2. • Сайт журналиста Брайна Кребса подвергся DDoS-атаке
мощностью 665 Гбит/сек и 143 Mpps (миллионов пакетов в
секунду)
• В атаке участвовало множество IoT-устройств – IP-камеры,
маршрутизаторы, DVR (digital video recorder)
• Интернет-провайдер OVH подвергся DDoS-атаке
мощностью до 1 Тбит/сек и 93 Mpps со стороны 150 тысяч
IoT-устройств
• В атаке участвовало множество IoT-устройств – IP-камеры и DVR
(digital video recorder)
Что произошло 20 сентября 2016 года?
4. • Удаленная команда кардиостимулятору
на выпуск разряда в 800 вольт
• Интернет-дефибриллятор
• Червь, распространяющийся через
кардиостимуляторы
• Что насчет массового убийства?
• Дистанционный взлом инсулиновых
помп
Чем известен Барнаби Джек?
12. Зарубежные покупки Китаем активов ТЭК и
кибератаки на них
Framework for LNG deal with Russia
LNG deal with Uzbekistan
LNG deal with Australia
LNG deal with Australia
LNG deal with France
Finalization of South Pars Phase 11 with
Iran
LNG deal with QatarGas
LNG deal with QatarGas
LNG deal with QatarGas
LNG deal with Shell
LNG deal with Exxon
Shale gas deal with Chesapeake Energy in Texas
Aggressive bidding on multiple Iraqi oil fields at
auction
Purchase of major stake in a second Kazakh oil
company
China-Taiwan trade deal for petrochemicals
Purchase of Rumaila oil field, Iraq, at
auction
McKay River and Dover oil sands deal with Athabasca, Canada
Development of Iran’s Masjed Soleyman oil
field
Oil development deal with
Afghanistan
Purchase of major stake in Kazakh oil company
2012201120102009 20132008
Shady RAT
( U.S.
natural gas
wholesaler
)
Night Dragon
(Kazakhstan, Taiwan,
Greece, U.S.)
13. Атака на промышленную сеть через
Facebook
Злоумышленник
нашел в Facebook
оператора ночной
смены
Злоумышленник
«подружился» с
оператором
Нарушитель ищет
персональные
данные оператора
Нарушитель
использовал
социальный
инжиниринг
Оператор
открывает
фейковый линк и
заражается
Нарушитель
скачивает базу
данных SAM &
подбирает пароль
Нарушитель входит
в систему,
запускает
процедуру
shutdown
Оператор
реагирует очень
медленно (не
верит, что это с
ним происходит!)
Злоумышленник
меняет условия
работы АСУ ТП
Удаленная
площадка теряет
функцию
удаленного запуска
Удаленная
площадка остается
недоступной в
течение 3+ дней
Снижение объемов
переработки
нефтепродуктов
18. Уязвимости в отечественном промышленном
оборудовании находят
• Банк данных угроз и
уязвимостей ФСТЭК России
• Содержит регулярно
обновляемый перечень угроз и
уязвимостей в ПО и «железе»,
используемом,
преимущественно, на объектах
в России
• http:///bdu.fstec.ru
21. • Атака на АЭС в Японии в 2015-м году (стало известно только
сейчас)
• Неправильное позиционирование зеркал на Ivanpah Solar
Electric System привело к пожару (возможно ли сделать со
злым умыслом?)
• Столкновение поездов в Казахстане и Баварии
(киберпричина?)
• Атака на электроэнергетическую систему Украины с
последующим обвинением России
• Атака на аэропорт «Борисполь»
Последние инциденты ИБ на критической
инфраструктуре
22. • Обвинение иранцев в DDoS-атаке и взломе плотины около
Нью-Йорка
• Регулярные демонстрации взломов автомобилей
• Атака на систему электроэнергетики Израиля
• Операция Dust Storm по атаке японских объектов ТЭК,
транспорта, финансов и т.п.
• Создание первого червя для PLC Siemens, распространяемого
без ПК
• Обнаружение на немецкой АЭС вируса
Последние инциденты ИБ на критической
инфраструктуре
23. • Атака на ЖКХ-компанию Lansing Board of Water & Light в США
• Атака на CMS управления данными о содержимом и
местонахождении кораблей (взлом пиратами контейнеров с
бриллиантами)
• Атака на водоочистную систему Kemuri Water Company
• КНДР атаковало почтовые ящики сотрудников ж/д Южной
Кореи
• Атаки на АСУЗ (СКУД) и медицинские системы/датчики
• Процедура катетеризации сердца пациента была прервана
антивирусом
Последние инциденты ИБ на критической
инфраструктуре
24. • Атаки на критическую инфраструктуру Украины
• Атаки на энергосистему Турции
• Подозрения в обращении джихадистов к кибертерроризму
• Европол на ВЭФ в Давосе, Group-IB, французская ANSSI
• Блокировка постояльцев в австрийской отеле Romantik
Seehotel
• Атаки китайцев авиакосмических предприятий России и
Беларуси
• Уволенный обиженный сотрудник удаленно внес изменения в
АСУ ТП бумажной фабрики Port Hudson
Последние инциденты ИБ на критической
инфраструктуре
32. • Простой промышленного оборудования в результате атаки
вредоносного кода
• Несанкционированное изменение рецептуры или логики
процесса
• Вывод из строя системы управления цепочками поставок
• Перехват управления оборудованием
• Утечка данных о рецептах/логике работы или
характеристиках процесса на производстве
• И куча традиционных офисных угроз
Разные объекты – разные киберугрозы
35. • Рекомендации FDA по ИБ медустройств
• Рекомендации по ИБ систем управления водным транспортом
• Рекомендации GSMA для разработчиков IoT
• Новый приказ ФСТЭК по межсетевым экранам
• Тип «Д» – промышленные МСЭ
• Базовый уровень ИБ на КВО в Германии
• Отчеты ENISA по Smart Grid, по CIIP и по транспорту
• Рекомендации немецкого BSI по безопасности OPC UA
Новые документы, требования и
рекомендации
…и еще несколько десятков различных стандартов
37. Цель Cybersecurity Framework
• Унификация подходов по
безопасности
информационных систем в
разных отраслях на
протяжении всего жизненного
цикла
• Унифицированные требования
• Руководство по использованию
международных стандартов
• Февраль 2014
• DCS
• PLC
• RTU
• IED
• SCADA
• Safety Instrumented Systems
(SIS)
• Ассоциированные
информационные системы
• Связанные люди, сети и
машины
44. Какие документы уже есть?
• Документы ФСТЭК по КСИИ
• Основы госполитики в области
обеспечения безопасности АСУ
ТП КВО
• ФЗ-256
• Указ Президента №31с
• ПП-861 по уведомлению об
инцидентах на объектах ТЭК
• Приказ ФСТЭК №31
• Методические рекомендации по
созданию центров ГосСОПКИ
Разработаны
45. Законопроект
Внесение в ГосДуму
• Выполнение
требований
ФСБ по
реагированию
на инциденты
• Присоедине-
ние к сетям
электросвяз
и
• Новый
регулятор
(ФСТЭК или
ФСБ)
• Категорирование
объектов КИИ
Декабрь 2016
• Присоединени
е к ГосСОПКЕ
46. Законопроект
Принятие в первом
чтении
• Исключение из
надзора по ФЗ-
294
• Уголовная
ответственн
ость
• Отнесение к
гостайне
• Выполнение
требований по ИБ
Январь 2016
• Установка
средств
обнаружения
атак на сетях
операторов
связи
Принятие во втором
чтении запланировано
на весну 2017
47. Планы на ближайшее будущее (в России)
• Законопроект о безопасности критической информационной
инфраструктуры и 20+ подзаконных актов
• 10+ документов ФСБ (по направлению ГосСОПКА)
• Документы Правительства / Минэнерго
53. Появление новых промышленных ИБ
решений
• Нишевые решения по
промышленной ИБ
(преимущественно МСЭ)
• Промышленные ИБ от
ИБ/сетевых производителей
• Решения по ИБ от
производителей средств
промышленной автоматизации
Cisco ISA 3000
56. Белки vs хакеров: у нас еще есть время
Агент Успех
Белка 927
Птица 461
Змея 84
Енот 76
Крыса 41
Куница 23
Бобер 15
Медуза 13
Человек 3*
http://cybersquirrel1.com
58. Дополнительная информация
• Converged Plant-Wide Ethernet DIG
• Planning for a Converged Plant-wide Ethernet
Architecture – ARC Group
• Secure Wireless Plant
• Industrial Intelligence Architecture
• Securing Manufacturing Computer and Controller Assets
• Achieving Secure Remote Access to Plant Floor
Applications
59. Свяжитесь
с нами
Тестируйте
Составьте
план
внедрения
Напишите нам на security-
request@cisco.com или своему менеджеру
Cisco для организации встречи для более
глубокого обсуждения ваших потребностей
и того, как мы можем их удовлетворить
Воспользуйтесь широким спектром
возможностей по тестированию:
• dCloud
• Виртуальные версии всего ПО
• Демо-оборудование
• И не забудьте про Threat Awareness Service
Мы поможем вам составить поэтапный
план внедрения решений по
кибербезопасности под ваши задачи
Что сделать после конференции?