Article about important principle for ICS cybersecurity - some ICS networks connections are not important in the case of cybersecurity issue
#industrialcyber #icssecurity #scada #ethercut

https://www.linkedin.com/feed/update/urn:li:activity:6778935612717326336/?updateEntityUrn=urn%3Ali%3Afs_feedUpdate%3A%28V2%2Curn%3Ali%3Aactivity%3A6778935612717326336%29

На прошлой неделе в Москве прошла конференция ИБ АСУ ТП КВО. В докладе представителя АО "Транснефть" в числе мер по реализации мер по ИБ АСУ ТП приводится требование по созданию легитимного механизма защищенного удаленного доступа к АСУ ТП. Это очень важный шаг, который должны продумать и другие субъекты КИИ. На многих объектах КИИ удаленный доступ к АСУ ТП негласно при необходимости используется. Причем в отличии от Транснефти, где речь идет о доступе к АСУ ТП из своей же технологической сети, у других субъектов доступ может осуществляться с использованием сети Интернет. Существование легитимного механизма защищенного удаленного доступа очевидно лучшее решение по сравнению с нелегально подключенным к АРМ инженера сотовым телефоном. И в рамках организации такого легитимного механизма удаленного доступа должен использоваться etherCUT - он обеспечивает формализацию процедуры удаленного доступа и контроль использования канала связи. Вместе со средствами информационной безопасности (МЭ) такое решение создает на

В презентации Ростелеком-Солар приводятся данные о том, что подрядчики вносят до 20% в вероятность успешной атаки на целевой объект. Для информационной безопасности АСУ ТП данный фактор может быть даже острее. И в данном случае необходимо создавать в сетях объектов КИИ и сегментах сетей АСУ ТП жестко контролируемые точки подключения специалистов подрядных организаций. Настройка сетевых правил и ограничений для таких точек + физический контроль (etherCUT) является хорошим решением.

В отчете Лаборатории Касперского по ландшафту угроз АСУ ТП 2020 приводятся данные о том, что удаленные пользователи могут подключиться по RDP к примерно 1.2% рабочих станций и серверов в составе действующих АСУ ТП. На самом деле это очень высокая цифра. И она говорит о двух важных вещах:

1. Удаленный доступ своего персонала или персонала подрядчика к АСУ ТП востребован заказчиками
2. Процедуры доступа не регламентированы и не контролируются

Для тех объектов, на которых заказчик считает необходимым существование процедуры удаленного доступа к АСУ ТП, его надо легитимизировать. Это означает создание регламента удаленного доступа (инструкции) и обеспечение такой возможности с использование специализированных программно-аппаратных (МЭ) и аппаратных (etherCUT) средств.

Использование МЭ и ethetCUT для контроля удаленного доступа с повышенными привилегиями позволяет создать надежную схему создания удаленного канала связи с ограниченным временем активации и контролем его использования.

https://ics-cert.kaspersky.ru/reports/2021/03/25/threat-landscape-for-industrial-automation-systems-statistics-for-h2-2020/

Наш партнер компания ООО "Модульные Системы Торнадо" успешно завершила тест на интеграцию с ПО ИБ АСУ ТП разработки INFOWATCH

https://www.infowatch.ru/company/presscenter/news/realizovana-sovmestimost-arma-s-asu-tp-modulnye-sistemy-tornado

Использование etherCUT для отделения и контролируемого подключения серверов бэкапов АСУ ТП к сети АСУ ТП

https://ethercut.ru/exmpl_backup/

Компания etherCUT проводит разработку модуля etherCUT с функцией управления из АСУ ТП. Ожидаемы срок доступности к заказу модуля etheCUT-BT/DIN-DO - ноябрь 2021 года. Модуль будет включать соединение Ethernet при подаче питания 24В и размыкать соединение при отключении питания. Принцип реализации функции размыкания останется таким же, как и в механическом варианте модуля etherCUT-BT/DIN, что обеспечит высокие характеристики по электромагнитной совместимости. Появление такого модуля позволит на алгоритмическом уровне управлять соединениями Ethernet, при необходимости в цепи управления модулем также могут подключаться ручные переключатели для реализации функции запрета включения.

Наша партнерская компания "Модульные Системы Торнадо" совместно с компанией InfoWatch завтра проводят совместный вебинар

https://www.infowatch.ru/resources/webinar/tipovoy-proekt-zaschischennoy-asu-tp-dlya-tek-po-novoy-metodike-fstek

Алексей Комаров в своем блоге по ИБ сопроводил приказ №239 ФСТЭК по ИБ АСУ ТП подробными вариантами реализации на основе решений российских компаний разработчиков. В раздел по защите информационных систем (ЗИС) в пункты ЗИС.4 и ЗИС.35 включено использование etherCUT.

https://zlonov.com/measures/#xi-защита-информационной-автоматизированной-системы-и-ее-компонентов-зисhttps://zlonov.com/measures/#xi-защита-информационной-автоматизированной-системы-и-ее-компонентов-зис

Самая встребованная модель на сегодня это etherCUT-BT/DIN, она предназначена для монтажа на DIN рейку. Модель etherCUT-BT/SF предназначена для врезки в стол оператора. Модель комплектуется специальной монтажной плитой.

К международному дню защиты информации наши регуляторы утвердили новые стандарты в части защиты сетей.

Интересно отметить, что современные сети передачи данных по своему уровню возможного влияния на технологический процесс и безопасность объектов с точки зрения регулятора уже идентичны электросетям с уровнем напряжения выше 1000В. Такая аналогия может стать актуальной после прочтения первого стандарта в части управления сетью:
ГОСТ Р ИСО/МЭК 27033-2-2021 раздел 8.4: Организационные меры обеспечения безопасности могут включать в себя правильное назначение прав административного персонала, эксплуатационные принципы, такие как принцип «четырех глаз» (для принятия решения требуется одобрение сразу нескольких людей)…..

Принцип «четырех глаз» является прямой аналогией нормам, заложенным в ПУЭ в части порядка обслуживания электроустановок напряжением выше 1000В. Таким образом видится, что на объектах КИИ с АСУ ТП возможно не сразу но со временем порядок работы с сетью в части ее переконфигурирования или модификации должен быть организационно оформляться соответствующими допусками и разрешениями. В настоящее время на многих объектах КИИ такие действия персонала никак не фиксируются и не регламентируются, поскольку для их проведения часто нет необходимости оформления допуска персонала к шкафам АСУ ТП – все работы могут выполняться с локальных АРМ АСУ ТП.

В стандарте ГОСТ Р ИСО/МЭК 27019-2021 раздел 9.1.2 зафиксированы принципы, ранее изложенные в стандарте ПАО ФСК ЕЭС СТО 56947007- 29.240.10.302-2020:
Для защиты сетевого оборудования, обеспечивающего доступ к критическим сетям, необходимо учитывать следующее: Удаление или отключение с помощью программного обеспечения или физического отключения всех служб и портов сетевого оборудования, не требующихся для нормальной эксплуатации (например неиспользуемые порты коммутатора), аварийная эксплуатация или техническое обслуживание, включая как коммуникационные порты, так и физические порты ввода-вывода.

На практике отключение всех портов не всегда удобно. Как правило, для диагностики и обслуживания необходимо иметь в разных локациях оборудования АСУ ТП точки подключение ноутбуков наладочного персонала. Для этих целей необходимо определять стационарные точки такого подключения с обеспечением контроля их активации.

Для удаленного доступа в новых стандартах прямо определяется необходимость регламентации физического доступа:
ГОСТ Р 59383-2021 раздел 4.2: Взаимосвязь между логическим и физическим доступом. В настоящем стандарте основное внимание уделяется управлению логическим доступом. Как правило, управление логическим доступом интегрировано с управлением физическим доступом. Логический доступ к ресурсу в автоматизированной (информационной) системе организации должен поддерживаться защищенной физической инфраструктурой, обеспечивающей эффективный набор мер защиты и ограничений на действия субъектов доступа.

В современных реалиях удаленный доступ к диагностике и настройке АСУ ТП объектов является достаточно актуальным. И этот доступ может организовываться как через корпоративные сети, так и через сети общего пользования. И в том и в другом случае должен решаться вопрос организации логического доступа к сети. Однако вопрос по организации ограничения физического доступа должен затрагивать не только возможность «включится» физически в сеть со стороны злоумышленника, но и вопрос контроля времени активной сессии удаленного управления с последующим физическим размыканием канала удаленного доступа со стороны объекта. Как правило, оценка потребного времени удаленного обслуживания АСУ ТП в течение года может не превышать 50 часов. В этом смысле ручное подключение удаленных каналов связи только на время выполнения работ существенно влияет на поверхность атаки (доступное время активного состояния канала связи с потенциально повышенными привилегиями будет незначительным для того чтобы рассматривать этот метод проникновения как приоритетный).

