Защита АСУ ТП по-американски

    Пост написан из-за появления вчерашних новостей о вирусе-шпионе (например, вот). как ни странно, но проблема защиты промышленных объектов в РФ ставится не так остро, как должна бы… в СМИ очень часто можно услышать про законы о персональных данных, а вот защитой АСУ ТП(системы управления технологическими процессами), похоже, никто особо не занимался (защита критически важных объектов регламентирована документами ФСТЭК, но они имеют гриф и не доступны простым смертным). Для тех же компаний, которые не попали в список этих самых «критически важных», существует только стандарт Газпрома… и все, больше никаких документов и рекомендаций в области защиты АСУ ТП нет.
    В США дело обстоит в корне наоборот, и американский US CERT выкладывает в свободный доступ свои рекомендации по защите АСУ ТП. Желающих ознакомиться прошу под кат.
    US CERT активно занимается информационной безопасностью АСУ ТП, проводит тренинги по безопасности среди сотрудников, а также в сфере повышения осведомленности компаний, использующих АСУ ТП.
    На странице US CERT можно отыскать план расследования инцидентов, руководство по размещению межсетевых экранов в АСУ ТП, рекомендации по управлению патчами в технологических сегментах, руководство по использованию Wi-Fi и др.
    В частности, на сайте были опубликованы:
    Модель нарушителя для АСУ ТП;
    Модель информационных потоков;
    Документы по защите АСУ ТП;
    Инструмент для оценки защищенности (бесплатный);
    А также ссылки на другие источники и документы по сходыным тематикам.
    Надеюсь, что информация будет для Вас полезна.

    Similar posts

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 19

      –3
      Есть пример, как защитить аппаратную связку Arduino+исполнительные устройства? Например, если Arduino подключено к компьютеру лишь для получения информации (фактически с компьютера ничего с тех.процессом, управляемым Arduino не сделать)
        +1
        Зачем тогда получать какую-то информацию с компьютера и зачем защищать аппаратную связку?
          0
          Есть исполнительное устройство, которое управляется контроллером. Контроллер получает информацию с датчиков. И контроллер выводит значения на компьютер через Serial. Есть вероятность того, что если с компьютера отправить поток мусора в com-порт, то контроллер будет занят разбором этого мусора, нежели слежением за датчиками. По идее, так можно саботировать его работу и нарушить производственный процесс, либо проспать повышение давления и не закрыть вентиль…

          Это задачка из реальной жизни. Насосная станция. У оператора обычный ПК, который используется и для «вконтакте».
            0
            в контроллере ртос, которая разбирает «мусор» только строго определенное время и забыть про насосы не может
              0
              Контроллер на базе Atmel, естественно утверждать что на все операции отводится фиксированное время нельзя, если не видеть код перед глазами. Скорее всего там while ( Serial.available() > 0 ) {… }
                +3
                Разработчиков, не предусмотревших защиту технологического процесса от внешних факторов, но предусмотревших однокамерников на компе оператора надо бить палками.
              +1
              Вы определитесь либо вы ходите по вконтактам, либо вы следите за насосами :)

              Выведите все ПК в отдельную подсеть, закройте её фаерволом от локальной сети самого производства. Пропускайте только доверенный, проверенный по источникам трафик.
              Настройте в конце-концов нормально политику безопасности на Windows-машинах и тот же фаервол. На *nix следует «вырезать» всё лишнее слушающее сеть… это если вкратце.

              Вы по ссылкам из статьи то ходили?

              Если же прыгать от того, что «враг» уже на территории, то и ТЗ для железок и софта должно быть соответсвующее.
                0
                Я говорю про реальный проект из жизни, где на комп оператора воткнули «свисток». Естественно антивирус там и не предполагалось ставить, ибо нет сети и запрет флешек (на уровне инструкций).

                В таком случае лучше убрать компьютер вовсе, а к контроллеру поставить дисплей.

                И в реализации контроллера необходима автономность и переход на таймеры. Но это уже другая история…
                  0
                  Такие реальные проекты нужно прикрывать от беды подальше.

