Киберзащита АСУ ТП

[Василий Иванович]

Помилуйте, Евгений, у меня и в мыслях не было Вас оскорблять. Я имел в виду, что есть и другие (известные мне, например) объекты, которых Вы не видели, и это было с Вашей стороны скоропалительно написать "никто этим не занимается".

[Jackson]

Конечно есть, я и не глаголю истину в последней инстанции. Но почему-то нет примеров, а разговаривать о сферических конях не очень интересно.

[Alex question]

Господа.
Хочу немного еще раздуть ваш холивар.

Посетил сегодня данный форум: День промышленного сектора на InfoSecurity Russia'2016

Вот мое мнение на основании всего, что я там увидел. (сразу скажу, что это мнение полного ламера, прислушиваться к нему не нужно и да будет холивар).

Прошелся по всем стендам. Т.к. времени было не много, то до вечера слушать все выступления (а они по 20 минут и чисто на общие темы т.е. одна вода) не стал. Просто прошелся по всем стендам где были упомянуто слово из пяти букв: АСУ ТП. и по возможности побеседовал с представителями компаний.

Выводы для себя сделал следующие:

1. На выставке безопасности в АСУ ТП людей из АСУшников (тех кто делает свои системы, или интеграторы/внедренцы и т.п.) было (по моим впечатлением) человек пять. Включая меня и коллегу и еще одного чела, который раньше работал в наладке а сейчас просто был участником от другой конторы и так же как и мы ходил и смотрел что есть по АСУшной части у других. Т.е. форум "безопасность в АСУ ТП" на котором нет специалистов из АСУ ТП. Уже хорошо.

2. На выставке было гораздо больше менеджеров, чем технических специалистов. Поэтому на вопросы зачастую ответить могли только общими лозунгами из рекламных буклетов или словами "Возьмите нашу визитку/буклет и свяжитесь. Тогда мы вам что нибудь расскажем поподробнее.". Но это в принципе нормально. Так всегда бывает.

3. На вопрос ко всем про Приказ 31 очень малая часть оказалась в курсе дела, еще половина из опрошенных что то слышала об этом но смутно понимает о чем речь. Остальные (тоже примерно половина) на этот вопрос надували щеки, хлопали глазами и всеми силами давали понять что они в теме, хотя сразу было видно что первый раз про это слышат и просто не хотят подать вида. Но возможно это следствие пункта 2. Так что тоже в принципе нормально.

4. Из решений, предлагаемых всеми. Сейчас вы будете смеяться. Если кому не лень, могут поискать мой пост, где я говорил, что самое хорошее и простое это делать обычную систему и защищать по полной только канал во внешний мир посредством шифрования например. Так вот - абсолютное большинство предлагаемых решений это шифрование трафика типа точка-точка разными способами (собственные криптокоммутаторы, построение хитрого vpn, софтварные решения по шифрованию какие-то и т.п.). Т.е. сейчас все кто был на выставке предлагают только защитить канал во внешний мир.

5. Есть еще несколько экзотических решений но даже те кто их предлагают с трудом представляют, как их вообще использовать на практике. Т.е. построение модели для поиска уязвимостей в системе это хорошо на модельке а вот про реальный объект полный глушняк.

6. Коробочных решений (типа берите предлагаемый нами комплекс мер и вы сразу выполните все требования по безопасности) не существует и не будет существовать в обозримом будущем.

7. Реальных внедрений и каких то примеров работающих систем, где реализовано хоть что то большее стандартных мер, тоже нет ни у кого. Один товарищ многозначительно намекал что все супер просто он не может говорить т.к. это тайна, но под наводящими вопросами с другой стороны выяснилось, что это все тоже шифрование внешнего канала какой то купленной железкой (или их собственной разработкой. так и не понял за всеми этими намеками на тайны и конфиденциальность).

8. Никто из крупных контор в АСУ ТП (из разработчиков ПТК) пока даже не парится по этому поводу. Т.е. резво подгонять свои решения под требования защититься от того, что внутрь на шину данных типа влезет злоумышленник и начнет подменять значения с модулей УСО, никто пока не собирается.

