Безопасность промышленных систем в цифрах

[freydman]

Мне кажется, представленный доклад надо было бы назвать не "Безопасность промышленных систем...",
а "Уязвимость промышленных систем...". О более безопасных SCADA системах на QNX не сказано ни
слова, а о самой ОС QNX упомянуто лишь в одном месте - как о наименее востребованной, в то время,
как эта ОС одна из самых защищенных - в SCADA для QNX пока не найдено ни одной уязвимости.
Среди рекомендаций повышения безопасности нет радикальной - отказаться от MS-Windows - см.
http://www.phocus-scada.com/rus/pub/Stu ... urity.html

[CHANt]

Самая "пичалька" (© Михаил), это то, что похоже господа от ИБ всерьез занялись рынком АСУТП. Столько бабла мимо их консалтинга проплывало :D
Мне, на работе, отвели пару недель, чтоб заполнить опросные листы, отсканить проекты наших систем, инструкций, протоколы аудитов ИБ, схемы каналов связи, типовые, нетиповые и все это отослать очередным "муд..ецам", чтобы они, из страны Московии, ни разу б..ь не видя производство и объект обследования, создали очередной "системный проект" чудных примочек иб. Потом этот проект, на *дцать ярдов, в очередной раз, собрание акционеров не утвердит, но чуваки заработают свои *дцать лямов. При этом я должен передать им через третьи руки, полную, очень полную инфу по системам, по факту обеспечивающим управление всей местной энергосистемы...
Ну как с ними о чем то разговаривать можно?

[MuadDib]

Мне кажется, представленный доклад надо было бы назвать не "Безопасность промышленных систем...",
а "Уязвимость промышленных систем...". О более безопасных SCADA системах на QNX не сказано ни
слова, а о самой ОС QNX упомянуто лишь в одном месте - как о наименее востребованной, в то время,
как эта ОС одна из самых защищенных - в SCADA для QNX пока не найдено ни одной уязвимости.
Среди рекомендаций повышения безопасности нет радикальной - отказаться от MS-Windows - см.
http://www.phocus-scada.com/rus/pub/Stu ... urity.html

Идем по ссылке http://www.phocus-scada.com/rus/pub/ven ... ojects.htm:

НАУЦИЛУС
Заместитель директора по рекламе:
Андрей Витальевич Фрейдман

Не, я не против "черного PR'а". Просто раз уж взялись поливать грязью платформу конкурентов, то надо хотя бы предложить реальную альтернативу. Что-то типа "червь Stuxnet атакует средства промышленной автоматизации Simatic. Мы предлагаем аналогичную по функционалу, но более безопасную систему ". Ну и где на QNX замена Симатику? Фокус-скада? Не смешите...

И кстати, откуда информация, что QNX - одна из самых защищенных систем? "Не обнаружены уязвимости" == "Уязвимости отсутствуют"? Неуловимый Джо такой неуловимый

[MuadDib]

Ну насчет QNX- да, согласен, что она весьма неплохая. Андрей Витальевич конечно ее рекламирует, т.к. он единственный дистрибьютер :) Но блин ЦЕНА! И поддержка- у нас в стране очень немного спецов по Никс-ОС.

Я занимался разработкой под QNX. Действительно, система хороша. Андрей Витальевич, насколько я понял, дистрибьютором QNX не является, а продвигает СКАДА своей фирмы. Торгует QNX у нас SWD software.

Хотя лично я для себя использование Линукс, Юникс и все что на ее базе очень даже положительным вижу. Реально намного устойчивее системы получаются.

Для того, чтобы сравнивать "устойчивость", нужно сравнивать конкретный софт, верно?
То есть, на одну чашу весов мы кладем контроллеры Simatic + винда + среда разработки. На другую - QNX и .... что? ПромПК + самописные приложения на Си/Си++?

[MuadDib]

Зачем сравнивать ПЛК со SCADA? :)
Симатик и QNX- будет правильно.
Ясное дело, что функционала Симатика, Роквелл и т.д. оно не закроет (со средой разработки). В этом конечно же есть проблема.

