Pull to refresh

Приглашаем на онлайн-запуск PT Industrial Cybersecurity Suite

Positive Technologies corporate blog Information Security *IT Infrastructure *Industrial Programming *SCADA *

20 апреля Positive Technologies запускает PT Industrial Cybersecurity Suite (PT ICS) — первую комплексную платформу для защиты промышленности от киберугроз.

Промышленность входит в топ-3 целей для злоумышленников (по данным Positive Technologies). Уже в 2020 году на компании из сфер промышленности было направлено 12% хакерских атак. Примеры инцидентов на индустриальных объектах всем хорошо известны: блэкаут Венесуэлы, остановка трубопроводной системы Colonial Pipeline.

Чтобы избежать подобных атак, защита АСУ ТП должна стать такой же комплексной, как и защита IT-инфраструктуры. Positive Technologies объединяет ключевые продукты компании для защиты АСУ ТП в PT Industrial Cybersecurity Suite.

Зарегистрироваться на онлайн-запуск
Total votes 2: ↑2 and ↓0 +2
Views 330
Comments 0

Исследование: уязвимости промышленных систем управления в 2014 году

Positive Technologies corporate blog Information Security *


В ходе эстонских киберучений НАТО в апреле 2015 года стало известно, что основному киберподразделению Североатлантического Альянса уже не столь интересны устройства на Android или веб-камеры: фокус внимания военных хакеров сместился в сторону систем Windows и SCADA.

Месяц назад исследовали из Dell отметили, что в 2014 году произошел двукратный рост числа зловредов, разработанных для атак на магазинные POS-системы и SCADA-системы, а сегодня и мы расскажем о некоторых цифрах и наблюдениях в сфере АСУ ТП (ISC/SCADA), собранных нашими экспертами за последние три года.
Читать дальше →
Total votes 13: ↑12 and ↓1 +11
Views 20K
Comments 2

Функциональная безопасность – старшая сестра информационной безопасности, Часть 1 из 7

Information Security *System Analysis and Design *IT Standards *Industrial Programming *SCADA *
image

Безопасности на хабре посвящен целый хаб, и, пожалуй, никто особенно не задумывается, что именно вкладывается в понятие «безопасность», и так все ясно: информационная безопасность (security). Однако, есть еще и другая сторона безопасности, safety, связанная с рисками для здоровья и жизни людей, а также окружающей среды. Поскольку информационные технологии сами по себе опасности не представляют, то обычно говорят о функциональной составляющей, то есть о безопасности, связанной с правильным функционированием компьютерной системы. Если информационная безопасность стала критична с появлением интернета, то функциональная безопасность рассматривалась и до появления цифрового управления, ведь аварии происходили всегда.

Данная статья начинает серию публикаций на тему функциональной безопасности.

Информационной безопасности АСУ ТП посвящено немало статей на хабре. Функциональной безопасности авторы тоже касались, как в хабе по SCADA, так и в хабе по промышленному программированию АСУ ТП, но, как мне показалось, несколько вскользь. Поэтому я предлагаю короткую информацию об этом важном свойстве, от которого напрямую зависит, получит ли SkyNET контроль над человечеством.
В статье сделаны некоторые обобщения для АСУ ТП, а также для встроенных и кибер-физических систем.
Читать дальше →
Total votes 18: ↑17 and ↓1 +16
Views 38K
Comments 4

Функциональная безопасность, Часть 2 из 7. МЭК 61508: кем быть, Шерлоком Холмсом или Дата Туташхиа?

System Analysis and Design *IT Standards *1С-Bitrix *Industrial Programming *SCADA *

источник#1; источник#2

Безопасности на хабре посвящен целый хаб, и, пожалуй, никто особенно не задумывается, что именно вкладывается в понятие «безопасность», и так все ясно: информационная безопасность (security). Однако, есть еще и другая сторона безопасности, safety, связанная с рисками для здоровья и жизни людей, а также окружающей среды. Поскольку информационные технологии сами по себе опасности не представляют, то обычно говорят о функциональной составляющей, то есть о безопасности, связанной с правильным функционированием компьютерной системы. Если информационная безопасность стала критична с появлением интернета, то функциональная безопасность рассматривалась и до появления цифрового управления, ведь аварии происходили всегда.

