سخنرانی چالش های امنیتی در سامانه های سایبر-فیزیکی (با محوریت تحلیل جریان اطلاعات در خطوط لوله نفت و گاز) در ششمین کنفرانس فناوری اطلاعات و ارتباطات در نفت، گاز ،پالایش و پتروشیمی در 27 دی  در مرکز همایش های بین المللی شهید بهشتی  تهران با حضور مدیران، متولیان و متخصصین شبکه های کنترل صنعتی صنایع مربوطه برگزار گردید و مورد استقبال مطلوبی در این کنفرانس و فضای مجازی قرار گرفت. در پایان این سخنرانی مصاحبه ای از سوی دبیرخانه محترم کنفرانس و جناب آقای منصور گنجی (ماهنامه شبکه)  انجام گرفت که ضمن تشکر از جناب گنجی بزرگوار و جناب  بیدختی عزیز،  شما را به  مشاهده ویدئوی این مصاحبه دعوت می‌کنم.

برخی سوالات که در این مصاحبه به آن پرداخته شد :

 

 

 

  • مختصری از  مقدمه سخنرانی مربوطه (بخش چالش های امنیتی در صنایع کشور)...؟
  • برخی راهکارها پیشنهادی برای صنایع و زیرساخت های حیاتی...؟ 
  • برخی راهکارها برای علاقه مندان و گروه هایی که به دنبال فراگیری امنیت در حوزه اتوماسیون صنعتی(صنایع و سامانه های کنترل صنعتی آنها) اند ...؟

 

لینک مشاهده و دانلود مصاحبه در آپارات

 

لینک مشاهده فایل ارائه

پاسخ به برخی سوالات مطرح شده :

 (1)آرش امامی: 

" سلام جناب احمدیان، مصاحبه شما رو دیدم در کنفرانس فناوری اطلاعات و ارتباطات در نفت، گاز.مصاحبه خیلی خوبی بود.فقط یک سوال برای پیش آمد که اگر اشتباه نکنم شما فرمودید که بهتر است سیستم عامل ها و نرم افزارها و فرایند ها و... که در شرکت ها و کارخانه ها و صنعت استفاده میشود، بصورت خصوصی وناشناس برای عموم باشدتا هکرها به نقطه ضعف های این سیستم ها پی نبرند چون اطلاعی نخواهند داشت که چه نوع سیستم هایی استفاده شده. و یا در جایی دیگه فرمودید که اطلاعات پرسنل و یا موارد دیگر نباید در اینترنت قرار گیرد. خواستم بپرسم که آیا منظور شما از این راحکار مفهوم "Security through obscurity"هست؟واگر این هست به همچنین سیستمی میشه اعتماد کرد؟"ویا اینکه من اشتباه متوجه شدم "

سلام جناب امامی عزیز. ممنون از لطفتون. ممنون از بحثی که مطرح کردید (در این مورد در این پست وبلاگ مفصل صحبت کردم، زمانی اصل کرکهفس را رعایت می کنیم که بر روی دارایی ها ارزیابی امنیتی و مقاوم سازی انجام داده باشیم، زمانی که نرم افزارها و سایر دارایی های ما فاقد هیچ رویه امن سازی و ارزیابی هستند ترجیحا عدم افشاء انها توصیه می شوددر ضمن راهبرد Security through Obscurity به عنوان یکی از راهبردهای امنیتی و در کنار آنها توصیه می شود اما قطعا به تنهایی اصلا کافی نیست!). بحثم روی وضعیت کنونی سیستم ها و صنایع داخلی بود و تنها پارامتر مورد توجه در این ارائه صرفا محرمانگی بود، اگر حملاتی مثل استاکسنت یا Industroyer را مد نظر قرار دهیم قطعا تایید می کنیم که چقدر تک تک اطلاعات مورد نظر می تواند برای مهاجمین در طراحی مسیر حمله مفید باشد. 

با سپاس فراوان از شما

ارادتمند شما، م. م. احمدیان

 

"درست میفرمایید زمانی که نرم افزارها فاقد رویه های امن سازی هستند راه دیگری نمی ماند بجز مخفی نگهداشتن نرم افزارها و دور کردن انها از اینترنت.

 

چون توی صحبت ها از این پیش فرض صحبتی نشد برای من سوال پیش امد"

 

بله حق با شماست، البته چون فرصت نمی شد و مخاطبین این مصاحبه عام بود وارد جزئیات امنیتی نشدم اما اتفاقا در دوره های آموزشی ام یکی از اشتباهات امنیتی رایج را همین مسئله که شما مطرح کردید معرفی می کنم و بالغ بر بیست دقیقه از مصادیق آن صحبت می کنم. با سپاس از دقت نظر شما

 

 

 

مطالب مرتبط: