По итогам взлома украинских электросетей ( https://ics.sans.org/blog/2016/01/09/confirmation-of-a-coordinated-attac... ) вангую грандиозный распил в наших, на тему "энергобезопасности".
И это будут уже не договора на отстрел собак в охранной зоне или покупка на миллиарды персональных лицензий от McAfe (даже не Касперский!!!) или еще смешнее системы безопасности у самой же CISCO (фактически филиал пентагона с цру), а что нибудь по серьезней )).
Напомню "чотамухохлов" произошло:
«перебои были вызваны кибератакой», проведенной с помощью вредоносного программного обеспечения, после установки которого злоумышленники смогли дистанционно отключить подачу электричества энергокомпанией Западной Украины «Прикарпатьеоблэнерго».
Хакерская программа, по данным экспертов базирующейся в Вашингтоне компании, лишила украинских специалистов возможности обнаружить взлом. По данным SANS ICS, хакеры произвели атаку и на центр обслуживания энергосети, чтобы клиенты не смогли сообщать о перебоях с электричеством, которые продолжались около шести часов.
«Многосторонняя атака была совершена сразу на несколько объектов (энергосети). Уровень ее координации и организации был высоким, — отметил военнослужащий ВВС США в отставке, занимавшийся операциями в киберпространстве и помогавший в создании отчета, Роберт Ли. — Они (хакеры) постарались ослепить их (сотрудников энергокомпании) всеми возможными способами».
Прямо из отчета:
- The adversary initiated an intrusion into production SCADA systems
- Infected workstations and servers
- Acted to "blind" the dispatchers
- Acted to damage the SCADA system hosts (servers and workstations)
- Action would have delayed restoration and introduce risk, especially if the SCADA system was essential to coordinate actions
- Action can also makeforensics more difficult
- Flooded the call centers to deny customers calling to report power out
т.е.
1. Проникновение в систему с развернутой SCADA
2. Заражение рабочих станций и серверов в Прикарпатьеоблэнерго и Киевэнерго
3. "ослепление" диспетчеров
4. собственно поражение SCADA
5. "флуд" колл центров чтобы потребители не смогли дозвониться и сообщить о нарушении энергоснабжения.
На самом деле дичайше интересно, а "чо там у нас" по состоянию защищенности отечественных SCADA систем, ну и точек уязвимости к "социальной инженерии".
Сколково со своей позолоченной тошибовской подстанцией на 220/20 ляжет первой, в этом не сомневаюсь, как и многое другое "инновационно" "передовое".
Закладки могут быть причем не только программные, но и программно аппаратные - все помнят про историю со встроенными GPS датчиками в иностранных станках блокировавших их работу при перемещении по неконтролируемым каналам связи.
Технически не вижу никаких проблем в ныне модные иностранные модульные ТП шки закладывать не то что GSM модули, а просто радио контроллеры с дальностью пару км - мимо машина проезжает все ложится.
Еще другой аспект "безопасности" - в фб обсуждали слухи одновременного отказа оборудования перед новым годом на генерирующих мощностях.
24.12.2015 10:02 - http://so-ups.ru/index.php?id=press_release_view&no_cache=1&tx_ttnews[tt_news]=8024
По оперативной информации ОАО «СО ЕЭС», 23 декабря на утренний максимум потребления мощности в Единой энергосистеме в аварийном ремонте находилось более 7600 МВт генерирующего оборудования тепловых и атомных электростанций, что является «рекордной» величиной за последние три года.
Только за три дня – с 21 по 23 декабря – в аварийные ремонты было отключено генерирующее оборудование тепловых и атомных станций с суммарной располагаемой мощностью более 5000 МВт. Наиболее крупные: два энергоблока Сургутской ГРЭС-2 (общее снижение мощности – 1600 МВт), один блок Калининской АЭС (1000 МВт), три блока Рефтинской ГРЭС (общее снижение – 890 МВт), один блок Новочеркасской ГРЭС (300 МВт), один блок Рязанской ГРЭС (260 МВт), один блок Нижнетуринской ГРЭС (230 МВт).
Сургутская ГРЭС - ...оборудование американской компанией «Дженерал Электрик», работы выполнялись турецким подрядчиком «ГАМА...
