Безшумна оборона.
Як передбачити наступну кібератаку?
Промислові системи управління (ICS) є серцевиною всіх промислових процесів – від генерації електроенергії до очистки стічних вод і промислового виробництва. ICS включають системи диспетчерського управління та збору даних (SCADA), розподілені системи управління (DCS), віддалені термінальні пристрої (RTU), програмовані логічні контролери (PLC). Несправність будь-якої з цих складових може привести до аварії промислового технологічного процесу з серйозними економічними втратами та загрозами для громадської безпеки.
Промислові датчики тиску - технології TrafagPavel Girak
Датчики тиску або перетворювачі тиску є одними з найпоширеніших датчиків для вимірювання фізичних величин. Вони використовуються в різних галузях – від метеостанцій та побутових тонометрів до промисловості, енергетики і систем озброєнь.
В статті розглянуті особливості датчиків тиску компанії Trafag (Швейцарія).
Smart City in Country of Dream
Розумне місто в Країні Мрій
Системи автоматизації в квартирі, будинку, місті є ефективними засобами для безперервного оптимального управління енергією та природними ресурсами, знижують їх споживання як Постачальниками, так і Споживачами. Споживаючи менше ресурсів, ми зберігаємо їх для наступних поколінь. Якщо, звичайно, ми - розумні, цивілізовані, «хороші, демократично налаштовані громадяни», які хочуть жити в розумних містах в Країні мрії.
Reiki and science
methods for determining the level of interaction of biological systems
Рэйки и наука
методы определения уровня взаимодействия биологических систем
Жанна Гирак
jane.girak@gmail.com
Мастер класс
22 октября 2016
РЭЙКИ-УИКЕНД
«ЖИЗНЬ В ПОТОКЕ РЭЙКИ»
г.Киев, Конча-Заспа
Промислові датчики тиску - технології TrafagPavel Girak
Датчики тиску або перетворювачі тиску є одними з найпоширеніших датчиків для вимірювання фізичних величин. Вони використовуються в різних галузях – від метеостанцій та побутових тонометрів до промисловості, енергетики і систем озброєнь.
В статті розглянуті особливості датчиків тиску компанії Trafag (Швейцарія).
Smart City in Country of Dream
Розумне місто в Країні Мрій
Системи автоматизації в квартирі, будинку, місті є ефективними засобами для безперервного оптимального управління енергією та природними ресурсами, знижують їх споживання як Постачальниками, так і Споживачами. Споживаючи менше ресурсів, ми зберігаємо їх для наступних поколінь. Якщо, звичайно, ми - розумні, цивілізовані, «хороші, демократично налаштовані громадяни», які хочуть жити в розумних містах в Країні мрії.
Reiki and science
methods for determining the level of interaction of biological systems
Рэйки и наука
методы определения уровня взаимодействия биологических систем
Жанна Гирак
jane.girak@gmail.com
Мастер класс
22 октября 2016
РЭЙКИ-УИКЕНД
«ЖИЗНЬ В ПОТОКЕ РЭЙКИ»
г.Киев, Конча-Заспа
Даний посібник описує концепції використання взаємопов’язаного набору рекомендацій, структур даних та програм до розробки прикладного програмного забезпечення (ПЗ) для програмованих пристроїв, таких як промислові контролери (PLC/PAC) але не обмежених ними, з урахуванням типових вимог до систем керування, сучасних світових стандартів (ISA, IEC, ISO) та тенденцій (Industry 4.0, IIoT). Ці концепції (надалі називається Каркасом або PAC Framework) дає можливість швидко розробляти ПЗ для PLC/PAC та SCADA/HMI в складі АСКТП з функціоналом, достатнім для будь-яких типів процесів та виробництв: неперервних (Continues), дискретних (Discrete) та періодичних (Batch). Каркас може бути використаний для будь яких програмованих пристроїв.
Посібник рекомендується для розробників прикладного ПЗ промислових контролерів та SCADA/HMI.
Презентація автоматизованої системи керування дорожнім рухом від СЕАSEA Company
Система керування дорожнім рухом дозволяє одночасно регулювати дорожній рух, моніторити працездатність світлофорних об'єктів та контролювати вуличне освітлення.
Компанія СЕА пропонує вашій увазі оновлений буклет СЕА СКУЛ — комплексна система ліфтової диспетчеризації на базі ресурсів стільникового зв'язку GSM власного виробництва.
Даний посібник описує концепції використання взаємопов’язаного набору рекомендацій, структур даних та програм до розробки прикладного програмного забезпечення (ПЗ) для програмованих пристроїв, таких як промислові контролери (PLC/PAC) але не обмежених ними, з урахуванням типових вимог до систем керування, сучасних світових стандартів (ISA, IEC, ISO) та тенденцій (Industry 4.0, IIoT). Ці концепції (надалі називається Каркасом або PAC Framework) дає можливість швидко розробляти ПЗ для PLC/PAC та SCADA/HMI в складі АСКТП з функціоналом, достатнім для будь-яких типів процесів та виробництв: неперервних (Continues), дискретних (Discrete) та періодичних (Batch). Каркас може бути використаний для будь яких програмованих пристроїв.
