Комментарии 49
5 февраля неустановленные лица на несколько минут захватили контроль над системами водоочистной станции в Олдсмаре и увеличили концентрацию щёлочи в воде в 111 раз.
Чисто теоретически, зачем система вообще позволяет увеличить этот показатель в 111 раз.
Люди которые устанавливали насосы должны были подумать про блокировку вне зависимости от типа доступа к насосу.
И это в штатном режиме работы, а бывают еще и всякие нештатные ситуации. Поэтому дозирующее оборудование на станциях водоподготовки должно обеспечивать достаточно большой запас производительности.
К сожалению по графику непонятно в каких единицах расход — но вот что-то терзают смутные сомнения что он может отличаться аж на два порядка в течение суток — а расход щёлочи скорее всего линейно зависим от расхода и он был превышен в 111(!) раз.
В самом крайнем случае можно жёстко привязать расход одного к расходу другого, хотя бы в каких-то разумных границах.
Просто реально странно — раз уж от этого жизнь и здоровье зависят, то должны быть какие-то защитные меры, хотя бы от самих операторов.
Имеем:
- расход воды в единицу времени (он измеряется — раз есть графики, и судя по ним чаще чем раз в 30 минут);
- расход щёлочи в единицу времени (даже если не измеряется то вычисляется по положению клапана или что там регулирует расход).
Может я ошибаюсь (совсем ничего не знаю про устройство очистных станций), но разве не достаточно ограничить дозу щёлочи исходя из максимально допустимой дозы для конкретного расхода воды, или хотя бы бить тревогу если дозатор открыт больше чем максимально допустимо? Причём в этом случае время реакции на "что-то не то" будет гораздо меньше чем 20-30 минут.
Я так понимаю, проблема в том, что если достаточно тщательно проработать все эти вопросы — ручное управление оператором станет уже не нужно. А если оператор всё же сидит и управляет этим расходом — значит, по какой-то причине модель расхода щёлочи не проработана.
К сожалению по графику непонятно в каких единицах расходТе графики, что я привел — в кубометрах в час.
но вот что-то терзают смутные сомнения что он может отличаться аж на два порядка в течение сутокЯ привел данные с одной из реально работающих систем (более конкретно в каком именно городе, извините, не скажу).
Правда я тоже немного слукавил и привел данные по расходу на ПНС (повысительной насосной станции). На станции водоочистки расход немного сглажен за счет РЧВ (резервуар чистой воды), но тоже колеблется в значительных пределах.
В самом крайнем случае можно жёстко привязать расход одного к расходу другого, хотя бы в каких-то разумных границах.Это все логично и работает пока все функционирует штатно. Вот накрылся или, что еще хуже, стал врать расходомер и вся эта логика ломается, а воду подавать все равно нужно.
Просто реально странно — раз уж от этого жизнь и здоровье зависят, то должны быть какие-то защитные меры, хотя бы от самих операторов.А еще жизнь и здоровье людей зависит от самого бесперебойного подачи воды. Подачу холодной воды, в отличие от горячей, перекрывать ни в коем случае нельзя — остановка холодного водоснабжения считается очень серьезным ЧП. Поэтому системы строятся так, чтобы оператор мог, в случае необходимости, обеспечить работу системы даже в случае выхода из строя части датчиков, или их недостоверных показаниях.
Защитные меры должны быть реализованы вне системы, иначе отказ системы приведёт к отказу защиты. Конечно круто было бы тройное резервирование с прогностическими моделями но это водоподготовка а не АЭС (когда унитаз взорвётся тогда и сделаем).
Касательно разумных ограничений в железе — не всегда это целесообразно, тот же дозатор для обслуживания может требовать расходов много больших штатного.
В конечном счёте важно одно — проблема была обнаружена тогда когда нужно, и устранена сразу после обнаружения. Системы защиты сработали, дальше можно принимать шаги по минимизации риска повторения в будущем, или не предпринимать. Если бы это была механическая поломка то мы бы об этом инциденте даже не узнали.
В небоскребах вода нагнетается насосами на верхние этажи.
Давление холодной и горячей воды одинаково, потому что газовые колонки везде свои, давление на входе колонки от холодной воды и горячей на выходе одинаковы.
Лучше заслонку в канализацию сделать, посредине небоскрёба. Их там правда нет, зато есть очистные люки, забить можно при наличии желания
Можно предположить, что это нужно для чистки трубопроводов станции: закрывается подача воды потребителю, включается внутренний контур, подаётся высокая концентрация каустической соды.
В январе этого года пользователь под псевдонимом LMonoceros на одном из популярных сайтов опубликовал пост о взломе сети передачи данных компании и получении доступа к ресурсам двух дирекций, в том числе к камерам видеонаблюдения на вокзальных комплексах. В ходе расследования факт неправомерного доступа был подтверждён. Автор нашумевшей статьи воспользовался уязвимостью в настройке маршрутизатора, обеспечивающего сопряжение сети Интернет и не введённого в эксплуатацию сегмента обособленной информационной системы. Описав подробный сценарий действий и предположительные угрозы, он привлёк к сети РЖД внимание широкой аудитории хакеров как в России, так и из других стран. Таким образом, он спровоцировал массовые атаки на информационную систему огромной компании, от деятельности которой зависит безопасность миллионов пассажиров. С сожалением должен отметить, что массовое распространение непроверенной информации через СМИ только ухудшило ситуацию.
Факт наличия выхода этой сети в Интернет – тема внутреннего расследования, которое сейчас ведётся в компании. Не исключена намеренно оставленная уязвимость. С этим будет разбираться служба безопасности РЖД. А органы правопорядка, в свою очередь, дадут правовую оценку действиям автора этой публикации.
может пойти и отверткой нужный пускатель или реле поджать.
Это решается пломбами, физическими замками, сигнализацией, видеонаблюдением и т.п. Информационная безопасность не отменяет безопасность физическую.
Карты можно забыть или потерять
Просто один человек будет вводить 2 пароля или прикладывать две карточки. А то и просто примотают скотчем и все.
Защищаться от работников бесполезно. Поставить независимую от работников автоматику которая будет мониторить и орать можно и скорее всего даже нужно. И вот ее можно вывести через нелюбимый вами интернет в некий центральный мониторинговый офис.
Отключать интернет это самая большая глупость которую только можно сделать. У вас не будет ни мониторинга удаленного, ни автоматизации, ни контроля. Ничего. А будут вот такие дыры, которые люди сами себе для удобства сделают.
Лучше уж централизованно и безопасно доступ дать. Будь в этом случае у начальника легальный и правильный способ войти в сеть стал бы он такую чушь делать? Нет, естесвенно.
Мониторинг можно сделать SMS-ками.
Я сталкивался с ситуацией, когда безопасники соглашались на интернет, но только чтобы трафик был только входящий — поставить диодики на витуху, чтобы ни одного байта не ушло :)
Первый, консервативный, запрещает связь с любыми внешними сетями. При таком подходе существуют раздельные службы операторов оборудования и инженеров АСУ. И админские права, как и расширенный доступ к системе, есть только у вторых. Операторам, при желании, можно вообще запретить выходить из SCADA на рабочий стол. А в достаточно простых системах оставить только функциональную клавиатуру и программно запретить подключать любые другие устройства. Удалённый мониторинг, если он действительно нужен, устанавливается отдельной независимой системой. Никакие TeamViewer'ы при таком подходе попросту невозможны. Саботаж возможен только изнутри. Ошибки в управлении ограничены проектантами защит.
Есть и второй подход. При нём собственная служба АСУ отсутствует, а система сопровождается удалённо, сторонней компанией либо подразделением. Как по мне, этот подход проигрывает первому. Именно в таких случаях, может появиться и TeamViewer и много чего ещё.
слабые стороны кибербезопасности
Шта?
удалённого доступа TeamViewer
использовали один и тот же пароль для входа
устаревшей 32-разрядной Windows 7
отсутствовал брандмауэр
Как вообще комп с виндой 7 выставили в интернет, какого хрена на ней оказался тимвьювер, что за дичь с паролями? Да как они вообще до этого времени дожили?? Одни вопросы, никаких ответов.
Еще начальство очень любит, когда техпроцесс можно смотреть из дома. Пришлось промежуточный сервер ставить, который в две стороны смотрит. ИСА, ВПН, доступ только с авторизированных ноутов, пароли…
Вот пишешь по ТЗ защиты от «дурака», а потом утром на разборе смотришь какую дичь натворили. Вот прямой выбор шага, вот смена сорта на лету, вот симуляция сигналов. Пишешь рекомендацию запретить для операторов, только мастер/технолог. Ответ — мы должны быть гибкими.
Доступ с определенного ноута или ноутов через интеренет это разумная и адекватная хотелка. Это можно сделать безопасно.
Гибкость чтобы люди могли подменять друг друга это вообще мастхев. Люди знаете ли могут заболеть или просто на работу на прийти в случайных день. Это вообще не влияет на безопасность. Человек вошел под собой. В соответсвии с инструкцией у него есть права на такие действия. Так пусть делает.
Вообще есть возможность сделать контроль подачи чего-то от расхода основного потока (например впрыск водорода в тройник смешения реактора гидроочистки, для поддержания идеального стереометрического баланса). Но это сделано не для защиты, а для автоматизации. Поэтому у человека, имеющего доступ к консоли всегда есть возможность изменить это соотношение или переключить с каскада в ручной режим и таким образом руками полностью открыть/закрыть подачу.
Голой пятой точкой в сети, просто прелестно.
Разгильдяи использующие на работе привычные но не совсем правильные и удобные инструменты не редкость.
Уже лет как 20 есть коробки помогающие настроить в той или иной мере секурное удаленное подключение. И куча других полезных инструментов.
А как замена «устаревшей 32-разрядной Windows 7» на «защищённую Windows 10» и установка брандмауэра помогут в ситуации, когда сконфигурирован постоянный доступ в систему с помощью TeamViewer?
Причина взлома очистных сооружений в США — один пароль TeamViewer на всех и отсутствие брандмауэра