Данная статья продолжает серию публикаций на тему функциональной безопасности.

Для того чтобы сделать еще один шаг, необходимо продолжить рассмотрение стандарта МЭК 61508 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью» (IEC 61508 Functional safety of electrical/electronic/programmable electronic safety-related systems). Дело в том, что функциональная безопасность – это достаточно формализованное свойство, поскольку системы, важные для безопасности, являются предметом государственного лицензирования во всех странах.
Читать дальше →
Total votes 17: ↑17 and ↓0 +17
Views 17K
Comments 8

Функциональная безопасность, Часть 3 из 7. МЭК 61508: Систематичная случайность или случайная систематичность?

System Analysis and Design *IT Standards *Industrial Programming *SCADA *

Безопасности на Хабре посвящен целый хаб, и, пожалуй, никто особенно не задумывается, что именно вкладывается в понятие «безопасность», и так все ясно: информационная безопасность (security). Однако, есть еще и другая сторона безопасности, safety, связанная с рисками для здоровья и жизни людей, а также окружающей среды. Поскольку информационные технологии сами по себе опасности не представляют, то обычно говорят о функциональной составляющей, то есть о безопасности, связанной с правильным функционированием компьютерной системы. Если информационная безопасность стала критична с появлением интернета, то функциональная безопасность рассматривалась и до появления цифрового управления, ведь аварии происходили всегда.

Данная статья продолжает серию публикаций на тему функциональной безопасности.

Описание достаточно непростой терминологической казуистики заняло целую статью, и теперь пора разобраться со структурой требований МЭК 61508.

Не рекомендуется к прочтению тем, кто не интересуется стандартизацией.
Читать дальше →
Total votes 10: ↑10 and ↓0 +10
Views 11K
Comments 0

Функциональная безопасность, часть 4 из 7. Процессы управления и оценивания

System Analysis and Design *IT Standards *Industrial Programming *SCADA *


Безопасности на хабре посвящен целый хаб, и, пожалуй, никто особенно не задумывается, что именно вкладывается в понятие «безопасность», и так все ясно: информационная безопасность (security). Однако, есть еще и другая сторона безопасности, safety, связанная с рисками для здоровья и жизни людей, а также окружающей среды. Поскольку информационные технологии сами по себе опасности не представляют, то обычно говорят о функциональной составляющей, то есть о безопасности, связанной с правильным функционированием компьютерной системы. Если информационная безопасность стала критична с появлением интернета, то функциональная безопасность рассматривалась и до появления цифрового управления, ведь аварии происходили всегда.

Данная статья продолжает серию публикаций на тему функциональной безопасности.

В данной статье достаточно абстрактные требования к управлению функциональной безопасностью интерпретированы для внедрения в рабочие процессы. Эта информация проверена и отшлифована на практике нескольких проектов по сертификации.
Процессная инженерия – скучно это или нет? Именно процессы позволяют масштабировать IT-бизнес. Мне лично приходилось наблюдать, как внедрение процессов в разработку приводило к серьезному профессиональному росту, как исполнителей, так и всей компании. И наоборот, «затыки» и так называемая «нецелесообразность» внедрения хорошо структурированных процессов свидетельствовали о незрелости и других серьезных проблемах.
Итак…
Читать дальше →
Total votes 10: ↑10 and ↓0 +10
Views 8.6K
Comments 1

Информационная безопасность АСУ ТП: Дон Кихот в эру кибероружия

Information Security *System Analysis and Design *IT Standards *Industrial Programming *SCADA *

В данной статье проведена систематизация требований к информационной безопасности (ИБ) АСУ ТП. Требования выбраны из доступных на настоящий момент стандартов, в первую очередь, из NIST SP 800-82 «Guide to Industrial Control Systems (ICS) Security» и разрабатываемой новой редакции серии ISA/IEC 62443 «Security for Industrial Automation and Control Systems».

