять (или не принять) решение о создании СИСТЕМЫ (т.е. комплекса административно-технических средств) ЗАЩИТЫ АСУ (АСУ ТП) и определиться с целями и задачами защиты информации в АСУ (АСУ ТП) заказчика.
Вот о чём на самом деле написано в этом приказе.
Согласитесь, Александр Витальевич, что это немного не то, что Вы написали.
PS: Что там у Вас было в Правиле № 1?
ВЕРИТЬ НЕЛЬЗЯ НИКОМУ!
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)
-
- осмотрелся
- Сообщения: 109
- Зарегистрирован: 10 мар 2016, 06:51
- Имя: Ильгиз Ильдарович
- Благодарил (а): 4 раза
- Поблагодарили: 9 раз
Киберзащита АСУ ТП
http://fstec.ru/component/attachments/download/714
Касательно пункта 13.2 "...Требование к классу защищенности включается в техническое задание на создание автоматизированной системы управления и (или) техническое задание (частное техническое задание) на создание системы защиты автоматизированной системы управления, разрабатываемые с учетом ГОСТ 34.602 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы» (далее – ГОСТ 34.602)..."
Отмечу, что по 34.602 этого не делают.
Защиту информации реализуют программными паролями пользователя в АСУТП, учет пользователей, время их работы, их действия (опять те же Логи).
А вот при подключении АСУТП к общезаводским сетям предусматриваются серверные станции для передачи данных в эти сети. Например OPC-сервер смотрящий наружу через файрвол. И у этого OPC не может управлять процессом.
Некоторые OPC-сервера вообще данные с АРМов забирают (не с контроллера). И их отделяют от технологической сети.
Т.е.:
- Контроллеры пересылают данные на АРМ по технологичесокой сети.
- OPC-сервера забирают данные с АРМов по офисной сети (к офисной сети относя все, что не участвует в управлении техпроцессом, например принтер).
- OPC-сервер передает данные по заводской сети.
Вот и вся защита требуемая по ГОСТ 34.602.
Касательно пункта 13.2 "...Требование к классу защищенности включается в техническое задание на создание автоматизированной системы управления и (или) техническое задание (частное техническое задание) на создание системы защиты автоматизированной системы управления, разрабатываемые с учетом ГОСТ 34.602 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы» (далее – ГОСТ 34.602)..."
Отмечу, что по 34.602 этого не делают.
Защиту информации реализуют программными паролями пользователя в АСУТП, учет пользователей, время их работы, их действия (опять те же Логи).
А вот при подключении АСУТП к общезаводским сетям предусматриваются серверные станции для передачи данных в эти сети. Например OPC-сервер смотрящий наружу через файрвол. И у этого OPC не может управлять процессом.
Некоторые OPC-сервера вообще данные с АРМов забирают (не с контроллера). И их отделяют от технологической сети.
Т.е.:
- Контроллеры пересылают данные на АРМ по технологичесокой сети.
- OPC-сервера забирают данные с АРМов по офисной сети (к офисной сети относя все, что не участвует в управлении техпроцессом, например принтер).
- OPC-сервер передает данные по заводской сети.
Вот и вся защита требуемая по ГОСТ 34.602.
-
- администратор
- Сообщения: 17472
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 749 раз
- Поблагодарили: 1278 раз
Киберзащита АСУ ТП
Угадали процентов на 30 где-то, не больше. Если интересно то могу разложить подробно.
Я-то больше надеялся на разбор с т.зр.секурности. А что за устройство, каков канал связи, адрес устройства (о чём Вы упомянули как о причине того чтобы скрывать логи) и соответственно возможность управления им - это не раскрыто. Для совершения диверсии надо знать ещё режим генерации (для "продвинутой" диверсии - простая диверсия типа устроить КЗ тут не пройдет), это тоже не раскрыто.
Отправлено спустя 10 минут 11 секунд:
У моего науч.рука было похожее правило: "Все книги врут. Включая мои собственные. Включая конспекты."
По-моему, так и получилось с опытом полыхнувшей ячейки.
По вопросам работы Форума можно обратиться по этим контактам.
-
- осмотрелся
- Сообщения: 151
- Зарегистрирован: 21 янв 2014, 12:13
- Имя: Лифанов Александр Витальевич
- Страна: Россия
- город/регион: Москва
- Благодарил (а): 5 раз
- Поблагодарили: 16 раз
Киберзащита АСУ ТП
Евгений, вы не забываете, что я не ИБ-шник и не пентестер?TEB писал(а):Угадали процентов на 30 где-то, не больше. Если интересно то могу разложить подробно.
