Автоматический или автоматизированный?Все равно ОКИИ! Транспорт.

Дата: 11.11.2020. Автор: Валерий Комаров. Категории: Блоги экспертов по информационной безопасности
Автоматический или автоматизированный?Все равно ОКИИ! Транспорт.

  Думаю, что следующей сферой КИИ, где остро встанет вопрос отнесения к ОКИИ тип АСУ автономных устройств с системой автоматического управления (после оборонки и здравоохранения) будет транспорт. Просто в силу насыщенности такими устройствами, высокой важностью для жизни людей и страны, а также наличием Федерального закона О транспортной безопасности от 09.02.2007 № 16-ФЗ. 
   Будет забавной ситуацией, если потребуют относить к ЗОКИИ ЭБУ (ЭСУД) транспортных средств.

   Ранее в блоге:

  Транспорт понятие многогранное и часть проблем для специфических видов транспорта в блоге уже рассматривалась (вертикальный транспорт, канатная дорога, авиационный). Сейчас же поговорим о классическом колесном (автомобильный, рельсовый, судовой, авиационный) транспорте.
  Как ни странно, но специальный транспортный показатель № 3 из ПП127 Прекращение или нарушение функционирования объектов транспортной инфраструктуры собственно к транспортным средствам не применим. Но остаются косвенные показатели № 1 и № 9, а при перевозке опасных грузов вполне возможны № 11.
  Напомню, что мы рассматриваем автономные изделия, работающие в автоматическом/автоматизированном режиме, не объединенные в сети на предмет отнесения их к ОКИИ тип АСУ.
   Для авиации все просто, в составе воздушного судна есть АСУ, которое и стоит относить к ОКИИ. Сам самолет никто не предлагает отнести к ОКИИ. Что как то противоречит логике ФСТЭК по отнесению к ОКИИ станка ЧПУ/аппарата МРТ. Если уж относим к ОКИИ готовое изделие, которое содержит в себе цифровой блок управления и/или мониторинга работы самого изделия — сам станок, то надо быть последовательным и относить к ОКИИ — самолет, тепловоз или судно. 
   Определение АСУ задано в 187-ФЗ — автоматизированная система управления — комплекс программных и программно-аппаратных средств, предназначенных для контроля за технологическим и (или) производственным оборудованием (исполнительными устройствами) и производимыми ими процессами, а также для управления такими оборудованием и процессами
  Мнение авторского коллектива из профильного -ФГУП ГосНИИАС (Журнал Вопросы Кибербезопасности №4/2018)
   В соответствии с данными законными актами информационно-вычислительная система любого ВС является объектом критической информационной инфраструктуры (КИИ) РФ, так как попадает под определение автоматизированной системы управления, функционирующей в сфере транспорта. При этом в зависимости от вместимости и маршрутов полетов разные ВС могут иметь различные категории значимости (табл. 4)
  

   Проведенные опросы показали забавный срез восприятия объектов КИИ у специалистов:

Мнение по отнесению ИБП разделилось пополам, АТС большинство отнесло, а вот автобус большинством не признан ОКИИ.
   А ведь современный автобус/трамвай/грузовик оборудован электронным блоком управления двигателем, тормозными устройствами и прочим оборудованием салона. Разъем для подключения внешнего компьютера имеется. Чип-тюнинг автотехники широко распространен и не вызывает технических проблем.

  И это мы еще не говорим о навороченных моделях с автовождением, системой автопарковки и прочих беспилотных транспортных средств, тот же Камаз хорошо продвинулся в этой теме.

  Подходят ли критерии ФСТЭК по выявлению ОКИИ тип АСУ к автотранспортной базе?

1. Выход из строя устройства несет последствия по показателям ПП127 — есть.

  2. Есть компьютерный порт управления устройством — есть

  3. Нарушитель имеет возможность изменить вшитое ПО, влияющее на работоспособность устройства — да, имеет.

  Вот произвольный комплект для подключения любого ноутбука к ЭБУ автомобиля. Вариантов доступно множество. 

   

   Рекламы изменений вшитого ПО в Интернет полно — отключение сажевого фильра, изменение мощности двигателя, отключение лямбда-зонда. Да чего только не предлагают программно сделать. 
   А ведь это прямое воздействие на ключевую функцию АСУ в 187-ФЗ контроль за процессами, фактически водитель автомобиля (оператор АСУ) лишается сигналов мониторинга —  состояния датчиков и исполнительных устройств. Самое наглядное — отключение индикации подушки безопасности при ремонте автомобиля после ДТП. Электронный блок управления сигнализирует, что подушка в норме, а реально ее нет. Или скрученный пробег.
   И вот это опасно в комплексе с другими действиями злоумышленника по повреждению систем автомобиля: отключение индикации неисправных тормозов, неисправности генератора или АКБ, запаса топлива и т.д.
   Для примера, сталкивался при эксплуатации собственного авто, что он переставал заводиться при температуре ниже -27. Проблема была в мозгах, прошивка неправильно формировала смесь и заливало свечи. Было два варианта решения проблемы: нагреть датчик температуры или апргрейд прошивки. А теперь представим ситуацию, что хакнули летом автобус  и установили неправильный состав смеси при температуре минус 15. Наступила зима и автобус не вышел на маршрут- не заводится. Ели следовать логике ФСТЭК, которая требует масштабировать возможность компьютерной атаки на все станки, то у нас не вышел весь автопарк в этот день. А если это автопарк станции скорой медицинской помощи?
  А могут быть и экономические последствия. Меняем настройки под повышенный расход топлива и наносим прямой экономический ущерб владельцу автотранспорта. Или вызываем повышенный износ двигателя и систем автомобиля- досрочный ремонт, опять ущерб.
  Вариантов развития негативной ситуации неограниченное количество.
  Вот реальный пример в нашей стране В программу для модуля управления двигателем (ECM), вероятно, вкралась ошибка. Из-за неё катушка зажигания «при определённых обстоятельствах» может находиться под напряжением дольше, чем положено после остановки мотора. В результате перегрев катушки способен привести к короткому замыканию. Если оно случится во время движения, машина заглохнет без возможности немедленного перезапуска двигателя, спровоцировав аварийную ситуацию. Производитель отозвал несколько тысяч автомобилей на перепрошивку ЭБУ.
   Таким образом, можно утверждать, что автотранспортные средства автоперевозчиков пассажиров (автобусный парк, таксопарки, каршеринг и тд.) и грузов (логистические компании), учреждений здравоохранения, карьеров и рудников будут являться ЗОКИИ тип АСУ.                      Аналогично с железнодорожным транспортом, вот каждый электровоз — это ЗОКИИ.
  А еще субъектами КИИ становятся топливозаправочные комплексы, шиномонтажи, автосервисы, тюнинг-ателье, автоматические мойки и т.д.
   Такие вот последствия от отнесения автономных станков ЧПУ/аппаратов МРТ к ОКИИ тип АСУ в принудительном порядке. 
    Готовы ли мы к появлению еще нескольких миллионов ЗОКИИ в стране? Вопрос риторический. А защищать от компьютерных атак все равно придется, угрозы я привел вполне реальные.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе ЧаВо по КИИ на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube — канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite


Источник — Блог о нюансах и особенностях законодательства в области информационной безопасности Валерия Комарова “Рупор бумажной безопасности”.

Валерий Комаров

Об авторе Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности Валерия Комарова "Рупор бумажной безопасности"
Читать все записи автора Валерий Комаров

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *