Джерело

За даними IoT Analytics в 2016 році найбільше проектів (22% від загальної кількості), пов'язаних із застосуванням інтернету речей, було реалізовано для промислових об'єктів. Це підтверджує розвиток і поширення технологій заявлених у доктрині Industry 4.0.

Таким чином, на наших очах виник новий клас кібер-фізичних систем, отримав назву Industrial Internet Control Systems (IICS) або Industrial Internet of Things (IIoT).
З назви зрозуміло, що такі системи є гібридом технологій, що використовуються в АСУ ТП і в системах на базі інтернету речей. Відповідно в таких системах необхідно враховувати всі ризики, пов'язані з порушенням властивостей інформаційної (security) і функціональної безпеки (safety).

Дана стаття продовжує цикл публікацій щодо функціональної безпеки. У ній розглянуто вимоги до організації життєвого циклу систем управління (АСУ ТП, вбудовані системи, інтернет речей). Запропонована єдина структура процесів, що підтримують виконання вимог як до інформаційної, так і до функціональної безпеки.

Читати далі →

Інформаційна безпека АСУ ТП: Дон Кіхот в еру кіберзброї


В даній статті здійснена систематизація вимог до інформаційної безпеки (ІБ) АСУ ТП. Вимоги обрані з доступних на даний момент стандартів, у першу чергу, з NIST SP 800-82 «Guide to Industrial Control Systems (ICS) Security» і розробляється нової редакції серії ISA/IEC 62443 «Security for Industrial Automation and Control Systems».

АСУ ТП взаємодіють з об'єктами фізичного світу і забезпечують захист від аварій та катастроф. В англомовній літературі АСУ ТП називають Industrial Control Systems (ICS) або Industrial Automation and Control Systems (IACS). У світі IT технологій їх можна порівняти з Дон Кіхотом, який залишився вірним простим, але не дуже модним принципами вже давно мінливому світі.

Тому, була проведена паралель з функціональної безпекою та розглянуто комплекс вимог, що дозволяють забезпечити обидві сторони безпеки АСУ ТП, і функціональну, інформаційну.

Схожі проблеми слід вирішувати і для інших кібер-фізичних систем, включаючи IoT і вбудовані керуючі системи.

Читати далі →

Функціональна безпека, частина 4 з 4. Процеси управління та оцінювання



Безпеки на хабре присвячений цілий хаб, і, мабуть, ніхто особливо не замислюється, що саме вкладається в поняття «безпека», і так все ясно: інформаційна безпека (security). Однак, є ще й інша сторона безпеки, safety, пов'язана з ризиками для здоров'я і життя людей, а також навколишнього середовища. Оскільки інформаційні технології самі по собі небезпеки не представляють, то зазвичай говорять про функціональної складової, тобто про безпеку, пов'язану з правильним функціонуванням комп'ютерної системи. Якщо інформаційна безпека стала критична з появою інтернету, то функціональна безпека розглядалася і до появи цифрового управління, адже аварії відбувалися завжди.

Дана стаття продовжує серію публікацій на тему функціональної безпеки.

Частина 1 є вступній.
частина 2 розглянута загальна структура стандарту МЕК 61508 «Функціональна безпека систем електричних, електронних, програмованих електронних, пов'язаних з безпекою» (IEC 61508 Functional safety of electrical/electronic/electronic programmable safety-related systems) і використовувана в ньому термінологія.
частини 3 вимоги МЕК 61508 розкладено «по поличках» на основі їх загальної класифікації.

У цій статті досить абстрактні вимоги до управління функціональної безпекою інтерпретовані для впровадження в робочі процеси. Ця інформація перевірена і відшліфована на практиці декількох проектів по сертифікації.
Процесна інженерія – нудно це чи ні? Саме процеси дозволяють масштабувати IT-бізнес. Мені особисто доводилося спостерігати, як впровадження процесів в розробку призводило до серйозного професійного зростання, як виконавців, так і всієї компанії. І навпаки, «затики» і так звана «недоцільність» впровадження добре структурованих процесів свідчили про незрілість і інших серйозних проблем.
Отже…

Читати далі →

Функціональна безпека, Частина 3 із 3. МЕК 61508: Систематична випадковість чи випадкова систематичність?