Еще в пресс-релизе от СО не упомянута авария на Березовской ГРЭС - (На Березовской ГРЭС произошёл выброс масла и его возгорание на турбоагрегате энергоблока. ЧП случилось 18 декабря в 16. 20 в процессе останова блока № 3 и было ликвидировано в течение 15 минут благодаря грамотным действиям оперативного персонала электростанции.)
Березовская ГРЭС - ...Модернизация существующих энергоблоков ОАО «Березовская ГРЭС» была разработана немецкой фирмой «Клайд Бергеманн ГмбХ»...
Может иносранцы вовсе не виноваты - "японских" шпионов искать глупо, но в целом видно, что выбранная модель в энергетике не привела к эффективному расходованию средств ни на эксплуатацию, ни на развитие. Собственники и менеджмент просто тупо выводят бабки из активов или расходуют их с такой же "эффективностью", как и раньше, только уже не на ЦИУС ЕЭС с "энергопроектом", а на сименс, дженерал электрикс и антивирусы от McCafe и CISCO.
Конечно я передергиваю утрирую и т.д. , но в целом хочется сказать, спасибо дорогой Анатолий Борисович за чувство безопасности и уверенность в завтрашнем дне от 140 миллионов потребителей электроэнергии.
Понимаю, гораздо проще рассуждать про ВИЭ и коммунизм, когда инопланетяне нам подарят "накопители энергии", но по сути заявления, которые были им были недавно сделаны на Г-форуме означают только одно - "умываю руки" )).
Может и правда наконец отойдет от дел )).
P.S. еще моментик со скачнувшим курсом доллара.
Сколько теперь будут стоить запчасти ко всему этому закордонному барахлу, которое у нас внедрили по всей стране? А лицензионные сервисные команды от того же Siemens или GE, Alstom ?
А лицензии SAP ?
Кто нибудь за это ответит интересно?
Комментарии
Наши скады работают в изолированной подсети, в 90% случаев моя просьба об организации удалённого доступа не находит поддержки IT-департамента и службы безопасности компании. Доводы типа "легче за 5 минут решить проблему удалённо, чем лететь за тыщщи вёрст с командировочными расходами" не перевешивают соображений безопасности.
А задействовать тимвьюер на 5 минут не судьба?
Разрушение турбины стоимостью в несколько миллионов баксов дороже командировочных расходов. Категорически против подключения технологической подсети к постоянному удалённому доступу.
Говорю же - изолирована. Нет там выхода в интернет, а зачастую и связи с сетью предприятия. Тут хозяин-барин, хочет платить
и каяться- флаг в руки, моя работа в любом случае оплачена.Дополню. Очень забавно выглядит процесс "установки на 5 минут тимвьювера" на ММВБ, к примеру, или в Сибуре, или в любой подобной серьёзной структуре, где бзднуть без нескольких подписей не позволят, так-то.
По поводу постоянного удалённого доступа технологического оборудования, то многие производители ставят это необходимым условием эксплуатации и гарантийного обслуживания. Китайские производители холодильного оборудования так делают, вся телеметрия по работе АБХМ сливается на их сервера. Вот так-то, не умеешь свои машинки делать - будь готов к тому, что тебе диктуют правила.
За работу платят, что здесь плохого? Можно и слетать на пару дней.
А разве тимвьюер не отправляет данные на зарубежные сервера ?
Насколько я понимаю - тимвьювер полностью весь трафик через сервер гонит, ему и IP реальный не нужен. Может он конечно пиринговую технологию используют, а сервер лишь помогает законектиться, но очень сомневаюсь, что западная конторка откажется иметь бэкдор и полный мониторинг сеансов.
Кстати последние тимвьюверы устанавливают службу, которая остаётся работать даже после выгрузки программы, даже на компе без активированной функции ожидания входящих подключений.
Я грохнул службу в реестре, после запуска вьювера он её снова запустил и прописал в запуск.
Тогда я удалил файл службы, теперь службы нет, НО ВСЁ РАБОТАЕТ!
Кэп намекает для чего нужна была служба...