9. С виду большинство товарищей, писавших на стендах АСУ ТП, пришло из других сфер просто почуяв, что тут можно попробовать поделить дополнительный пирожок на непонятно кем поднятой волне. Т.к. этот переход (или заход) в данную область случился сравнительно недавно, то опыта и понимания ситуации в целом просто пока нет. Одни страшилки про то, что все плохо и завтра взорвется ядреная электростанция если сегодня не купить их решение.

Вот как то так.

Правда есть и положительные моменты, но их сравнительно немного и о них потом. Чтобы не мешать вам холиварить.

[Василий Иванович]

Вот видите, Евгений - Вы пишете "никто этим не занимается", а в то же время выставка полна предложениями на шифрование канала связи.

[Ryzhij]

Вот видите, Евгений - Вы пишете "никто этим не занимается", а в то же время выставка полна предложениями на шифрование канала связи.

Вангую - в связи с развитием и внедрением телемеханики в армии и флоте, где передачи ведутся по каналам общего пользования и обмен требует криптозащиты, многие фирмы пытаются приспособить свои наработки к АСУ ТП на гражданке.
Беда только в том, что при другой архитектуре системы и других целевых функциях, других рисках, решения для беспилотника неприменимы в промышленности.

[Степа]

Так вот не надо лукавить. Чаще всего внешний мир как раз ни на чёрта не сдался для управления.

Вот иманна, вот иманна! (с)
Не надо лукавить: я ни слова не говорил за управление

Там, во внешнем мире, очень желают знать, как работает система, ее текущие параметры, ее состояние и т.п.

Для управления - тут без вариантов: мало где действительно нужен внешний мир /даже если он там сейчас по факту есть/. А вот для получения всякой полезной информации...

Если система сделана по-человечески, то есть абсолютно ничего лишнего, никаких рюшечек, только необходимое - здесь всё будет в порядке, потому что лишних средств доступа в ней просто нет.

Лишних и не надо, хватит тех, что есть.
Ну кто может поручиться, что в том же ОВЕН ТРМ нет ошибок? Пока их никто не обнаружил: с приборами работают грамотные люди, задача которых - сделать систему, в рамках решения задачи они делают обмен. Строго по протоколу. Если обмен строго по протоколу - все хорошо. Но что будет если прислать пакетик, не соответствующий протоколу? Сейчас это проверять просто некому, незачем и времени на это нет.
Пока посторонних во внутренней сети нет - так и будет все хорошо.
К примеру, вот системка. В таком виде - почти нереально влезть в сеть RS-485 и что-то там сотворить. Если преобразователь интерфейсов /слева вверху I-7520/ заменить на Ethernet/RS-485 - уже влезть куда как проще... Особенно, если тот Ethernet обычный офисный и там шаробанятся все, кому не лень... А это вполне может случиться - "да кому мы нужны", "если что - оператор заметит".
Если что - прибор очень быстро можно перенастроить по сети безо всяких паролей даже на его минимально возможной штатной скорости 2400 бит/сек, руками - опухнуть можно, сколько раз там кнопки нажать надо, чтобы просто температуру в одной зоне немного изменить /даже без пароля; с паролем - еще больше/.

Давненько так один приборчик изучал /надо было перевести работу с прибором с очень древнего ПК на современный; старый ПК гавкнулся, спецификаций за исключением обрывков схем - никаких, поспрошать просто некого/ - там был такой косячок: хвост пакета длиннее определенной длины записывался в область настроек прибора... Пакет был очень намного длиннее, положенного по протоколу /протокол чуть позже восстанавливался по дизассеблированной программе, сначала, по сути, фаззингом занимались - некоторую часть посылок удалось получить, вот и пытались по-быстрому угадать остальные нужные посылки/. Прибор, правда, это замечал, осуществлял перезапуск с восстановлением настроек по умолчанию. Но картинка-то получалась прикольной - простенькая программуля прибор в перезапуск отправляет /я ей потом некоторое время пользовался, если надо было на приборе Reset нажать, а идти до него было очень лень/. Приборчик не очень важный и на нем не было ничего опасного, но все равно неприятно бы было, если бы подобной программой воспользовался бы кто-то с недобрыми намерениями...

Да хоть десять мастеров! Только каждый мастер общается только со своими слэйвами, а не с чужими. Иначе будет распознан конфликт на шине. Совершенно штатными средствами.