АСУ ТП взаимодействуют с объектами физического мира и обеспечивают защиту от аварий и катастроф. В англоязычной литературе АСУ ТП называют Industrial Control Systems (ICS) или Industrial Automation and Control Systems (IACS). В мире IT технологий их можно сравнить с Дон Кихотом, который остался верен простым, но не очень модным принципам в уже давно изменившемся мире.

Поэтому, была проведена параллель с функциональной безопасностью и рассмотрен комплекс требований, позволяющих обеспечить обе стороны безопасности АСУ ТП, и функциональную, и информационную.

Похожие проблемы следует решать и для других кибер-физических систем, включая IoT и встроенные управляющие системы.
Читать дальше →
Total votes 15: ↑14 and ↓1 +13
Views 45K
Comments 8

Функциональная безопасность, часть 5 из 7. Жизненный цикл информационной и функциональной безопасности

System Analysis and Design *IT Standards *Industrial Programming *SCADA *Development for IOT *

Источник

По данным IoT Analytics в 2016 году больше всего проектов (22% от общего количества), связанных с применением интернета вещей, было реализовано для промышленных объектов. Это подтверждает развитие и распространение технологий заявленных в доктрине Industry 4.0.

Таким образом, на наших глазах возник новый класс кибер-физических систем, получивший название Industrial Internet Control Systems (IICS) или Industrial Internet of Things (IIoT).

Из названия понятно, что такие системы являются гибридом технологий, применяемых в АСУ ТП и в системах на базе интернета вещей. Соответственно в таких системах необходимо учитывать все риски, связанные с нарушением свойств информационной (security) и функциональной безопасности (safety).

Данная статья продолжает цикл публикаций по функциональной безопасности. В ней рассмотрены требования к организации жизненного цикла систем управления (АСУ ТП, встроенные системы, интернет вещей). Предложена единая структура процессов, поддерживающих выполнение требований как к информационной, так и к функциональной безопасности.
Читать дальше →
Total votes 9: ↑9 and ↓0 +9
Views 9.2K
Comments 9

Функциональная безопасность, часть 6 из 7. Оценивание показателей функциональной безопасности и надежности

System Analysis and Design *IT Standards *Industrial Programming *SCADA *

Источник

Продолжая серию публикаций по функциональной безопасности, в сегодняшней статье мы рассмотрим, как количественно оценивается функциональная безопасность на основе статистических данных о случайных отказах аппаратных средств. Для этого используется математический аппарат теории надежности, которая, как известно, является одним из приложений теории вероятностей. Поэтому, мы будем периодически обращаться к положениям, известным из теории надежности.

Мы рассмотрим следующие вопросы:

— связь атрибутов надежности, информационной и функциональной безопасности;
— переход от анализа рисков к измерению показателей функциональной безопасности;
— примеры расчета показателей надежности и функциональной безопасности.
Читать дальше →
Total votes 16: ↑16 and ↓0 +16
Views 15K
Comments 0

Функциональная безопасность, часть 7 из 7. Методы обеспечения информационной и функциональной безопасности

Information Security *System Analysis and Design *IT Standards *Industrial Programming *SCADA *

Источник

В завершение серии публикаций по функциональной безопасности, в сегодняшней статье мы рассмотрим, какие организационные и технические методы применяются для обеспечения функциональной безопасности.

Большинство методов может применяться, в том числе, и для обеспечения информационной безопасности в рамках концепции интегральной безопасности (safety & security) современных систем управления.