Безпеки на Хабре присвячений цілий хаб, і, мабуть, ніхто особливо не замислюється, що саме вкладається в поняття «безпека», і так все ясно: інформаційна безпека (security). Однак, є ще й інша сторона безпеки, safety, пов'язана з ризиками для здоров'я і життя людей, а також навколишнього середовища. Оскільки інформаційні технології самі по собі небезпеки не представляють, то зазвичай говорять про функціональної складової, тобто про безпеку, пов'язану з правильним функціонуванням комп'ютерної системи. Якщо інформаційна безпека стала критична з появою інтернету, то функціональна безпека розглядалася і до появи цифрового управління, адже аварії відбувалися завжди.

Дана стаття продовжує серію публікацій на тему функціональної безпеки.

У вступної частини 1:

— обґрунтовано важливість оцінювання та забезпечення функціональної безпеки для комп'ютерних систем управління;
— розглянуто архітектури систем, для яких необхідно оцінювати і забезпечувати функціональну безпеку; до таких систем відносяться АСУ ТП (Industrial Control Systems) на базі програмованих логічних контролерів (ПЛК), вбудовані системи (Embedded Systems) і рівень пристроїв (Device Layer) для інтернету речей;
— коротко представлено безліч стандартів, що відносяться до функціональної безпеки в різних сферах застосування.

У частині 2 розглянута загальна структура стандарту МЕК 61508 «Функціональна безпека систем електричних, електронних, програмованих електронних, пов'язаних з безпекою» (IEC 61508 Functional safety of electrical/electronic/electronic programmable safety-related systems) і використовувана в ньому термінологія.

Опис досить непростий термінологічної казуїстики зайняло цілу статтю, і тепер настав час розібратися зі структурою вимог МЕК 61508.

Не рекомендується до прочитання тим, хто не цікавиться стандартизацією.

Читати далі →

Функціональна безпека, Частина 2 з 2. МЕК 61508: ким бути, Шерлоком Холмсом чи Дата Туташхиа?


Джерело

Безпеки на хабре присвячений цілий хаб, і, мабуть, ніхто особливо не замислюється, що саме вкладається в поняття «безпека», і так все ясно: інформаційна безпека (security). Однак, є ще й інша сторона безпеки, safety, пов'язана з ризиками для здоров'я і життя людей, а також навколишнього середовища. Оскільки інформаційні технології самі по собі небезпеки не представляють, то зазвичай говорять про функціональної складової, тобто про безпеку, пов'язану з правильним функціонуванням комп'ютерної системи. Якщо інформаційна безпека стала критична з появою інтернету, то функціональна безпека розглядалася і до появи цифрового управління, адже аварії відбувалися завжди.

Дана стаття продовжує серію публікацій на тему функціональної безпеки.

У вступної частини 1:
— обґрунтовано важливість оцінювання та забезпечення функціональної безпеки для комп'ютерних систем управління;
— розглянуто архітектури систем, для яких необхідно оцінювати і забезпечувати функціональну безпеку; до таких систем відносяться АСУ ТП (Industrial Control Systems) на базі програмованих логічних контролерів (ПЛК), вбудовані системи (Embedded Systems) і рівень пристроїв (Device Layer) для інтернету речей;
— коротко представлено безліч стандартів, що відносяться до функціональної безпеки в різних сферах застосування.

Для того щоб зробити ще один крок, необхідно продовжити розгляд стандарту МЕК 61508 «Функціональна безпека систем електричних, електронних, програмованих електронних, пов'язаних з безпекою» (IEC 61508 Functional safety of electrical/electronic/electronic programmable safety-related systems). Справа в тому, що функціональна безпека – це досить формалізований властивість, оскільки системи, важливі для безпеки, є предметом державного ліцензування у всіх країнах.

