-
L30 июн 12Можно будет как бы озадачиться темой — когда под Linux и специализированные ОС РВ появится подобный вредоносный код. Пока только типовые SCADA и массово выпускаемое типовое "железо" вроде Siemens и Omron, Allen Bradley, WinPAC,WinCon может быть подвержено такой атаке, или иметь схемотехнические "закладки" позволяющие вызвать сбой сигналом со спутника либо перехватить управление. Так же как возможны и кодовые заклладки и трапы в самой Винде и других массовых ОС.И сколько их там заложено — хз.
Элементарно — если делаешь систему управления на базе SCADA — то надо первое — отсечь ее брандмауэром/управляемым файерволом от внешнего мира, правильно настроить DMZ на роутерах и параметры широковещательных протоколов. Второе — использовать специализированное, а не типовое "железо",которое конечно дороже,работает часто тупо и с глюками связанными с разработкой- но априори не содержит уязвимостей, присущих тому же Siemens S400. И третье — позаботиться об автономной или независимой синхронизации времени в системе, опорной частоты и прочих критичных параметрах для управления и "разбора полетов" впоследствии. Винду и типовые ОС и ПО использовать по возможности только для АРМ "верхнего уровня" — для обеспечения штатной СУБД в дополнение к СУБД РВ, получения отчетности, только в крайнем случае для выдачи команд управления, и то со всеми 3 уровнями типовой "дуракозащиты" SCADA-систем, в ряде случаев требуется дублировать станции управления (ПК) и саму систему ручным управлением или аппаратными контроллерами и пультами, независимыми датчиками обратной связи и интерпретаторами состояния оборудования. Если достаточно строго выполнять эти условия — это конечно в разы удорожает стоимость (что очень не нравится всякого рода руководителям и "специалистам") но позволит в итоге сделать систему управления, мало подверженную атакам и даже инсайдерскому воздействию изнутри (ну естессно,регламенты допуска и ИБ нужны очень хитрые и суровые и те кто "пасти" персонал непрерывно будет,вплоть до каждых самых мелких подробностей их личной жизни). -
18 июн 12Не вижу проблемы в принципе. Хоть немного озабоченный безопасностью производственной системы "хозяин" может дать тз на разработку и установку хардварных контроллеров на конечном этапе управления системой. Их задачей будет контроль совокупности управляющих параметров на предмет выявления недопустимых комбинаций, ведущих к аварийным ситуациям с оборудованием. Само исполнение контроллеров исключает модификацию их мозгов извне.
В этом случае комп "под вирусом" может давать любые нелепые команды, которые будут блокированы на конечном этапе с сигналом перехода на резервное, либо ручное управление. Как-то так. -
18 июн 12Это милое создание производится на хлебокомбинате, пронизанном компьютерами от бухгалтерии и склада до систем управления тестомешалками и печами. Хлебокомбинат получает ингредиенты из других похожим образом автоматизированных производств. Вся логистика между ними работает на компьютерах и сетях.
________________________
Какой же лошара будет подключать такие установки к сети имеющей доступ к инету? На предприятия ВПК и стратегических объектах существует 2 сети: внутренняя не подключенная к инету и внешняя тобишь сам инет. Те кто кричит что вирус сам запустит ракету или уберет поглащающие стержни из реактора не понимает по какому принципу строятся системы безопастности на таких объектах(там даже флешки должны быть опечатаны и проходить регулярный осмотр — для привелигерованых, для остальных отключение ЮСБи портов). Сейчас к сожалению система безопасности более менее принявшая формы и требования в 80х, 90х пренебрегается плохообучеными компьютерными гениями локальных сетей, на стратегических предприятиях урезаны 1е отделы плохо ведется работа с ФСБ...-
B18 июн 12Ну скажем не 2 контура, а больше. Причем контуры могут быть параллельны и никогда не пересекаться. Но не все предприятия могут себе позволить это. Вот хлебокомбинаты как раз из их числа. И там никогда не было ни 1го, ни 3го, ни какого либо вообще отдела "конторы". Там была и есть ВОХРа.
-
Сделано с
NoNaMe