Коллеги из УЦСБ в статье, посвященной SOC для АСУ ТП, так же как etherCUT поддерживают мнение о необходимости физической сегментации сетей АСУ ТП в случае инцидентов: Позитивным же аспектом более высокой сегментации является, например, возможность оперативной принудительной изоляции отдельных производств от остальной сети в случае выявления атаки.

Источник: https://www.anti-malware.ru/analytics/Technology_Analysis/SOC-for-Industrial-Control-System

Различные аспекты применения физической сегментации ЛВС АСУ ТП будут рассмотрены в нашем докладе на юбилейной конференции ИБ АСУТП КВО 2-3 марта в Москве https://ибкво.рф/

2-3 марта 2022 г. в Москве состоится Десятая юбилейная конференция «Информационная безопасность автоматизированных систем управления технологическими процессами критически важных объектов». Мероприятие традиционно проходит при участии ФСТЭК России, ФСБ России, отраслевых регуляторов, профильных органов власти ряда стран СНГ.

Компания etherCUT выступит во второй день конференции с докладом о возможных сценариях повышения эффективности киберзащиты АСУ ТП. Презентация доклада будет опубликована на сайте компании после завершения конференции.

Доклад компании etherCUT на конференции ИБ КВО 2022
https://www.youtube.com/watch?v=1c6-u5MHhRE

Пополнение в списке заказчиков - одно из инжиниринговых подразделений корпорации стало клиентом etherCUT.

В текущих условиях повышения стоимости комплектующих стоимость etherCUT остается на уровне января 2022г. Стоимость не изменилась ввиду высокой доли российских комплектующих (более 90% по цене) и значительного увеличения объема производства.

За 2.5 года существования проекта etherCUT компания проводила системную работу, нацеленную на информирование потенциальных заказчиков о новом аппаратном решении в части ИБ АСУ ТП. На протяжении всего этого времени компания проводила рекламную компанию в сети Интернет, а в марте 2022 годы мы приняли участие с докладом https://disk.yandex.ru/i/PAeYGIPdC2gB8w в профильной конференции ИБ КВО. В 2022 году эти усилия начали давать значимую отдачу. etherCUT в ряде компаний попал в типовые проектные решения, нацеленные на повышение защищенности АСУ ТП КИИ. Следствием этого является кратное увеличение заказов нашей продукции. Производство оборудования etherCUT выполняется на технологических мощностях Технопарка Новосибирского Академгородка, позволяющих масштабировать выпуск продукции в необходимых объемах.

В свежей публикации PT приводятся факты недавних успешных атак на промышленную и энергетическую инфраструктуру. Атакующие добивались отключения технологического оборудования или прямого опасного управления оборудованием. Данные факты говорят о том, что практика построения систем защиты критической промышленной инфраструктуры, основанной на опыте решения этой задачи для прочих заказчиков, может приводить к плачевным последствиям. И в данном случае не корректно апеллировать к тому, что системы киберзащиты были несовершенными или неверно настроенными. Такой же уровень "подготовленности" к кибератакам может быть присущ значительному количеству промышленных объектов. Поэтому нам кажется, что одним из стратегических направлений повышения защищенности объектов критической инфраструктуры должно стать применение дата диодов и физически коммутируемых каналов связи АСУ ТП с прочими сетями объектов. В отличии от наложенных средств защиты, требующих постоянного сопровождения и мониторинга, предлагаемые меры основаны на физических принципах. Объекты, на которых применяются комплексы киберзащиты, основанные на разных принципах, будут обладать повышенным уровнем устойчивости к атакам с внешнего контура.


https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2022-q2/

По запросу одного из заказчиков etherCUT была выполнена доработка корпуса устройства, позволяющая выполнять пломбирование подключения сетевых кабелей к модулю. Данная модификация будет поставляться с ноября текущего года. В комплект поставки будут включены пломбы.