Комментарии 28
Сложная помеховая обстановка
Там вообще ВОЛС используется и никаких помех, кроме питания.
И ни один злоумышленник в мире никогда не устаивался на работу чтобы получить это легитимное устройство...
Проблема не техническая, а организационная. Не надо вешать это на скаду.
Проблемой корпоративного шпионажа вообще не должны заниматься асушники.
Лучше б руководил и директоров от вендор-лока отучивали с таким рвением.
Очень наивное предположение. Существуют направленные антенны которые прекрасно действуют в радиусе 15-20 км
И чё, через бетон с железом тоже пробивает? И помехи не мешают?
У меня есть подозрение что оператор знает что у его пароля есть срок истечения и из-за этого он не сможет работать.
Вам нужно чаще бывать на объектах.
Вся эта парольная паранойя будет работать тогда и только, когда скады будут обвязываться с корпоративной АДшкой, а пароли будут пробрасываться всквозняк до контроллера домена и обратно. И инструменты для такой интеграции будут в каждой скада-системе из коробки. Тогда заживём. А иначе решение этой задачи просто выльется в постоянное ручное добавление-удаление учеток вместо работы до конца существования скады на предприятии. Рекомендую поэкспериментировать с разными скада-системами по части учеток. С новыми и старыми. Особенно со старыми, их намного больше.
Кстати, пароли на контроллерах с веб-мордами тоже рекомендуете раз в месяц менять? Вот прям на всех, на каждом?
.
Проблема не техническая, а организационная. Не надо вешать это на скаду.
Где я пишу про то что это надо вешать на АСУ? Вся статья про ИБ применительно к ТСПД. Ну и нет, чисто органзационно это проблема не решается.
Проблемой корпоративного шпионажа вообще не должны заниматься асушники.
Где я пишу про то что это надо вешать на АСУ? Приведите цитату.
И чё, через бетон с железом тоже пробивает? И помехи не мешают?
Типовое ослабление ЖБ сигнала на 2,4 ГГц по памяти 22 Дб, извините екахау под рукой нет. КУ серийной параболической антенны 30 Дб. Так как это не мои рассказы про потребность wi-fi на производстве принимаем за условие задачи что уровень помех достаточный чтобы установить соединение. За стеной помехи ослабляются вместе с полезным сигналом.
Я бы поостерегся говорить что все цеха по всей РФ это сплошные бункера без окон с многометровыми стенами. Поговаривают что существуют окна и атакующий может даже выбирать направление и точку установки антенны.
Вся эта парольная паранойя будет работать тогда и только, когда скады будут обвязываться с корпоративной АДшкой,
О, судя по этому я говорю с очередным эникеем который ничего не знает но мнение имеет.
Корпоративному не место в ТСПД. КСПД ломают куда чаще и не стоит приносить уже ТСПД на блюдечке.
AD в сегменте ТСПД запрещен. Читаем Указ № 166 Президента Российской Федерации от 30.03.2022.
Помимо AD для AAA есть масса других продуктов. Тот же самый S7-1500 может в RADIUS с дополнительным модулем.
будут в каждой скада-системе из коробки.
SCADA это 1) архитектура 2) включает не только HMI и ПЛК. Не подскажите что вы хотите получить от сквозной аутентификации оператора на датчике? А на АРМ оператора можно уже лет 15 аутентифицироваться почти всем чем хочешь.
выльется в постоянное ручное добавление-удаление учеток вместо работы
Это именно работа за которую вам платят деньги. Если вам лениво работать - увольняйтесь.
Особенно со старыми, их намного больше.
Снова открываем указ 166... Не все так радужно но число старых уменьшается куда быстрее чем до СВО.
Кстати, пароли на контроллерах с веб-мордами тоже рекомендуете раз в месяц менять?
Решение принимается руководством объекта, не мной.
Я по мере сил старался не нарушать требования вендора. https://support.industry.siemens.com/cs/mdm/109759862?c=113142056331 Keep the password secret and change it frequently. Что для Вас frequently - раз год? Правильный ответ - как скажет внутренний нормативный документ на объекте. Хоть каждый час.
Вообще не стоит превращать молоток в пилу. Не надо из диагностики ПЛК делать хреновый HMI.
О, судя по этому я говорю с очередным эникеем который ничего не знает но мнение имеет
Пусть будет не АДшка, а любая другая система с профилями пользователей, паролями и аутентификацией, это ничего не меняет. АДшку я привёл как понятный пример (и потому что первое, что вспомнилось, да). Но центрелизовано, на стороне предприятия. У кого оно в хозяйстве, у админов, или у безопасников - мне непринципиально.
Можно со СКУДом обвязать и пикать карточкой при доступе к компьютеру, я лично не против. Но оно уже должно быть готово и настроено на предприятии, когда я туда пришёл. И должно интегрироваться в скаду/верхний уровень асу/хми/етц из коробки, в 1 клик. А этого сейчас просто нет.
S7-1500
Существует не только Симменс.
Не подскажите что вы хотите получить от сквозной аутентификации оператора на датчике?
Ничего. Я не хочу аутентифицировать оператора на датчике. Вы что-то своё прочитали.
Слово "скада" я употребил в бытовом смысле, а не в строго академическом. Я подразумевал программные комплексы для верхнего уровня АСУ.
А на АРМ оператора можно уже лет 15 аутентифицироваться почти всем чем хочешь
Ну да. На уровне операционной системы. Следовательно:
SCDAD/HMI/whatever не защищена, а кругом иногенты, шпионы и враги
См. начало коммента
А ещё бывают АРМы оператора старше 15 лет.
Это именно работа за которую вам платят деньги. Если вам лениво работать - увольняйтесь.
Если не обеспечен удалённый доступ и под каждого уволившегося/нанятого оператора нужно выезжать на объект - это не нужно будет самому заказчику)
А если выезжать на объект как обычно, раз в полгода - небезопасно, шпионы все пароли украдут за это время.
И да, на среднестатистическом пром.объекте постоянно что-то сломано и жопа в мыле. До паролей оператора на каждый арм на каждого оператора раз в месяц - просто руки не дойдут.
А так - да, работа, согласен. Более того, рассосная часть работы, только этим бы и занимался, если деньги платят. Но по моему опыту, реальность выглядит не так, как вы описываете.
Снова открываем указ 166... Не все так радужно но число старых [скада-систем] уменьшается куда быстрее чем до СВО.
ПХАХАХАХАХА.
Простите.
Тут комментировать - только портить.
Не надо из диагностики ПЛК делать хреновый HMI
Вы опять что-то своё прочитали.
P.S. А что посоветуете, например, с модбасом делать? Вы на своих объектах что делали, как защищали? Какой софт и железо использовали?
А этого сейчас просто нет.
Ну так делайте чтобы было. То что у вас не выстроена инфраструктура - это исключительно ваша проблема. Модернизируйте, убеждайте руководство, делайте проект, подключайте тех же ИБ чтобы они подтвердили что это нужно. Технологии под это есть. Или думаете что это буду делать я за вас бесплатно?
Существует не только Симменс.
Во-первых автор исходной статьи работает именно с симатиком, по второй статье видно. Во-вторых - и что? Разверните мысль, думаете с Radius/tacacs/diameter/ldap работает один только вендор в одной конкретной реализации?
Слово "скада" я употребил в бытовом смысле, а не в строго академическом
Когда говорят SCADA-система я предполагаю что люди говорят о системе а не ее кусках. А так-то да, я тоже всегда называю монитор процессором, немножко неакадемично но люди разберутся.
подразумевал программные комплексы для верхнего уровня АСУ.
Точно верхний?
Ну да. На уровне операционной системы. Следовательно:
И? Я не понимаю чего вы добиваетесь. Доказать мне что нельзя никогда проектировать аутентификацию потому что у васи в подвальном мебельном цеху самописный комплекс с ISA интерфейсом этого не поддерживает?
Если не обеспечен удалённый доступ и под каждого уволившегося/нанятого оператора нужно выезжать на объект - это не нужно будет самому заказчику)
Да, конечно. Каждый директор завода бился в истерике "как же бедный Васечка поедет на рудник - ему же страшно будет в машине! Я никогда не соглашусь чтобы инженеры АСУ ездили на объекты!!!!"
А если выезжать на объект как обычно, раз в полгода - небезопасно, шпионы все пароли украдут за это время.
И после того как украдут - угадайте кого первого выставят виноватым и отдельным приказам обяжут ездить туда каждую неделю? Если не смогли сделать централизованный учет УЗ - значит будете ездить как миленький и менять везде. Под роспись.
Но по моему опыту, реальность выглядит не так, как вы описываете.
Опыта у вас нет, видно по плавающей терминологии. Максимум подай-принеси в малых предприятиях.
Вы опять что-то своё прочитали.
Что написали - то и прочитал. Зачем еще нужно устраивать множественные УЗ на веб-интерфейсе ПЛК? Цели какие?
А что посоветуете, например, с модбасом делать? Вы на своих объектах что делали, как защищали? Какой софт и железо использовали?
Вы знаете, у меня есть ПК. Что с ним делать, какой софт ставить? У modbus несколько реализаций в нескольких физических средах. Защита зависит от модели угроз и какие угрозы считаются актуальными. Средства защиты уже идут из модели угроз. Не уместишь обследование с макулатурой на пару сотен страниц в комментарий на сайте.
Ну, за вызов инженера АСУ обычно платить нужно, и ценник не копеечный. Так что директор будет истерить не из-за самого Васечки, а из-за денежек за Васечку.
Вы не поверите но система удаленного доступа тоже не бесплатная, даже если СПО - есть и накладные затраты, ресурсы, обслуживание и прочее. И когда директор будет смотреть в ценник 3 миллиона на систему (и лицуха с поддержкой еще 200к в год) а альтернативу - Вася и Петя (водитель) с ЗП за смену на двоих 5 тыс... Ездить будет Вася хоть каждую неделю, а проблемы индейцев шерифа не волнуют. Это кстати одна из причин почему в ТСПД прекрасно можно встретить системы 20-ти летней давности а в КСПД уже нет. Вася в АСУ стоит куда дешевле Вити в ИТ, так сложилось. Даже если делают в общем-то одно и то же.
Какая у вас дорогая система удалённого доступа. Что, тимвиев нельзя установить в дежурке? Да и Вася какой-то больно дешевый, он что, из какой-то мелкой местной фирмочки? Но все равно, этих затрат можно было избежать если не делать всей подобной глупости с индивидуальным паролем.
P.S. ИТ и АСУ делают одно и то же? В смысле? Сидят за компьютером?
Модернизируйте, убеждайте руководство, делайте проект
Я этим и занимаюсь, это моя основная деятельность.
думаете с Radius/tacacs/diameter/ldap работает один только вендор
Перечислите, пожалуйста, 5 контроллеров разных вендоров с поддержкой этих функций со ссылками на РЭшк в ответном комментарии. Если осилите, то в следующей серии мы поговорим с вами об их ценах, довоенных и нынешних, и об их доступности сегодня. Впрочем, я не настаиваю и не обижусь, если откажетесь это делать.
Задача со звёздочкой для любителей 166 и других приказов: сделать то же самое для российских вендоров.
Точно верхний?
Да, точно. Я представлял себе трехуровневую, "классическую" схему АСУ ТП - "полевой-сетевой-армы". На такой, как у вас, это будет Level 2 или Level 3, в зависимости от конфигурации.
SCADA-система я предполагаю что люди говорят
Знаете, есть такой момент, когда по употреблению профессионального сленга, понятно, насколько человек в теме. Это как раз тот случай.
Я знаю, что аббревиатура SCADA - это англоязычный аналог нашего АСУТП или АСУД. Все это знают, это вообще не секрет. Но в отрасли так не говорят. Ни в статьях, ни на конференциях, ни в курилке, ни в тендерных документах.
Каждый директор завода бился в истерике "как же бедный Васечка поедет на рудник - ему же страшно будет в машине!
"В машине"?)
А вы сами часто в командировки ездите?) А как далеко?)
Директор завода не будет биться в истерике, он просто не согласует бюджет, безо всяких истерик. Ну, если это тот случай, когда целый директор согласовывает.
