Джерело

За даними IoT Analytics в 2016 році найбільше проектів (22% від загальної кількості), пов'язаних із застосуванням інтернету речей, було реалізовано для промислових об'єктів. Це підтверджує розвиток і поширення технологій заявлених у доктрині Industry 4.0.

Таким чином, на наших очах виник новий клас кібер-фізичних систем, отримав назву Industrial Internet Control Systems (IICS) або Industrial Internet of Things (IIoT).
З назви зрозуміло, що такі системи є гібридом технологій, що використовуються в АСУ ТП і в системах на базі інтернету речей. Відповідно в таких системах необхідно враховувати всі ризики, пов'язані з порушенням властивостей інформаційної (security) і функціональної безпеки (safety).

Дана стаття продовжує цикл публікацій щодо функціональної безпеки. У ній розглянуто вимоги до організації життєвого циклу систем управління (АСУ ТП, вбудовані системи, інтернет речей). Запропонована єдина структура процесів, що підтримують виконання вимог як до інформаційної, так і до функціональної безпеки.

Читати далі →

SCADA: в пошуках ідеалу

imageЗа моїми спостереженнями, більшість розумних фахівців АСУ, що працюють зі SCADA, проходять кілька стадій «емоційного зростання»: освоєння будь-якої SCADA, пошук чогось кращого, ідеї та спроби написання свого варіанту, вироблення філософського ставлення до проблеми і використання одного з існуючих продуктів.

Так, бувають винятки. Наприклад, зустрічаються сильно захоплені і завзяті ентузіасти, які створюють щось працює, але картини вони не змінюють абсолютно.

Спробуємо розібратися, чому так відбувається і може бути вихід з цього порочного кола.
Читати далі →

Уразливість в керуючому софт дозволяє перепрошити контролери Schneider Electric

Дослідники виявили уразливість в софті, який використовується для розробки і розгортання коду на промислових контролерах Schneider Electric. Зловмисники можуть використовувати помилку для віддаленого виконання коду.


Читати далі →

Інформаційна безпека АСУ ТП: Дон Кіхот в еру кіберзброї


В даній статті здійснена систематизація вимог до інформаційної безпеки (ІБ) АСУ ТП. Вимоги обрані з доступних на даний момент стандартів, у першу чергу, з NIST SP 800-82 «Guide to Industrial Control Systems (ICS) Security» і розробляється нової редакції серії ISA/IEC 62443 «Security for Industrial Automation and Control Systems».

АСУ ТП взаємодіють з об'єктами фізичного світу і забезпечують захист від аварій та катастроф. В англомовній літературі АСУ ТП називають Industrial Control Systems (ICS) або Industrial Automation and Control Systems (IACS). У світі IT технологій їх можна порівняти з Дон Кіхотом, який залишився вірним простим, але не дуже модним принципами вже давно мінливому світі.

Тому, була проведена паралель з функціональної безпекою та розглянуто комплекс вимог, що дозволяють забезпечити обидві сторони безпеки АСУ ТП, і функціональну, інформаційну.

Схожі проблеми слід вирішувати і для інших кібер-фізичних систем, включаючи IoT і вбудовані керуючі системи.

Читати далі →

Запрошуємо на зустріч з практикуючими захисниками АСУ-ТП

Кожен місяць ми проводимо зустрічі CoLaboratory, на яких технічні фахівці з різними інтересами можуть зустрітися і поговорити з експертами «Лабораторії Касперського». Чергова зустріч, яка відбудеться 21 листопада у нашому московському офісі, буде присвячена захисту автоматизованих систем управління технологічними процесами. На ній виступлять спеціалісти з досвідом проектування, впровадження та експлуатації АСУ ТП, які поділяться своїм досвідом у питаннях захисту таких систем.

image


Читати далі →

Функціональна безпека, частина 4 з 4. Процеси управління та оцінювання



Безпеки на хабре присвячений цілий хаб, і, мабуть, ніхто особливо не замислюється, що саме вкладається в поняття «безпека», і так все ясно: інформаційна безпека (security). Однак, є ще й інша сторона безпеки, safety, пов'язана з ризиками для здоров'я і життя людей, а також навколишнього середовища. Оскільки інформаційні технології самі по собі небезпеки не представляють, то зазвичай говорять про функціональної складової, тобто про безпеку, пов'язану з правильним функціонуванням комп'ютерної системи. Якщо інформаційна безпека стала критична з появою інтернету, то функціональна безпека розглядалася і до появи цифрового управління, адже аварії відбувалися завжди.

Дана стаття продовжує серію публікацій на тему функціональної безпеки.

Частина 1 є вступній.
частина 2 розглянута загальна структура стандарту МЕК 61508 «Функціональна безпека систем електричних, електронних, програмованих електронних, пов'язаних з безпекою» (IEC 61508 Functional safety of electrical/electronic/electronic programmable safety-related systems) і використовувана в ньому термінологія.
частини 3 вимоги МЕК 61508 розкладено «по поличках» на основі їх загальної класифікації.

У цій статті досить абстрактні вимоги до управління функціональної безпекою інтерпретовані для впровадження в робочі процеси. Ця інформація перевірена і відшліфована на практиці декількох проектів по сертифікації.
Процесна інженерія – нудно це чи ні? Саме процеси дозволяють масштабувати IT-бізнес. Мені особисто доводилося спостерігати, як впровадження процесів в розробку призводило до серйозного професійного зростання, як виконавців, так і всієї компанії. І навпаки, «затики» і так звана «недоцільність» впровадження добре структурованих процесів свідчили про незрілість і інших серйозних проблем.
Отже…

Читати далі →

Функціональна безпека, Частина 3 із 3. МЕК 61508: Систематична випадковість чи випадкова систематичність?

Безпеки на Хабре присвячений цілий хаб, і, мабуть, ніхто особливо не замислюється, що саме вкладається в поняття «безпека», і так все ясно: інформаційна безпека (security). Однак, є ще й інша сторона безпеки, safety, пов'язана з ризиками для здоров'я і життя людей, а також навколишнього середовища. Оскільки інформаційні технології самі по собі небезпеки не представляють, то зазвичай говорять про функціональної складової, тобто про безпеку, пов'язану з правильним функціонуванням комп'ютерної системи. Якщо інформаційна безпека стала критична з появою інтернету, то функціональна безпека розглядалася і до появи цифрового управління, адже аварії відбувалися завжди.

Дана стаття продовжує серію публікацій на тему функціональної безпеки.

У вступної частини 1:

— обґрунтовано важливість оцінювання та забезпечення функціональної безпеки для комп'ютерних систем управління;
— розглянуто архітектури систем, для яких необхідно оцінювати і забезпечувати функціональну безпеку; до таких систем відносяться АСУ ТП (Industrial Control Systems) на базі програмованих логічних контролерів (ПЛК), вбудовані системи (Embedded Systems) і рівень пристроїв (Device Layer) для інтернету речей;
— коротко представлено безліч стандартів, що відносяться до функціональної безпеки в різних сферах застосування.

У частині 2 розглянута загальна структура стандарту МЕК 61508 «Функціональна безпека систем електричних, електронних, програмованих електронних, пов'язаних з безпекою» (IEC 61508 Functional safety of electrical/electronic/electronic programmable safety-related systems) і використовувана в ньому термінологія.

Опис досить непростий термінологічної казуїстики зайняло цілу статтю, і тепер настав час розібратися зі структурою вимог МЕК 61508.

Не рекомендується до прочитання тим, хто не цікавиться стандартизацією.

Читати далі →

Функціональна безпека, Частина 2 з 2. МЕК 61508: ким бути, Шерлоком Холмсом чи Дата Туташхиа?


Джерело

Безпеки на хабре присвячений цілий хаб, і, мабуть, ніхто особливо не замислюється, що саме вкладається в поняття «безпека», і так все ясно: інформаційна безпека (security). Однак, є ще й інша сторона безпеки, safety, пов'язана з ризиками для здоров'я і життя людей, а також навколишнього середовища. Оскільки інформаційні технології самі по собі небезпеки не представляють, то зазвичай говорять про функціональної складової, тобто про безпеку, пов'язану з правильним функціонуванням комп'ютерної системи. Якщо інформаційна безпека стала критична з появою інтернету, то функціональна безпека розглядалася і до появи цифрового управління, адже аварії відбувалися завжди.

Дана стаття продовжує серію публікацій на тему функціональної безпеки.

У вступної частини 1:
— обґрунтовано важливість оцінювання та забезпечення функціональної безпеки для комп'ютерних систем управління;
— розглянуто архітектури систем, для яких необхідно оцінювати і забезпечувати функціональну безпеку; до таких систем відносяться АСУ ТП (Industrial Control Systems) на базі програмованих логічних контролерів (ПЛК), вбудовані системи (Embedded Systems) і рівень пристроїв (Device Layer) для інтернету речей;
— коротко представлено безліч стандартів, що відносяться до функціональної безпеки в різних сферах застосування.

Для того щоб зробити ще один крок, необхідно продовжити розгляд стандарту МЕК 61508 «Функціональна безпека систем електричних, електронних, програмованих електронних, пов'язаних з безпекою» (IEC 61508 Functional safety of electrical/electronic/electronic programmable safety-related systems). Справа в тому, що функціональна безпека – це досить формалізований властивість, оскільки системи, важливі для безпеки, є предметом державного ліцензування у всіх країнах.

Читати далі →

Функціональна безпека – старша сестра інформаційної безпеки

image

Безпеки на хабре присвячений цілий хаб, і, мабуть, ніхто особливо не замислюється, що саме вкладається в поняття «безпека», і так все ясно: інформаційна безпека (security). Однак, є ще й інша сторона безпеки, safety, пов'язана з ризиками для здоров'я і життя людей, а також навколишнього середовища. Оскільки інформаційні технології самі по собі небезпеки не представляють, то зазвичай говорять про функціональної складової, тобто про безпеку, пов'язану з правильним функціонуванням комп'ютерної системи. Якщо інформаційна безпека стала критична з появою інтернету, то функціональна безпека розглядалася і до появи цифрового управління, адже аварії відбувалися завжди. Інформаційної безпеки АСУ ТП присвячено чимало статей на хабре. Функціональної безпеки автори теж стосувалися, як в хабі SCADA, так і в хабі промисловому програмування АСУ ТП, але, як мені здалося, трохи побіжно. Тому я пропоную коротку інформацію про цьому важливому властивості, від якого безпосередньо залежить, чи отримає SkyNET контроль над людством.
У статті зроблено певні узагальнення для АСУ ТП, а також для вбудованих і кібер-фізичних систем.

Читати далі →

Промислові системи управління — 2016: вразливість і доступність



Автоматизовані системи управління технологічними процесами (АСУ ТП, ICS) використовуються в наші дні повсюдно — від «розумних будинків» до атомних електростанцій. Однак складна організація таких систем, вимога безперервності технологічного процесу і можливість доступу до АСУ ТП через загальний Інтернет роблять їх легкоуязвимыми для хакерських атак.

При цьому кількість вразливих компонентів АСУ ТП з року в рік не зменшується. Практично половина виявлених у 2015 році вразливостей має високу ступінь ризику, причому найбільшу кількість вразливостей знайдено в продуктах найвідоміших виробників. Зокрема, повсюдно в АСУ ТП використовуються словникові паролі та пароль за замовчуванням, що дозволяє без зусиль отримати до них доступ і перехопити управління.

Такі висновки містяться в дослідженні компанії Positive Technologies, в якому проаналізовані дані про уразливість АСУ ТП за період з 2012 по 2015 рік, а також дані про доступність компонентів АСУ ТП через Інтернет в 2015 році. Нижче представлені основні результати цього дослідження.
Читати далі →