Я попробую продолжить разговор о безопасности систем управления блоками АЭС и в общерасширительном смысле, то-есть в виде исключительно внутренней локальной сети физически не связанной с ИНТЕРНЕТОМ, так и касательно безопасности в отношении возможности подключения систем управления к ИНТЕРНЕТУ тем или иным образом. Спорить о достаточной защищённости систем управления от угроз извне по сети ИНТЕРНЕТА пока оснований нет, поскольку в наших АЭС системы упрвления технологическим процессами не имеют физической связи с ИНТЕРНЕТОМ, включая и связи по вай-фай. Но это ведь пока… То что сегодня считается невозможным завтра может быть уже возможно, ведь технологии не стоят на месте, как не стоят на месте и хакеры в своём развитии и профессионализме. Более того, даже в этом случае нельзя со 100%-ой уверенностью исключить такую возможность:
…нерегламентированное подключение к внешним сетям может возникать при плановой замене отдельных компонентов оборудования на новые, в которые встроены модули GPS и/или Wi-fi, не говоря уже о ситуациях, когда такое подключение создается намеренно непосредственно подрядчиком для удобства проведения работ, а потом его забывают демонтировать или отключить. Неочевидные на первый взгляд пути проникновения в реальности могут решить вопрос доставки вируса к важным элементам систем управления, которые в целях безопасности не подключены к внешним сетям. В этой связи протоколы безопасности должны просчитывать возможность удаленного воздействия вредоносного ПО даже на «закрытые» системы.
здесь
И совершенно верно замечено, что даже в случаях, на данный момент маловероятных, совершенно исключительных следует «просчитывать возможность удаленного воздействия вредоносного ПО даже на «закрытые» системы».
И вообще, надо полагать что не только в Британии, скажем, результаты исследования со всей очевидностью подтверждают, что на фоне сложившейся «традиции отрицания» стандартный ответ инженеров и руководств АЭС звучит таким образом: «наши системы не связаны с интернетом, поэтому их очень сложно скомпрометировать
Словом, я думаю что всегда следует держать в уме пусть и маловероятные на сегодня, риски возможности несанкционированного управления пусть и кратковременного, некритичного в плане серьёзного влияния на процессы управления. В любом случае сама возможность такого вероятностного события она уже опасна не столько прецедентом, сколько дальнейшей возможностью усиления шифрования впоследствии следующих внедрений и нанесения уже гораздо более серьёзного ущерба и потенциальной опасности блокирования или скрытного обхода систем безопасности ПО.
Что же касается вообще проблемы взлома и несанкционированных воздействий на системы управления, то, как правильно было замечено Мариной Кротофил на форуме PHDays в начале июня, атака на системы с точки зрения хакера, должна стремиться к тому, чтобы эта атака не была единичной, а многоразовой, разнесённой по времени, с возможностью той степени её скрытности внедрения, трудности её дешифрования и нахождения внедрённого программного кода, что предполагает очень плотное и глубокое исследование как технологических процессов, так и программных средств с высшего и до первого уровня аппаратной части, то-есть на уровне датчиков и контроллеров связанных с ним и т.д…
Слушая её, мне вдруг вспомнилось моё, в дальней юности, когда я изучал электрооборудование электроподвижного состава наших ЖД, «внедрение» в электросхему цепи управления электропоездом ЭР1. Это, разумеется, была совершенно дурацкая затея, непростительная даже для ребёнка, которым я тогда ещё был. Не вдаваясь в детали, по понятным причинам, замечу просто что подключенный к цепи управления мой примитивный релейный блок как раз и соответствовал условию «многоразовых и разнесённых по времени воздействий на аппаратуру управления поездом. В результате этих «разнесённых по времени воздействий» поезд отправившись в путь с Казанского вокзала доехал лишь до «Электрозаводской», после чего машинист оповестил пассажиров о неисправности поезда и высадке пассажиров. Все вышли, подошёл маневровый тепловоз и повёз совершенно исправный электропоезд в депо…
Аналогия, конечно же достаточно кривая, но некая сермяжная правда здесь всё же есть.
Самое существенное в системах безопасности это выстроить её алгоритмы таким образом, чтобы на выходе, при любых несанкционированных воздействиях, результат никогда не приводил бы к непоправимым последствиям, разрушению критичноопасных систем, аппаратов и механизмов, катастрофам и т.д… То-есть, система «защиты от дурака» должна продумываться на всех её уровнях с учётом того, что воздействие может быть возможно на любом из них.