угадайте кого первого выставят виноватым
Того, кто последний трогал)
будете ездить как миленький
Дружище, ездить - это не баг, а фича. Это выгодно, потому что командировочные, потому что чеки за хату и потому что питание в заводской столовой дешевле, чем в офисной. А если гостиница с завтраком и ужином - то вдвойне выгодно. А ещё подрядчику не всегда надо ездить на объект к 8 или 9, можно и в 10. И иногда на такси, или тачку за тобой пришлют. Но тут от объекта и конторы зависит. И если ты на три дня будешь выезжать, чтоб пароль оператору поменять - это как оплачиваемый отпуск, работа мечты)
Мне как подрядчику наоборот выгоднее оказывать тех.поддержку чаще и с выездом. Это невыгодно предприятию.
У modbus несколько реализаций в нескольких физических средах
"В нескольких физических средах"? Ок. Я бы разницу между tcp и rtu не так описывал)
Допустим, у меня есть Овен ПЛК210 с Modbus TCP, стопицот штук, управляют важным аппаратом. Как мне защититься от человека посередине, например, шпиона с радиопушкой в окне? Что посоветуете, исходя из своего опыта?
а альтернативу - Вася и Петя (водитель) с ЗП за смену на двоих 5 тыс...
Отчёты о командировках вы никогда в бухгалтерию не сдавали, да?)
почему в ТСПД прекрасно можно встретить системы 20-ти летней давности а в КСПД уже нет
ПХАХАХ. Комментировать - только портить. Опять.
Вася в АСУ стоит куда дешевле Вити в ИТ
Вы только о зарплатах работников говорите. Техобслуживание в АСУ в долгосрок дороже, даже с учетом лицензий. Долгосрок наступает через 2-5 лет, смотря что сравниваем. По меркам заводов-пароходов - это маленькие сроки.
В ТСПД системы 20+ летней давности не от дешевизны, а от того, что для обновления полевого уровня обычно надо останавливать первичное оборудование.
Вам нужно чаще бывать на объектах.
Перечислите, пожалуйста, 5 контроллеров разных вендоров с поддержкой этих функций
Зачем? Я назову крупнейших вендоров в области, и что это вам даст? Кроме того можете записать туда половину китайцев на основе линукса - туда можно обычно подгрузить сторонние программы, в том числе и клиенты для ААА. Просто мое время потратить? Ну главное - это никакой не верхний уровень SCADA.
Я знаю, что аббревиатура SCADA
Не знаете. Иначе бы не толковали про верхний уровень постоянно почему-то скатываясь на ПЛК.
"В машине"?)
Да, в машине в худшем случае. Возможно говорит специфика работы с крупняком но я ни разу не видел завода без отдела АСУ ТП которые только этим заводом и занимались. Потому что подрядчика из Москвы для смены пароля на ПЛК никто вызывать не будет.
Это выгодно, потому что командировочные
Какие командировочные, алло? Это в дальний цех съездить максимум или удаленную площадку! Есть исключения вроде нефтепроводов и их постов, но это исключения.
Что посоветуете, исходя из своего опыта?
Сделать обследование и модель угроз. Просто потому что есть большая разница в специфике само производства и руководства. Одно считает что кто-то может выкопать кабель и воткнутся в разрыв, второе то что злоумышленник может подключится к сетевому оборудованию а третий говорит что территория охраняемая и таких угроз нет. Аудит, энфорсмент сетевого оборудования, актуализация карты СКС, возможно наложенное шифрование в канале, тот же macsec.
В ТСПД системы 20+ летней давности не от дешевизны, а от того, что для обновления полевого уровня обычно надо останавливать первичное оборудование.
Я правильно понимаю что в вашем мире останов для регламентного обслуживания никто не делает по 20 лет и согласовать останов для модернизации невозможно?
Ну главное - это никакой не верхний уровень SCADA
Когда я писал про контроллеры, я не писал про верхний уровень. Вы опять что-то своё прочитали. Читайте внимательнее, пожалуйста, не теряйте контекст.
Да, в машине в худшем случае
В худшем?
Позвольте, повторю свой вопрос: вы сами часто в командировки ездите? Как далеко?
ни разу не видел завода без отдела АСУ ТП
Совершенно верно, "эксплуатация", "местные". Вот они и должны заниматься профилями и паролями, централизованно.
На практике, это часто 1-3 человека, у них рук не хватает, половину систем отдают на подряд. Если устроить безопасную дичь с паролями, с которой мы начали, имхо, они 2/3 систем станут отдавать на подряд. Это дорого.
Потому что подрядчика из Москвы для смены пароля на ПЛК никто вызывать не будет.
А я о чём? Я ж об этом тут написал - https://habr.com/ru/articles/891042/comments/#comment_28042932
Если не обеспечен удалённый доступ и под каждого уволившегося/нанятого оператора нужно выезжать на объект - это не нужно будет самому заказчику)
К подрядчика не из Москвы, кстати, это тоже относится. Я, например, совсем не из Москвы езжу.
Какие командировочные, алло? Это в дальний цех съездить максимум или удаленную площадку! Есть исключения вроде нефтепроводов и их постов, но это исключения
Вау. Всё лучше и лучше.
кто-то может выкопать кабель и воткнутся в разрыв
Выкопать и воткнуться. На территории завода. По-шпионски, без палева. =/
Вы прокладывали кабель когда-нибудь?
актуализация карты СКС
Ох тыж ну тыж)
Не просто кабельный журнал, а целую карту СКС актуализировать)
Уважаемый, вам нужно чаще ездить на объекты. Вы совершенно не понимаете специфику.
наложенное шифрование в канале, тот же macsec
Пожалуй, единственный полезный совет, но есть нюанс.
Дешифровку кадра должны производить конечные устройства, иначе в этом нет смысла. Нет смысла, если дешифровка производится на коммутаторе, а потом по контроллерам и модулям расходятся нешифрованные данные. Хотя, для радиоточек это можно использовать. Нет смысла, если на половину контроллеров доходят шифрованные данные, а на вторую половину - нешифрованные. Т.е. все стопицот контроллеров и модулей на предприятии должно единомоментно начать поддерживать шифрование. Зайчики, станьте ёжиками.
Я ж почему и спросил про модбас. Он не подразумевает шифрования. И это самый распространенный промышленный протокол в мире. И на нём работает куча аппаратуры, которая будет с нами ещё очень долго.
Для того чтобы навести желаемое шифрование данных, надо переезжать на другие протоколы и другую аппаратуру. Полностью менять весь полевой уровень на каждом предприятии. У коллег за бугром - всё то же самое.
Поэтому - физически изолированные сети, и только.
Я правильно понимаю что в вашем мире останов для регламентного обслуживания никто не делает по 20 лет и согласовать останов для модернизации невозможно?
Ну да, если упрощённо, то примерно так, правильно.
Может не по 20, но по 10 - запросто, цифра реальная.
И тут работает правило "скорость группы равно скорости самого медленного участника". Если вы модернизировали, этапами раз в 5 лет, 3/4 полевого оборудования за 15 лет, то оставшаяся 1/4 оборудования будет "диктовать условия". Обратная совместимость, ага. Вот и получается, что цикл полного обновления может быть и 20, и больше лет. И всё это время вы тащите какие-то устаревшие технические решения от которых невозможно отказаться.
А в вашем мире как обычно происходит? Расскажите, пожалуйста.
И что это за мир такой, куда ездите, на какие объекты?
Если устроить безопасную дичь с паролями, с которой мы начали, имхо, они 2/3 систем станут отдавать на подряд. Это дорого.
Считайте так и дальше. На стоимость одного транзита из центрального региона в Уренгой раз месяц туда-обратно можно нанять человека на месте.
Выкопать и воткнуться. На территории завода.
А я сказал завода? Вы уверены что скажем ЭТО никак не контролируется и не имеет датчиков на постах на всем своем протяжении? Или может думаете что газопровод охраняется 24/7 на каждом прогонном километре? Могу вам порекомендовать копать кабеля дальше и не лезть в инженерные темы.
Нет смысла, если дешифровка производится на коммутаторе
То есть в поле никто кабель вскрыть не может (я знаю объекты которые отстоят от основного комплекта на десяток километров, скажем водозаборные системы) а внутри здания уже значит точно будут слушать?
Я ж почему и спросил про модбас. Он не подразумевает шифрования.
https://modbus.org/docs/MB-TCP-Security-v21_2018-07-24.pdf А это что?
Может не по 20, но по 10 - запросто, цифра реальная.
Ну что я могу сказать. Преклоняюсь перед таким экспертом который скажем ректификационные колонны может гонять без обслуживания по 10 лет. А то-то идиоты на НПЗ каждый год их останавливают на плановый ремонт, это даже на объемах переработки в РФ видно. Продолжать разговор с таким экспертом бессмысленно, спасибо что вылечили от синдрома самозванца.
Считайте так и дальше. На стоимость одного транзита из центрального региона в Уренгой раз месяц туда-обратно можно нанять человека на месте.
Я об этом и говорю, командировки - это дорого.
Нанять местного асушника за пределами москвопитера будет сложно, это не самая распространённая специальность. А под только под "смену пароля" - будет невыгодно ни вам, ни заказчику. Если бы вы хоть раз сдавали отчёт о командировке в бухгалтерию, вы бы об этом знали. Полагаю, вы просто никуда не ездили. Я трижды спросил про объекты - вы трижды промолчали.
Нанять человека на месте менять пароли? Это ж утечка)
газопровод охраняется 24/7 на каждом прогонном километре
Погонном.
Что с газопроводами - не знаю, на них не работал. Полагаю, не охраняется. Как у них устроена инфраструктура связи - хз.
То есть в поле никто кабель вскрыть не может (я знаю объекты которые отстоят от основного комплекта на десяток километров, скажем водозаборные системы)
Вскрыть магистральную оптику? Ок.
В любом случае, это проблема магистрального провайдера, пусть он этим и занимается. Причём тут ИБ в АСУТП предприятия?
А это что?
А это 2018 год. Там даже в pdf-ке так написано. И оно не работает на более ранних девайсах. То есть, на всём, что выпущено до 2018 года и стоит на предприятиях. То есть почти на всём вообще.
Вы когда спорите в интернатах, не надо скидывать первую ссылку из поиска не глядя, может неловко получиться. Хоть ознакомьтесь мельком, что кидаете.
А то-то идиоты на НПЗ каждый год их останавливают на плановый ремонт
Я рад за НПЗ и за их график ремонтов) Но бывает не только НПЗ.
спасибо что вылечили от синдрома самозванца
¯\_(ツ)_/¯
Ну, пожалуйста, наверное.
Но вам всё ж стоит чаще бывать на объектах.
А это 2018 год. Там даже в pdf-ке так написано. И оно не работает на более ранних девайсах.
Есть отрасли где производители в принципе не закладывают ни шифрования ни авторизации на этапе управления, железяка радостно примет любую команду. При этом логи она отдает в зашифрованном виде чтобы с ними бежали к производителю.
По поводу примера со StuxNet - все его любят приводить, но по сути это свидетельство того, что любая система уязвима, особенно, если за вас берется условный Джеймс Бонд. Вряд ли какая-то промышленность позволит себе больше уровней защиты, чем военный завод. А у ИБ цель предотвратить все-таки какой-то разумный уровень атак, для которых не придётся строить бункер в скале.
Видно, что исходный автор пользовался какой-то очень странной скадой и автоматизацией, все эти решения существуют. Но и проблемы совместимости требований ИБ с существующими АСУ ТП тоже наверно существуют, хотелось бы и их услышать! Например, политика периодической смены паролей многими видится как контр-продуктивная, ведь если человек сам меняет пароль, то он использует предсказуемый паттерн, а если пользуется менеджером паролей на телефоне, то надо еще телефон защитить, а это еще менее контролируемый параметр. А если ключ выдать, то он его сразу же потеряет, поэтому ключ тоже должен быть с паролем. Ну и так по кругу.
Автор поста, на который дан ответ: "если ИБ готовить неправильно - оно начинает мешать реальной работе!"
Автор данного поста возражает: "есть ИБ готовить правильно - оно не мешает!"
Возражение-согласие получилось)
К вопросу об ИБ - а можно привести примеры когда НА ПРОИЗВОДСТВЕ не в банке из-за плохого шифрования/паролей/доступа произошла авария или утечка технологии? По поводу утечки технологии - это возможно только если утечка произошла через технологов, любая даже очень простая технология не утечет без человека который ей пользуется. Пароли - это вообще бред на производстве. Стойкий пароль не запоминается в принципе, его будут писать на бумаге и укладывать около монитора, а простой пароль это не пароль вообще. Запомните раз и навсегда - любой злонамеренный взлом осуществляется только и исключительно через людей, т.е. социальную инженерию. Это надежнее, дешевле и быстрее
Отдельно стоит отметить это.
доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, ... составила 22%. Это почти каждый четвертый компьютер в АСУ. Как думаете, это очень хорошо - вредоносный софт на каждом 4 ПК на производстве?
Запомните раз и навсегда
А вы простите кто чтобы так утверждать? Вот статистика infowatch, мне кажется что они куда более компетентны в этом вопросе чем комментатор в интернете.
Вредоносное ПО это конечно интересно, но какой конкретно вред оно принесло? И заодно было бы неплохо получить статистику про установленные на этих компьютерах игрушек, которых почти наверняка больше :-) В картинке приведены методы атак, но нет данных о реальных повреждениях. 99,9% этих выявленных атак не приводят к реальным дефектам в работе. И не стоит подменять одно утверждение другим - я утверждаю что то, что вы называете вредоносным ПО реально ничего не портит, и есть оно или нет, никакой роли не играет. Борьба с ним служб ИБ вообще смысла не имеет. А вот система паролей сильно мешает работе и не помогает избегнуть ни утечке информации ни саботажу или атаке
Практически во всех приведенных вами примерах применялась социальная инженерия коды и/или пароли злоумышленники получали от сотрудников пострадавших предприятий и только потом реально атаковали системы
Вредоносное ПО это конечно интересно, но какой конкретно вред оно принесло?
Вообще отличный подход. Давайте так - вы снимаете всю противоаварийную защиту со всего производства под личную ответственность, ведь за 5 лет оно ни разу не сработало.
В картинке приведены методы атак, но нет данных о реальных повреждениях.
В отчете встречаются цифры, стоит сначала прочитать а потом строчить комментарии. Тот же Schumag вообще после атаки обанкротился, но это же не вред для вас, верно?
А вот система паролей сильно мешает работе и не помогает избегнуть ни утечке информации ни саботажу или атаке
А СИЗы на производстве тоже неудобные, мешают и не всегда спасают. Избавьтесь от них.
Практически во всех приведенных вами примерах применялась
В примерах нет указаний на развитие атаки. А вот на картинке есть указание - социальная инженерия возникает только в каждой третьей атаке. Причем социалка может возникать не только для компрометации УЗ. Это и разведка, и распространение и вообще она может возникать на почти любом этапе киллчейна.
ИИ это не «риски утечек». Это буквально постоянная утечка данных просто из-за принципа работы этих технологий.
Строго говоря, это неправда. Если вам зачем-то и ОЧЕНЬ сильно нужны некие нейросети на объекте критической инфраструктуры, то с чисто технической точки зрения, абсолютно любую сеть можно развернуть локально. Это полностью исключает выход данных за территорию объекта и угрозу утечки на стороне контрагента. И много других рисков, с ИБ не связанных. Конечно, не все решения доступны в локальном исполнении, и не все существующие дёшевы во внедрении, но рано или поздно локальный аналог всегда появляется, а вопрос экономической целесообразности решается отдельно в каждом конкретном случае.
А безопасность работы с локальными нейросетями в плоскости ИБ - это в первую очередь обеспечение контроля доступа. Если в нейросеть на вход всегда попадают только те данные, к которым у сотрудника итак есть доступ, и не более того, то угроз по линии службы безопасности нет. Им просто неоткуда взяться. Такие угрозы возникают, когда сети зачем-то скармливают всю информацию разом, в наивной надежде, что сетка сама разберётся и ничего лишнего никому не "расскажет", даже если её будут пробовать "уговорить". Вот такое, конечно, нужно не допускать и немедленно устранять. Но когда это сделано, всё встаёт на свои места.