Посібник рекомендується для розробників прикладного ПЗ промислових контролерів та SCADA/HMI.
Презентація автоматизованої системи керування дорожнім рухом від СЕАSEA Company
Система керування дорожнім рухом дозволяє одночасно регулювати дорожній рух, моніторити працездатність світлофорних об'єктів та контролювати вуличне освітлення.
Компанія СЕА пропонує вашій увазі оновлений буклет СЕА СКУЛ — комплексна система ліфтової диспетчеризації на базі ресурсів стільникового зв'язку GSM власного виробництва.
1. 62 ТЕХНОЛОГИИ
Мир Автоматизации № 1-2 Март-Май 2016
Н
а необхідності моніторингу
ICS та промислових комуніка-
ційних мереж наголошується
в рекомендаціях і стандартах, таких
як Electricity Subsector Cybersecuirity
Capability Maturity Model (ES-C2M2),
NERC CIP, директива Європейського
Союзу M/490, стандарт IEC 62443.
Найбільш критичними активами під-
приємства є ті, що знаходяться в мере-
жі диспетчерського та технологічного
управління, оскільки вони забезпе-
чують повне управління вразливими
технологічними процесами (мал. 1).
Основними загрозами для промис-
лових мереж є:
1. Зловмисні чи недбалі оператори;
2. Несподіване порушення конфігурації;
3. Цілеспрямована програмна атака
невідомої вразливості;
4. Поширення шкідливих програм.
Атака на промислові системи
Показовим прикладом атаки на
промислову систему управління є
інцидент в українських енергоме-
режах, що відбувся 23 грудня 2015
року, відразу після Дня енергетика.
Ця подія викликала серйозний резо-
нанс в світовому інформаційному
просторі. Одночасні атаки були здій-
снені на інформаційну інфраструкту-
ру «Прикарпаттяобленерго», «Чер-
нівціобленерго» та «Київобленерго».
Перерва в електропостачанні склала
від 1 до 3,5 годин. Загальний недовід-
пуск – 73 МВт*год (0,015% від добо-
вого обсягу споживання України) [1].
Незважаючи на те, що поки ще
завчасно визначати точну динаміку
інциденту, всі, хто приймають участь в
аналізі погоджуються, що відключен-
ня є результатом надзвичайно добре
скоординованої триступеневої атаки:
шкідлива програма можливо мала
доступ до мережі, щоб пошкодити
систему SCADA;
DDoS-атака контактного центру під-
приємства, щоб запобігти повідо-
мленням клієнтів про проблеми;
відкриття вимикачів підстанцій,
швидше за все прямою командою,
яка була надіслана нападниками,
викликало відключення електро-
постачання.
З огляду на обставини, постачаль-
ники електроенергії були надзвичайно
швидкими і ефективними у відновлен-
ні подачі електроенергії для своїх клі-
єнтів. Оскільки дистанційне керування
технологічним процесом через систему
SCADA виявилося практично неможли-
вим, експлуатаційний персонал на всіх
вражених підстанціях включив всі віді-
мкнені вимикачі вручну, та повернув
систему до функціонуючого стану.
Чи можливо уникнути кібератаки?
Правильна відповідь – мабуть ні, але
деякі симптоми атаки і дій атакуючих
могли бути виявлені раніше в проце-
Безшумна оборона.
Як передбачити наступну кібератаку?
Промислові системи управління (ICS) є серцевиною всіх промислових процесів –
від генерації електроенергії до очистки стічних вод і промислового виробництва.
ICS включають системи диспетчерського управління та збору даних (SCADA),
розподілені системи управління (DCS), віддалені термінальні пристрої (RTU),
програмовані логічні контролери (PLC). Несправність будь-якої з цих складових
може привести до аварії промислового технологічного процесу з серйозними
економічними втратами та загрозами для громадської безпеки.
Павло Гірак, pavel.girak@soliton.com.ua
За матеріалами SecurityMatters: www.secmatters.com/resources
Мал. 1. Приклад типової
промислової мережі і її
компонентів.
17-Soliton-SilentDefence.indd 62 22.03.2016 19:14:20
2. захист промислових систем управління від кібератак 63ТЕХНОЛОГИИ
сі. Наприклад, антивірусні програми і
системи запобігання вторгнень можуть
виявити шкідливі програми, виявлені
на українських підприємствах.
Два кроки атаки, які могли бути вияв-
лені в той час, коли вона відбулась, це:
обмін даними між інфікованими
комп’ютерами та C&C (командно-
контрольним) сервером шкідливої
програми для повідомлення інфор-
мації через можливість перехо-
плення трафіку;
дії, що виконуються атакуючими для
дистанційного відкриття вимикачів,
викликаючи реальне відключення.
Це виявлення було б можливим за
умови контролю SCADA-мережі під-
приємства за допомогою платформи
моніторингу SilentDefense компанії
SecurityMatters.
SilentDefense
Вочевидь, що для протидії ана-
логічним атакам необхідні системи
мережевого моніторингу, які вра-
ховують специфіку систем SCADA та
інфраструктуру систем диспетчер-
ського управління. І такі системи є
на ринку. Передова інтелектуальна
платформа мережевого моніторин-
гу SilentDefense (тиха, мовчазна або
безшумна оборона) використову-
ється операторами критичної інфра-
структури по всьому світу. Ця система
вже довела свою ефективність проти
спроб вторгнення і специфічних про-
блем ICS/SCADA на різних об’єктах
критичної інфраструктури.
SilentDefense постійно стежить і ана-
лізує мережеві комунікації, порівнює їх
з базовою законною/бажаною (очіку-
ваною) діяльністю. За допомогою інте-
лектуальної бібліотеки промислових
загроз SecurityMatters вона повідо-
мляє в реальному часі про проблеми і
загрози для мережі ICS/SCADA, такі як:
намагання і поточні вторгнення;
помилкову поведінку і помилкові
налаштування пристроїв;
небажані операції в управлінні тех-
нологічним процесом;
експлуатаційні помилки;
атаки нульового дня і відомі атаки.
Ці загрози виявляються і представ-
ляються оператору в двох основних
форматах:
візуальна аналітика: «графічне пред-
ставлення» мережі надає оператору
можливість бачити/виявляти/аналізу-
вати дивну пове-
дінку мережі;
с п о в і щ е н н я
реального часу:
про погану або
н е о ч і к у в а н у
поведінку мере-
жі, SilentDefense
повідомляє опе-
ратора і надає
йому всю необ-
хідну інформа-
цію для реагу-
вання на подію.
Система Silent-
Defense викорис-
товує алгорит-
ми самонавчання, за рахунок цього
вірогідність помилкового спрацю-
вання є на порядки меншою, ніж в
інших системах. Важлива перевага
SilentDefense - те, що вона є прозорою
для систем SCADA та інших інформа-
ційних систем підприємства.
Розуміння промислових комуніка-
ційних протоколів та інноваційний
алгоритм SilentDefense забезпечує
виявлення несанкціонованих команд
в мережі ICS/SCADA. Система аналізує
потоки даних на рівні комунікаційних
протоколів управляючих контроле-
рів, в тому числі протоколів IEC 104,
DNP3, IEC 61850 (MMS & GOOSE),
ICCP, Synchrophasor, Modbus/TCP,
EtherNet/IP, MMS, OPC-DA, влас-
них протоколів ABB та Siemens.
Використовуючи алгоритми глибоко-
го поведінкового контролю протоко-
Мал. 2. Панель SilentDefense відображає набір попередньо сконфігурованих віджетів.
17-Soliton-SilentDefence.indd 63 22.03.2016 19:14:21
3. 64 захист промислових систем управління від кібератакТЕХНОЛОГИИ
Мир Автоматизации № 1-2 Март-Май 2016
лу (DPBI), при неавторизованих діях
та підозрілих спробах зміни значень
SilentDefense автоматично генерує
звіт (мал. 3).
Виявлення атаки
SilentDefense забезпечує виявлен-
ня проблем і вищезазначених загроз,
використовуючи різні взаємодопов-
нюючі двигунці:
вбудовані модулі для виявлення
сканування портів, виявлення при-
сутності, та перевірки відповідності
протоколів;
схеми комунікацій для виявлення
невідомих мережевих пристроїв,
небезпечних протоколів та небажа-
них операцій;
схеми протоколів для виявлення
несподіваних відхилень технологіч-
них процесів;
інтелектуальну бібліотеку промисло-
вих загроз для специфічних мере-
жевих перевірок, наприклад, вияв-
лення відкриття клапанів в небажані
проміжки часу, верифікація, якщо
певні вимикачі підстанції відкрива-
ються, інші закриваються, і т.п.
Припускаючи, що, швидше за все,
команда на відкриття вимикачів на
підстанціях у наведеному вище при-
кладі атаки була видана нападника-
ми з віддаленого робочого місця, ця
команда зловмисників була б вияв-
лена SilentDefense, якби ця система
захисту була встановлена в україн-
ських Обленерго. І відразу ж після
виявлення такої команди, операто-
ри були б повідомлені і забезпечені
зібраною інформацією, що дозволило
б їм зрозуміти ситуацію та ініціювати
заходи щодо виправлення станови-
ща.
Джерела:
[1] http://mpe.kmu.gov.ua/minugol/
control/uk/publish/article?art_
id=245086886&cat_id=35109
Мал. 3. Приклад повідомлення SilentDefense про підозрілу зміну значень в технологічному процесі по протоколу Modbus/TCP.
Мал. 4. SilentDefense відображає згенероване сповіщення про те, що стан кількох вимикачів змінився за короткий час.
17-Soliton-SilentDefence.indd 64 22.03.2016 19:14:21