На форуме обязательно:
  1. Заполнить свой профиль на Русском языке. См. Правила, п.2.d.
  2. Не писать свой вопрос в первую попавшуюся тему, а вместо этого создать свою. См. Правила, п.3.a.

Киберзащита АСУ ТП


leon78
завсегдатай
завсегдатай
Сообщения: 577
Зарегистрирован: 25 июл 2008, 09:06
Имя: U.L.A.
Благодарил (а): 2 раза
Поблагодарили: 5 раз
Контактная информация:

Киберзащита АСУ ТП

Сообщение leon78 » 23 ноя 2016, 11:35

Инженер Google сравнил антивирусы с мёртвой канарейкой

https://geektimes.ru/post/282760/
Хард - это то, что можно швырнуть об стенку, а софт - это то, что можно лишь обматерить.

Аватара пользователя

TEB
администратор
администратор
Сообщения: 8562
Зарегистрирован: 17 июн 2008, 15:01
Имя: Евгений свет Брониславович
Благодарил (а): 68 раз
Поблагодарили: 97 раз
Контактная информация:

Киберзащита АСУ ТП

Сообщение TEB » 23 ноя 2016, 11:38

И ещё один комментарий в продолжение.
TEB писал(а):Источник цитаты Ещё было сказано, что цель всего этого - показать руководителям предприятий серьёзность проблемы, а также показать что ей надо заниматься. Как руководитель предприятия по горе обрывочной узкоспецифичной информации это поймёт? Разве что, испугается многих страшных непонятных слов и видео полыхающего макета ячейки? И это всё? Так что цель-то достигается, и неважно как она потом будет реализовываться, главное - будет.

Я сходил к коллегам и посмотрел на ячейки 6/10 кВ. Я их и раньше видел, но тут решил сам себя проверить.
И вот какой результат. Невозможно включить заземляющие ножи, не отключив при этом выключатель или не выкатив его. Для этого в ячейке стоит механическая блокировка, тяги. Есть аварийный режим, когда это можно сделать, для этого эту блокировку надо снять с места - толкнуть две тяги и тогда это будет возможно. удалённо по команде на терминал - без шансов, нельзя этого сделать.
Больше того, я просветился у коллеги релейщика, он сообщил что последнее время в дополнение к этой механике ставят ещё и контроллер, который собирает на себя все команды и состояния механики (заземлитель, выключатель, тележка) для того чтобы исключать нецелесообразные команды управления, например чтобы не держать под напряжением привод взведённого выключателя.
В целом, коллеги возбудились и выразили интерес внимательно посмотреть видео.

Так что вид полыхнувшей ячейки как апогей действия злоумышленника - это, извините, лажа. Эффектная, красивая, впечатляющая начальство лажа.

И на ОРУ такое тоже невозможно. См.разбор аварии на ОРУ Ростовской АЭС, например поверхностно тут, и более детальная информация тоже в сети есть.

Romcheg писал(а):Источник цитаты "чтобы поверили в ложь она должна быть чудовищной" (с)


Занавес.
По вопросам работы Форума можно обратиться ко мне, или по этим контактам.

Аватара пользователя

CHANt
эксперт
эксперт
Сообщения: 1287
Зарегистрирован: 25 июл 2008, 09:25
Имя: Гринев Эдуард Владимирович
Откуда: Оренбург
Благодарил (а): 15 раз
Поблагодарили: 52 раза
Контактная информация:

Киберзащита АСУ ТП

Сообщение CHANt » 23 ноя 2016, 11:39

Lifanov писал(а):Источник цитаты Уф. Излил, больше на эту тему обещаю здесь не высказываться ;)

Жаль. Только вот понятный язык пошел в обсуждении ) И слышал Вас нормально и понял все нормально )
И понятны Ваши мотивы участия в этих мероприятиях. Понятны. Вряд ли кто Вас за это осудит. И Вы нормальный стенд предложили. Я же задаю вопрос - зачем ломать конфигурируемое устройство терминал РЗА? Это то же что и ломать частотник, блок регулятора типа ТРМ, конф. контроллеры (тот же Данфосс ECL), датчики HART/Wireless/... и много прочих вещей! (Это не самолет) Вы же понимаете почему этот класс устройств имеет слабую инф. защиту?! Может донесете тогда до товарищей на таких собраниях. Да, должны предприниматься мероприятия для защиты таких устройств/сетей и организационные и технические. И вопросы мои были - покажите как проектируете защиту, или хотя бы структуру Ваших проектов, на чем основываются. Чтобы посмотреть что они предлагают то ))) ... Ну ответ Вы видели... А искать/подсказывать методы взлома таких устройств...слов и нет уже. Вот повторяю уже пост VADR viewtopic.php?p=73320#p73320

Ryzhij писал(а):Источник цитаты Критичная позиция? Проводите валидацию параметров прибора и сравнивайте с базой. Просто контрольную сумму параметров запросите из прибора. Это решение "в лоб". При этом используют или AI/AO-модули со SMART-функциями, или ставят SMART-мультиплексоры.
Можно также для диагностики брать по полевой шине, например, температуру с расходомера и сравнивать её с показаниями датчика температуры в той же линии.

Понятно. Были еще работы московской Энергоавтоматики по созданию экспертной системы анализа состояния датчиков на базе нейросетей. Поэтому и спросил, возможно со стороны адвантеча что -то предлагается, или сам Александр что - то знает. ))) Я в основном работаю с аналоговыми приборами, если будет Smart - счета жкх за квартиры зашкаливать будут )
--------------------------------------------------------------------------------------------
"Почти все начальники - дилетанты." © цитата из поста hell_boy )))

Аватара пользователя

Lifanov
специалист по Advantech
специалист по Advantech
Сообщения: 118
Зарегистрирован: 21 янв 2014, 11:13
Имя: Лифанов Александр Витальевич
Откуда: Москва
Благодарил (а): 1 раз
Поблагодарили: 2 раза
Контактная информация:

Киберзащита АСУ ТП

Сообщение Lifanov » 23 ноя 2016, 14:26

TEB писал(а):
Lifanov писал(а):Источник цитаты Логи - это вообще отдельная тема. Что, как, куда и (главное) кто вообще знает о существовании этих логов :)

Очень странное мнение. Вот как раз сегодня с утра получил подарок в виде обесточивания на удалённом объекте (автоматика сама погасила все генераторы) - как раз и разбираюсь, это был сбой, ошибка оператора или диверсия. И как Вы думаете, с помощью чего? Логи АРМов, логи сервера СКАДА, логи каждого контроллера.