Бывает, что нейросеть сама выдумывает данные или бредит, но это уже не ИБшная головная боль, а сотрудников, ответственных за внедрение. Если инженеры обоснованно считают, что ИИ нужен, и осознают связанные с внедрением риски, и все равно решают разворачивать, и им это согласовали - значит такое у них решение. Задача ИБ - четко озвучить свои требования к системе так, чтобы никакой утечки данных не было.
ИМХО, рассказывать страшилки о "постоянных утечках из-за принципов работы" - это буквально запугивать и прикрывать собственную некомпетентность в вопросе. Если локального варианта, который укладывается в бюджет и отвечает техническим требованиям нет, или его не получается интегрировать с системами контроля доступа - тогда да, ничего не внедряем до тех пор, пока эти возможности не появятся. Такая должна быть конструктивная позиция у ИБ. Но когда эти возможности появляются - тогда реализовываем по собственным, сколь угодно секьюрным, требованиям. Тестируем, проверяем уязвимости, дорабатываем. В общем, работаем как с любой другой системой.
абсолютно любую сеть можно развернуть локально.
А автор той статьи точно говорил о onsite cloud? И отличает локальную LLaMA от ChatGPT? Что-то подсказывает мне что нет. Расскажите пожалуйста в случае ОБСУЖДАЕМОГО ПРИМЕРА, а именно облачной платформы и облачного ИИ агента данные покидают площадку или нет?
Если в нейросеть на вход всегда попадают только те данные, к которым у сотрудника итак есть доступ, и не более того, то угроз по линии службы безопасности нет.
В нейросеть будут попадать те данные к которым имеют доступ как минимум все сотрудники которые к ней допущены. У меня есть подозрение что данные к которым допущены ведущий инженер или проектировщик отдавать оператору отдельной установки не следует, а Вы? Плюсом еще данные дообучения которые для локальных инсталляций имеет смысл делать на данных площадки для более точного контекста. Расскажите пожалуйста можно ПРИНЦИПИАЛЬНО обеспечить работу LLM в рамках контекста исключительно одного пользователя с доступом исключительно к разрешенным данным? Grandma Exploit и прочее. Гарантируете? Или предлагаете держать по отдельному инстансу на каждого сотрудника? Вы тут уже наговорили то что не смогли ведущие разработчики LLM решить...
LLM? В АСУТП? Зачем, чтобы что?
Что вы несёте-то постоянно. Перестаньте позориться.
Если в асушке используются нейроники - это другие нейронки, не чат-боты. Компьютерное зрение, прогнозирование отказов по число-временным данным, всякое такое. Это не LLM, оно не выдаёт сырых данных в ответах чат-ботов, выходные данные уходят в какие-нибудь SCADA/ERP/MES-системы, где уже реализован (ну, должен быть) контроль доступа по учёткам.
Компьютерное зрение, прогнозирование отказов по число-временным данным, всякое такое.
И именно их запрещают службы ИБ? Даааа, ИБ вот такой продукт сам себе сразу же запрещает... https://ics-cert.kaspersky.ru/publications/reports/2018/01/16/mlad-machine-learning-for-anomaly-detection/ Или вот скажем - творчество только одного холдинга преимущественно внутри себя. https://www.nornickel.digital/cifra_v_nornikele Откуда вы лезете-то?
Перестаньте позориться.
Читаем исходный комментарий.
Такие угрозы возникают, когда сети зачем-то скармливают всю информацию разом, в наивной надежде, что сетка сама разберётся и ничего лишнего никому не "расскажет", даже если её будут пробовать "уговорить". Вот такое, конечно, нужно не допускать и немедленно устранять. Но когда это сделано, всё встаёт на свои места.
Комментарий очевидно касается принципа работы CV. Или нет? Слушай, я уже понял что ты клоун, хватит лезть. Облаку (в традиционном прочтении - мощности размещенные на сторонних серверах с доступом через глобальную сеть) в АСУ ТП делать нечего. ML это не обязательно облако, облако не обязательно ML.
К вопросу об избыточности мер ИБ в АСУ ТП