Ноут с вайваем и КОМ-портом не канают ? Ведь можно же робота попросить подключить провод к нужной железке...да даже и не вайвай, 100м провода стоят копейки.
Камрад, я ведь говорю не о технической возможности удалёнки - её современные SCADA-системы имеют в различных вариантах, я о нежелании владельцев пускать в свои сети и к оборудованию кого бы то ни было извне, В ПРИНЦИПЕ.
Ой даладна.
Сам ставил АСУ от Эмерсон, г. Питсбург, УСА
на родной электростанции (8*500 МВт, топливо уголь)
Сеть энергоблока разумеется физически изолирована от общей и инета.
Невероятным друзьям ничто не мешает
1. сделать таймбомбу, готовую сработать в час Ч, без всякой команды извне.
2. срабатывание таймбомбы можно откладывать и переносить при помощи патчей от родной конторы. Неустановка патча может привести к срабатыванию таймбомбы через определенное время.
3. каку-бяку можно прислать в самом патче из америки.
4. ставить патчи мы обязаны по договору с партнерами.
5. неустановка патча = нарушение договора = мы во всем виноваты, партнеры за последствия не отвечают и ни в чем не виноваты.
6. лицензия не вечна, её надо продлять, тогда присылают новые ключи, как на антивирус. разумеется надо заносить бабло.
7. можно в случае санкций-войны остановить присылку патчей-ключей или же прислать заразу в патче. А можно пересмотреть ценник в 10 раз, кстати он и так в баксах.
8. Система на винде, вирусы на флэшках туда уже заносили, несмотря на всю бдительность.
9. ну и конечно можно встроить радиочип в коробочку контроллера. Шпиён за километр-другой кнопочку нажал и всё.
10. у каждого второго АСУшника ипотека-кредиты-алименты с перспективой переселения на помойку. подговорить, чтобы он за десяток-другой тыщ баксов, какой-нибудь патчик на блоке запустил - пара пустяков. Это ведь его работа в компе рыться, никто и не допрет, что он там делал. А сломается не сразу. И потом фиг докажешь почему. Не работает система и всё. Может её в америке такой сделали.
В общем подтверждаю. Вплоть до того, что сталкивался с этим у поляков. Не продлили годовой договор на обслуживание - получайте проблемы, которые может решить только специализированный специалист. Самое прикольное, что программный жучок маскируется под простой отказ.
Значительная часть сбережений загорелого вложена в акции Emerson, кстати.
Имел не очень удачный опыт интеграции прецизионных кондиционеров Эмерсон в систему верхнего уровня Citect, зато познакомился с прекрасными спецами из Эмерсон-Россия, что важнее тупых железок, кмк.
Обычно играет п.10. Как и везде и всегда люди являются слабым звеном в любой системе безопасности.
Таймер смерти вообще-то является сортом мошенничества и будучи доказанным грозит производителю разборками фольксваген-стайл.
Я понимаю владельцев. и если бы был руководителем соответствующего отдела был бы тоже против.
Очень похоже что некая госструктура по кибер войнам, провела свои учения в режиме реальных действий, ну а пендосам до хохлов как до самолийцев, и не такие военные учения на гражданских проводили, причём подобное постоянно делают на всём протяжении истории, включая радиоактивные химические и бактериологические масштабные ! военные учения на ГРАЖДАНСКОМ НАСЕЛЕНИИ, естественно тайно, только по прошествии времени это было рассекречено.
+10500. А атака именно на украинскую систему была по причине близости архитектуры их сетей и управления к сетям и управлению в России.
Я бы на месте ФСБ озаботился этим событием с максимальной серьезностью.
Отвечу что знаю. SAP в России ЗАФИКСИРОВАЛ цены в рублях (пока что).
Конкретно продукт, на котором мы работаем, не содержит каналов связи с внешним миром ВООБЩЕ. На входе txt, на выходе MS EXCEL.
Так что не все западные технологии опасны. А закладки вороги могут и в отечественную разработку пихнуть.
10 лет назад наблюдал в одной ВИНК: их инсталляция SAP R/3 обязательно каждый день по модему звонила в Вальдорф и что-то передавала туда. Без этого не работало.