Читати далі →

Функціональна безпека – старша сестра інформаційної безпеки

image

Безпеки на хабре присвячений цілий хаб, і, мабуть, ніхто особливо не замислюється, що саме вкладається в поняття «безпека», і так все ясно: інформаційна безпека (security). Однак, є ще й інша сторона безпеки, safety, пов'язана з ризиками для здоров'я і життя людей, а також навколишнього середовища. Оскільки інформаційні технології самі по собі небезпеки не представляють, то зазвичай говорять про функціональної складової, тобто про безпеку, пов'язану з правильним функціонуванням комп'ютерної системи. Якщо інформаційна безпека стала критична з появою інтернету, то функціональна безпека розглядалася і до появи цифрового управління, адже аварії відбувалися завжди. Інформаційної безпеки АСУ ТП присвячено чимало статей на хабре. Функціональної безпеки автори теж стосувалися, як в хабі SCADA, так і в хабі промисловому програмування АСУ ТП, але, як мені здалося, трохи побіжно. Тому я пропоную коротку інформацію про цьому важливому властивості, від якого безпосередньо залежить, чи отримає SkyNET контроль над людством.
У статті зроблено певні узагальнення для АСУ ТП, а також для вбудованих і кібер-фізичних систем.

Читати далі →

Безпеку залізниць з відкритих джерел



Введення



Доброго часу доби, дорогий читачу. Напевно, траплялися ситуації, коли ти куди-небудь вибирався з дому за межі міста. Одне з можливих засобів пересування – це потяг, причому іноді виявляється, що потрапити в місце призначення з його допомогою можливо швидше, ніж на літаку.

На самому початку хочеться зробити кілька важливих уточнень. Потенційні вектори атак, які будуть розглянуті в розділі 4, визначені тільки на основі інформації з відкритих джерел. Крім того, дана стаття розглядає ситуацію в цілому на залізницях різних країн світу без прив'язки до конкретної країни. Однак, зокрема, ми уточнили деякі дані за запропонованими у статті векторів атак у наших російських колег з Центру Кібербезпеки РЖД: роботи по усуненню можливих векторів атак ведуться, а за деякими проблеми частково усунені. Також варто звернути увагу, що автор не має можливості дати повне технічний висновок про безпеки високошвидкісних поїздів через відсутність доступу до системи і можливість проведення повноцінних практичних експериментів на залізниці.

У цій статті буде представлений огляд деяких систем безпеки, які можуть застосовуватися на сучасних високошвидкісних поїздах. Кількість таких платформ зростає, вони стають все складніше. При цьому, вони будуються на основі відомих технологій, включаючи Ethernet, CAN, RS-485. Все частіше починають застосовуватися різні ПЛК і промислові комп'ютери під управлінням ОС Windows/Linux/QNX. Крім того, зростає популярність систем, що використовують радіоканал (як приклад – GPS/ГЛОНАСС, GSM-R,Wi-FI).

У зв'язку з цим виникає питання – чи безпечно створення величезної системи на основі «модулів», які добре знайомі можливим зловмисникам?

Читати далі →

Security Week 28: Приватність покемонів, критична інфраструктура онлайн, постквантовая криптографія в Chrome

Як, і тут покемони?! А що робити: одним з основних критеріїв вибору значимих новин з безпеки для мене як і раніше є їх популярність на Threatpost. Спосіб не ідеальний, але досить об'єктивний. Якщо в топі знаходиться якась дивна фігня, є привід розібратися, як так вийшло, як наприклад це вийшло з новиною про шкідливий код в метаданих PNG топі 2014 року. Як правило пояснення таких казусів знаходиться не в технічних особливостях загрози, а в тому, як безпека сприймають люди. А це теж цікаво.

Новость про шкідливі програми, що маскуються під Pokémon Go — вона взагалі на 100% про сприйняття, точніше про те, що всі навколо зійшли з розуму. За даними дослідників з Proofpoint, кіберзлочинці скористалися недоступністю гри в офіційних магазинах додатків в ряді регіонів, розраховуючи отримати свої п'ять копійок незаконного прибутку від загальної популярності.

Втім, і в автентичному додатку виявилися проблеми. Дослідник Адам Рів обнаружилпри реєстрації облікового запису в грі користувачам потрібно надати повний доступ до свого облікового запису Google. Тобто розробник гри, компанія Niantic Labs, отримує можливість читати всю поштову переписку, відправляти листи від імені гравця, може викачувати всі документи з Google Drive, дивитися історію пошуку та навігації, і багато іншого. Примітно, що на момент відкриття даного альтернативний спосіб реєстрації, не через Google, просто не працював.
Всі випуски дайджесту доступні по тегу.

Читати далі →