Алексей Лукацкий. Презентация - Безопасность критических инфраструктур. Тренинговый курс ПИР-Центра, 18.03.2014
Upcoming SlideShare
Loading in...5
×
 

Алексей Лукацкий. Презентация - Безопасность критических инфраструктур. Тренинговый курс ПИР-Центра, 18.03.2014

on

  • 104 views

Презентация доклада "Безопасность критических инфраструктур" была подготовлена консультантом по ...

Презентация доклада "Безопасность критических инфраструктур" была подготовлена консультантом по информационной безопасности Cisco Systems Алексеем Лукацким специально для тренингового курса ПИР-Центра «Глобальное управление интернетом и информационная безопасность для молодых специалистов», который прошел в Москве, Россия 17-19 марта 2014 г.

В презентации освещаются вопросы обеспечения информационной безопасности и кибербезопасности критических инфраструктур, сопоставляются национальные и международные подходы и практики нормативного регулирования в данной области, классифицируются основные типы угроз и примеры инцидентов с данными типами объектов, суммируются рекомендации по развитию данного направления регулирования на национальном и международном уровне.

Statistics

Views

Total Views
104
Views on SlideShare
92
Embed Views
12

Actions

Likes
0
Downloads
6
Comments
0

1 Embed 12

http://pircenter.org 12

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Алексей Лукацкий. Презентация - Безопасность критических инфраструктур. Тренинговый курс ПИР-Центра, 18.03.2014 Алексей Лукацкий. Презентация - Безопасность критических инфраструктур. Тренинговый курс ПИР-Центра, 18.03.2014 Presentation Transcript

  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 1/139 Безопасность критических инфраструктур Алексей Лукацкий Бизнес-консультант по безопасности, Cisco
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 2/139 Атака на Газпром §  1982 – ЦРУ встроила логическую бомбу в АСУ ТП, украденную советскими шпионами, и используемую на газопроводе СССР §  Один из первых примеров применения кибервойн и атак на критические инфраструктуры в противодействии государств
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 3/139 Червь на атомной электростанции (США)
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 4/139 …и его последствия
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 5/139 Червь Stuxnet §  В июле 2010 года эксперты обнаружили на ряде иранских атомных электростанций червя для систем АСУ ТП §  Предполагается, что заражение произошло еще в июне 2009 года §  Первый червь, заражающий программируемые контролеры (PLC) §  Подвержены АСУ ТП Siemens Страна % АЭС Иран 58,85% Индонезия 18,22% Индия 8,31% Азербайджан 2,57% США 1,56%
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 6/139 Что объединяет все эти примеры?
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 7/139 “Ничто так не мешает прогрессу знания, как расплывчатость терминологии.” Томас Рейд, шотландский философ © 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 8/139 Термины и определения: КВО 2007 •  Критически важный объект – объект, оказывающий существенное влияние на национальную безопасность РФ, прекращение или нарушения деятельности которого приводит к чрезвычайной ситуации или к значительным негативным последствиям для обороны, безопасности, международных отношений, экономики, другой сферы хозяйства или инфраструктуры страны, либо для жизнедеятельности населения, проживающего на соответствующей территории, на длительный период времени 2014 •  Критически важный объект - объект, нарушение или прекращение функционирования которого может привести к потере управления экономикой Российской Федерации, субъекта Российской Федерации или административно- территориальной единицы, ее необратимому негативному изменению (разрушению) либо существенному снижению безопасности жизнедеятельности населения, проживающего на этих территориях, на длительный период времени
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 9/139 Термины и определения: КИИ 2007 •  Ключевая (критически важная) система информационной инфраструктуры – информационно- управляющая или информационно- телекоммуникационная система, которая осуществляет управление критически важным объектом (процессом), или информационное обеспечение таким объектом (процессом), или официальное информирование граждан и в результате деструктивных действий на которую может сложиться чрезвычайная ситуация или будут нарушены выполняемые системой функции управления со значительными негативными последствиями 2014 •  Критическая информационная инфраструктура Российской Федерации – совокупность автоматизированных систем управления производственными и технологическими процессами критически важных объектов и обеспечивающих их взаимодействие информационно- телекоммуникационных сетей, а также информационных систем и сетей связи, предназначенных для решения задач государственного управления, обеспечения обороноспособности, безопасности и правопорядка
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 10/139 Разница подходов России и всего мира §  «Система признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий» Документ Секретаря Совета Безопасности от 08.11.2005 §  Распоряжение Правительства от 23.03.2006 №411-рс «Перечень критически важных объектов Российской Федерации» §  Международная и российская терминология не всегда соответствуют друг другу Критическая инфраструктура – критический объект / ключевая система Кибербезопасность – Информационная безопасность
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 11/139 Последние изменения – неразбериха в терминах даже внутри России §  Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации 2012 §  Постановление Правительства №861 от 02.10.2013 §  Законопроект по безопасности критических информационных инфраструктур Будет вноситься в ГД в апреле 2014
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 12/139 Инфраструктура §  Собирательный термин «инфраструктура» охватывает людей, организации, процессы, продукты, услуги и информационные потоки, а также технические и структурные сооружения и конструкции, которые в индивидуальном порядке или в составе сети, включены в обеспечение функционирования общества, экономики и государства The Federal Council’s Basic Strategy for Critical Infrastructure Protection, Швейцария §  3 уровня инфраструктуры Сектора Под-сектора Индивидуальные объекты/элементы
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 13/139 Критическая…. что? §  Каждое государство имеет свой список инфраструктур, классифицируемых как критические Сектор Инфраструктура Система
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 14/139 Что такое критичная инфраструктура? §  Критическая инфраструктура – инфраструктура, нарушение, отказ или разрушение которой, могло бы оказать серьезное влияние на здоровье населения, общественные и политические дела, окружающую среду, безопасность и социально- экономическое благополучие The Federal Council’s Basic Strategy for Critical Infrastructure Protection, Швейцария
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 15/139 Единого термина не существует, что осложняет сотрудничество §  Термин «критичная инфраструктура» не имеет устоявшегося толкования и каждое государство привносит в него свой смысл и свою специфику
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 16/139 Что определяет критичность? §  Влияние на другие сектора экономики (зависимость) §  Влияние на население §  Влияние на экономику §  Влияние на национальную безопасность §  3 критерия критичности Критическое количество Критическое время (скорость, длительность…) Критическое качество
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 17/139 Категорирование объектов КИИ в РФ §  Субъекты КИИ на основании установленных критериев и в соответствии с утвержденными показателями этих критериев, осуществляют отнесение принадлежащих им на праве собственности или ином законном основании объектов КИИ к установленным категориям §  Критерии критерий экономической значимости критерий экологической значимости критерий значимости для обеспечения обороноспособности критерий значимости для национальной безопасности критерий социальной значимости критерий важности объекта КИИ в части реализации управленческой функции критерий важности объекта КИИ в части предоставления значительного объема информационных услуг
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 18/139 Зависимость инфраструктур
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 19/139 Зависимость: бóльшая детализация
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 20/139 Безопасность и здоровье населения Отключение клиентов Длительность отключений Стабильность электропитания Удар по генерирующим мощностям Очень серьезные последствия Многочисленные смерти и травмы 250,000 > клиентов Месяцы Основные линии электропередачи >10,000 Mw put offline Серьезные последствия Вероятные смерти или серьезные травмы 100,000 > клиентов Недели Ограниченные нарушения между местами >1,000 Mw put offline Слабые последствия Неопасные для жизни травмы Тысячи клиентов Дни Временные «островки» >100 Mw put offline Незначитель ные последствия Ни один из вариантов Сотни клиентов Часы Нет воздействия Допустимое отключение Категории последствий Тяжестьпоследствий Влияние на население и экономику §  В России показатели критериев пока не определены
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 21/139 Формы потерь •  Простои •  Ухудшение психологического климатаПродуктивность •  Расследование инцидента •  PR-активностьРеагирование •  Замена оборудования •  Повторный ввод информацииЗамена •  Судебные издержки, досудебное урегулирование •  Приостановление деятельностиШтрафы •  Ноу-хау, государственная, коммерческая тайна •  Отток клиентов, обгон со стороны конкурентаКонкуренты •  Гудвил •  Снижение капитализации, курса акцийРепутация
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 22/139 Что такое критическая инфраструктура?
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 23/139 Критические инфраструктуры Японии
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 24/139 Критические инфраструктуры Швейцарии (от 31 в 2009 к 28 в 2011)
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 25/139 Как определить критическую (важную) систему? В Японии «инфраструктура» – критическая, а «система» - важная
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 26/139 В России раньше было так §  Государственной автоматизированной системой «Выборы» §  Системами органов государственной власти §  Автоматизированными системами управления войсками и оружием §  Спутниковыми системами, используемыми для обеспечения органов управления и в специальных целях §  Системами органов управления правоохранительных структур §  Средствами и системами телерадиовещания и другими системами информирования населения §  Общегосударственными кадастрами и базами данных справочной информации §  Магистральными сетями связи общего пользования и сетями связи общего пользования на участках, не имеющих резервных или альтернативных видов связи §  Программно-техническими комплексами центров управления сетей связи §  Системами финансово-кредитной и банковской деятельности - расчетно-кассовые системы, системы электронных платежей, информационные системы сбора обязательных платежей в бюджет, информационные системы учета и распределения бюджетных поступлений и расходов §  Системами управления добычей и транспортировкой нефти, нефтепродуктов и газа §  Системами управления водоснабжением, водонапорным и гидротехническим оборудованием §  Системами управления энергоснабжением §  Системами управления транспортом §  Системами управления потенциально опасными объектами §  Системами предупреждения и ликвидации чрезвычайных ситуаций §  Географическими и навигационными системами §  И другими системами, влияющими на национальную безопасность страны
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 27/139 Опасности для критических инфраструктур
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 28/139 Категории опасностей §  Природные опасности Наводнения, землетрясения, ураганы, молнии и т.п. §  Технические опасности §  Социальные опасности Войны, вооруженные нападения, диверсии, эпидемии и т.п. §  Опасности, связанные с укладом жизни Злоупотребление наркотиками, алкоголь, сектантство и т.п. §  ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем»
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 29/139 Что такое угроза? §  Потенциальная причина инцидента, который может нанести ущерб системе или организации ГОСТ Р ИСО/МЭК 13355-1:2006, ГОСТ Р ИСО/МЭК 27002 §  Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации ГОСТ 50.1.056-2005 §  Возможная причина нежелательного инцидента, который может закончиться ущербом для системы или организации ISOIEC 13355-1:2004, ГОСТ Р ИСО/МЭК 27002
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 30/139 Угрозы CI (японская версия) §  Угроза – любой фактор, который может привести нарушению работоспособности ИТ Япония
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 31/139 Угрозы CI (версия US NERC) §  Террористическая атака на инфраструктуру электроэнергетики, которая получает широкое распространение, долгосрочные перебои в подаче электроэнергии, которые наносят вред жизни и здоровью человека, влекут экономические последствия, наносят вред другим гражданским, военным и промышленным объектам Физические атаки Кибератаки Отключение / нарушение работы CI Получение контроля над CI
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 32/139 В России нет устоявшегося термина §  Компьютерная атака – целенаправленное воздействие на информационные ресурсы программно-техническими средствами, осуществляемое в целях нарушения безопасности информации в этих ресурсах §  Компьютерный инцидент – факт нарушения (или прекращения) функционирования объекта КИИ РФ, в том числе вызванный компьютерной атакой §  Нарушение функционирования КИИ РФ – отрицательные последствия целенаправленного и/или случайного воздействия на объекты КИИ РФ, выразившиеся в утечке, хищении, утрате, подделке, искажении и несанкционированном доступе к информации, а также в отклонении от установленных эксплуатационных пределов и условий функционирования объектов КИИ РФ §  А в документах ФСТЭК упоминается термин «угроза АСУ ТП»