                  Естественно, что независимое устройство гораздо проще контролировать, но когда вам нужно получать информацию удаленно с десятков, а то из сотен датчиков и устройств, то без компьютерной сети не обойтись.
                  Т. е. даже свисток должен попадать сначала во внутреннюю сеть из таких «ПК+устройств», а не в Интернет. По уму надо арендовать APN у мобильных операторов для связи и тщательно фильтровать трафик в сети таких устройств.
                    +1
                    Выкиньте винды и соберите свой линукс. Отключите нахер udev, соберите всё скомпиленым в ядро, выкиньте rc-sysv, пропишите софт в inittab, удалите все шеллы. Получившееся будет реагировать на «свисток» примерно с тем же успехом, как и дырка в стенке.

                    А с виндами да, будете бороться до конца дней своих.
                      0
                      Если делать по уму, то да — проще только систему мониторинга из этой связки. Выход найден куда более простой — клиент сам дурак, если что :) Было заказано — как проще и чтобы работало.
                  0
                  Самое простое (и правильное, как мне кажется) решение данной задачи — это выдернуть сетевой провод из компьютера, если Интернет сотруднику для работы не нужен. Или же вывести ПК, с которых осуществляется управление техпроцессом, в отдельную сеть. Физически отдельную. Но это так, мечты безопасника + паранойя.
                  А если без этого- то вам уже ответили ниже.
              +1
              Добавлю ссылку на статью из своей коллекции:
              В помощи поиска на некоторое время назад находили сотни промышленных устройств, включая контроллеры Siemens, ABB и др., подключенных к интернет напрямую. Сейчас этот сайт почему-то ек открывается, по крайней мере у меня.
              0
              Да, странно конечно. У нас на работе техтребования по информационной безопасности АСУТП под грифом «конфиденциально». Хотя внутри ничего страшного нет.
                +1
                Security by obscurity ,))
                  –1
                  Нет такого грифа — «конфиденциально», есть пометка «для служебного пользования».
                  Вообще же, распространение подобных документов действительно стоит ограничивать, что бы у потенциального нарушителя было как можно меньше каналов получения информации как о системе защиты, так и о информационной системе в общем. Так что, это просто разумная предосторожность. Ну, и на людей, не знакомых с нормативно-правовой базой в сфере ИБ даже такая, так сказать, пометка оказывает некоторое сдерживающее воздействие.
                  +1
                  По основной работе делаем АСУ ТП для Газпрома, читал их стандарт по Информационной безопасности, и постоянно боремся с теми методами его обеспечения, которые они рьяно пытаются согласно нему соблюдать. Бред сивой кобылы, ничем другим я этот стандарт назвать не могу — такое ощущение, что им все это писал школьник, любитель посидеть за папиным ноутбуком. А те системы безопасности, которые сейчас внедряются благодаря этому на объектах — смех сквозь слёзы, они порой не то что сами не работают как кто-то хотел чтобы они работали, так они еще и системам АСУ ТП мешают работать нормально. У нас всегда же так — начальство захотело «игрушку», приказало нижестоящим, те написали ахинею и закрепили за подписью начальства — ВСЕ, стандарт! А чтобы на эти работы нанять действительно специалистов именно в этой области вопроса, никому даже в голову же не приходит, а зачем, ведь тут все всем понятно.

                  Никогда не забуду, как «специалист» который конфигурировал одну из систем глобального файрвола для одной из станций Газпрома пялил на меня удивленные глаза, узнав от меня, что в сети Ethernet есть несколько видов широковещательных рассылок… Что такие «специалисты» по таким «стандартам» могут сделать — да ничего толкового, только очередное мертворожденное дитя для галочки в отчетах вышестоящих эшелонах руководства на очередных бла-бла-вещаниях о собственной крутости…
                    +1
                    Для того пост и был написан- в надежде, что, например, Вам, он пригодится. На мой взгляд, у американцев в области защиты АСУ ТП дела обстоят лучше, чем у нас. Ведь заимствование чужого опыта это не порок, а скорее мудрость…

                  Only users with full accounts can post comments. Log in, please.