Если пауза между циклами обмена меньше времени цикла обмена - конфликт будет распознан. Если между циклами времени много больше времени цикла обмена - влезть в паузу штатного мастера без проблем, программа ненамного сложнее получается. И штатные средства будут помалкивать: ни разу не видел мастера, который бы контролировал состояние шины в паузах.
Единственная возможная проблема - если у штатного мастера буфер приема не чистится перед ожиданием ответа в своем цикле... Кстати, это очень нехорошо: если в паузе приемником распознался помеховый импульс как начало посылки и получился принятым байтик, то цикл обмена после этого не пройдет.
А слейву вообще вдоль борта, кто его спросил...

Не съезжайте с темы.

А где тут съезд с темы? Самый простой способ сделать более одного мастера на RS-485 - это использовать преобразователь Ethernet/RS-485 и разрешить работу с одним портом нескольким абонентам. До этого преобразователя, если повезет, хоть с другой стороны земного шара достучаться можно...
С преобразователем RS-232/RS-485, USB/RS-485 или встроенным портом RS-485 уже так не получится.

Беда только в том, что при другой архитектуре системы и других целевых функциях, других рисках, решения для беспилотника неприменимы в промышленности.

Да легко.
Связь с подвижными объектами и в промышленности может понадобиться. У нас в одном проекте есть четыре точки на подвижных объектах, которым нужна связь с общецеховой сетью: там будет рожаться некий наборчик информации, а туда планируется передавать задания оператору. Связь нужна постоянно, полностью контролируемая и, желательно, бесплатно - сотовые операторы отпадают. Кабель нереален. Какие-то другие средства беспроводной цифровой связи с достаточной дальностью связи используют лицензируемую полосу частот. Wi-Fi - наиболее реальное и весьма небезопасное решение /как минимум из-за отсутствия функции обмена ключами/.
Резервные каналы, аварийные, временные, через труднопреодолимые препятствия... Да мало ли где может понадобиться канал не только с шифрованием, но и с обменом ключами и с защитой от навязывания.

[Jackson]

Разговор в пользу бедных.
Уже неоднократно сказано что закрытые системы с закрытыми интерфейсами (которые торчат наружу) решают такие проблемы. Но это не услышано.
Вот теперь тему можно закрывать.

[Ryzhij]

Связь с подвижными объектами и в промышленности может понадобиться

Ключевое слово "может".
Я вот в этом бизнесе уже больше трёх десятков лет, а всё никак.
Вот не надобится и всё тут!
И проблема 2k, и многое другое не понадобилось, а попытки развести на бабло никак не прекращаются ;)

[Василий Иванович]

Единственная возможная проблема - если у штатного мастера буфер приема не чистится перед ожиданием ответа в своем цикле... Кстати, это очень нехорошо: если в паузе приемником распознался помеховый импульс как начало посылки и получился принятым байтик, то цикл обмена после этого не пройдет.
А слейву вообще вдоль борта, кто его спросил...

Я не вижу никаких особых на то причин мастеру чистить буфер перед ожиданием ответа. Более того, в случае Профибаса я бы осмелился утверждать, что там и между посылками не влезешь, и слейву далеко не всё равно, кто его спросил, и мастеру для того, чтобы что-то отправить, перед этим токен нужно получить.

Не съезжайте с темы.

А где тут съезд с темы? Самый простой способ сделать более одного мастера на RS-485 - это использовать преобразователь Ethernet/RS-485

Стёпа, самый простой способ сделать больше одного мастера на RS-485 - это включить его в сеть. Этот стандарт не ограничивает число мастеров. Он вообще не знает, что такое мастер. Это физика, не более.

[Василий Иванович]

Разговор в пользу бедных.
Уже неоднократно сказано что закрытые системы с закрытыми интерфейсами (которые торчат наружу) решают такие проблемы. Но это не услышано.
Вот теперь тему можно закрывать.

Хоть я и не понял, что такое закрытый интерфейс, который торчит наружу, я в принципе согласен, что вряд ли кто-то из участников способен изменить своё мнение. А кто не участвовал - тот может сам прийти к своему, прочитав всё вышенаписанное.

[Степа]

закрытые системы с закрытыми интерфейсами (которые торчат наружу)

Я таки не понял, что сие значит...
Ну да ладно, наплевать и забыть.