Если кто-то не знает о существовании логов, значит должен знать (или должен знать что в конкретном устройстве их нет), это его обязанность. Или должен знать где узнать. Короче кто-то должен за это отвечать. И ответ должен быть не "да х.з. что там за логи, кто о них слышал", а чёткий и определённый "да, посмотрю", "не знаю, пойду узнавать", "логи не пишутся/утеряны/недостаточно полные". А такой ответ - "да х.з. что там за логи, кто о них слышал" - это бардак о котором я писал выше, с таким подходом нельзя подходить к защите объекта, и к самому объекту тоже. Супротив такого бардака не сдюжит никакая система защиты.


Не согласен.
У вас логи со СКУД в распечатанном виде для всех лежат, чтобы все знали кто когда вошел?
Логи реально отдозированных в партию компонентов доступны последней уборщице - отфоткай и отдай рецептуру конкурентам?
Логи с адресами конкретных станций ввода-вывода доступны оператору?

Моя позиция - сотрудник должен знать только что, что ему необходимо для исполнения служебных обязанностей. Не больше!!!
Не знаешь о существовании - не сломаешь и не украдешь.

TEB писал(а):Найдите пожалуйста в толковых словарях смысловое значение слова "система". Любая система автоматически включает в себя набор определённых правил, которые должны соблюдаться безоговорочно, а не так.


Евгений, эта ваша фраза противоречит предыдущей.
Система регламентов, РАЗГРАНИЧИВАЮЩИХ доступ, как раз призвана предотвращать ситуацию - "Если кто-то не знает о существовании логов, значит должен знать".

TEB писал(а):Тут ещё никто не выкинут или наказан исключительно из личной неприязни, даже если она и имеет иногда место.

Сильно на это надеюсь, как бывший модератор MO.YASENEVO из Fidonet.
------------------------------------
Лифанов Александр
Advantech Москва, техподдержка

Аватара пользователя

TEB
администратор
администратор
Сообщения: 8562
Зарегистрирован: 17 июн 2008, 15:01
Имя: Евгений свет Брониславович
Благодарил (а): 68 раз
Поблагодарили: 97 раз
Контактная информация:

Киберзащита АСУ ТП

Сообщение TEB » 23 ноя 2016, 14:33

С чем Вы не согласны - я не понял? С тем что персоналу можно показывать логи?
По вопросам работы Форума можно обратиться ко мне, или по этим контактам.

Аватара пользователя

and909
частый гость
частый гость
Сообщения: 468
Зарегистрирован: 27 июн 2013, 11:20
Имя: Андрей Шавшуков
Благодарил (а): 4 раза
Поблагодарили: 7 раз

Киберзащита АСУ ТП

Сообщение and909 » 23 ноя 2016, 14:34

CHANt писал(а):...если будет Smart - счета жкх за квартиры зашкаливать будут )

Не думаю, что даже в самом конце списка достоинств элементов киберзащиты фигурирует снижение расходов конечного пользователя. :ges_hmm:
Я ленивый: делаю быстро, чтобы отстали и качественно, чтобы не переделывать.

Аватара пользователя

TEB
администратор
администратор
Сообщения: 8562
Зарегистрирован: 17 июн 2008, 15:01
Имя: Евгений свет Брониславович
Благодарил (а): 68 раз
Поблагодарили: 97 раз
Контактная информация:

Киберзащита АСУ ТП

Сообщение TEB » 23 ноя 2016, 14:42

А чтобы ничего не воровали, людей воспитывать надо той же дисциплиной, это не вопрос кибербезопасности. И потом, речь об энергетике зашла как о стратегической области. Пищевка - коммерческая. Не надо одно с другим мешать. В своей коммерческой части можете творить все что угодно и любые правила придумывать. В энергетике есть регламенты и строгая дисциплина, с чем попало туда лезть не надо. А будете попирать эти регламенты - без света останетесь, совсем. И без тепла. Кому тогда Ваша рецептура будет нужна?
По вопросам работы Форума можно обратиться ко мне, или по этим контактам.

Аватара пользователя

Lifanov
специалист по Advantech
специалист по Advantech
Сообщения: 118
Зарегистрирован: 21 янв 2014, 11:13
Имя: Лифанов Александр Витальевич
Откуда: Москва
Благодарил (а): 1 раз
Поблагодарили: 2 раза
Контактная информация:

Киберзащита АСУ ТП

Сообщение Lifanov » 23 ноя 2016, 15:00

CHANt писал(а):Это то же что и ломать частотник, блок регулятора типа ТРМ, конф. контроллеры (тот же Данфосс ECL), датчики HART/Wireless/... и много прочих вещей! (Это не самолет) Вы же понимаете почему этот класс устройств имеет слабую инф. защиту?! Может донесете тогда до товарищей на таких собраниях.


Что значит "слабый" или "сильный"? Я понимаю - "достаточный" или "недостаточный" для каких-то конкретных условия.
Уровень требуемой защиты определяется очень просто - стоимость проведения атаки должна превышать потенциальную стоимость ущерба для атакуемого.

Пример. Сетка с электросчетчиками у меня в дачном поселке. За месяц я могу нагреть энергокомпанию максимум тысячи на три рублей. Соответственно, вешать сюда мегасуперпупер Cisco ASA смысла нет.

Пример 2. Одна из линий, которой я занимался лет 10 назад. Если бы кто-то влез и сломал ее (не спалив при этом аппаратно) - у хозяина возникла бы недополученная выручка со скоростью приблизительно $1000 в час. На восстановление и проверку всего ПО нужно день-два - значит опорная цифра 30-40 тыс долларов в тех ценах.

CHANt писал(а): Да, должны предприниматься мероприятия для защиты таких устройств/сетей и организационные и технические. И вопросы мои были - покажите как проектируете защиту, или хотя бы структуру Ваших проектов, на чем основываются. Чтобы посмотреть что они предлагают то ))) ... Ну ответ Вы видели...


