Computer security basics

История третья, о моделях ИБ. Спасибо, что деньгами

Модели безопасности и, в частности, модели контроля доступа – одна из самых нелюбимых и непонятных тем для студентов. Правила доступа, сформулированные вне привычных концепций файлов и пользователей, кажутся то непонятными, то самоочевидными, а теоремы безопасности забываются после экзамена почти мгновенно.
Однако принципы ограничения потоков данных в соответствии с обязательными правилами нормативного контроля применяются не только для защиты данных, но и для защиты критических инфраструктур, к примеру, вычислительных сетей на объектах атомной промышленности.
Официально цифровизация атомных электростанций началась не слишком давно: в нулевые начиналась в России, а первая полностью цифровая АЭС в США заработала только в 2011 году (источник). Тем не менее, тут и там встречались энтузиасты, дорабатывавшие системы контроля и управления, к примеру, для целей удаленной диагностики. В офисной сети АЭС Хэтч (Hatch) в штате Джорджия, США, использовалось специализированное ПО для наблюдения за химическими и диагностическими данными, получаемыми от основной системы управления. При этом происходила синхронизация хранимых в нем данных с данными в системе управления, расположенной в сегменте сети, изолированном от офисного сегмента.
Оператор знал о важности обновлений безопасности и проводил обновление ПО в офисном сегменте. Однако он не учел, что при перезапуске системы после обновления ПО произойдет удаление всех данных, и синхронизация вызовет удаление данных в связанной системе управления. В свою очередь, система безопасности интерпретировала отсутствие данных в системе управления как потерю охлаждающей воды и в результате инициировала аварийный останов реактора.
Останов реактора в нормальном режиме не был опасен для людей или окружающей среды, однако перезапуск реактора – долгая операция. К тому же, на втором реакторе происходила перегрузка топлива, а значит, АЭС была неспособна поставлять электроэнергию в течение двух суток. По оценкам экспертов, финансовые потери из-за недопоставок составили от 2 до 5 миллионов долларов.
Почему я тут говорю о моделях безопасности? Дело в том, что согласно современным стандартам, на АЭС применяется мандатная модель ограничений доступа. Непредвиденная синхронизация данных в системе управления с офисным компьютером не произошла бы, если бы не прошел сигнал из офисной сети в сеть контроля и управления – а он должен был быть запрещен и отфильтрован на МЭ или при помощи диода данных. Разумеется, ни о каком «собственноручно модифицированном» ПО на АЭС не может быть и речи, однако организационные правила не всегда срабатывают, а хорошо реализованная архитектура безопасности на моделях доступа помогает предотвратить ущерб от ошибок.

🔥3👏3👍1

www.tgoop.com/computersecuritybasics/104

2.87K viewsJul 13, 2023 at 12:38

История третья, о моделях ИБ. Спасибо, что деньгами

Модели безопасности и, в частности, модели контроля доступа – одна из самых нелюбимых и непонятных тем для студентов. Правила доступа, сформулированные вне привычных концепций файлов и пользователей, кажутся то непонятными, то самоочевидными, а теоремы безопасности забываются после экзамена почти мгновенно.
Однако принципы ограничения потоков данных в соответствии с обязательными правилами нормативного контроля применяются не только для защиты данных, но и для защиты критических инфраструктур, к примеру, вычислительных сетей на объектах атомной промышленности.
Официально цифровизация атомных электростанций началась не слишком давно: в нулевые начиналась в России, а первая полностью цифровая АЭС в США заработала только в 2011 году (источник). Тем не менее, тут и там встречались энтузиасты, дорабатывавшие системы контроля и управления, к примеру, для целей удаленной диагностики. В офисной сети АЭС Хэтч (Hatch) в штате Джорджия, США, использовалось специализированное ПО для наблюдения за химическими и диагностическими данными, получаемыми от основной системы управления. При этом происходила синхронизация хранимых в нем данных с данными в системе управления, расположенной в сегменте сети, изолированном от офисного сегмента.
Оператор знал о важности обновлений безопасности и проводил обновление ПО в офисном сегменте. Однако он не учел, что при перезапуске системы после обновления ПО произойдет удаление всех данных, и синхронизация вызовет удаление данных в связанной системе управления. В свою очередь, система безопасности интерпретировала отсутствие данных в системе управления как потерю охлаждающей воды и в результате инициировала аварийный останов реактора.
Останов реактора в нормальном режиме не был опасен для людей или окружающей среды, однако перезапуск реактора – долгая операция. К тому же, на втором реакторе происходила перегрузка топлива, а значит, АЭС была неспособна поставлять электроэнергию в течение двух суток. По оценкам экспертов, финансовые потери из-за недопоставок составили от 2 до 5 миллионов долларов.
Почему я тут говорю о моделях безопасности? Дело в том, что согласно современным стандартам, на АЭС применяется мандатная модель ограничений доступа. Непредвиденная синхронизация данных в системе управления с офисным компьютером не произошла бы, если бы не прошел сигнал из офисной сети в сеть контроля и управления – а он должен был быть запрещен и отфильтрован на МЭ или при помощи диода данных. Разумеется, ни о каком «собственноручно модифицированном» ПО на АЭС не может быть и речи, однако организационные правила не всегда срабатывают, а хорошо реализованная архитектура безопасности на моделях доступа помогает предотвратить ущерб от ошибок.

BY Computer security basics