вот в этом бизнесе уже больше трёх десятков лет, а всё никак.

Я чуть меньше - четверть века всего. На настоящий момент пока четыре подвижных объекта могу назвать, которым в перспективе нужна связь /это пока только проект, до реализации пока дело не дошло/. Плюс пара-тройка случаев, когда было бы как минимум сильно быстрее что-нибудь беспроводное, было б чего-нибудь побезопаснее Wi-Fi в качестве временного канала. Наверное, все...
В остальных случаях - провода.

Я не вижу никаких особых на то причин мастеру чистить буфер перед ожиданием ответа.

- Видишь суслика?
- Нет.
- И я нет. А он - есть! (С)

Более того, в случае Профибаса я бы осмелился утверждать, что там и между посылками не влезешь, и слейву далеко не всё равно, кто его спросил, и мастеру для того, чтобы что-то отправить, перед этим токен нужно получить.

А вот Modbus /хоть RTU, хоть ASCII/ - легко и непринужденно.

Он вообще не знает, что такое мастер.

А вот это называется "съезд с темы".

[Ryzhij]

Я чуть меньше - четверть века всего. На настоящий момент пока четыре подвижных объекта могу назвать, которым в перспективе нужна связь /это пока только проект, до реализации пока дело не дошло/. Плюс пара-тройка случаев, когда было бы как минимум сильно быстрее что-нибудь беспроводное, было б чего-нибудь побезопаснее Wi-Fi в качестве временного канала. Наверное, все...

И эти четыре относятся к ОПО? Честно?!
Не верю!

[Михайло]

И эти четыре относятся к ОПО? Честно?!
Не верю!

Я знаю, Степа не различает степени опасности объектов, он на все повешает киберзащиту, спецсвязь и приставит ФСБшника, специалиста по ИБ. Действительно, зачем глубоко разбираться?

[Степа]

И эти четыре относятся к ОПО?

Ну как сказать... Всякие там надзоры за ними наблюдают.
Краны мостовые, обыкновенные, если быть точным.

Это... А что, более-менее приличная закрытая связь на промплощадке нужна исключительно только ОПО? Остальные обойдутся открытой или условно закрытой /типа Wi-Fi/?
Скажем, объект у меня один был: пост измерения температуры. Надо было прямо срочно-срочно поставить, потому пока тянулась туда нормальная сеть, кинули туда хвост через Wi-Fi. Опасный объект? Да ни разу. Но Wi-Fi - это условно закрытая точка доступа во внутреннюю сеть, огражденную МСЭ и прочими фишками безопасности т.п. Подключиться к той сети - пара пустяков: у каждого третьего /если не у каждого второго/ в кармане смарт с Wi-Fi. Всех забот - пароль подобрать. Как это сделать - тысячи и тысячи материалов. Можно даже к объекту не подходить. Взорвать там что-то вряд ли можно, но вот крови попортить - как два пальца...

Кстати. На Радиосканере есть тема Охота за позывными - воспоминания радиоразведчика. Там где-то на одной из пятидесяти страниц есть рассказ, как прослушивая открытую радиолинию на морг /канала ЗАС на начальника разведки не всегда хватало, а тут какой-то морг, что там может быть важного/ боевики планировали засады.
И это, кстати, иллюстрация к вопросу об "управлении рисками"...

Действительно, зачем глубоко разбираться?

Господин инженер-электрик уже научился схемы рисовать? Или "зачем глубоко разбираться", на схему похоже и ладно?

[Василий Иванович]

Господа, я бы не советовал вам пихаться тут принародно локтями. Каждый из вас написал тут предостаточно ляпсусов, но это не повод переходить на личности.

[Ryzhij]

А что, более-менее приличная закрытая связь на промплощадке нужна исключительно только ОПО? Остальные обойдутся открытой или условно закрытой /типа Wi-Fi/?

Я Вам больше скажу, даже на ОПО есть смысл заморачиваться лишь с защитой контуров, определяющих опасность объекта. Остальное - по вкусу и при желании "распилить".

[izhidkov]

Кстати, если принудят АСУТПшников использовать СКЗИ, то как они будут такие системы обслуживать без лицензии "на защиту информации"? Кроме того разработчики систем АСУТП также должны будут лицензии получать чтобы проектировать чтолибо?

[Ryzhij]

Кстати, если принудят АСУТПшников использовать СКЗИ, то как они будут такие системы обслуживать без лицензии "на защиту информации"?

Точно не помню, но кажется там не всё так уныло. Лицензия нужна для предоставления услуг криптографии "на сторону", а в своем "курятнике"...

Кроме того разработчики систем АСУТП также должны будут лицензии получать чтобы проектировать чтолибо?

Ну так сами-то СКЗИ разрабатываются не в рамках АТХ, а применяются готовые ;)
Придётся во время эксплуатации на аутсорсинге к-либо контору держать.
Дык, ради этого и нагнетают!

[Степа]

даже на ОПО есть смысл заморачиваться лишь с защитой контуров, определяющих опасность объекта

Видите ли, имея открытый информационный канал на неважный и неопасный объект вполне можно поэксплуатировать и опасный. Уже будучи внутри информационного периметра. Например, кофеварка - ни разу не опасный объект. Тем не менее кофеварка может стать угрозой финансовому благосостоянию.
Так что тут никакими распилами и не пахнет... Распилом пахнет как раз попытка позаниматься "управлением рисками" не вникая в имеющиеся потоки данных и в возможности абонентов информационного обмена.

если принудят АСУТПшников использовать СКЗИ, то как они будут такие системы обслуживать без лицензии "на защиту информации"?

Если верить ФЗ "о лицензировании отдельных видов деятельности" /статья 12/, то обслуживать криптографические средства защиты, используемые для собственных нужд, можно без лицензии.
Разрабатывать криптографические средства защиты - это лицензия нужна.
Использовать же готовые устройства... В принципе, данный вид деятельности под п.5 части 1 попадает.

[Ryzhij]

Видите ли, имея открытый информационный канал на неважный и неопасный объект вполне можно поэксплуатировать и опасный. Уже будучи внутри информационного периметра. Например, кофеварка - ни разу не опасный объект. Тем не менее кофеварка может стать угрозой финансовому благосостоянию.

Ну, Вы же знаете правильный ответ, почему ж тогда других держите за... непонятно кого.

Вот чем эта самая "умная кофеварка" отличается от любого другого нода в сети общего пользования или в сети предприятия?
Что там делает АСУТП ОПО?

Так можно дойти до абсурда, если проводить информационные границы ОПО как "левая нога захочет". Сейчас Вам выгодна граница тут, а через страницу - уже там.
Так дискуссии не ведут.

Почему ОПО имеет незащищённый канал с "кофеваркой"? /Это если "кофеварка" не входит в ОПО/
А если входит, то мы имеем классического "троянского коня", против которого бессильны предлагаемые СКЗИ, устанавливаемые по периметру.
Внедрение же СКЗИ внутрь АСУТП сразу вызовет к жизни анекдот из прикладной мэрфологии: "Система обеспечения безопасности выводит из строя остальные системы".

[Степа]

Ryzhij, может непонятно говорил...
В общем, СКЗИ вводить надо в одном случае - на беспроводные каналы связи. Не разбираясь в опасности объекта, к которому кинут канал. Ну как максимум - в случаях прохода кабеля связи через физически неконтролируемые зоны. В других случаях кроме лишних затрат они реально ничего не принесут.
Причем СКЗИ надо с возможностью автоматической смены сеансовых ключей, с защитой от навязывания. Многолетняя криптостойкость тут не требуется - AES, ГОСТ чересчур избыточны, надо что-то полегче и попроще, что-то навроде RC4. Длина ключа 40 бит - даже с перебором при смене сеансовых ключей каждые полчаса-час.
В проводной сети вполне можно обойтись либо физическим разделением сетей с МСЭ на границах /грубо: на входе в цех, в промзону и, может, в крупные узлы промзоны типа участков, больших линий/ либо логическим с помощью VLAN. Остальные средства защиты - чисто программные: урезанные права пользователей, МСЭ на компьютерах, программы контроля целостности файловой системы, программы восстановления ФС /навроде FreezePC/... Ну, может, для успокоения особо нервных - антивирус /хотя пока никто внятно сказать не может, какой вирус может отловить антивирус при таких средствах защиты/.
Может еще чего надо, но это уже сильно выше АСУ ТП.
Вот как-то так.

