Автоматизация Росатома

78685

Предыстория:
в последние месяцы был обнаружен новый достаточно развитый вирус, названный Stuxnet. Особенностью его является нацеленность на поражение очень специфичного софта: производственных АСУ Siemens. Грамотно написанное malware якобы способно вредить вплоть до вывода из строя оборудования путём отдачи неправильных команд. Считается, что конкретной мишенью были объекты иранской ядерной программы (и что определенный эффект был достигнут) . Это конечно же заставляет подозревать в создании вируса Совет Сионских Мудрецов etc, не суть важно. В общем, данному вирю посвящены статьи:
http://www.computerra.ru/own/kiwi/564744/
http://www.computerra.ru/own/kiwi/565316/

В комменты немедля набежали знатоки с заявлениями о том, что аффтар-мудак ничего не знает о промышленных системах, где якобы и не пахнет виндой. В ответ на это возник Анонимус, представившийся одмином одного из предприятий Росатома и доставил следующее (далее речь Анонимуса) :
____________________
Так, друзья, хохочущие и неверящие. Давайте знакомиться: инженер группы поддержки программных средств цехов основного производства по производству ТТ (Топливных Таблеток ТВЭЛ (Тепло-Выделяющих ЭЛементов) и ТВС (Топливно-Выделяющих Сборок) Новосибирского Завода ХимКонцентратов, входящего в структуру ОАО ТВЭЛ и в Госкорпорацию "РосАтом". По простому - эти цеха производят весь техпроцесс, начиная от получения порошка диоксида урана до упаковки и отправки потребителям готовой продукции. А я в них обслуживаю технику и АСУТП.
Итак, друзья, вот вам факты:
I. Разработка:
1) Новые автоматизированные линии по сборке ТВЭЛ работают именно под управлением WinСС под Windows.
2) Я их только обслуживаю - разрабатывали "всем миром", т.е. различные цеха, лаборатории и отделы нашего завода, различные НИИ Новосибирского Академгородка, Томска и Москвы, коллеги с других заводов, входящих в ГК "РосАтом", а также приглашенные "варяги-аутсорсеры".
3) Унификация минимальна и лишь между ЛСУ (локальными системами управления, сиречь установками) и "верхним уровнем", сиречь АСУТП, есть набор алгоритмов взаимодействия, кривенький такой.
4) ВСЕ ЛСУ отличаются друг от друга как интерфейсно, так и по выбранному "железу". И построены на куче систем от того же Step 5/7 до С++.
5) Кто на чем научился кодить, тот на том и писал. Если "старшему программисту" скоро на пенсию, у него внуки и дача - чего вы от него ждете, скорейшего освоения .NET и C#?
6) Разрабатывая проект на своей WinXP с админскими правами, задумался ли хоть кто-нибудь о модели безопасности, хотя бы использовать стандартные виндовские ограничения прав пользователя? Нет - неудобно же.
7) При этом каждый "разработчик" пытался урвать свою долю от внедрежа, а стоимость линий уже перевалила за миллиард. И сделать на чем-то непохожем на остальное - это значит получить баблос "за новизну", даже если это сделано на FoxPro 2.6 для MS-DOS (такое тоже есть, да-да).
II. Эксплуатация в сети:
1) На клиентских компьютерах - WinXP, на серверах - Win2003.
2) Везде настроены автологоны, ибо разработчикам вломы было перелогиниться на этапе "настройки", да так и закрепилось.
3) Все эти ПК соединены в сеть с доменом, в которой кроме данных технологических ПК находятся и другие, с других участков, управляющие другими контроллерами/процессами.
4) Доменный пользователь, под которым работает проект, обладает правами локального администратора на ВСЕХ ПК.
5) И НА СЕРВЕРАХ ТОЖЕ - для вашего удобства.
6) На всех ПК, ВКЛЮЧАЯ СЕРВЕРА, установлен RAdmin для удобства. И Viewer для еще большего удобства. Зацикленные экраны - обычное дело.
7) Стандартный виндовый терминал и RDS тоже доступны без ограничений. Сервера тоже в деле.
8) Пароль на Radmin состоит из названия соответствующего продукта Siemens.
9) Пароль к настройкам проекта состоит из русского слова, записанного английскими буквами (недлинного).