На тему "как проектируете" - ок, отвечу я. С точки зрения именно общего подхода мне наиболее полезен был вот этот семинар - http://www.croc.ru/action/webinars/59878/ , Антон видимо про него забыл по запарке.
Организационная часть лучше всего изложена у Лобашова. Более конкретные примеры можно посмотреть у Шебулдаева и Матыкова.

CHANt писал(а):Понятно. Были еще работы московской Энергоавтоматики по созданию экспертной системы анализа состояния датчиков на базе нейросетей. Поэтому и спросил, возможно со стороны адвантеча что -то предлагается, или сам Александр что - то знает.


В этом отношении (аналоговые датчики, корелляция параллельно получаемых параметров) у нас особых наработок нет.
Есть определенные наработки с точки зрения прогнозирования отказа сервоприводов ЧПУ-станков исходя из тока/момента и т.п., но сам эту штуку не видел. Основная идея - наблюдение за "сползанием" характеристик на больших периодах времени.
------------------------------------
Лифанов Александр
Advantech Москва, техподдержка

Аватара пользователя

Lifanov
специалист по Advantech
специалист по Advantech
Сообщения: 118
Зарегистрирован: 21 янв 2014, 11:13
Имя: Лифанов Александр Витальевич
Откуда: Москва
Благодарил (а): 1 раз
Поблагодарили: 2 раза
Контактная информация:

Киберзащита АСУ ТП

Сообщение Lifanov » 23 ноя 2016, 15:03

TEB писал(а):Источник цитаты С чем Вы не согласны - я не понял? С тем что персоналу можно показывать логи?


С тем, что ВСЕМУ персоналу давать знать о существовании ВСЕХ логов.

Оригинальная цитата:
Если кто-то не знает о существовании логов, значит должен знать

Для меня "кто-то" - это любой человек, присутствующий на территории предприятия.
Если вы имели ввиду что-то другое - так и следовало писать.
------------------------------------
Лифанов Александр
Advantech Москва, техподдержка

Аватара пользователя

Lifanov
специалист по Advantech
специалист по Advantech
Сообщения: 118
Зарегистрирован: 21 янв 2014, 11:13
Имя: Лифанов Александр Витальевич
Откуда: Москва
Благодарил (а): 1 раз
Поблагодарили: 2 раза
Контактная информация:

Киберзащита АСУ ТП

Сообщение Lifanov » 23 ноя 2016, 15:06

TEB писал(а):Источник цитаты В своей коммерческой части можете творить все что угодно и любые правила придумывать. В энергетике есть регламенты и строгая дисциплина, с чем попало туда лезть не надо. А будете попирать эти регламенты - без света останетесь, совсем. И без тепла. Кому тогда Ваша рецептура будет нужна?


ФСТЭК имеет другое мнение. Приказ 31 от 14 марта 2014.
Под него подпадает, например, любое производство с использованием пара. Коммерческое или некоммерческое, неважно.

А насчет энергетики - вы мне лучше расскажите, когда наконец будут унифицированы ГОСТ 61850-3-2005 (которому железо должно соответствовать) и СТО 56947007-29.240.044-2010 (по которому оно тестируется на соответствие). Один документ требует 30 вольт по 61000-4-16, другой 10 вольт. Один требует 70 ампер/метр по 61000-4-8, другой 40... Это че, строгая дисциплина? :-P
------------------------------------
Лифанов Александр
Advantech Москва, техподдержка


Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 2890
Зарегистрирован: 07 окт 2011, 08:12
Имя: Гаско Вячеслав Эриевич
Откуда: Рязань, Россия
Благодарил (а): 66 раз
Поблагодарили: 114 раз

Киберзащита АСУ ТП

Сообщение Ryzhij » 23 ноя 2016, 16:02

Lifanov писал(а):Источник цитаты ФСТЭК имеет другое мнение. Приказ 31 от 14 марта 2014.
Под него подпадает, например, любое производство с использованием пара. Коммерческое или некоммерческое, неважно
Причём тут пар?
[+] Общие положения приказа (отмечено мной)
ТРЕБОВАНИЯ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ УПРАВЛЕНИЯ ПРОИЗВОДСТВЕННЫМИ И ТЕХНОЛОГИЧЕСКИМИ ПРОЦЕССАМИ НА КРИТИЧЕСКИ ВАЖНЫХ ОБЪЕКТАХ, ПОТЕНЦИАЛЬНО ОПАСНЫХ ОБЪЕКТАХ, А ТАКЖЕ ОБЪЕКТАХ, ПРЕДСТАВЛЯЮЩИХ ПОВЫШЕННУЮ ОПАСНОСТЬ ДЛЯ ЖИЗНИ И ЗДОРОВЬЯ ЛЮДЕЙ И ДЛЯ ОКРУЖАЮЩЕЙ ПРИРОДНОЙ СРЕДЫ



I. Общие положения

1. В настоящем документе устанавливаются требования к обеспечению защиты информации, обработка которой осуществляется автоматизированными системами управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды (далее - автоматизированные системы управления), от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации, в том числе от деструктивных информационных воздействий (компьютерных атак), следствием которых может стать нарушение функционирования автоматизированной системы управления.

Настоящие Требования применяются в случае принятия владельцем автоматизированной системы управления решения об обеспечении защиты информации, обработка которой осуществляется этой системой и нарушение безопасности которой может привести к нарушению функционирования автоматизированной системы управления.

В случае необходимости применение криптографических методов защиты информации и шифровальных (криптографических) средств защиты информации осуществляется в соответствии с законодательством Российской Федерации.

2. Настоящие Требования направлены на обеспечение функционирования автоматизированной системы управления в штатном режиме, при котором обеспечивается соблюдение проектных пределов значений параметров выполнения целевых функций автоматизированной системы управления в условиях воздействия угроз безопасности информации, а также на снижение рисков незаконного вмешательства в процессы функционирования автоматизированных систем управления критически важных объектов, потенциально опасных объектов, объектов, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, в том числе опасных производственных объектов (далее – управляемые (контролируемые) объекты), безопасность которых обеспечивается в соответствии с законодательством Российской Федерации о безопасности объектов топливно-энергетического комплекса, о транспортной безопасности, об использовании атомной энергии, о промышленной безопасности опасных производственных объектов, о безопасности гидротехнических сооружений и иных законодательных актов Российской Федерации.