Роман не разводи панику, дело не в Чубайсах а в нас самих
лучше покажи основных поставщиков энергооборудования в РФ и где было установлено
уверен ты сможешь )
Сейчас "режимных генерирующих единиц" в ценовых зонах около 700 штук ( с блоками и отдельными подстанциями - 1094 ) у 154 "собственников"/перепродавцов
Файл вот - http://romansmirnov.org/files/rge_20160116.xls сделаем инфографику совместными усилиями ) ?
файл хороший но он не об том )
я про поставки энергооборудования с кордона к нам, про зависимость
Так он именно об этом.
Смотрим
1) что стоит, производитель
2) кто делал проект, согласовывал, финансировал, таможил, обслуживает - персонально
3) кто заказывал и по какой причине - персонально
4) делаем выводы
Уверяю, это очень узкий рынок - все сведется в лучшем случае к нескольким десяткам физиков выгодоприобретателей...
Вспомнилась "Брилиантовая рука": "Один мой знакомый, ныне покойный, говорил: "Я слишком много знал!" (С) Вы, ребята поаккуратнее - на мозоли больших людей наступаете, причём публично. У них там был полный интим и согласие, а оказалось что "какие-то негодяи" ведут запись и онлайн-трансляцию. Хе-хе...
да ладно вам жути нагонять:)
Roman Smirnov cпасибо kak и всегда интересно и по теме
интересно, у них полностью вся коммутация управляется по GSM?
почему стало возможным подобное?
у нас в энергокомпании только недавно стали ставить на ЛЭП 15 кВ вакуумники,т.н. реклоузеры, которые управляются дистанционно по сети, производства кстати известной теперь уже Тавриды с ее шефом Чалым
настраивают софт на управляющих компах кстати удаленно, ребята из тавриды из Москвы и Питера
установили тоже удаленно, только usbшный ключ прислали с нарочным
но все остальное оборудование,в т.ч. коммутация на центрах питания 10-15-110-330 только с места при наличии оперативного персонала
Так что, не так все страшно? А то в мозгу проносятся картинки: нефтегазопроводы, аэс, химпроизводства... Бадабум отменяется?
в тех местах и сетях где уже развита дистанционка напакостить конечно могут, но частично, ненадолго и вовсе не глобально
У нас вся дистанционка отключена, удалённо только параметры снимаем. Переключения с места. Это по высокой. А вот вся механизация уязвима, дежурный АСУшник спит дома с планшетом под мышкой. При желании человек с допуском удалённо может остановить производственный процесс. Аварию конечно ему устроить не удастся т.к. куча блокировок имеется, все таки пока разорванную концевиком цепь питания катушки контактора ни один хакер обойти не сможет)
Ну а что вы хотели? Упомянутые вами электростанции принадлежат E-On, немецкой компании транснационального разлива. Понятно, что везде, где нет особой разницы, она в первую очередь будет кормить немцев же, а во вторую очередь своих любимых турков. Вернее даже будет наоборот - сначала турков, потом - немцев, а уже только потом - всех остальных.
Это иностранным автостроителям выдвигали требования по повышению локализации...
Впрочем, что это я о импортозамещении-то? Про безопасность сетей же речь идёт. Ко владению сетями Е-Оn, вроде бы, никакого отношения вообще не имеет, только - к генерации. Да и "чубайсовскими" законами затруднено (или вовсе запрещено) совмещать генерацию и распределение.
Модернизация "Клайд Бергманом", насколько мне известно, касалась только системы
повышениясохранения КПД котлов. Т.е. пока новый котёл, то энергоблок даёт 800 МВт, потом начинает зарастать золой и шлаком. До модернизации сезонное использование ручного труда котлочистов позволяло лишь не падать мощности ниже 750 МВт, вместо номинальных 800. После неё эта проблема отпала. Короче говоря, затронутая в статье проблематика это далеко не уровень "Клайд Бергмана", не его конкретно.За управление в сетях отвечает обычно служба СДТУ, отдел АСУ к ней никакого отношения не имеет, ТМ это отдельные каналы связи, отдельная аппаратура. Отдельные компьютеры. Все совершенно отдельно. И все большей частью по оптоволокну. Где кабельные линии, там под землёй. И не один канал связи. Да и защиты так-же.