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 33/139 Триада угроз Военно-политические Экономические Террористические §  На международном уровне принято выделять триаду угроз §  Угрозы могут пересекаться между собой и входить сразу в несколько категорий
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 34/139 Эволюция угроз §  До 2000: внутренние угрозы §  2000—2005: ВПО – в основном, черви §  2006—2008: взлом ради выгоды §  2008+: кибервойны? 20% Случайные 5% Прочие 31% Внешние 31% Случайные 38% Внутренние Типы инцидентов (1982—2000) Типы инцидентов (2001—2003) 5% Внутренние 70% Внешние
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 35/139 Насколько велики риски? §  Сведения публикуются о менее чем 1% (0,25%) инцидентов Возможен ущерб репутации и снижение котировок акций §  Риск = вероятность угрозы X возможные последствия §  Выбираемые цели характеризуются бóльшим ущербом, чем легкодоступные цели 79% Случайность 21% Саботаж 12% Случайность 4% Саботаж 8% Прочее 8% Взлом 68% ВПО Источник: Eric Byres, BCIT Ущерб < 100 000 долл. США Ущерб > 100 000 долл. США
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 36/139 Зарубежные покупки Китаем активов ТЭК и кибератаки на них Framework for LNG deal with Russia LNG deal with Uzbekistan LNG deal with Australia LNG deal with Australia LNG deal with France Finalization of South Pars Phase 11 with Iran LNG deal with QatarGas LNG deal with QatarGas LNG deal with QatarGas LNG deal with Shell LNG deal with Exxon Shale gas deal with Chesapeake Energy in Texas Aggressive bidding on multiple Iraqi oil fields at auction Purchase of major stake in a second Kazakh oil company China-Taiwan trade deal for petrochemicals Purchase of Rumaila oil field, Iraq, at auction McKay River and Dover oil sands deal with Athabasca, Canada Development of Iran’s Masjed Soleyman oil field Oil development deal with Afghanistan Purchase of major stake in Kazakh oil company 2012201120102009 20132008 Shady  RAT   (  U.S.   natural  gas   wholesaler)     Night  Dragon   (Kazakhstan,  Taiwan,    Greece,  U.S.)    
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 37/139 §  В 50% случаев использовались подключения сети PCN к корпоративной сети §  В 17% случаев использовались подключения сети PCN к Интернету Источник: Eric Byres, BCIT Векторы атак 3% Беспроводные сети 7% Сети VPN 7% Модем для коммутируемых линий 7% Телекоммуникационная сеть 10% Доверенное подключение сторонних систем (Включая зараженные ноутбуки, рост продолжается) 17% Непосредственно Интернет 49% Корпоративная сеть
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 38/139 Это не теория! §  В 2001 году австралийский хакер был приговорен к 2 годам тюремного заключения за свою атаку на систему управления канализацией в Брисбене, которая привела к сбросу 1 млн литров нечистот на территории отеля Hyatt Regency Resort §  Витек Боден, сотрудник компании, установившей компьютеры, запустил атаку в качестве мести за то, что его не восстановили на работе после увольнения §  Боден использовал ноутбук, радиооборудование и программные средства для проникновения в систему управления канализацией и перепрограммирования насосов. Он был признан виновным в 46 случаях взлома
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 39/139 Новые угрозы для CI/M2M: уровень 1 §  Часто самописные (проприетарные) решения, не базирующиеся на сложных или универсальных микросхемах и чипах Низкая цена, быстрый выход на рынок (за счет меньшего функционала) §  Низкое энергопотребеление §  Миниатюризация §  Отсутствие специалистов по безопасности ИТ ≠ безопасность Микро- контроллер GSM- модуль SIM RS-232 USB ISO 7816
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 40/139 Новые угрозы для CI/M2M: уровень 2 §  Помимо защиты самого M2M-устройства требуется обеспечить защиты передаваемых данных и получаемых команд на всем протяжении пути
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 41/139 Угрозы беспроводным соединениям §  Данные передаются в открытом виде (SMS) или шифруются очень слабым алгоритмом (A5 в GSM) §  Возможно создание фальшивых базовых станций
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 42/139 Новые угрозы для CI/M2M: уровень 3 §  «Железо» и ПО содержит закладки §  Контрафактное ПО и «железо» §  Инсталляция ПО и «железа» с уязвимостями §  Stuxnet – флешка или закладка в оборудование?!
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 43/139 Реальная статистика
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 44/139 Где взять реальную статистику и данные об инцидентах? §  В России/СНГ аналогичной базы нет
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 45/139 США и Великобритания – основные пострадавшие
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 46/139 Энергетика, нефтянка, транспорт и водоснабжение – основные жертвы
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 47/139 Основная угроза – вредоносные программы
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 48/139 Инцидент чаще всего обнаруживается в процессе его возникновения
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 49/139 Точка входа инцидента часто не идентифицируется
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 50/139 Контроллеры – основная мишень
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 51/139 TCP/IP – самый распространенный протокол для атаки
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 52/139 Не всегда ущерб измерим (или оценен)
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 53/139 Снижение продуктивности и сбой в операциях – основной ущерб
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 54/139 Распределение по финансовому ущербу
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 55/139 Длительность простоев от инцидентов
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 56/139 Нарушители
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 57/139 Инициатором инцидентов чаще всего становятся вирусописатели
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 58/139 Угрозы критичным инфраструктурам связаны не с деньгами (как правило) §  Основные типы внешних нарушителей – террористы, государства, конкуренты У каждого из них своя мотивация
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 59/139 Деньги – не единственный мотиватор §  Отсутствие желания заработать не означает отсутствие атак Хакерские группировки Anonymous и Lulzsec, американцы Меннинг и Сноуден демонстрируют это в полной мере Кибер- террористы Кибер- воины Хактивисты Писатели malware Старая школа Фрикеры Самураи Script kiddies Warez D00dz Сложность + + + + + Эго + + + + Шпионаж + + Идеология + + + + + Шалость + + + Деньги + + + + + Месть + + + + Источник: Furnell, S. M
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 60/139 Как защищать критичные инфраструктуры?
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 61/139 Что делают многие государства §  Разработка нормативной базы §  Наличие координирующего органа §  Обмен информацией об угрозах и лучших практиках §  Развитие государственно-частного партнерства §  Подготовка квалифицированных кадров в области CI §  Регулярная оценка эффективности принятых мер, разработка метрик и индикаторов §  Разработка планов реагирования на инциденты §  Регулярный пересмотр нормативных документов §  Инициация трансграничного взаимодействия
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 62/139 Обзоры существующих подходов §  Уровень проработанности темы защиты критических инфраструктур зависит от того, насколько государство сталкивалось с актуальными угрозами в данной области А также от желания доминировать в данной сфере
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 63/139 Обзоры существующих подходов §  Австралия §  Корея §  Япония §  Канада §  Нидерланды §  Великобритания §  США
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 64/139 Обзоры существующих подходов §  Оценка выполнения государствами Евросоюза European европейской программы по защите критических инфраструктур Programme for Critical Infrastructure Protection (EPCIP), 2004 §  Оценка деятельности European Public-Private Partnership for Resilience (EP3R) и European Information-Sharing and Alert System (EISAS)
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 65/139 4 столпа стратегии защиты критических инфраструктур
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 66/139 Начинать с повышения осведомленности
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 67/139 И регулярно поддерживать ее уровень §  С 2002 по 2012 год в мире прошло 85 кибер-учений Участвовало 84 государства 71% всех учений прошел в период 2010-2012
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 68/139 От стратегии защиты CI к лучшим практикам и стандартам В России такой документ должен появиться только в 2014-м году
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 69/139 Стандартизация
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 70/139 Интеграция лучших стандартов по ИБ в критические инфраструктуры §  В мае 2006 года в рамках Chemical Sector Cyber Security Program советом по ИТ химической индустрии (Chemical Information Technology Council, ChemITC) в рамках американского совета химической индустрии были предложены рекомендации по информационной безопасности в основу которых легли стандарты ISOIEC 17799 и ISA-TR99
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 71/139 И это не единственный пример §  ISA SP99 §  NERC CIP §  Guidance for Addressing Cyber Security in the Chemical Industry §  NIST PCSRF Security Capabilities Profile for Industrial Control Systems §  IEC 61784-4 §  Cisco SAFE for PCN §  КСИИ ФСТЭК §  Стандарты Газпрома
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 72/139 И еще §  IEEE 1402 «IEEE Guide for Electric Power Substation Physical and Electronic Security» §  IEC 62210 «Initial Report from IEC TC 57 ad-hoc WG06 on Data and Communication Security» §  IEC 62351 «Data and Communication Security» §  FERC Security Standards for Electric Market Participants (SSEMP) §  American Petroleum Institute (API) 1164 «SCADA Security» §  Security Guidelines for the Natural Gas Industry
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 73/139 И еще §  API Security Guidelines for the Petroleum Industry §  API Security Vulnerability Assessment Methodology for the Petroleum and Petrochemical Industries §  American Gas Association (AGA) 12 Cryptographic Protection of SCADA Communications (4 части) §  NIST SP800-82 «Guide to Industrial Control Systems (ICS) Security»
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 74/139 Но проще почитать NIST SP800-82 §  Общим руководством по защите АСУ ТП и выбору необходимого стандарта является руководство NIST SP800-82 Выпущен в июне 2011 года
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 75/139 Как разработать свой стандарт по ИБ критической инфраструктуры? §  Специально для разработки отраслевых стандартов существует набор рекомендаций, которые должны включаться (не забываться) при создании собственного набора требований по безопасности АСУ ТП
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 76/139 Рекомендации ENISA
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 77/139 Субсидиарная ответственность и управление рисками §  Критические инфраструктуры очень часто находятся в частных руках Например, в Швейцарии до 80% §  Нести ответственность за принятие мер и инвестиции в защиту должны все – и государство (за свои инфраструктуры) и бизнес (за свои) А готов ли бизнес вкладываться в то, что не приносит прибыли? Риски Безусловная обязанность
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 78/139 Мы знаем от кого и от чего защищаться! Но как?!
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 79/139 Почему для CI нет защиты?