3. Действие настоящих требований распространяется на автоматизированные системы управления, обеспечивающие контроль и управление технологическим и (или) производственным оборудованием (исполнительными устройствами) и реализованными на нем технологическими и (или) производственными процессами (в том числе системы диспетчерского управления, системы сбора (передачи) данных, системы, построенные на основе программируемых логических контроллеров, распределенные системы управления, системы управления станками с числовым программным управлением).

4. Настоящие Требования предназначены для лиц, устанавливающих требования к защите информации в автоматизированных системах управления (далее – заказчик), лиц, обеспечивающих эксплуатацию автоматизированных систем управления(далее – оператор), а также лиц, привлекаемых в соответствии с законодательством Российской Федерации к проведению работ по созданию (проектированию) автоматизированных систем управления и (или) их систем защиты (далее – разработчик).

5. При обработке в автоматизированной системе управления информации, составляющей государственную тайну, ее защита обеспечивается в соответствии с законодательством Российской Федерации о государственной тайне.

6. Защита информации в автоматизированной системе управления обеспечивается путем выполнения заказчиком, оператором и разработчиком требований к организации защиты информации в автоматизированной системе управления и требований к мерам защиты информации в автоматизированной системе управления.

Сам приказ лежит тут
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может». Жан-Поль Сартр

Аватара пользователя

TEB
администратор
администратор
Сообщения: 8562
Зарегистрирован: 17 июн 2008, 15:01
Имя: Евгений свет Брониславович
Благодарил (а): 68 раз
Поблагодарили: 97 раз
Контактная информация:

Киберзащита АСУ ТП

Сообщение TEB » 23 ноя 2016, 16:35

Lifanov писал(а):Источник цитаты А насчет энергетики - вы мне лучше расскажите, когда наконец будут унифицированы ГОСТ

Э.... Вы, по-моему, не того человека спрашиваете. :ges_hmm: Это во-2-х, а во-1-х, Вы уводите дискуссию в сторону, отвечая левым вопросом на вполне конкретный вопрос. Так что не лучше.

Отправлено спустя 2 минуты 14 секунд:
Lifanov писал(а):Источник цитаты Приказ 31 от 14 марта 2014.
Под него подпадает, например, любое производство с использованием пара.

Чего-чего?
Открываем текст приказа, тупо запускаем поиск по сроке "пар", "паров" - и?
Или это у меня лыжи не едут?
По вопросам работы Форума можно обратиться ко мне, или по этим контактам.

Аватара пользователя

Lifanov
специалист по Advantech
специалист по Advantech
Сообщения: 118
Зарегистрирован: 21 янв 2014, 11:13
Имя: Лифанов Александр Витальевич
Откуда: Москва
Благодарил (а): 1 раз
Поблагодарили: 2 раза
Контактная информация:

Киберзащита АСУ ТП

Сообщение Lifanov » 23 ноя 2016, 16:38

Ryzhij писал(а):Причём тут пар?


А при том.

2. Настоящие Требования направлены на обеспечение функционирования (...) в том числе опасных производственных объектов (далее – управляемые (контролируемые) объекты), безопасность которых обеспечивается в соответствии с законодательством Российской Федерации о безопасности объектов топливно-энергетического комплекса, о транспортной безопасности, об использовании атомной энергии, о промышленной безопасности опасных производственных объектов, о безопасности гидротехнических сооружений и иных законодательных актов Российской Федерации.]


Определение опасного производственного объекта приведено в РД-03-260-99 Госгортехнадзора (http://www.rosteplo.ru/Npb_files/npb_shablon.php?id=196). В частности:

5.1.2. Используется оборудование, работающее под давлением более 0,07 МПа или при температуре нагрева воды более 115 градусов Цельсия;


А насчет выделенной вами фразы про "в случае принятия решения"... Хе-хе... Посмотрите 13й раздел того же приказа. Принятие решения должно осуществляться не просто так, хочу - не хочу, а на основании определенных методик, разработки модели угроз и т.п.
------------------------------------
Лифанов Александр
Advantech Москва, техподдержка

Аватара пользователя

TEB
администратор
администратор
Сообщения: 8562
Зарегистрирован: 17 июн 2008, 15:01
Имя: Евгений свет Брониславович
Благодарил (а): 68 раз
Поблагодарили: 97 раз
Контактная информация:

Киберзащита АСУ ТП

Сообщение TEB » 23 ноя 2016, 16:47

Lifanov писал(а):Источник цитаты
TEB писал(а):Источник цитаты С чем Вы не согласны - я не понял? С тем что персоналу можно показывать логи?

С тем, что ВСЕМУ персоналу давать знать о существовании ВСЕХ логов.


А кто-то об этом разве говорил? Слово "Логи" вообще по-моему впервые всплыло за все 17 страниц. И потом, Ваше мнение понятно, но есть мнение Регламентов, которое имеет явно бОльший вес.
И потом, хотите логи приложу, по которым я сегодня нашёл причину аварии? Расскажите мне что-нибудь по этим логам - адреса там, типы устройств, режимы, сценарии (аналог предложенных Вами рецептур), или что Вы так боитесь раскрывать, а я потом скажу, угадали или нет. Как такое предложение?

Короче, не лезьте с бытовой коммерцией в объекты повышенной опасности и стратегические объекты , ей богу, пожалуйста, очень прошу. От лица всех энергетиков прошу. И своих-то дилетантов хватает, иной раз спасу нет, так ещё со стороны лезут. 31 приказ Ваших примеров вообще не касается, городите у себя на пищёвке любые СКУДы или наоборот ворота настежь открывайте - Ваше право. Но в энергетике есть регламенты. С ними можно не соглашаться, но соблюдать их надо. Иначе - повторюсь - без света оставите и себя и полстраны. Они кровью написаны, порой в буквальном смысле.
По вопросам работы Форума можно обратиться ко мне, или по этим контактам.

Аватара пользователя

Lifanov
специалист по Advantech
специалист по Advantech
Сообщения: 118
Зарегистрирован: 21 янв 2014, 11:13
Имя: Лифанов Александр Витальевич
Откуда: Москва
Благодарил (а): 1 раз
Поблагодарили: 2 раза
Контактная информация:

Киберзащита АСУ ТП

Сообщение Lifanov » 23 ноя 2016, 16:59

TEB писал(а):Источник цитаты
Lifanov писал(а):Источник цитаты
TEB писал(а):Источник цитаты С чем Вы не согласны - я не понял? С тем что персоналу можно показывать логи?

С тем, что ВСЕМУ персоналу давать знать о существовании ВСЕХ логов.


А кто-то об этом разве говорил? Слово "Логи" вообще по-моему впервые всплыло за все 17 страниц.


Говорили. Вы. Сообщение №73334. Я цитату дважды приводил.

TEB писал(а):И потом, Ваше мнение понятно, но есть мнение Регламентов, которое имеет явно бОльший вес.


Номерок регламента, пожалуйста. Тоже хочу ознакомиться.

TEB писал(а):И потом, хотите логи приложу, по которым я сегодня нашёл причину аварии? Расскажите мне что-нибудь по этим логам - адреса там, типы устройств, режимы, сценарии (аналог предложенных Вами рецептур), или что Вы так боитесь раскрывать, а я потом скажу, угадали или нет. Как такое предложение?


Давайте, гляну. Через "личные сообщения" пролезет или надо е-мейл внешний давать? Плюс, отвечать публично или приватно?

TEB писал(а): 31 приказ Ваших примеров вообще не касается, городите у себя на пищёвке любые СКУДы или наоборот ворота настежь открывайте - Ваше право.

Ну, ок, я прокукарекал, а там хоть не рассветай :)
Только напомню, а нашей стране (особенно на производстве) значение имеет бумажка, которую можно показать инспектору или прокурору.
------------------------------------
Лифанов Александр
Advantech Москва, техподдержка

Аватара пользователя

TEB
администратор
администратор
Сообщения: 8562
Зарегистрирован: 17 июн 2008, 15:01
Имя: Евгений свет Брониславович
Благодарил (а): 68 раз
Поблагодарили: 97 раз
Контактная информация:

Киберзащита АСУ ТП

Сообщение TEB » 23 ноя 2016, 17:29

Lifanov писал(а):Источник цитаты Говорили. Вы. Сообщение №73334. Я цитату дважды приводил.

О том что всё должно быть напоказ? О том что всё надо скрывать? Вот так просто по номеру крайне неудобно искать, дайте цитату.
Lifanov писал(а):Источник цитаты Давайте, гляну.

Держите
Lifanov писал(а):Источник цитаты люс, отвечать публично или приватно?

Ничего секретного. Заодно может кто-то ещё из участников форума сможет что-то рассказать про объект по этим логам. Интересно. Будем считать это небольшим тестом на секурность. А в перспективе я могу и какой-нибудь контроллер с реального генератора в интернет расшарить - приз тому кто повторит диверсию с несинхронным включением даже при условии наличия прямого канала доступа и отсутствия секурности напрочь. Особо упёрных могу даже в гости пригласить и отдать этот контроллер вместе с генератором в руки.

Отправлено спустя 14 минут 3 секунды:
Знаете что, вот после этого
TEB писал(а):Источник цитаты Так что вид полыхнувшей ячейки как апогей действия злоумышленника - это, извините, лажа. Эффектная, красивая, впечатляющая начальство лажа.

авторитет этой движухи вокруг безопасности серьезно подорван. Заметьте, никто не торопится парировать. Никто не задаёт ни одного вопроса. И то что этому докладчику аплодировали стоя и не выразил удивления по поводу такой явной лажи ни один из участников мероприятия, только подтверждает что дилетанты пытаются лезть туда, где ни бельмеса не соображают. И это естественно будет раздражать, от этого естественно будут ограждаться - это нормальная реакция. Вы будете также реагировать, когда к Вам придёт сисадмин Вашего интернет-провайдера и начнёт рассказывать как Вам строить полевые шины.
Lifanov писал(а):Источник цитаты Номерок регламента, пожалуйста

Какого и о чём? О необходимости блокировки заземлителей? О порядке доступа в помещения ЗРУ?
У вас нет необходимых прав для просмотра вложений в этом сообщении.
По вопросам работы Форума можно обратиться ко мне, или по этим контактам.

Аватара пользователя

Lifanov
специалист по Advantech
специалист по Advantech
Сообщения: 118
Зарегистрирован: 21 янв 2014, 11:13
Имя: Лифанов Александр Витальевич
Откуда: Москва
Благодарил (а): 1 раз
Поблагодарили: 2 раза
Контактная информация:

Киберзащита АСУ ТП

Сообщение Lifanov » 23 ноя 2016, 19:10

TEB писал(а):И потом, хотите логи приложу, по которым я сегодня нашёл причину аварии? Расскажите мне что-нибудь по этим логам - адреса там, типы устройств, режимы, сценарии (аналог предложенных Вами рецептур), или что Вы так боитесь раскрывать, а я потом скажу, угадали или нет. Как такое предложение?


Ну, посмотрел.
Комплекс из трех генераторов (адреса 1, 2 и 4). Третий либо не включали, либо отсутствует. Номинальные обороты 1500 об/мин, скорее всего дизель, хотя может быть и газовый. Рабочее 10 кВ. Суммарная мощность судя по всему 1100-1200 квт, реальная нагрузка до 800 квт. Ввод с улицы видел только один, есть секционник-ВТВшка.

Стоит судя по всему где-то в регионе, операторы его боятся, эксплуатируют только в полуавтоматическом режиме. Видимо, нет опыта работы, комплекс в середине октября только запустили - там явно наладчик был.

