2. • Отказ в работе системы видео фиксации автотранспорта
Подмосковья – 9 января 2014 г.
Причина - массированная атака хакеров на центр управления видео
фиксации через открытые сети
• Взрыв на газовом трубопроводе «Сибирь – Урал – Поволжье» - 4
июня 1989.
Причина – неработоспособность системы контроля утечки газа
магистрального трубопровода. Погибло 575 человек в результате аварии
двух встречных поездов.
• Авария в энергосистеме в Москве – 25 мая 2005 г. (Подстанция
«Чагино» 500кВ)
Комплекс причин – износ оборудования, вывод в ремонт большого
количества оборудования, слабое взаимодействие служб оперативного
управления и контроля при выполнении регламентов переключения
режимов, др.
• Взрыв на газопроводе Уренгой — Сургут — Челябинск. – 1982 г.
Западные спецслужбы провели операцию с участием советского агента
по поставке программного обеспечения АСУ ТП, в которое была заложена
“закладка”. В результате АСУ ТП на газопроводе было запущено, однако
в штатном режиме проработало недолго. Из-за нарушения в работе
Техногенные катастрофы на территории России
3. BSI: Современные вызовы и угрозы
N
o
Угрозы
1 Несанкционированный удалённый доступ
2 Атаки через офисную корпоративную сеть
3 Атаки на промышленные системы посредством поиска
уязвимостей
4 (D)DoS атаки
5 Саботаж и ошибки персонала
6 Внедрение вредоносного кода на переносных и внешних
носителях
7 Чтение и перезапись команд управления (PLC)
8 Несанкционированный доступ к ресурсам
9 Атаки на сетевые устройства
10 Технические сбои и Форс-мажорные события
Source: Британский Институт Стандартов, 2010
4. Современные средства и
технологии кибератак не
требуют
квалифицированного
персонала для их
применения
Индустриальный IT сектор
не имеет истории и
необходимого опыта в
части кибербезопасности,
который накоплен в
корпоративном ИТ секторе
Высокотехнологичный уровень современных кибератак
Source: Lipson, Howard F.: Tracking and Tracing Cyber-Attack: Technical Challenges And Global Policy
Issues CMU/SEI-2002-SR-009
5. Rubber Ducky: Доступное средство для кибер-атак
5
Rubber ducky: http://hakshop.myshopify.com/products/usb-rubber-ducky
6. Шаг 1 – Выявление уязвимостей и оценка рисков
Шаг 2 – Разработка методологии и процедур по ИБ
Шаг 3 – Обучение персонала средствам и процедурам ИБ
Шаг 4 – Формирование требований для технических
средств защиты КВО
Шаг 5 – Регламенты доступа персонала к системам
управления
Шаг 6 – Ограничение функционала систем управления КВО
Шаг 7 – Мониторинг и управление ИБ
Сценарии создания систем промышленной ИБ
7. Шаг 1: Выявление уязвимостей и оценка рисков
Обследование Анализ и
систематизация Оценка рисков
По результатам оценки рисков текущий уровень защищенности систем КВО
8. Шаг 2: Методология и Стандарты
При разработке методологии создания ИБ КВО целесообразно совместить
требования ФСТЭК и рекомендации МЭК 62443/МЭК 62351 для разработки:
• Референсной модели, модели зонирования по МЭК 62443
• Модели Нарушителя и Модели Угроз ИБ КВО
• Методики оценки и анализа рисков ИБ КВО
8
Методика анализа
рисков ИБ
Требования по
защите АСУ ТП
ФСТЭК
Рекомендации МЭК
62443
Рекомендаци
и МЭК 62351
По результатам моделирования угроз формируется методически
обоснованный целевой уровень защищенности КВО
9. Шаг 3 – Обучение персонала процедурам
безопасности
10. Шаг 4 – Требования к техническим системам защиты
Know
How
11. • Физический контроль доступа
– Замки, кабинеты, видеонаблюдение
– Иерархическая система контроля доступа
• Контроль доступа к системам управления
– Аутентификация и Авторизация пользователей
– Ролевой контроль доступа
– Лист привилегий
– Мониторинг и архивирование событий
– Технологии: Active Directory, Radius, ldap, др.
– Отслеживание изменений
– Удалённый доступ
Шаг 5 – Контроль доступа к устройствам
управления
12. • Запрещение ненужных функций
– Windows: убрать все ненужные функции
– Запрет ненужных сетевых коммуникаций
• Ориентация на производителей АСУ ТП, постоянно
отслеживающих проблемы кибербезопасности своих
систем
• Регламенты и процедуры по кибербезопасности
– Обновление ПО
– Антивирус
– Отслеживание уязвимостей (Nessus)
Шаг 6 – Контроль функционала систем
управления КВО
14. • Система мониторинг и управления событиями ИБ
– Наличие системы сетевого мониторинга
– Использование новшеств в части Intrusion Detection
Systems (IDS), Security Incident и Event Management
Systems (SIEMS) и других разработок для
промышленного применения
– Анализ событий ИБ на регулярной основе
• Регулярный аудит системы ИБ
– Стандартная практика в индустрии (e.g. NERC/CIP – в
энергетике)
– Учения и обучение по ИБ
Шаг 7 – Мониторинг и управление ИБ