10) На каждом ПК лежит бумажка с табельными номерами и паролями работников и контролеров, чтобы не беспокоить людей по мелочам.
11) USB и DVD никак не защищены - вставляй что хочешь. Авторан не отключен.
12) Проект запускается из обычной виндовой шары. Порушить проект может каждый, освоивший удаление файлов в винде.
III. Обслуживание:
1) До недавнего времени (конкретно - до осени прошлого года) на ПК и серверах не было антивирусной защиты. Совсем. Потому что разработчикам казалось, что антивирус мешает работе столь RT-требовательной системы.
2) После занесения и лавинообразного распространения kido примерно через пару недель опомнились. И в течении еще двух месяцев(!) поставили везде KAV 6.0. Ибо именно его закупили те, кому положено закупать ПО (повторяю: осень 2009).
3) При этом довольно часто возникают ситуации, когда что-либо не работает, то приглашенный разработчик просто восстанавливает систему из образа, где антивируса нет (сохранил себе когда-то на флешку) и эпопея с kido начинается по новой.
4) Разработчик не считает нужным уведомлять, а тем более спрашивать об этом нас.
5) Предполагаемые по проекту кластеры технологических и серверов УБД не используются ввиду сложности настройки и отсутствия соответствующих специалистов, используется один сервер. Резерв лишь "холодный".
6) За лицензии WinCC отданы огромные бабки, что не решило проблем с багами (версия 6 ибо переход на 7 стоит тоже не мало, а ведь "уже уплочено". При этом на всех - и ПК, и серверах, WinCC постоянно ругается на отсутствие лицензии. Видать, "варяги" призажали. Nobody cares - не саботирует работу, и то ладно. Окошко убирается в сторону и все.
7) Документация. Где-то она есть. Но нам ее почему-то передать забыли. И все время (уже несколько лет эксплуатации) обещают "посмотреть и переслать".
8) Сервер виндовых обновлений затух несколько лет назад. Критические (типа от kido) обновляются вручную, остальное - никак.
VI. Общие факты:
1) Обучение не проводится - экономия средств и одновременно попытка удержать персонал, который десяток лет назад взял за моду обучаться, получать сертификаты, а потом сваливать в более хлебные места. Теперь обучения нет совсем. Никакого.
2) Больше всего денег ушло на распил, на саму систему, даже с переоцененными железом и софтом можно было потратить раз в семь меньше. Или в десять - это самая коммерческая из всех тайн.
3) Железо было закуплено сильно заранее, и к моменту начала эксплуатации(!) устарело. Так же как и софт. Сейчас уже вовсю сыпятся HDD.
4) Когда линии были подписаны в опытную эксплуатацию, их детали не были еще даже распакованы из ящиков, в которых приходили с разных мест России.
5) Когда линии были подписаны в промышленную эксплуатацию, они еще даже не были собраны.
6) Когда закончился период сервисного обслуживания "варягов", линии еще не начинали эксплуатироваться. Так, отдельные блоки могли демонстрировать что-то вроде автономной работы. Это не помешало принимать всяких Путиных, Ивановых, Олениных и Зюгановых(! им показывали работу "линии" в начале цикла, а в тот момент, когда высокие гости удалялись "откушать" или на "митинг", подменяли болванками, сделанными на старом советском оборудовании в другом месте.
7) Кстати, во время визитов "высоких гостей" подменяли и персонал, чтобы чумазые работники не невировали гостей и не дай бог высказали случайно лишнего. Прибывшие на выручку были как один (одна) моделями в белоснежных балахонах, но о работе линий не имели не малейшего понятия. Зато картинка для новостей.
8) Сейчас "варяги" готовы устранить выявленные недостатки (работа для опытной эксплуатации и сервисного обслуживания но за очень хорошее бабло. Которого нет.
9) За время "внедрения" линий завод сменил 3-х гендиректоров и уйму замов по производству, как "не справившихся". Но они не в обиде - таких денег пра-пра-пра-пра-правнукам хватит.
Для тех, кто уже забыл начало теста - мы производим ядерное топлииво. В том числе для иранского Бушера.

78685

З. Ы. Если сие правда, то у них проблемы с безопасностью не только на уровне компьютеров, лол

Nefertyty

типичное дело (из обсуждения stuxnet на slashdot)
айтишник мыслит совсем не так, как инженер
если специалиста по безопасности ит поставить на настройку этих сборочных линий - они будут простаивать очень часто
если инженера поставить настраивать сервера - будет примерно как описано тут (с точностью до уровня пофигизма менеджмента)

78685

ну здесь похоже верх одержали инженеры + манагеры. Возможно за отсутствием противника как такового
что несколько одиозно, учитывая потенциальную опасность аварий на АЭС, если они случайно или неслучайно сделают говнотопливо

Nefertyty

у здесь похоже верх одержали инженеры + манагеры
немудрено, потому что если победят айтишники, не будет производиться готовый продукт
причём несмотря на такой феерический бардак, российский атомпром делает определённые успехи, захватывает рынки, все дела - значит, у конкурентов дела примерно так же обстоят (не в смысле вида бардака, а в смысле его масштаба)

a100243

немудрено, потому что если победят айтишники, не будет производиться готовый продукт
бред. айтишники тоже умеют планровать уровень рисков и не скатываться в паранойю. Ты, кстати, посомтри на винду, её же айтишники писали, а глюков столько, что по твоим словам их могли только инженеры изобрести

Logon

Не специалист и половины терминов не понял, но судя по общему настрою - Винда скоро завоюет весь мир?
Типа Майкрософт везде и ничего сделать с этим нельзя?

lenmas

+1
Из-за заскоков итшников часто стоит работа. Ихнее программное обеспечение по обеспечению поточного проектирования жутко тормозит. Из-за того, что эта приблуда не имеет стабильной версии, не дают устанавливать на 64-битный процессор 64-битные ОС и соответственно не используется по полной возможность улучшения расчетов. Про линухи вообще страшный вой сразу поднимают.
Вот так и живем :)

lenmas

что несколько одиозно, учитывая потенциальную опасность аварий на АЭС, если они случайно или неслучайно сделают говнотопливо
Топливо не так критично, все-таки таблетки мелкие, можно их будет нейтрализовать. А вот если систему управления так запалить, вот тогда и жахнет.

Kraft1

Ты, кстати, посомтри на винду, её же айтишники писали, а глюков столько
Где глюки-то?

lenmas

Где глюки-то?
Они кругом! :)

algurov

ниже тебя написал один из самых главных побочных глюков: человек, познакомившийся с ПК и Интернетом, в основном благодаря Виндоус.

Ryfargler

они разве не вручную ТВЭЛ набивают таблетками?

Enery

человек, познакомившийся с ПК и Интернетом, в основном благодаря Виндоус.
После такого человек на всю жизнь может остаться инвалидом в ИТ.

roman05

ниже тебя написал один из самых главных побочных глюков: человек, познакомившийся с ПК и Интернетом, в основном благодаря Виндоус.
Нипонял. У виндовса какой-то свой, особенный, интернет?

raushan27

Нипонял. У виндовса какой-то свой, особенный, интернет?
Синенький

strelok69

Нипонял. У виндовса какой-то свой, особенный, интернет?
ага, в нём нормально флеш пашет :grin:

algurov

ты хочешь сказать, что надо пользоваться другими ОС?

algurov

не Интернет свой, а познакомился он через ПК, где православный виндоус стоит.

Enery

ты хочешь сказать, что надо пользоваться другими ОС?
Начинать знакомиться с ПК и Интернетом лучше с других ОС. Особенно тем кто планирует грамотно работать с ИТ.
Оставить комментарий
Имя или ник:
Комментарий: