Комментарии 69
телекоммуникационная сеть АСУ ТП изначально интегрирована на уровне проекта с офисной сетью предприятия. Это очень плохое решение.
Все, кажется, осознали, что воздушного зазора на практике на самом деле нет, а если его все-таки удастся организовать, при желании его легко преодолеть.
нет ли здесь противоречия? или я не понял смысл слов «интегрирована на уровне проекта»?
Второй — разделение этих сетей «воздухом» недостаточно для обеспечения безопасности.
В первом – АСУ ТП и КС объединены. Такое можно встретить на небольших предприятиях с низкой технической культурой.
Во втором – да. Я имел в виду, что воздушного зазора недостаточно и хотел подчеркнуть это. Понятно, что об этом говорилось и писалось ранее. Но по прежнему многие специалисты считают, что такой проблемы нет.
ЗЫ Скоро выставка как раз, где большинство производителей будет — с 3 по 6 декабря на ВДНХ
Т.е. пингвин — не РТОС, но использовать его, как idle процесс РТОС для определённых задач — реально.
По ссылке методические документы ФСТЭК России для ОС Типа Б и Типа В.
А что скажете делать с такой проблемой?
Цифровые подстанции переходят на Ethernet, а именно на МЭК 61850. Там есть такие протоколы GOOSE и 9-2 Sampled Values, которые используются для автоматики и защиты в реальном времени. По ним передаются мгновенные измерения токов и напряжений, а также сигналы управления контакторамы и защиты.
Так вот из-за серьезных ограничений по задержке все эти данные передаются просто в виде стандартных multicast и broadcast MAC фреймов. Никаких шифрований, никаких сертификатов. В лучшем случае настраивают VLANы, так как свичи с сертификацией для подстанций дорогие, поэтому экономят на физическом разделении сегментов.
Т.е. подслушать и подменить информацию в этом случае, в результате полностью нарушив логику работы подстанции — не составит проблем. Меня это очень пугает.
VLAN — довольно надежная защита, если порты коммутаторов мониторить. Если уж злоумышленник проникнет на объект, ему будет куда проще физически воздействовать на оборудование, чем изучать настройки коммутаторов.
Для современных хакеров проще изучить настройки коммутаторов, вы не находите?
Тем более если он получит удаленный доступ к какой-нибудь SCADA машине, а она имеет подключение через тот же свич, злоумышник заходит на свич и меняет настройки как хочет...
Не могу представить каким образом такая атака может работать. Можете привести пример?
Ну так назовите конкретный тип атаки.
Уже во всю рисуют в проекты PRP, у тех свичей с 61850 порядок. Ну и как бы гуси по вланам, а для SV не положено отдельную "шину процесса" рисовать? там же не кисло траффика… Ну и цифровая подстанция и экономия… даже самые упертые адепты экономии на "меди" должны были уже понять
Вас не пугает что сейчас кто-то может подойти и измерить напряжение или замкнуть контрольные кабели на обычной подстанции?
Разница между физическим доступом и кибератакой в том, что в последнем случае вы даже не знаете кто и где что сделал. И подслушивание и ввод ошибочных данных может произойти абсолютно незаметно для системы.
не возможно чтоб как домино просыпаться
Не знаю как сечас, но авария на подстанции Чагино такую возможность продемонстрировала.
В том-то и дело, что в цифровой подстанции электрические блокировки заменены обменом данных по сети. А защита работает на таком принципе — где-то в одном месте стоит измерительный трансформатор, который 80 раз за сетевой период тупо шлет MAC фреймы в сеть. А само защитное реле стоит в другом месте и их принимает и по этому стриму решает, срабатывать или нет. Подменяем фреймы и получаем отключение защиты или наоборот срабатывание, когда нам нужно.
Все, кажется, осознали, что воздушного зазора на практике на самом деле нет, а если его все-таки удастся организовать, при желании его легко преодолеть.Еще как есть, хотя конечно хочется продавать какую-нибудь систему кибербезопасности крупным заводам.
В статье оговаривался человеческий фактор при преодолении воздушного зазора. Либо халатность, либо результат соц. инженерии.
Именно так. По преодолением воздушного зазора подразумевалась конкретная стадия APT-атаки или халатность, или действия нелояльного сотрудника.
В МЭК 62443 к информационному тракту, организованному и использованием съемных носителей также подразумевается предъявление требований по кибербезопасности.
ПЛК обменивается данными с компьютером с установленной SCADA посредством изолированных линий — RS485, как правило, является самым дешевым стандартом, дешевле чем ETHERNET, сам компьютер со SCADA не подключен к сети. На нем отключены USB порты (мышь и клавиатура через PS/2). Это решает большинство проблем с компьютерной безопасностью. Если нужно более сложная конфигурация — то прокладывается отдельная локальная сеть для АСУ ТП, не подключенная к интернету. Если интернет прямо так нужен — поднимается сервер — шлюз с VPN до другой такой-же изолированной сети.
«Сегодня АСУ ТП не защищают ни воздушный зазор, ни проприетарные протоколы» — интервью с Владимиром Карантаевым