В том-то и дело, что сравнивать пока нечего. Что *nix, что QNX - голая платформа, а на винде - целая экосистема решений, позволяющая интеграторам реализовывать системы автоматизации произвольной сложности. А нам тут говорят, что "мягкое" очень уж небезопасное и предлагают заменить его "теплым". Да ещё и в "национальную платформу" норовят его пропихнуть.

Зато если вдруг будет Роквелл под сию ОС...Жить станет веселей :)

Господа производители, слышите, чем интересуется представитель одного из ведущих российских заказчиков от промышленности? :) Кроме шуток, я и сам бы с удовольствием ознакомился с софтом для промышленной автоматизации под альтернативную ОС. Альтернатива - это всегда хорошо. Когда это альтернатива, а не (само)обман.

[freydman]

MuadDib'у (Журавлев Павел Евгеньевич):

...надо хотя бы предложить реальную альтернативу. Что-то типа "червь Stuxnet атакует средства промышленной автоматизации Simatic. Мы предлагаем аналогичную по функционалу, но более безопасную систему ". Ну и где на QNX замена Симатику? Фокус-скада? Не смешите...

Мне кажется, мои аргументы Вы просто игнорируете. Phocus вполне может быть заменой WinCC. Причем более безопасной.

[freydman]

MuadDib'у (Журавлев Павел Евгеньевич):

И кстати, откуда информация, что QNX - одна из самых защищенных систем?

Повторю. ОСРВ QNX Neutrino Certified Plus — это единственная ОС реального времени, соответствующая требованиям стандартов и по функциональной (МЭК 61508), и по информационной безопасности (ИСО/МЭК 15408). Система сертифицирована по уровню SIL3 стандарта МЭК 61508 и по уровню EAL4+ стандарта ИСО/МЭК 15408. [13]. Кроме того, ОС QNX4 имеет сертификат ФСТЭК России по 3 классу защиты от несанкционированного доступа и 2 уровню контроля отсутствия недекларированных возможностей. Это позволяет использовать QNX4 при создании автоматизированных систем, имеющих класс защищённости до 1Б включительно.

Теперь и QNX6 сертифицирована в России.

[MuadDib]

Мне кажется, мои аргументы Вы просто игнорируете. Phocus вполне может быть заменой WinCC. Причем более безопасной.

Нет, это вы игнорируете то, что я сказал. Объясняю на пальцах. Целью атаки Stuxnet был PLC Simatic. Ну установили вы QNX на диспетчерской машине, а скаду заменили на "Фокус". Потом пришел инженер с ноутбуком, на котором WinXP и Step7, и заразил контроллер. Дальше что?

Windows в том или ином виде будет участвовать в создании и поддержке АСУТП до тех пор, пока уважаемые производители программного и аппаратного обеспечения не предоставят весь комплекс ПО для альтернативной ОС. Замена СКАДА и ОС на машинах диспетчеров (операторов) не даст практически ничего в плане безопасности, поскольку безопасность системы определяется безопасностью самого слабого звена.

Повторю. ОСРВ QNX Neutrino Certified Plus — это единственная ОС реального времени, соответствующая требованиям стандартов и по функциональной (МЭК 61508), и по информационной безопасности (ИСО/МЭК 15408).

Windows XP тоже соответствует EAL4+ стандарта ИСО/МЭК 15408, однако же это не помешало существованию Stuxnet. Очевидно, что для создания подобной заразы используют не "несоответствие" стандартам, а ошибки в реализации. Причем органы, выдающие подобные сертификаты, физически не способны обнаружить все возможные лазейки в коде. Каким боком МЭК 61508 относится к информационной безопасности, я вообще не понимаю. Пожалуйста, поясните.

И, раз уж на то пошло, соответствует ли Phocus-SCADA требованиям стандарта МЭК 15408 (и, до кучи, МЭК 61508 )?

[RSA]

Вон тот же Сименс взять. Ради интереса- отследите кто на самом деле является кому дочкой, внучкой...удивитесь.

Чему, простите удивляться? ООО "Сименс" - 100% дочерняя компания "Сименс Актиенгезельшафт". В документах написано.

[Romcheg]

Ну вот, более приземленные методы обеспечения безопасности: http://habrahabr.ru/post/170221/
Без графиков, крутых коллажей из диаграмм и прочей ерунды для запыления глаз...
:D