Набор анализируемых методов базируется на требованиях МЭК 61508 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью» (IEC 61508 Functional safety of electrical/electronic/programmable electronic safety-related systems). В части специфики обеспечения информационной безопасности АСУ ТП за основу взят NIST SP 800-82 «Guide to Industrial Control Systems (ICS) Security», рассмотренный в одной из предыдущих статей.
Читать дальше →
Total votes 15: ↑13 and ↓2 +11
Views 16K
Comments 2

Онлайн курс «Функциональная безопасность компьютерных систем»

Information Security *System Analysis and Design *IT Standards *Industrial Programming *SCADA *

Источник

Вашему вниманию предлагается статья о том, как был создан онлайн курс по тематике «Функциональная безопасность». Сервисы онлайн обучения располагают студийным оборудованием для записи высококачественного звука и видео. А если вдруг представить, что доступа у вас к подобным ресурсам нет, а учебный материал надо подготовить для использования в онлайн режиме? Автор решил поделиться собственным опытом и раскрыть следующие вопросы:

— мотивация или зачем и кому это надо;
— инструменты подготовки и записи;
— содержание Massive Online Open Course (MOOC) по функциональной безопасности;
— дальнейшие шаги по развитию продукта.
Читать дальше →
Total votes 7: ↑7 and ↓0 +7
Views 7.2K
Comments 0

О книге «Обеспечение безопасности АСУТП в соответствии с современными стандартами»

Information Security *System Analysis and Design *IT Standards *Industrial Programming *SCADA *


Как обеспечить функциональную составляющую безопасности систем управления? Чем отличается функциональная безопасность от информационной безопасности и кто из них «главнее»? Есть ли смысл в сертификации на соответствие требованиям стандартов? Своим опытом в решении этих и других вопросов я старался поделиться с сообществом, когда полтора года назад начал публиковать на хабре серию статей. За это время из серии статей сложилось нечто большее.

На днях издательство «Инфра-Инженерия» опубликовало мою книгу «Обеспечение безопасности АСУТП в соответствии с современными стандартами». Формат аннотации на сайте издательства предусматривает всего несколько строк, поэтому я решил поделиться с читателями основными идеями и развернутым содержанием книги.
Читать дальше →
Total votes 6: ↑6 and ↓0 +6
Views 9.5K
Comments 9

Вебинар Group-IB «Взгляд криминалиста на защиту объектов КИИ в 2019 году»

Group-IB corporate blog Information Security *Antivirus protection *


Настал тот самый момент, когда вы подали списки о категорировании объектов КИИ во ФСТЭК и приступаете к перенастройке сети?

Cпециалисты Group-IB, международной компании, специализирующейся на предотвращении кибератак, подготовили вебинар на тему «Взгляд криминалиста на защиту объектов критической инфраструктуры в 2019 году».

Вебинар начнется 13-го марта 2019 года в 11:00 (МСК), проведет его Веста Матвеева, ведущий специалист отдела Расследований.

Что интересного будет на вебинаре?


Данный вебинар не будет посвящен рассказу о формальном выполнении требований ФЗ-187 или необходимых для этого средствах защиты.

  1. Криминалист Group-IB расскажет, от чего стоит защищаться сегодня и как не потерять контроль над собственной сетью при атаке.
  2. Также мы поделимся собственным взглядом на проблему защиты инфраструктуры на основании обширного опыта расследований компьютерных атак на объекты КИИ.
Читать дальше →
Total votes 14: ↑12 and ↓2 +10
Views 2.1K
Comments 0

Смотрим на технологическую сеть глазами злоумышленников

Positive Technologies corporate blog Information Security *IT Infrastructure *Industrial Programming *SCADA *

Могут ли злоумышленники проникнуть в АСУ ТП[1]? Как они это делают и какие инструменты используют? А главное, обязательно ли атакующие должны что-то понимать в АСУ ТП и технологических системах, чтобы нанести ущерб промышленным предприятиям?

Дмитрий Федосов, специалист отдела экспертных сервисов и развития SOC в Positive Technologies, и Дмитрий Даренский, руководитель направления по развитию продуктов промышленной безопасности Positive Technologies, рассказывают, как злоумышленники видят технологическую сеть и что объективно необходимо для защиты промышленных инфраструктур. Их статья будет полезна специалистам SOC, инженерам промышленных компаний и тем, кто интересуется безопасностью АСУ ТП.

Читать статью
Rating 0
Views 4.3K
Comments 4