January 20th, 2017

Атомная IT-угроза?

         Сегодня стало известно о некой угрозе в автоматизированных системах управления технологическим процессом (АСУ ТП) российских АЭС. Материал опубликовал "Коммерсант". Согласно сообщению: "...Действующие и бывшие сотрудники госкорпорации утверждают, что не обнаружили документации на программную платформу ПОРТАЛ, а ее исходным кодом распоряжаются частные лица. Недостаточный контроль над ПО потенциально может грозить не только ошибками, но и остановкой ядерного реактора".
К основным рискам автор относит: "....в архиве разработчика ПОРТАЛа ВНИИАЭС, "вероятно, отсутствует конструкторская, программная, технологическая и эксплуатационная документация" на программные компоненты и платформу в целом, говорится в докладной. При этом у некоторых сотрудников госкорпорации "имеются в полном распоряжении неидентифицированные версии программных компонент ПОРТАЛа", а изменения в софт вносят непосредственно на эксплуатируемых АЭС. "Из-за отсутствия документации, а также того, что изменения в платформу вносятся непосредственно на объектах, до конца не ясно, какая именно версия ПОРТАЛа стоит на каждой АЭС. А нахождение у частных лиц исходного кода платформы довольно сомнительно с точки зрения требований безопасности".
Небольшое отступление в мат.часть позволит определить отсутствие даже каких-то потенциальных рисков.
Collapse )

Вспомним, что одним из требований обеспечения кибербезопасности АСУ ТП атомных станций является отсутствие связи сети АСУ ТП с сетью интернет. Связь сети АСУ ТП с локальной сетью АЭС односторонняя, информация передаётся только от АСУ ТП через специальные шлюзы в локальную сеть. Обратный поток информации из локальной сети в АСУ ТП невозможен технически. Поэтому для того, чтобы внести какие-либо изменения в программное обеспечение АСУ ТП, необходимо иметь физический доступ к инженерной станции АСУ ТП.
Доступ к инженерным станциям ограничен, во-первых, многоуровневой системой физической защиты АЭС, во-вторых, системой распределения полномочий между системными администраторами,  инженерами-программистами и рядовыми пользователями АСУ ТП при помощи логинов и паролей.
Любые изменения в программное обеспечение вносятся только на остановленном для ремонта оборудовании АСУ ТП и только на основании технических решений. Внесению изменения предшествует этап верификации программного обеспечения, т.е. получения подтверждения, что программное обеспечение выполнит свои функции требуемым образом. После изменения программного обеспечения и его установки в компоненты АСУ ТП система подвергается испытаниям: в зависимости от масштаба изменений – вплоть до полной комплексной проверки работоспособности и подтверждения всех проектных характеристик.
Конечно, людям не сведущим в атомной энергетике сложно подвергнуть скепсису утверждения бывшего отраслевого сотрудника... И здесь самое интересное!
Здесь важно отметить, что источник этих документов, которые предоставил  бывший заместитель технического директора АО "Русатом - Автоматизированные системы управления" (РАСУ) Вадим Подольный.  Личность весьма, как говорится, с историей.

Около года назад "Коммерсант" опубликовал интересный материал "Программист претендует на "Зарю" и (О,  УДИВЛЕНИЕ!), здесь тоже фигурирует господин Подольный: "Бывший начальник лаборатории технологий разработки ЦНИИ ЭИСУ Вадим Подольный обратился в Пресненский районный суд Москвы с иском к экс-работодателю и Роспатенту (копия иска есть у "Ъ"). Он утверждает, что является одним из авторов ОС "Заря", созданной ЦНИИ ЭИСУ в 2011-2015 годах по заказу Минобороны. В свидетельстве о госрегистрации "Зари", выданном Роспатентом в сентябре 2015 года, среди авторов разработки он не значится. Истец требует признать это свидетельство недействительным, а его — одним из авторов ОС "Заря". Кроме того, он просит внести эту информацию в реестр программ для ЭВМ, а также взыскать с ЦНИИ ЭИСУ 0,5 млн руб. в качестве компенсации морального ущерба".
.
Таким образом, подобный скандальный подход экс-сотрудник пытался реализовать и в РАСУ, но не получилось. Специфика права в отношении интеллектуальной собственности формирует своеобразный подвид потребительского эxтремизма
Единственная группа которой постоянно приходится оправдываться  - атомщики, которым приходится доказывать, что
я не лысый безопасность IT-инфраструктуры АЭС находится на должном уровне