По последним суткам. Предполагаю, оторвали датчик тока, в районе 18:50. После этого дольше 10 минут он так и не смог проработать, останавливался по внешним сенсорам на дискретных входах 44 и 50. Оператора даже жалко, пробовал его запустить и в автомате, и в полуавто, и чай ходил пить, и внешнее питание гасил.
------------------------------------
Лифанов Александр
Advantech Москва, техподдержка


Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 2890
Зарегистрирован: 07 окт 2011, 08:12
Имя: Гаско Вячеслав Эриевич
Откуда: Рязань, Россия
Благодарил (а): 66 раз
Поблагодарили: 114 раз

Киберзащита АСУ ТП

Сообщение Ryzhij » 23 ноя 2016, 20:48

Lifanov писал(а):Источник цитаты Хе-хе... Посмотрите 13й раздел того же приказа. Принятие решения должно осуществляться не просто так, хочу - не хочу, а на основании определенных методик, разработки модели угроз и т.п.

Эхе-хе...
Что же, давайте поработаем с текстом этого приказа.
Проведём герменевтический анализ рекомендованного 13-го раздела.
Это с 6-й страницы.

Сам раздел называется "Формирование требований к защите информации в автоматизированной системе управления".
Общая вводная часть трактует о том кто и как формирует требования к защите информации.
Кто? - Заказчик.
Как? - Во-первых, заказчик принимает (или не принимает) решение о необходимости защиты информации;
- Во-вторых, если решение о необходимости защиты принято, то требования к защите формируются с учётом ГОСТ Р 51583,
ГОСТ Р 51624 и стандартов организации.
- В-третьих, процесс формирования заказчиком требований к защите информации в обязательном порядке включает в себя этапы:
* принятие решения о необходимости защиты информации в автоматизированной системе управления;
* классификацию автоматизированной системы управления по требованиям защиты информации (далее – классификация автоматизированной системы управления);
* определение угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования автоматизированной системы управления, и разработку на их основе модели угроз безопасности информации;
* определение требований к системе защиты автоматизированной системы управления.

Затем в пунктах приказа с 13.1 по 13.4 раскрывается содержание каждого из этапов.

Нас, прежде всего, интересует этап принятия решения о защите информации, т.е. пункт 13.1, который трактует о том, что при принятии решения (не ДЛЯ принятия решения, а ПРИ принятии решения) о необходимости защиты информации следует:
а) определиться с вопросом: "А что, собственно, делает эта самая АСУ (АСУ ТП), и на хрена она нужна?";
б) уяснить, а что тут надо защищать? Какую такую критическую инфу? И зачем? А чё будет, если не защищать?
в) разобраться с законами и нормами (в т.ч. местечковыми), которым должна соответствовать АСУ (АСУ ТП), инфу в которой заказчик захотел защитить;
г) принять (или не принять) решение о создании СИСТЕМЫ (т.е. комплекса административно-технических средств) ЗАЩИТЫ АСУ (АСУ ТП) и определиться с целями и задачами защиты информации в АСУ (АСУ ТП) заказчика.

Вот о чём на самом деле написано в этом приказе.
Согласитесь, Александр Витальевич, что это немного не то, что Вы написали. :ges_hmm:

PS: Что там у Вас было в Правиле № 1?
ВЕРИТЬ НЕЛЬЗЯ НИКОМУ!
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может». Жан-Поль Сартр


Technic4
здесь недавно
здесь недавно
Сообщения: 88
Зарегистрирован: 10 мар 2016, 06:51
Имя: Ильгиз Ильдарович
Благодарил (а): 2 раза
Поблагодарили: 7 раз

Киберзащита АСУ ТП

Сообщение Technic4 » 24 ноя 2016, 11:59

http://fstec.ru/component/attachments/download/714
Касательно пункта 13.2 "...Требование к классу защищенности включается в техническое задание на создание автоматизированной системы управления и (или) техническое задание (частное техническое задание) на создание системы защиты автоматизированной системы управления, разрабатываемые с учетом ГОСТ 34.602 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы» (далее – ГОСТ 34.602)..."

Отмечу, что по 34.602 этого не делают.
Защиту информации реализуют программными паролями пользователя в АСУТП, учет пользователей, время их работы, их действия (опять те же Логи).
А вот при подключении АСУТП к общезаводским сетям предусматриваются серверные станции для передачи данных в эти сети. Например OPC-сервер смотрящий наружу через файрвол. И у этого OPC не может управлять процессом.
Некоторые OPC-сервера вообще данные с АРМов забирают (не с контроллера). И их отделяют от технологической сети.
Т.е.:
- Контроллеры пересылают данные на АРМ по технологичесокой сети.
- OPC-сервера забирают данные с АРМов по офисной сети (к офисной сети относя все, что не участвует в управлении техпроцессом, например принтер).
- OPC-сервер передает данные по заводской сети.

Вот и вся защита требуемая по ГОСТ 34.602.

Аватара пользователя

TEB
администратор
администратор
Сообщения: 8562
Зарегистрирован: 17 июн 2008, 15:01
Имя: Евгений свет Брониславович
Благодарил (а): 68 раз
Поблагодарили: 97 раз
Контактная информация:

Киберзащита АСУ ТП

Сообщение TEB » 24 ноя 2016, 13:17

Lifanov писал(а):Источник цитаты Ну, посмотрел.

Угадали процентов на 30 где-то, не больше. Если интересно то могу разложить подробно.
Я-то больше надеялся на разбор с т.зр.секурности. А что за устройство, каков канал связи, адрес устройства (о чём Вы упомянули как о причине того чтобы скрывать логи) и соответственно возможность управления им - это не раскрыто. Для совершения диверсии надо знать ещё режим генерации (для "продвинутой" диверсии - простая диверсия типа устроить КЗ тут не пройдет), это тоже не раскрыто.

Отправлено спустя 10 минут 11 секунд:
Ryzhij писал(а):Источник цитаты PS: Что там у Вас было в Правиле № 1?
ВЕРИТЬ НЕЛЬЗЯ НИКОМУ!

У моего науч.рука было похожее правило: "Все книги врут. Включая мои собственные. Включая конспекты."

[+] на эту тему анекдот хороший есть
Мужик стоит в трусах перед тазиком с водой, в котором тщательно застирывает штаны. Стоит, трёт, останавливается и изрекает:
- никому верить нельзя!
Продолжает застирывать. Снова прерывается:
- Даже себе!
Снова продолжает процесс, опять прерывается:
- А ведь всего лишь пукнуть хотел....