Что меня всегда сильно удивляет, так это та святая наивность в глазах все эти 24 года, когда людям рассказываешь, что НАДО развивать собственное производство (микроэлектроника+системное ПО+скадовские системы+среды разработки). Вертели пальцем у виска. Прибыль нужна была здесь и сейчас. Ещё и словеса разные произносили про международное разделение труда, ценность наших программистов на международном рынке и прочую либероидную туфту...
Ну и - жрите теперь, не обожритесь!
За "Транснефть" могу сказать что все сети изолированы по управлению НПС. Телемеханика линейная не знаю, раньше была на своих протоколах то же локализованная.
В отдельно упоротых случаях на АРМах закрывают USB порты, и заклеивают их голограммами. Но это встречал только в одном подразделении "Транснефти". За 8 лет был один случай, когда по сетке глянули что с АРМом, видимо это вскрыли АйТишники или подсказали добрые люди, авторам вынесли "благодарность" в виде подрезки премии. Даже если выбросить все АРМы на помойку, обрезать провода, очень трудно устроить техногенную катастрофу. Основные алгоритмы крутятся в контроллере, который вообще далек от общественных сетей.
Как то Шнайдер Электрику двинули претензию что в памяти контроллера обнуляются самопроизвольно регистры. Они оплатили все расходы, включая завтраки в отелях, на замену операционки во всех контроллерах серии. Это под сотню объектов и тонны человеко часов. Долго извинялись и благодарили за найденный баг.
Во всякие временные бомбы, на уровне контроллера не верю. Прошивки операционок на котнроллеры, лежат в корпоративном доступе. Где гарантия что именно прошивку с закладкой залили в российский обьект, и этой же самой закладкой не подрежут энергокомпанию подающую свет на Пентагон, у них еще слово КГБ до сих пор в обиходе.
Был на Люблинке в ЦОДе не однократно, при всей строгости на самом деле "занести" можно. Правда рисковать бы не стал ))
Тем мне менее освещение в одном из отелей американской мировой сети отключить смогу без проблем, с обычного бука в любое время.
Хмурому ослику
когда показывали про крымский энергомост, показывали новые подстанции, наверное ПС Кафа 220 кВ. Так шкафы защит Экра-Чебоксары. Ну и телемеханика соответственно, я думаю, для совместимости с Кубаньэнерго Компас 2.0. Это все Российского производства. И для Олимпиады защиты и ТМ было Российского производства.
Кстати, когда уже изгонят этот мерзкий афтокад, и не перейдут везде и повсеместно на аутентичный КомпАС?
По мне опохмеляться надо. Кривые руки эксплуатации списывать на вражеские вирусы это перебор, к тому же отчасти просто наброс, как про Сургутскую ГРЭС.
На Сургутской 7, 8 ой энергоблок
Газотурбинная установка PG9351FA GE
Паровая турбина типа D10 GE
Котел-утилизатор CMI
Генератор 390Н GE
не ?
Проекты турецкой Гамы - http://www.gama.com.tr/en/gama-power/projects/completed-projects/major-p...
А в у нас в РФ все как обычно, весь 2015г отечественные энергетики носились в мыле в поисках интеграторов которые за копеечку малую им сделают аудит безопасности их АСУТП, а потом фактически за еду эту самую безопасность приведут в божеский вид. При этом на аргументы типа, что это работы высококлассных спецов даже не на месяц и не на два, встречают удивление - да, ладно, там же только антивирус поставить ;))) При этом, когда показываешь , что было сделано на одном из оборонных предприятий, когда у них Вдруг начал выеживаться конвеер и выяснилось , что в штатном немецком софте закладочка, которая активировалась как только всю сеть завода закрыли от интернета, не разу не убеждает, потому как "да нех, не может быть, вы нас пугаете чтоб денег срубить". Так и живем, а про системы аэропортов с телеметрией и прочим через открытые каналы и по UTP лучше вобще молчать.
У энергетиков (сетевиков, да и генерации) сейчас денег не особо - отчасти "за еду" этим и обусловлено.