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 80/139 Безопасность CI vs ИТ-безопасность Вопросы ИБ Традиционные ИТ Критические инфраструктуры Антивирус Широкое применение / общая практика Сложно реализовать / на практике применяется редко Жизненный цикл технологий 3-5 лет До 20 лет и выше Аутсорсинг Широкое применение / общая практика Редко используется Установка патчей Регулярно / по расписанию Долго и редко Управление изменениями Регулярно / по расписанию Наследуемые системы (плохая реализация требования ИБ) Контент, критичный ко времени Задержки принимаются Критично Доступность Задержки принимаются 24 х 7 х 365 (непрерывно) Повышение осведомленности Организовано неплохо Обычно слабо в вопросах ИБ Аудит ИБ Планируется и реализуется третьей стороной Время от времени (после сбоев) Физическая безопасность Безопасности Очень неплохо, но часто удаленно и автоматизировано
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 81/139 Почему нет универсальных подходов к защите? §  Множество используемых протоколов, технологий, процессов, компонентов…
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 82/139 Термин один (Machine-to-Machine, M2M), а технологии разные §  GPS ГЛОНАСС Галилео Beidu §  Видеонаблюдение §  Медицинские датчики §  ЖКХ §  Логистика и транспорт (тахографы) §  Автомобили (умные дороги) §  Электроэнергетика (Smart Grid) §  Метео- и климатические датчики §  «Умный» дом §  Продажи и оплата
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 83/139 И специалистов по ИБ критических инфраструктур почти нет! ИТ-специалисты ИБ-специалисты Специалисты АСУ ТП Специалисты по ИБ АСУ ТП
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 84/139 Средства защиты отстают → нужны компенсационные меры Возможности злоумышленников Возможности защиты Окно уязвимости
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 85/139 Принципы защиты §  Управление рисками §  Принятие во внимание всех опасностей без расстановки приоритетов Природные, технические, социальные… §  Устойчивость Нельзя защититься навсегда и от всего → инфраструктура должна быть устойчивой сама по себе §  Пропорциональность Защитные меры должны быть пропорциональны оценке рисков и целям защиты, включая экономическую целесообразность §  Субсудиарная ответственность
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 86/139 Компоненты технической устойчивости §  Надежность (прочность) системы в целом §  Наличие избыточных элементов §  Способность к мобилизации усилий §  Скорость оказания помощи §  Способность справляться с кризисными ситуациями §  “4R” устойчивости Redundancy, Robustness, Resources, Rapidity
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 87/139 Компоненты социальной устойчивости §  “4E” устойчивости Engagement, Education, Empowerment, Encouragement §  Вовлечение в процесс устранения последствий §  Обучение основам защиты критичных инфраструктур §  Расширение полномочий в случае необходимости §  Поощрение за участие в процессе защиты критичной инфраструктуры
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 88/139 Пример 1: Подход Японии
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 89/139 План действий v1 и v2 §  Первый план действий по ИБ критических инфраструктур в Японии был утвержден 13.12.2005 §  Активное партнерство государства и бизнеса §  10 критических инфраструктур §  Основная задача – минимизация последствий от нарушения функционирования ИТ в критических инфраструктурах
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 90/139 Вовлеченность разных структур §  Секретариат правительства §  Министерства, связанные с критичными инфраструктурами Financial Services Agency, Ministry of Public Management, Home Affairs, Posts and Telecommunications, Ministry of Health, Labour and Welfare, Ministry of Economy, Trade and Industry, and Ministry of Land, Infrastructure and Transport §  Министерства, связанные с информационной безопасностью National Police Agency, Ministry of Internal Affairs and Communications, Ministry of Economy, Trade and Industry and Ministry of Defense), law enforcement ministries (National Police Agency, Fire and Disaster Management Agency, Japan Coast Guard, Ministry of Defense
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 91/139 Вовлеченность разных структур §  Другие связанные агентства National Police Agency Cyberforce, NICT, AIST, IPA, Telecom- ISAC Japan, JPCERT/CC и т.д. §  Провайдеры критических инфраструктур, CEPTOARs и CEPTOAR Council
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 92/139 Обмен информацией (CEPTOAR)
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 93/139 Пример 2: Подход Швейцарии
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 94/139 Регулярное обследование §  4 опасных сценария Землетрясение Пандемия гриппа Нарушение электропитания Отказ информационной инфраструктуры §  Разработана базовая стратегия защиты критических инфраструктур §  www.infraprotection.ch
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 95/139 Базовая стратегия защиты §  Цель – снизить вероятность возникновения и (или) развития ущерба, происходящего по причине разрушения, отказа или уничтожения критической инфраструктуры национального уровня и минимизация времени простоя
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 96/139 Вовлеченность разных структур
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 97/139 Пример 3: Подход Германии
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 98/139 Стратегия и план ее реализации
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 99/139 Дополнительные руководства
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 100/139 Чеклисты для самопроверки и пример оценки рисков
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 101/139 Пример 4: Подход Австралии
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 102/139 Также обмениваются информацией §  Создана и функционирует Trusted Information Sharing Network (TISN) for Critical Infrastructure Resilience 2003 год §  Государственно-частное партнерство
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 103/139 От безопасности к устойчивости §  Стратегия описывает подход австралийского правительства по расширению устойчивости критичных инфраструктур от всех угроз
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 104/139 Кибер-учения §  Регулярные учения «кибер-шторм» §  США, Австралия, Канада, Новая Зеландия §  Отработка совместных действий в случае кибератак на критичные инфраструктуры
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 105/139 Компьютерное моделирование угроз §  Программа Critical Infrastructure Protection Modelling and Analysis (CIPMA) Program – одна из ключевых инициатив австралийского правительства по защите критичных инфраструктур §  CIPMA использует множество различных источников данных для моделирования и симуляции поведения критичных инфраструктур
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 106/139 Пример 5: Подход США
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 107/139 US Control Systems Security Program §  Создание системы национального масштаба для координации усилий государства и частного бизнеса с целью снижения уязвимости и реагирования на угрозы, связанные с системами управления технологическими процессами, связанными с национальной критической инфраструктурой
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 108/139 Обмен информацией через Industry Sector Advisory Committee (ISAC) §  Получение данных об инцидентах §  Взаимодействие с National Infrastructure Protection Center (NIPC) §  Связь с другими ISAC §  Распространение лучших практик и извлеченных уроков §  Взаимодействие с другими секторами экономики §  Участие в киберучениях
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 109/139 Это дает свой эффект
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 110/139 Одна из последних инициатив §  Исполняя распоряжение Президента США EO13636 по улучшению кибербезопасности критичных инфраструктур NIST запустил процедуру разработки архитектуры снижения рисков критичным инфраструктурам §  Набор лучших практик, стандартов и руководств §  Публичный процесс Работы завершены в начале 2014 года
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 111/139 Пример 6: Подход России
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 112/139 Как регулируется ИБ в КВО?
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 113/139 Безопасность ТЭК §  21 июля 2011 года Президент РФ подписал Федеральный Закон «О безопасности объектов топливно-энергетического комплекса», а также Федеральный закон «О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения безопасности объектов топливно-энергетического комплекса» §  Статья 11 «Обеспечение безопасности информационных систем объектов топливно- энергетического комплекса» Требования и состав комплекса защитных мер пока не определены
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 114/139 Мнение Минэнерго §  Три Постановления Правительства от 5 мая 2012 года № 458 «Об утверждении Правил по обеспечению безопасности и антитеррористической защищенности объектов топливно-энергетического комплекса» № 459 «Об утверждении Положения об исходных данных для проведения категорирования объекта топливно- энергетического комплекса, порядке его проведения и критериях категорирования» № 460 «Об утверждении Правил актуализации паспорта безопасности объекта топливно-энергетического комплекса» §  Позиция Минэнерго - т.к. в ст.11 ФЗ-256 «О безопасности объектов ТЭК» нет требования разработать Постановление Правительства, то и требования по защите можно использовать текущие
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 115/139 Безопасность критически важных объектов §  Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации 4 июля 2012 года §  Включают Требования к разработчикам АСУ ТП Единая гос.система обнаружения и предотвращения атак Промышленная и научно-техническая политика, фундаментальная и прикладная наука и повышение квалификации кадров
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 116/139 А что дальше?.. §  28.12.2012 – встреча Президента с офицерами, назначенными на высшие командные должности Говорит о защите стратегической инфраструктуры §  29.12.2012 - Указ Президента №1711 об изменении состава Межведомственной комиссии Совета Безопасности РФ по информационной безопасности Добавление в комиссию представителей стратегических КВО
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 117/139 Указ Президента 31с §  15.01.2013 - Указ Президента №31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ» Создание данной системы, разработка методики обнаружения атак, обмен информацией между госорганами об инцидентах ИБ, оценка степени защищенности критической информационной инфраструктуры
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 118/139 «Милитаризация» защиты КВО §  5.07.2013 – Заседание Совета Безопасности РФ §  Президент Путин говорит о Милитаризации киберпространства Инструментах «мягкой силы» Наращивании потенциала подразделений ФСБ, ФСО, МО и МВД, отвечающих за безопасность стратегических объектов Необходимости уметь парировать информационные атаки на стратегические и критически важные объекты Создании системы перспективных военных исследований Военном планировании
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 119/139 Последние изменения по направлению КВО §  Постановление Правительства №861 от 02.10.2013 §  Законопроект по безопасности критических информационных инфраструктур Будет вноситься в ГосДуму в апреле 2014 §  Разработка нормативных документов во исполнении законопроекта по безопасности КИИ и основных направлений госполитики
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 120/139 Проект нового приказ ФСТЭК §  «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» Ориентация на объекты ТЭК, транспортной безопасности, использования атомной энергии, опасных производственных объектов, гидротехнических сооружений
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 121/139 Смена парадигмы §  Принимаемые организационные и технические меры защиты информации должны обеспечивать доступность обрабатываемой в АСУ ТП (исключение неправомерного блокирования информации), ее целостность (исключение неправомерного уничтожения, модифицирования информации), а также, при необходимости, конфиденциальность (исключение неправомерного доступа, копирования, предоставления или распространения информации) §  Организационные и технические меры защиты информации должны быть согласованы с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности АСУ ТП и управляемого (контролируемого) объекта и (или) процесса и не должны оказывать отрицательного (мешающего) влияния на штатный режим функционирования АСУ ТП
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 122/139 Безопасное функционирование АСУ ТП на первом месте §  Система защиты автоматизированной системы управления не должна препятствовать достижению целей создания автоматизированной системы управления и ее безопасному функционированию
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 123/139 Меры по защите информации §  Организационные и технические меры защиты информации, реализуемые в АСУ ТП идентификация и аутентификация субъектов доступа и объектов доступа управление доступом субъектов доступа к объектам доступа ограничение программной среды защита машинных носителей информации регистрация событий безопасности антивирусная защита обнаружение (предотвращение) вторжений контроль (анализ) защищенности целостность АСУ ТП доступность технических средств и информации защита среды виртуализации
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 124/139 Меры по защите информации §  продолжение: защита технических средств и оборудования защита АСУ ТП и ее компонентов безопасная разработка прикладного и специального программного обеспечения разработчиком управление обновлениями программного обеспечения планирование мероприятий по обеспечению защиты информации обеспечение действий в нештатных (непредвиденных) ситуациях информирование и обучение пользователей анализ угроз безопасности информации и рисков от их реализации выявление инцидентов и реагирование на них управление конфигурацией информационной системы и ее системы защиты
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 125/139 Как определяются защитные меры §  Выбор мер защиты информации в АСУ ТП включает выбор базового набора мер адаптацию выбранного базового набора мер применительно к структурно-функциональным характеристикам АСУ ТП, реализуемым ИТ, особенностям функционирования АСУ ТП (включает исключение защитных мер) уточнение адаптированного набора дополнение адаптированного базового набора мер по обеспечению защиты информации в АСУ ТП дополнительными мерами, установленными иными нормативными актами Базовые меры Адаптация базового набора Уточнение адаптированного набора Дополнение уточненного адаптированного набора Компенсационные меры
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 126/139 А если какую-то меру невозможно реализовать? §  При отсутствии возможности реализации отдельных мер защиты информации в АСУ ТП или отдельных ее сегментах (устройствах) и (или) невозможности их применения к отдельным объектам и субъектам доступа, в том числе в следствии их негативного влияния на штатный режим функционирования АСУ ТП, на этапах адаптации базового набора мер защиты информации или уточнения адаптированного базового набора мер защиты информации разрабатываются иные (компенсирующие) меры защиты информации, обеспечивающие адекватное блокирование (нейтрализацию) угроз безопасности информации и необходимый уровень защищенности АСУ ТП
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 127/139 Можно ли исключать защитные меры? §  Исключение из базового набора мер защиты информации мер, непосредственно связанных с информационными технологиями, не используемыми в АСУ ТП, или структурно- функциональными характеристиками, не свойственными АСУ ТП §  В целях исключения избыточности в реализации мер защиты информации и в случае, если принятые в АСУ ТП меры по обеспечению промышленной безопасности и (или) физической безопасности обеспечивают блокирование (нейтрализацию) угроз безопасности информации, отдельные меры защиты информации могут не применяться
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 128/139 Управление инцидентами – обязанность субъекта КИИ §  Субъекты КИИ обязаны незамедлительно информировать в порядке, установленном ФСБ, о компьютерных инцидентах, произошедших на объектах КИИ §  Субъектами КИИ в незамедлительном порядке принимаются меры по ликвидации последствий компьютерных инцидентов. Порядок реагирования на компьютерные инциденты и ликвидации их последствий на объектах КИИ определяется ФСБ §  Субъекты КИИ обязаны оказывать содействие должностным лицам ФСБ, в выявлении, предупреждении и пресечении компьютерных инцидентов, а также в ликвидации их последствий, установлении причин и условий их совершения
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 129/139 Уведомление об инцидентах: как правильно? §  По законопроекту уведомлять об инцидентах ИБ необходимо ФСБ и незамедлительно А если группа холдинговая? А кому в ФСБ? ЦИБ? 8-й Центр? УФСБ? УКООП СЭБ? Каков порядок? §  По ПП-861 от 02.10.2013 уведомлять об инцидентах ИБ на объектах ТЭК надо МВД, ФСБ, МЧС и МинЭнерго Каков порядок? Кому конкретно в указанных ФОИВах?
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 130/139 Заключение
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 131/139 CI – это только часть задачи управления ИКТ7 IC Fabrication IC Design Operating Systems Information Assurance Cryptography Network Infrastructure Administration Application Software and Administration Routers, Switches, Fiber, Wireless, Other PCs, Servers, Laptops, Cell Phones, PDAs Economic & Business Activity Military And Intelligence SystemsInternational Dialogues Information Processes, Social Networking" Research Communities IA, Certification, Accreditation International Standards Physical Network Connectivity Enterprise ITCritical Infrastructures Consumer IT Diplomacy" Treaties" Agreements" Alliances"Norms" IGOs" NGOs" Industry" Supply Chain! Cyberspace! Knowledge Formation" Political Discourse"Value System Dynamics" Governance! Technological Level" Network, Computer, Crypto, ID Mgt. Standards" Universal Principles"
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 132/139 Что нужно делать? §  Изменение менталитета §  Координация усилий на международном уровне §  Гармонизация законодательства §  Сдвиг фокуса от защиты к устойчивости и готовности §  Построение долгосрочной стратегии с учетом будущих изменений в технологиях и их применении §  Подготовка квалифицированных кадров в области CI
  • © 2007 Cisco Systems, Inc. All rights reserved. Cisco Public 133/139