Я-то больше надеялся на разбор с т.зр.секурности. А что за устройство, каков канал связи, адрес устройства (о чём Вы упомянули как о причине того чтобы скрывать логи) и соответственно возможность управления им - это не раскрыто. Для совершения диверсии надо знать ещё режим генерации (для "продвинутой" диверсии - простая диверсия типа устроить КЗ тут не пройдет), это тоже не раскрыто.
Устройство AGC-4, канал связи, предполагаю, модемный через M-Vision. Модбасовская опция в устройстве стояла, но упоминаний использования не видел. Опция G3 есть, опции G5 нет, значит скорее всего multiple gen load sharing. Только смысла нет, т.к. он по большей части в semi-auto работал.
По поводу диверсии - можно придумать что-то типа параметр 4251=20, или учитывая склонность к перегреву подшипника 4815=off...
------------------------------------
Лифанов Александр
Siemens Москва, DI FA AS
Лифанов Александр
Siemens Москва, DI FA AS
-
- администратор
- Сообщения: 17472
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 749 раз
- Поблагодарили: 1278 раз
Киберзащита АСУ ТП
Вы же сами говорили о воровстве рецептов и адресов устройств и прочих критичных данных из логов. Я вот и хотел посмотреть, как это возможно.
Практически всё неправильно. :)Lifanov писал(а): Устройство AGC-4, канал связи, предполагаю, модемный через M-Vision. Модбасовская опция в устройстве стояла, но упоминаний использования не видел. Опция G3 есть, опции G5 нет, значит скорее всего multiple gen load sharing. Только смысла нет, т.к. он по большей части в semi-auto работал.
Направление понял. А как Вы это сделали бы на месте злоумышленника? По шагам.
Отправлено спустя 1 час 12 минут 47 секунд:
Если хотите, я могу откомментировать где Вы ошиблись и почему. Разбираться так разбираться.
По вопросам работы Форума можно обратиться по этим контактам.
-
- осмотрелся
- Сообщения: 151
- Зарегистрирован: 21 янв 2014, 12:13
- Имя: Лифанов Александр Витальевич
- Страна: Россия
- город/регион: Москва
- Благодарил (а): 5 раз
- Поблагодарили: 16 раз
Киберзащита АСУ ТП
Что на входе - логи или живая система?
Поиск точки входа. Прослушивание протокола "там". Поиск родного софта на торрентах. Попытки обратного считывания данных софтом. Если запаролено - тогда словарем или прямым подбором. Есть считывание - попытки записи софтом или врукопашную собранными пакетами.
Давайте, полезно будет.TEB писал(а): Отправлено спустя 1 час 12 минут 47 секунд:
Если хотите, я могу откомментировать где Вы ошиблись и почему. Разбираться так разбираться.
------------------------------------
Лифанов Александр
Siemens Москва, DI FA AS
Лифанов Александр
Siemens Москва, DI FA AS
-
- SCADA+
- Сообщения: 592
- Зарегистрирован: 05 ноя 2009, 11:18
- Имя: Бузинов Роман Анатольевич
- Страна: Россия
- город/регион: Москва
- Благодарил (а): 8 раз
- Поблагодарили: 33 раза
Киберзащита АСУ ТП
Рекомендую почитать, статьи у этого автора достаточно адекватные: https://habrahabr.ru/post/316184/
SCADA+
-
- администратор
- Сообщения: 17472
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 749 раз
- Поблагодарили: 1278 раз
Киберзащита АСУ ТП
Не понял вопроса. :)
Вы видите логи снятые с устройства. Это можно сделать только одним способом - подключившись к сервисному порту сервисным ПО. Т.е. тот кто это сделал, может сотворить что угодно (если знает пароль - для чтения логов пароль не нужен). Я облегчил задачу. :) В СКАДА логи ещё скуднее, но и их достаточно для работы, а тут всё довольно подробно, даже слишком.
Вот видите, так запросто в лоб не получится.
Это на примере только одного устройства. Берём аналогичные системы от конкурентов - там будет совсем другая картина. Плюс от объекта к объекту всё может заметно отличаться по распределению функций между системами. На крупных объектах есть подобие между собой конечно - нормативная база общая, поставщики систем как правило либо одни и те же либо им задают сделать так чтобы всё было единообразно. А уходим на объекты поменьше - начинаются вариации. Но даже на относительно небольших объектах, если нормально налажена дисциплина и порядок, к таким системам и близко не подойти кому не положено. Конечно нет ничего невозможного, но средства далеко не всегда оправдывают цель.
По вопросам работы Форума можно обратиться по этим контактам.