По-моему, так и получилось с опытом полыхнувшей ячейки.
По вопросам работы Форума можно обратиться ко мне, или по этим контактам.

Аватара пользователя

Lifanov
специалист по Advantech
специалист по Advantech
Сообщения: 118
Зарегистрирован: 21 янв 2014, 11:13
Имя: Лифанов Александр Витальевич
Откуда: Москва
Благодарил (а): 1 раз
Поблагодарили: 2 раза
Контактная информация:

Киберзащита АСУ ТП

Сообщение Lifanov » 24 ноя 2016, 15:51

TEB писал(а):Источник цитаты
Lifanov писал(а):Источник цитаты Ну, посмотрел.

Угадали процентов на 30 где-то, не больше. Если интересно то могу разложить подробно.
Я-то больше надеялся на разбор с т.зр.секурности. А что за устройство, каков канал связи, адрес устройства (о чём Вы упомянули как о причине того чтобы скрывать логи) и соответственно возможность управления им - это не раскрыто. Для совершения диверсии надо знать ещё режим генерации (для "продвинутой" диверсии - простая диверсия типа устроить КЗ тут не пройдет), это тоже не раскрыто.


Евгений, вы не забываете, что я не ИБ-шник и не пентестер?

Устройство AGC-4, канал связи, предполагаю, модемный через M-Vision. Модбасовская опция в устройстве стояла, но упоминаний использования не видел. Опция G3 есть, опции G5 нет, значит скорее всего multiple gen load sharing. Только смысла нет, т.к. он по большей части в semi-auto работал.

По поводу диверсии - можно придумать что-то типа параметр 4251=20, или учитывая склонность к перегреву подшипника 4815=off...
------------------------------------
Лифанов Александр
Advantech Москва, техподдержка

Аватара пользователя

TEB
администратор
администратор
Сообщения: 8562
Зарегистрирован: 17 июн 2008, 15:01
Имя: Евгений свет Брониславович
Благодарил (а): 68 раз
Поблагодарили: 97 раз
Контактная информация:

Киберзащита АСУ ТП

Сообщение TEB » 24 ноя 2016, 17:02

Lifanov писал(а):Источник цитаты Евгений, вы не забываете, что я не ИБ-шник и не пентестер?

Вы же сами говорили о воровстве рецептов и адресов устройств и прочих критичных данных из логов. Я вот и хотел посмотреть, как это возможно.
Lifanov писал(а):Источник цитаты Устройство AGC-4, канал связи, предполагаю, модемный через M-Vision. Модбасовская опция в устройстве стояла, но упоминаний использования не видел. Опция G3 есть, опции G5 нет, значит скорее всего multiple gen load sharing. Только смысла нет, т.к. он по большей части в semi-auto работал.
Практически всё неправильно. :)
Lifanov писал(а):Источник цитаты По поводу диверсии - можно придумать что-то типа параметр 4251=20, или учитывая склонность к перегреву подшипника 4815=off

Направление понял. А как Вы это сделали бы на месте злоумышленника? По шагам.

Отправлено спустя 1 час 12 минут 47 секунд:
Если хотите, я могу откомментировать где Вы ошиблись и почему. Разбираться так разбираться.
По вопросам работы Форума можно обратиться ко мне, или по этим контактам.

Аватара пользователя

Lifanov
специалист по Advantech
специалист по Advantech
Сообщения: 118
Зарегистрирован: 21 янв 2014, 11:13
Имя: Лифанов Александр Витальевич
Откуда: Москва
Благодарил (а): 1 раз
Поблагодарили: 2 раза
Контактная информация:

Киберзащита АСУ ТП

Сообщение Lifanov » 25 ноя 2016, 16:00

TEB писал(а):
Lifanov писал(а):Источник цитаты По поводу диверсии - можно придумать что-то типа параметр 4251=20, или учитывая склонность к перегреву подшипника 4815=off

Направление понял. А как Вы это сделали бы на месте злоумышленника? По шагам.


Что на входе - логи или живая система?
Поиск точки входа. Прослушивание протокола "там". Поиск родного софта на торрентах. Попытки обратного считывания данных софтом. Если запаролено - тогда словарем или прямым подбором. Есть считывание - попытки записи софтом или врукопашную собранными пакетами.

TEB писал(а):Отправлено спустя 1 час 12 минут 47 секунд:
Если хотите, я могу откомментировать где Вы ошиблись и почему. Разбираться так разбираться.


Давайте, полезно будет.
------------------------------------
Лифанов Александр
Advantech Москва, техподдержка


Romcheg
SCADA+
SCADA+
Сообщения: 528
Зарегистрирован: 05 ноя 2009, 11:18
Имя: Бузинов Роман Анатольевич
Благодарил (а): 5 раз
Поблагодарили: 14 раз

Киберзащита АСУ ТП

Сообщение Romcheg » 27 ноя 2016, 10:44

Рекомендую почитать, статьи у этого автора достаточно адекватные: https://habrahabr.ru/post/316184/
SCADA+

Аватара пользователя

TEB
администратор
администратор
Сообщения: 8562
Зарегистрирован: 17 июн 2008, 15:01
Имя: Евгений свет Брониславович
Благодарил (а): 68 раз
Поблагодарили: 97 раз
Контактная информация:

Киберзащита АСУ ТП

Сообщение TEB » 27 ноя 2016, 20:09

Lifanov писал(а):Источник цитаты Что на входе - логи или живая система?

Не понял вопроса. :)
Вы видите логи снятые с устройства. Это можно сделать только одним способом - подключившись к сервисному порту сервисным ПО. Т.е. тот кто это сделал, может сотворить что угодно (если знает пароль - для чтения логов пароль не нужен). Я облегчил задачу. :) В СКАДА логи ещё скуднее, но и их достаточно для работы, а тут всё довольно подробно, даже слишком.

[+] разбор
Lifanov писал(а):Источник цитаты Прослушивание протокола "там"
Там модбас на 485-м или профибас. Если профибас то там вообще ничего не сделаете, совсем (так сделано изначально), если модбас то потребуется кое-какое извращение, самому интересно смогут ли до него догадаться непосвящённые. Но смысла в этом нет потому что тот кто принес эти логи имеет и так уже прямой доступ. Так что это вопрос не кибер-, а просто внутренней безопасности и дисциплины, с чего всё и должно начинаться. А структура связи на этом уровне бывает очень разная. Например в качестве OPC может использоваться ПЛК

Lifanov писал(а):Источник цитаты Поиск родного софта на торрентах
Его там нет. :) Правда.

Lifanov писал(а):Источник цитаты Давайте, полезно будет.

Ок.

Вам повезло, в журналах Вы увидели перезапуск устройства, где видна его аппаратная конфигурация и тип. Далеко не вся видна кстати. А вообще устройства работают годами не выключаясь, есть случаи когда проблемы давно уже есть. но "стрельнут" они только при перезапуске, которого не происходит на протяжении многих лет (предел в моей практике - 12 лет).
Lifanov писал(а):Источник цитаты Комплекс из трех генераторов (адреса 1, 2 и 4)

Нет. Вы видите только ID устройств, с которыми пропадала связь. С другими связь не пропадала.

Lifanov писал(а):Источник цитаты Номинальные обороты 1500 об/мин, скорее всего дизель, хотя может быть и газовый

В контроллере от производителя всегда забиты дефолтные значения. Обороты важны только если они измеряются (есть датчик), тут я не знаю, есть ли датчик. 1500 об/мин может быть как дизель так и газ (если измеряем обороты). А когда датчика нет то номинально задано просто дефолтное значение 1500 об/мин, оно никак не связано с реальным. ЧВ ведь можно пересчитать и из электрической частоты, но не факт что здесь оно пересчитывается корректно, надо проверять. И так практически со всеми параметрами.
Lifanov писал(а):Источник цитаты Рабочее 10 кВ

Да, 10.5 кВ.

Lifanov писал(а):Источник цитаты Суммарная мощность судя по всему 1100-1200 квт

Не-а. :) Здесь нет параметров, позволяющих это определить. Видна срабатывавшая защита по перегрузке 06.10.2016 11:52:24, но она срабатывала при значениях от от 200 до 450 кВт. И главное что защита от перегрузки может использоваться не только для собственно защиты, и уставки бывают практически от 0% - конкретно здесь это как раз тот случай.

Lifanov писал(а):Источник цитаты Ввод с улицы видел только один, есть секционник-ВТВшка

Снова нет. Кол-во секционников не говорит о кол-ве вводов. Есть станции вообще без вводов, или с четырьмя например.

Lifanov писал(а):Источник цитаты реальная нагрузка до 800 квт

Тоже малоинформативно, т.к. нагрузка бывает распределяется и асимметрично, намеренно, это не редкость.
Lifanov писал(а):Источник цитаты Стоит судя по всему где-то в регионе, операторы его боятся, эксплуатируют только в полуавтоматическом режиме.

Вы же не знаете, это режим одного устройства или всей станции. А от места к месту бывает по-разному. Но большие станции в полном автомате не работают никогда.

Lifanov писал(а):Источник цитаты Видимо, нет опыта работы, комплекс в середине октября только запустили - там явно наладчик был.
Глубина логов небольшая, собственно Вы всё и видите. Неизвестно что было до того. И агрегат мог вполне быть, например, в ремонте долгое время, а теперь вводиться в работу.

Lifanov писал(а):Источник цитаты Предполагаю, оторвали датчик тока, в районе 18:50. После этого дольше 10 минут он так и не смог проработать, останавливался по внешним сенсорам на дискретных входах 44 и 50. Оператора даже жалко, пробовал его запустить и в автомате, и в полуавто, и чай ходил пить, и внешнее питание гасил.

Не, там совсем другая история. Но это ладно, не разбором полетов персонала занимаемся.

Lifanov писал(а):Источник цитаты Устройство AGC-4, канал связи, предполагаю, модемный через M-Vision

Устройство правильно (оно ж тут написано), а вот канал связи - нет. Да и M-Vision тут давно уже не применяют.

Lifanov писал(а):Источник цитаты Опция G3 есть, опции G5 нет, значит скорее всего multiple gen load sharing

Я же говорил, что не вся конфигурация пишется, она тут вся и не нужна. :) И это противоречит тому, что Вы утверждаете: есть один ввод - конечно можно извратиться и заставить станцию работать со вводом и в таком режиме, но вероятность такого извращения ничтожно мала.

Lifanov писал(а):Источник цитаты Только смысла нет, т.к. он по большей части в semi-auto работал.

Почему нет смысла? Можно и так.

Lifanov писал(а):Источник цитаты можно придумать что-то типа параметр 4251=20, или учитывая склонность к перегреву подшипника 4815=off

Вот тут надо уже знать технологию, ввиду нехватки времени гадаете - это я понимаю.
Как думаете, о каком подшипнике идёт речь? :) Может и склонен, может и нет, может 10 и более лет проработать нормально при нормальном плановом обслуживании, это не редкость.

Короче, тут для прямой диверсии нужна ещё хоть какая-то документация, или конфигурация на крайний случай. Но тот кто сольёт конфигурацию, имеет прямой доступ, и значит это уже не кибербезопасность а банальная дисциплина.
Все эти тех.нюансы изучать достаточно долго и, только читая документацию одного устройства, всё не понять. Перечень внешних команд и их формат можно в принципе найти, но осталось каким-то образом команду еще и отправить.


Вот видите, так запросто в лоб не получится.
Это на примере только одного устройства. Берём аналогичные системы от конкурентов - там будет совсем другая картина. Плюс от объекта к объекту всё может заметно отличаться по распределению функций между системами. На крупных объектах есть подобие между собой конечно - нормативная база общая, поставщики систем как правило либо одни и те же либо им задают сделать так чтобы всё было единообразно. А уходим на объекты поменьше - начинаются вариации. Но даже на относительно небольших объектах, если нормально налажена дисциплина и порядок, к таким системам и близко не подойти кому не положено. Конечно нет ничего невозможного, но средства далеко не всегда оправдывают цель.
По вопросам работы Форума можно обратиться ко мне, или по этим контактам.


Вернуться в «Безопасность»



Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость