Gå til innhold
Trenger du hjelp med internett og nettverk? Still spørsmål her ×

Vil IPv6 være egnet for bruk i Industrielle Kontrollnettverk?


Anbefalte innlegg

6 hours ago, sk0yern said:

Nuvel.
Det er sikkert mange gode grunner til å ikke benytte airgap i dag.
Airgap er definitivt et effektivt sikkerhetstiltak, men når en angriper er tålmodig, har svært dyktige folk, samt "uendelig" med ressurser, da er du stort sett fucked uansett :)
De færreste av oss har Mossad/CIA på lista over trusselaktører.

En del sikkerhetsmiljøer arbeider vel også opp mot denne typer trusselaktører ?! Er det ikke behov for det?

Jeg mener at det kan ha mye for seg å ha et best mulig samarbeid med disse fagmiljøene. Noe av rapportmaterialet ligger jo også åpent, for eksempel SINTEF sine utredninger omkring opplegget for sikkerhet i Nordsjøen.

Endret av arne22
Lenke til kommentar
Videoannonse
Annonse
7 hours ago, barfoo said:

I så fall kan du umulig ha studert eit stort utval. Eg jobber som sagt med sikkerhet, og å designe et nettverk for airgap i dag er idiotisk. Stuxnet avliva alle forestillinger om airgap som effektivt sikkerhetstiltak; militære som vokta statshemmeligheter rota til airgap for pokker!

Nå handler jo ikke diskusjonen om IT nettverk og IT sikkerhet men om operasjonell teknologi og sikkerhet i OT systemer. Det er kanskje er noe litt annet. Hva med å legge ut et lite eksempel på praktisk løsning på at industriellt kontrollnettverk som bruker IPv6 med angivelse og beskrivelse av de komponentene som er i bruk?!

Hvis komponentene ikke finnes, og ingen produsenter leverer noe slikt,vil ikke det da være en liten begrensning?

Hvordan går men fram for å verifisere og dokumentere sikkerheten i et teknisk anlegg, basert på komponenter som ikke finnes i virkeligheten?

Endret av arne22
Lenke til kommentar

Jeg opplever ikke OT og IT som separate størrelser, noe som også reflekteres i venn-diagrammet i lenken som oppgis, og ei heller i beskrivelsen:

Quote

Mens IT først og fremst konsentrerer seg om databehandling og kommunikasjon, fokuserer OT på direkte kontroll av utstyr, fysiske prosesser og infrastruktur.

Jeg mener bestemt at vi har fokusert på kommunikasjonsaspektet her, all den tid vi faktisk snakker om IPv6, som er en kommunikasjonsprotokoll. Hvorvidt det ikke finnes innebygget IPv6 støtte for bestemte enheter virker som et sidespor i forhold til å vurdere egnetheten, som er den problemstillingen tittelen av tråden gjenspeiler. 

Om et nettverk er airgapped eller ikke er også et sidespor, men det er ikke lenger godt å se hva hensikten med tråden er.

Lenke til kommentar
3 hours ago, arne22 said:

Nå handler jo ikke diskusjonen om IT nettverk og IT sikkerhet men om operasjonell teknologi og sikkerhet i OT systemer. Det er kanskje er noe litt annet. Hva med å legge ut et lite eksempel på praktisk løsning på at industriellt kontrollnettverk som bruker IPv6 med angivelse og beskrivelse av de komponentene som er i bruk?!

Som sagt er det ingen store skilnader. Bruk brannmurer på samme måte. T.d. Siemens Scalance S-636 eller S-615 støtter IPv6 og IPv4. Samme gjer t.d. Pfsense. Reglane vil vere identiske; einaste relevante forskjell er jo adresseformatet!

Forøvrig så jobber eg med sikkerhet i OT-systemer.

Endret av barfoo
Lenke til kommentar
arne22 skrev (4 timer siden):

Hvis komponentene ikke finnes, og ingen produsenter leverer noe slikt,vil ikke det da være en liten begrensning?

Hvordan går men fram for å verifisere og dokumentere sikkerheten i et teknisk anlegg, basert på komponenter som ikke finnes i virkeligheten?

Leverandører av kontrollsystemer er trege med å adoptere ny teknologi. Jeg leverer fortsatt anlegg som komuniserer på RS232 og RS485. Noen av leverandørerene har ikke engang tenkt tanken på å komme seg over på IP.

Ta kortlesere som definitivt er i OT leiren. Mesteparten kjører kommunikasjon på en standard fra 1980. Ny standard kom i 2020 og er basert på RS485........ Tror vi har noen år igjen før vi ser IPv4 eller v6.

Så ser ikke helt mangelen av utstyr som kjører IPv6 som ett tegn på manglende sikkerhet eller rutiner, men heller treghet i markedet. Man snakker ofte om utstyr som er i produksjon i tiår uten store endringer.

På det av utstyr som har kommer seg over til IPv6 støtte ser jeg ikke helt hvorfor jeg ikke skal kunne benytte dette. Benytter mye av de samme rutinene som ved IPv4. (Segmentering, VLAN, brannmurer osv.) Ingen regelverk jeg har sett krever IPv4 eller forbyr IPv6. Så levering blir som vanligt med risikovurderinger, funksjonsbeskrivelser, fine skjema og masse dokumentasjon.

Lenke til kommentar
21 hours ago, barfoo said:

Forøvrig så jobber eg med sikkerhet i OT-systemer.

En av de store forsjellene mellom IT og OT, det er at for OT systemer så finnes det lovgittte krav både til kvalifikasjoner for de som skal jobbe med systemene og så finnes det også lovgitte krav til hvordn systemene skal være gjennomført og utformet, og direkte eller indirekte krav om hvordan man skal utvikle prosjektene og drifte instalasjonene.

For den del av systemet eller prosjektet som faller inn under de generelle elektrofagene, så er det først og fremst Forskrift om elektroforetak som gjelder, med hesyn til formelle krav til bedrifter og kompetanse til det personellet som arbeider innenfor virksomhetene.  Ekomloven og Ekomforskriften stiller også krav til virksomhet og personellkompetanse. I tillegg så kommer mange bransjerettede tillegskrav, som for petroleumsvirksomhet, trykksatte anlegg, kuldemedier, osv, osv.

Man kan dele kompetansekravene inn i 3 hovedgrupper:

  • Installatør og fagarbeiderkompetanse innenfor elektriske installasjoner.
  • Maskinbygger og fagarbeider innenfor maskinbygging.
  • Installatør og fagarbeider innenfor ekomsystemer.

Alle disse forskjellige typene kompetanse vil jo være nødvendig for å bygge opp den elektrofaglige delen av et OT system.

Kvalifikasjonskravene til "den som utfører" vil følge samme mønstert for de 3 faggruppene.

For den som arbeider fysisk på systemene så vil det være krav til fagbrev, som er et kombinert løp for utdanning og praksis i bedrift som tar ca 5 år å gjennomføre.

For den som skal ha faglig ledelse i en virksomhet, så er kravet gjennomgående først fagbrev og så teknisk fagskole eller ingeniørutdanning pluss 3 års relevant praksis etter dette. For noen fag så vil det være krav om en inidivuell prøve etter dette (for eksempel installatørprøve).

Helt sentrale forskrifter for gjennomføring vil være Forskrift om elektriske lavspeningsanlegg, Maskinforskriften og Ekomforskriften pluss også det som gjelder bransjespesifikt for de ulike bransjene.

Det finnes ikke noen lovhjemmel av det som jeg kjenner til, som kan gi en person med IT bakgrunn noen form for kompetanse til å arbeide med OT systemer, hverken som fagarbeider eller som fagansvarlig i bedrift.

Et interessant spørsmål, det er jo: Når man setter opp en implementering av Purdue modellen, hvem er det da som sitter med det formelle juridiske ansvaret for at tingene er riktig gjennomført? Det blir jo faktisk Ekominstallatøren hva angår den praktiske uførelsen av kabling og montering av utstyr, og så blir det faktisk maskinbyggeren når det gjelder det som går på samlet funksjonalitet og sikkerhet for anlegget som helhet.

Når man arbeider med disse tingene så fører man jo en fortløpende dialog med tilsyns og fagmyndigheter omkring krav til personellkompetanse og de sikkerhetsmessige og elektrofaglige vurderinger som blir gjort. Det er også en forventning til dokumentasjon og hvordan man lagrer og er i stand til å presentere den tekniske dokuemtnasjonen for anlegget. Selv om dette ansvaret først og fremst ligger på den som har det faglige og sikkerhetsmessige ansvaret i virksomheten, så blir lærlingene også prøvd regelmessig i frohold til dette ved gjennomføring av fagprøve.

Hele denne problematikken rundt regelverk og krav til sikkerhet har jo en nokså stor betydning for utfallet av diskusjonen i denne tråden. Hvis man legger IT fagenes fagnormer til grunn så kan man komme til en konklusjon. Hvis man legger OT fagenes lovgivning og fagnormer, arbeidsmetodikk og krav til sikkerhet til grunn, så blir det til en helt annen problemstilling med en  annen konklusjon.

Når du mr Barfoo arbeider med OT systemer, hva er det da du konkret gjør og hvuilke kometanskrav er det du oppfyller, er du fagarbeider eller er du installatør eller maskinbygger, med et overordnet faglig ansvar i en bedrift?

Kan du legge fram et lite eksempel på et prosessnettverk der du benytter IPv6 og beskrive litt av prisnippene for hvordan du vil dokumentere, risikovurdere og verifisere sikkerheten i anlegget, ut i fra de formelle lovgitte kravene som gjelder. (Mange moderne fagprøver i automatikerfaget inneholder no noe av dette, minus IPv6, slik at dette skulle være basic.)

 

 

Lenke til kommentar
1 hour ago, arne22 said:

En av de store forsjellene mellom IT og OT, det er at for OT systemer så finnes det lovgittte krav både til kvalifikasjoner for de som skal jobbe med systemene og så finnes det også lovgitte krav til hvordn systemene skal være gjennomført og utformet, og direkte eller indirekte krav om hvordan man skal utvikle prosjektene og drifte instalasjonene.

Jøss. Kva krav er det til formelle kvalifikasjoner? Og kva er dei lovgitte krava? Dei eg er kjent med er ekstremt abstrakte, av typen "produktet skal være sikkert mot ekstern påkjenning...". Du har t.d. IEC62443, men det vil ikkje nødvendigvis vere bindande for eit OT-system.

1 hour ago, arne22 said:

Ekomloven og Ekomforskriften stiller også krav til virksomhet og personellkompetanse.

Kva del av ekomforskrifta sikter du til her? Den som seier at nettverket sin installasjon skal følge anerkjente standarder? Beklager, men det har null og niks med sikkerhet å gjere. 99% av ekomforskrifta omhandler drift av kommunikasjonsnettverk i kommersielle settinger, ikkje OT.  Min påstand er at korrekt terminert Ethernet er meir enn nok til å oppfylle ekomforskrifta...

1 hour ago, arne22 said:

For den som arbeider fysisk på systemene så vil det være krav til fagbrev, som er et kombinert løp for utdanning og praksis i bedrift som tar ca 5 år å gjennomføre.

Uh. Kor heimlar du det for installasjon av kommunikasjonsnettverk?

1 hour ago, arne22 said:

Når du mr Barfoo arbeider med OT systemer, hva er det da du konkret gjør og hvuilke kometanskrav er det du oppfyller, er du fagarbeider eller er du installatør eller maskinbygger, med et overordnet faglig ansvar i en bedrift?

Fagansvarlig for sikkerhet i komplekse automasjonssystemer med et par hundre deltagere i kommunikasjonsnettet, med 10-15 ulike subnet. Leverer et hundretalls slike nett i året.

Ingen har nevnt formelle kompetansekrav for meg, og det er heller ikkje relevant. Det einaste relevante er å dokumentere at en oppfyller standarder, t.d. IEC62443-3-3.

1 hour ago, arne22 said:

Kan du legge fram et lite eksempel på et prosessnettverk der du benytter IPv6 og beskrive litt av prisnippene for hvordan du vil dokumentere, risikovurdere og verifisere sikkerheten i anlegget, ut i fra de formelle lovgitte kravene som gjelder. (Mange moderne fagprøver i automatikerfaget inneholder no noe av dette, minus IPv6, slik at dette skulle være basic.)

Som sagt - ingen relevant skilnad frå IPv4, utover at adresseformatet er anna. Dokumentasjon vil verre identisk, utover adresseformat etc.

Lenke til kommentar
On 6/19/2023 at 12:01 AM, kpolberg said:

@arne22 er det du som står bak cyberskole.no og cyberkurs.no ? Endel av linkene ser ihvertfall ut til å gå igjen.

Hvordan skal du kunne holde kurs innen IT, OT, IoT etc, når du ikke klarer å svare på enkle spørsmål rundt IPv4 og IPv6?

@arne22 Er det du som står bak cyberskole.no og cyberkurs.no?

Lenke til kommentar
On 7/9/2023 at 2:49 AM, barfoo said:

Fagansvarlig for sikkerhet i komplekse automasjonssystemer med et par hundre deltagere i kommunikasjonsnettet, med 10-15 ulike subnet. Leverer et hundretalls slike nett i året.

Ingen har nevnt formelle kompetansekrav for meg, og det er heller ikkje relevant. Det einaste relevante er å dokumentere at en oppfyller standarder, t.d. IEC62443-3-3

Hvis dette er sant så kan det nok hørew ut som at du jobber i et piratfirma som driver svart arbeid i ganske stor skala.

Her har du en oversikt over det viktigste regelverket som gjedr for de lovlige firmaene i Norge og EU som leverer lovlige produkter og lovlige tjenester. (Regelverket er litt forskjellig for elenergiområdet, men ellers i prinsipp likt.) De som har en fagutdanning innenfor elektrofagene kjenner nok timelig godt til dette.

Krav til personellkompetanse.

Tekniske krav til uførelse av bygningsinstallasjoner.

Tekniske krav til Ekominstallasjoner:

Tekniske krav til Maskiner med elektriske installasjoner.

Krav tilteknisk utstyr.

Tekniske og funksjonelle krav om cybersikkerhet.

Dette er jo bre en oppsummering av mest setrale og det viktigste. Det finnes jo mange flere bransjerettede krav og også mange flere krav som går på detaljniå. Når man jobber som elektrofaglig og/eller automasjonsfalgig ansvarlig i en bedrift så er noe av kravet at man kan regelverket godt og at man kan vurdere og forebygge all risiko ut i fra en helhetlig situasjonsforståelse.

En av de grunnprinsippene som man, eller i alle fall jeg har pleid å jobbe ut i fra, det er at man har en fortløpende dialog med tilsyns/fagmyndigheter og leverandører og at man dokumenterer alle arbeider ut i fra det som leveres av dokumentasjon fra leverandørene og den dokumenasjon som man utarbeider selv.

Risikovurdering og forebyggelse av risiko i forbindelse med Cyberangrep må skje ut i fra en helhetsvurdering og ut i fra summen av alle risiko og krav til sikkerhet, til sammen.

Hvis man skal diskutere om man skal arbeide innenfor de lovgitte rammene som gjelder, eller ikke, da har vel diskusjonen ikke så veldig mye for seg. Det blir vel eventuelt bare noe for diskusjon.no

 

Lenke til kommentar
15 minutes ago, arne22 said:

Her har du en oversikt over det viktigste regelverket som gjedr for de lovlige firmaene i Norge og EU som leverer lovlige produkter og lovlige tjenester. (Regelverket er litt forskjellig for elenergiområdet, men ellers i prinsipp likt.) De som har en fagutdanning innenfor elektrofagene kjenner nok timelig godt til dette.

Eg ba deg vere konkret. Kva i ekomforskrifta er det som er relevant for automasjonsnett? FEL er komplett irrelevant i så måte.

15 minutes ago, arne22 said:

Hvis man skal diskutere om man skal arbeide innenfor de lovgitte rammene som gjelder, eller ikke, da har vel diskusjonen ikke så veldig mye for seg. Det blir vel eventuelt bare noe for diskusjon.no

Dei lovgitte rammene er i praksis så vide på sikkerhetsfeltet at dei i all praksis ikkje er interessante.

Forøvrig veldig interessant at du vel å ikkje svare på om du står bak dei to nettsidene.

Endret av barfoo
Lenke til kommentar

Hvis man skal diskutere OT og automasjonsfag da må man kunne regelverket som helhet og de prinsippene som gjelder for elektrofagene i Norge og i Europa. Det er nevnt over at det helt primære regelverket for automasjonsfaget, isolert sett, er Maskinforskriften og for praktisk utførelse NEK EN 60204-1. Ekomforskriften og NEK 700  gjelder for Ekomdelen av anlegget. NEK EN 60204-1 er også basert på IEC 60204-1, slik at dette i praksis er en verdensstandard. Maskinforskriten er basert på EU sitt Masindirektiv.

Det vil være meningsløst og bortkastet tid å skulle diskutere OT og automsjonsfag, uten at den man diskuterer med har en helhetlig, grunnleggende forståelse for hva slags regelverk som gjelder, for krav til sikerhet og hvordan elektrofagene fungerer i Norge og i Europa.

Tenker vi setter et punktum for diskusjonen der, i alle fall for min del.

 

Endret av arne22
Lenke til kommentar
39 minutes ago, arne22 said:

Hvis man skal diskutere OT og automasjonsfag da må man kunne regelverket som helhet og de prinsippene som gjelder for elektrofagene i Norge og i Europa. Det er nevnt over at det helt primære regelverket for automasjonsfaget, isolert sett, er Maskinforskriften og for praktisk utførelse NEK EN 60204-1. Ekomforskriften og NEK 700  gjelder for Ekomdelen av anlegget. NEK EN 60204-1 er også basert på IEC 60204-1, slik at dette i praksis er en verdensstandard. Maskinforskriten er basert på EU sitt Masindirektiv.

Eg ber deg vere konkret. Kva i ekomforskrifta er det som er relevant for automasjonsnettverk?

Og igjen. Er du personen som driv cyberkurs.no? Arne Gylseth? Ja eller nei?

Endret av barfoo
Lenke til kommentar
7 minutes ago, kpolberg said:

Har du sett på virkeområde i linkene du henviser til?

Nei, sjølvsagt har han ikkje det. Fyren henviser jo til ei jævla forskrift om korleis EU skal handtere cybernagrep!

Det er gish gallop; kast ut irrelevante lenker og håp at ingen andre har sett dei før.

Lenke til kommentar
  • Kobler man på PLS eller styresystemer kan man fort havne under FEL.
  • Trekker man kabing for signalering er man fort innunder EKOM.

Jobber man med kommunikasjonen på de to forrige punktene faller man ikke under noen av de regelverkene.

NEK400 går på hvordan man bygger opp elektriske anlegg for å unngå skade på folk og bygninger. Denne dekker ikke datakommunikasjon på noen som helst måte. NEK700 er nærmere, men denne dekker fysisk kabling og bryr seg ikke filla om hva du dytter over kablene.

Slutt å namedroppe tilfeldige standarder som ikke er relatert til emnet.

  • Liker 1
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...