[izhidkov]

Если верить ФЗ "о лицензировании отдельных видов деятельности" /статья 12/, то обслуживать криптографические средства защиты, используемые для собственных нужд, можно без лицензии.
Разрабатывать криптографические средства защиты - это лицензия нужна.
Использовать же готовые устройства... В принципе, данный вид деятельности под п.5 части 1 попадает.

Я вот как-то раз конкурс на наладку пары ПЛК в ЦАГИ видел. Так вот они приплели к конкурсу требование по наличию лицензии на гос.тайну только из-за того что она нужна чтобы через турникет в ЦАГИ пройти, потому что так директор ЦАГИ решил ( ну или их ЦАГИ СБ). Так что эти "оговорки" на практике не работают. Идет к тому что хочешь заниматься АСУТП, будь добр плати лицензию на СКЗИ, а если провинишься, то и будет чем тебя шантажировать (отбором лицензии).

[Ryzhij]

Причем СКЗИ надо с возможностью автоматической смены сеансовых ключей, с защитой от навязывания. Многолетняя криптостойкость тут не требуется - AES, ГОСТ чересчур избыточны, надо что-то полегче и попроще, что-то навроде RC4. Длина ключа 40 бит - даже с перебором при смене сеансовых ключей каждые полчаса-час.

Вообще-то примерно так и работают пропиетарные протоколы беспроводной промышленной связи у того же Turck.
Да и у других производителей, наверняка, так же.

И зачем тогда изобретать велосипед, заморачиваться с лицензированием на криптографию?

Знаете, чем в корне плохи беспроводные технологии? Приёмнику легко и дёшево можно поставить помеху такой мощности, что сделает канал неработоспособным. А устойчивые к таким атакам системы с широкополосным шумоподобным сигналом слишком дороги. По крайней мере пока.

[Anton Shipulin]

Внедрение же СКЗИ внутрь АСУТП сразу вызовет к жизни анекдот из прикладной мэрфологии: "Система обеспечения безопасности выводит из строя остальные системы".

А тем временем General Electric, Rockwell Automation, Schneider Electric и Siemens в этом году рассказали как они повышают защищенность своего оборудования и в том числе внедряют туда криптографию :)



Описание:
"PLC's, RTU's and other controllers have made securing industrial control systems (ICS) almost impossible. These devices were insecure by design. The features and functions provided everything an attacker would want without a vulnerability and exploit.

Fortunately this is changing. We are now seeing signed firmware, encrypted ICS protocols and other important security features so that an asset owner who cares about security can purchase or upgrade to a securable solution.

This panel discussion brings together the top PLC experts from the top PLC vendors: General Electric, Rockwell Automation, Schneider Electric and Siemens."

[Степа]

Я вот как-то раз конкурс на наладку пары ПЛК в ЦАГИ видел. Так вот они приплели к конкурсу требование по наличию лицензии на гос.тайну только из-за того что она нужна чтобы через турникет в ЦАГИ пройти, потому что так директор ЦАГИ решил ( ну или их ЦАГИ СБ).

Я не видел, я в таком участвовал. Правда, то не конкурс был. Точнее конкурс - соревнование "кто быстрее сделает": специализированная контора или коллектив теоретически знакомых с задачей. Оформлялась куча бумаг на допуск, небось, еще и проверка какая-то проходила, выписали допуск... К тому времени, как допуск был получен, до начальства дошло, что спецконтора по-любому справится быстрее и допуск отняли. Даже до меня информацию о допуске довести в общем-то не успели: на выдаче допуска я сразу же расписывался и о снятии. Но то ли на пять, то ли на семь лет я стал невыездным...

Вообще-то примерно так и работают пропиетарные протоколы беспроводной промышленной связи у того же Turck.

Благодарю. Надо будет посмотреть...
Как раз тут их представитель в поле видимости появился.

Знаете, чем в корне плохи беспроводные технологии?

Потому я изначально так и говорил: временные каналы, аварийные и где без них не обойтись /на подвижных объектах большой протяженности пути - те же краны, к примеру/. Таких на самом деле будет очень немного - по пальцам одной, максимум двух рук посчитать, если к делу с умом подходить.