Вхід і реєстрація
Різне · 26 червня 2023, 17:50 996
Б Артюшенко

Як відмовитись від флешки при передачі даних між автоматизованими системами різного грифу

Останнім часом маємо в ЗМІ негативні відгуки щодо використання переносних накопичувачів («флешка») для передачі інформації між автоматизованих системами (АС) з різними «грифами».

Наприклад dou.ua/...​les/dzvin-system-in-army

«система має обмеження щодо автоматизованої передачі даних з різним грифом таємності між пунктами управління. В деяких випадках,..., передача інформації відбувається за участі окремої людини, яка переносить дані з середовища одного грифу в середовище іншого за допомогою флеш-накопичувача.
...
А тепер уявіть собі людину, яка циклічно переноситиме такі обсяги інформації з одного середовища в інше за допомогою флешки. Скільки нюансів може виникнути в цьому процесі? Від технічних, коли у вас виникає проблема зі справністю флеш-накопичувача, до звичайного людського фактора, коли людина під великим навантаженням припускається помилок. Я вже не кажу про банальну затримку в часі, якої в такому випадку неможливо уникнути. Все, що може передаватись автоматично, повинно передаватись автоматично. Втрата часу — це потенційно не знищена ціль, яка потім гатитиме по вас; несвоєчасність отримання наказу, плану, повідомлення, розпорядження, що згодом може спричинити людські втрати»

А які існують альтернативи?

Спробуємо сформулювати задачу. Автоматизована система управління (АСУ) має забезпечити «передачу даних з різним грифом таємності між пунктами управління».

Припустимо, маємо два пункти, скажімо пункт НТ та пункт Т.

На пункті НТ циркулює виключно не таємна інформація. А на пункті Т- таємна.

Вважатимемо що на обох пунктах розгорнуто автоматизовані систему управління (АСУ). На пункті НТ — АСУ НТ а на пункті Т — АСУ Т.

Передача інформації йде і з АСУ НТ до АСУ Т і з АСУ Т до АСУ НТ.

Розв’язок має запобігти надходженню таємної інформації з пункту Т до пункту НТ, і забезпечити циркуляцію не таємної інформації між пунктами Т та НТ.

Задача. Як забезпечити циркуляцію виключно не таємної інформації між пунктами Т та НТ?

Розв’язок «Автоматично»

«Все, що може передаватись автоматично, повинно передаватись автоматично» (dou.ua/...​les/dzvin-system-in-army).

Отже між АСУ Т та АСУ НТ з’являється система автоматичного зв’язку. Причому інформація циркулює в цифровій формі (через брандмауери, шифратори Enigma, комутатори тощо але «без людини всередині»).

Тоді маємо АСУ Т, АСУ НТ та автоматизовану систему Зв’язку. І всі разом — єдина Автоматизована система. Це єдина система, бо все «автоматично». Якщо єдина — то в ній мав би бути і єдиний гриф інформації що циркулює.

Чому так? В програмах бувають збої, в алгоритмах трапляються помилки, в світі існують хакери, спец. засоби та віруси.

Уявімо навіть, що расіянє не існують, віруси не існують, хакери не існують, шпигуни та їх засоби не існують. Чи зможуть розробники АСУ Т гарантувати що таємна інформація за жодних реальних умов експлуатації не потрапить в повідомлення що надсилається до АСУ НТ без «добро» від оператора АСУ Т?

Відповідно, по-хорошому, єдиний гриф — найменший в АСУ Т та АСУ НТ. Тобто і в системі Зв’язку і в АСУ НТ і в АСУ Т — гриф «не таємно». Відтак АСУ Т вже не може обробляти таємну інформацію.

Тобто чи це рішення є розв’язком задачі — тут як вирішить державний експерт (та власник системи).

Розв’язок «флешка»

Наступний розв’язок є поєднанням «автоматично» та «вручну». З джерела https://bihus.info/vijskovi-zlyly-600-mln-na-systemu-upravlinnya-armiyeyu-yaka-mozhe-vyyavytysya-vzagali-neprydatnoyu/ схоже на те що саме на ньому й зупинились розробники АСУ Дзвін:

«Зі штабу з рівнем «ДСК» до вищого штабу з рівнем "таємно"/"цілком таємно" (тобто нагору) інформація автоматично ще передається, а навпаки (вниз) — уже ні, тільки мануально. Для цього в штабі стоїть три різні сервери, по одному на кожен рівень доступу, і окрема людина, т.з. «адміністратор безпеки», має на флешці перенести дані з одного на інший і тільки так вони потраплять до «нижчого» штабу.«

Задача розв’язана в загальному випадку. Залишаються питання щодо безпеки: де гарантія що флешкою не передадуть віруси і що в АСУ Т не стався програмний збій? Тому потрібні якісь допоміжні засоби перевірки флешки та її вмісту.

Ось і маємо додаткові пристрої на яких оператор перевірить вміст флешки як при запису інформації на неї так і при зчитуванні.

Задача в цілому розв’язана.

Розв’язок «вручну, на папері»

Оптимальним з точки зору зменшення зв’язності здається передача за допомогою пересилки інформації «на папері». Оператор роздруковує інформацію на папері, узгоджує її відправлення, ставить штампи «не таємно», підписи, дати, печатки і надсилає лист до АСУ-отримувача. Лист може йти кур’єром, поштою, тощо.

Якщо лист потрапить до ворога — то в ньому «не таємна» інформація.

Отримувач читає (або сканує) отримані листи і вносить інформацію до своєї АСУ в своєму приміщенні/контурі.

Відтак АСУ Т та АСУ НТ не пов’язані між собою і в них інформація циркулює окремо.

Задача розв’язана

Перелік літератури

dou.ua/...​les/dzvin-system-in-army

www.facebook.com/...​GciXZMPiNm3M6nVPD7eR2UULl

dou.ua/...​les/dzvin-system-in-army

bihus.info/...​sya-vzagali-neprydatnoyu

tzi.ua/ua/dovdnik.html

zakon.rada.gov.ua/laws/show/2341-14#Text

https://zakon.rada.gov.ua/laws/show/373-2006-%D0%BF

Теми: Security
👍ПодобаєтьсяСподобалось0
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Б Артюшенко 19.07.2024 13:04

якось я упустив питання прогнозованості. Боєць з флешкою в зубах за день пробіжить кілометрів 30 мінімум (якщо не вбють). А ось сьогодні через глобальний збій Windows за бугром літаки відміняють. Про відміну запуску Росіянських ракет по нас поки не повідомляли. І в них, судя по трофеях, флешка — засіб обміну інфи

Відповісти
Підтримати
aa aa 06.07.2024 03:09

После бреда про единый гриф информации в системе и проблем с флешками дальше читать не стал.

Флешка это транспорт, точно также как tcp, поверх которого есть https

Куча систем поддерживает role based access control. Можно запросы в базы секьюрить на уровне строк и столбцов автоматически, а автор изобретает велосипеды.

Дочитал. Бумага? Это уже клиника. хотя если враги будут брать в плен бумагу проще съесть чем флешку.

Відповісти
Підтримати
Олександр Мощенко 06.07.2024 11:37

але флешку потім можна відновити, коли враги уйдуть

Відповісти
Підтримати
aa aa
skipper 13.11.2023 16:49
Спробуємо сформулювати задачу. Автоматизована система управління (АСУ) має забезпечити «передачу даних з різним грифом таємності між пунктами управління».
Вважатимемо що на обох пунктах розгорнуто автоматизовані систему управління (АСУ). На пункті НТ — АСУ НТ а на пункті Т — АСУ Т.

Невірно.

Якщо АСУ передає і таємну інформацію, і нетаємну, то така АСУ має бути вся таємна повністю.
Обробка інформації з обмеженим доступом в АСУ НТ забороняється.

Для передачі таємної інформації в обох пунктах має бути робоче місце АСУ Т.
І тоді передача даних між ними флешками не потрібне.

Відповісти
Підтримати
Б Артюшенко 24.07.2024 12:20
Якщо АСУ передає і таємну інформацію, і нетаємну, то така АСУ має бути вся таємна повністю.

дякую, так отож бо й воно

Для передачі таємної інформації в обох пунктах має бути робоче місце АСУ Т.

Якщо розмістити «робоче місце АСУ Т» в пункті — то весь пункт має стати Т (?) Або якісь його захищенні приміщення. І відповідно між тими приміщеннями і рештою лишається питання обміну інфою.

Відкладемо наші дзвіни та резерви в сторону.

Гіпотетична задача. АСУ Т — розподілена підсистема SkyNet по запуску ядерних ракет, АСУ НТ — weather.com. Для розрахунку запуску ракет потрібно знати прогноз погоди. Відповідно треба якось отримати дані з АСУ НТ в АСУ Т. І навпаки — бо АСУ НТ потрібно знати на яку дату і де потрібен прогноз.

Відповісти
Підтримати
skipper
skipper 24.07.2024 12:35

Розумний варіант, який я бачу, це створювати канал зв’язку між ізольованою таємною системою і зовнішнім світом і робити запити на Weather API.
І дозволені мають бути тільки ці запити, все інше заборонене.

Або в ізольованій системі мають бути свої метеодані.
Що є ідеальним з точки зору безпеки, але дорогим по реалізації.

Відповісти
Підтримати
Б Артюшенко
Б Артюшенко 24.07.2024 15:09

як на мене, всі ці API, ізоляції, дозволи тощо на рівні вайті — не надійно від слова зовсім. В порівнянні з папером. Бо і адмін може напартачити і оператор і програмісти. На днях в ядрі Вінди щось не те було, що літаки не літали в Гейропах

Відповісти
Підтримати
skipper
Alex Zodov Senior Node.js | PHP developer в NDA 27.06.2023 13:44

Тут десь пропустили пункт «отримати атестат КСЗІ» на кожну окрему АС, де сірьозні дяді будуть наполегливо пропонувати поставити залізячку X від фірми Y за купу-купу млн грн.

А взагалі, у структурах, що оперують термінами, подібними до наведених у статті, зазвичай ця історія розбивається об «пенсійне» рішення формату нуйогонах, і посилають флешку фєльдами.

Відповісти
Підтримати
Marta Pelewa 12.11.2023 16:32

А які є альтернативи? Закон прямо вимагає наявності атестатів. Закони можна змінити, але на що-в чому суть зміни щоб не вимагати? Якщо можна зробити атестат на сукупність ас — але тоді як до наявної сукупності додати ще один елемент?

Та й залізяки коштують копійки, інакше б змі помітили

Відповісти
Підтримати
Alex Zodov
Andrey Kravchina - в - 13.11.2023 00:07

ЗМІ не помітили.
Залізяки від 50к грн за «raspberry pi» в красивому корпусі і до декількох млн грн за сервер.
А аналогів нема, і не буде

Відповісти
Підтримати
Marta Pelewa
Б Артюшенко 13.11.2023 10:02

lim (50к грн / вартість приміщення) = 0. Навіть комерційного, а згідно закону не всяке підійде. Та й чому ця держава в цілому закупляє так як закупляє а тут раптом без особливостей

Відповісти
Підтримати
Andrey Kravchina
HorAV 27.06.2023 08:08

Підпис та шифрування на сертифікат отримувача, певну персону. Отримувач своїм ключем розкриє посилку.

Відповісти
Підтримати
Б Артюшенко 29.06.2023 20:19

який механізм гарантування не надходження не підписаних даних за усіх реально можливих умов експлуатації в наступні 5 років? включаючи ось такі випадки habr.com/ru/news/526852

Відповісти
Підтримати
HorAV
HorAV 30.06.2023 07:52

Як і з друком документів в АС класу 1. Можна в декілька этапів. Я хочу — інший дозволяє — третій пише/друкує/формує. Зговор декількох осіб, а не одноосібна дія, може призвести до витоку. Ну і слід розуміти, що база і повідомлення, не співставні по розмірам. Де системи контролю були за такими переміщеннями даних?

Відповісти
Підтримати
Б Артюшенко
HorAV 30.06.2023 07:59

Щодо кейсу, якщо бази і будь щи по сегментам за периметрами, і не админ баз їх налаштовує, контролює, то таке провернути складно. Коли у Вас адміни чубляться з мережевиками, а ще гурьбой з захистом, то вільнлстей немає.

Відповісти
Підтримати
Б Артюшенко
Andrey Kravchina - в - 27.06.2023 07:07
Чому так? В програмах бувають збої, в алгоритмах трапляються помилки, в світі існують хакери, спец. засоби та віруси.
де гарантія що флешкою не передадуть віруси і що в АСУ Т не стався програмний збій

закопайте цього автора назад
обидві проблему давно вирішуються при наявності бажання.
щоб зменшити кількість збоїв — робіть opensource та проводьте аудит коду, а не куму/свату/брату на розробку.
щоб в алгоритмах не було помилок — проводьте аудит алгоритмів, чи викидайте ДСТУшне гівно. AES та RSA все ще ніхто зламати не зміг, що б не рекламували. тільки повний перебор, а це дисятиліття.
хакери, спец. засоби та віруси — зазвичай сидять в керівних кабінетах. Для вірусів «на флешці» давно придумали «noexec» в різних варіантах під різні ОС.

А більшість проблем — в тому самому «Переліку літератури», який написаний для паперових систем, часів совка.
Дуже складно написати законодавство про систему безпеки чи алгоритми забезпечення безпеки, використувуючи інформаційні технології, коли знання про компʼютери обмежуються зовнішнім виглядом монітору, клавіатури, і бажанням отримати відкат від «свого» розробника «рішень».

Питання безпеки передачі даних давно вирішене, у кожного другого на телефоні клієнт, який робить і шифрування і передачу секретних даних і дешифрування. І немає зломів.
Чомусь не видно в мережі повідомлень що додатки монобанка чи приватбанка зламали та перевели гроші, а бажаючих то зробити куди більше ніж бажаючих вкрасти «інформацію».

Відповісти
Підтримати
Б Артюшенко 13.11.2023 16:35

Шановний. Зменшити кількість витоків не варіант. Їх не має бути взагалі. Якщо є — то тисячі трупів за кожен. Тому й гриф. А тим хто дозволив, провів аудит — посадки. Тобто безпека — не нижче ніж з папірцями і передача в залізних валізах прикованих до руки курєра. "

а не куму/свату/брату на розробку

" — такого навіть в світі фентезі не буде.

лієнт, який робить і шифрування і передачу секретних даних і дешифрування. І немає зломів.

— та невже. Постійні витоки в ЗМІ, наприклад portaltele.com.ua/...​dannyh-korystuvachiv.html

Відповісти
Підтримати
Andrey Kravchina
aa aa 06.07.2024 03:45

Те флешку нельзя положить в тот же чемоданчик? Только бумага может быть там? А вы прикидывали сколько той бумаги должно быть?

Зачем вообще асу, печатайте сразу приказы в конвертах, запечатанных сургучной печатью. Ваше понимание темы примерно из той эпохи

Відповісти
Підтримати
Б Артюшенко

Підписатись на коментарі

Не підписуватись
Скористайтесь акаунтом
×
з умовами використання сайту і політикою конфіденційності.