Документ рассматривает угрозы в области информационной безопасности, связанные с промышленным интернетом вещей (IoT), и анализирует недавние кибератаки на критически важные инфраструктурные объекты. Описаны случаи использования IoT-устройств для DDoS-атак, а также важные рекомендации по улучшению кибербезопасности в различных сферах. Особое внимание уделено новым нормативным актам и требованиям, касающимся защиты автоматизированных систем управления.

1. 29 сентября 2016
Бизнес-консультант по безопасности
Информационная
безопасность Industrial IoT:
мировые тенденции и
российские реалии
Алексей Лукацкий

2. Почему «в стилеAgile»?

3. • Сайт журналиста Брайна Кребса подвергся DDoS-атаке
мощностью 665 Гбит/сек и 143 Mpps (миллионов пакетов в
секунду)
• В атаке участвовало множество IoT-устройств – IP-камеры,
маршрутизаторы, DVR (digital video recorder)
• Интернет-провайдер OVH подвергся DDoS-атаке
мощностью до 1 Тбит/сек и 93 Mpps со стороны 150 тысяч
IoT-устройств
• В атаке участвовало множество IoT-устройств – IP-камеры и DVR
(digital video recorder)
Что произошло 20 сентября?

4. Что произошло 20 сентября?

5. А кто это?

6. • Удаленная команда кардиостимулятору
на выпуск разряда в 800 вольт
• Интернет-дефибриллятор
• Червь, распространяющийся через
кардиостимуляторы
• Что насчет массового убийства?
• Дистанционный взлом инсулиновых
помп
Чем известен Барнаби Джек?

9. А что нам угрожает?

10. What about a Stuxnet-style exploit?
2009!

11. Но проблема возникла раньше

12. Кибервойны
Промышленный шпионаж
Конкуренты
Зачем атаковать Industrial IoT?
© 2015 Cisco and/or its affiliates. All rights reserved. 12

13. Зарубежные покупки Китаем активов ТЭК и
кибератаки на них
Framework for LNG deal with Russia
LNG deal with Uzbekistan
LNG deal with Australia
LNG deal with Australia
LNG deal with France
Finalization of South Pars Phase 11 with
Iran
LNG deal with QatarGas
LNG deal with QatarGas
LNG deal with QatarGas
LNG deal with Shell
LNG deal with Exxon
Shale gas deal with Chesapeake Energy in Texas
Aggressive bidding on multiple Iraqi oil fields at
auction
Purchase of major stake in a second Kazakh oil
company
China-Taiwan trade deal for petrochemicals
Purchase of Rumaila oil field, Iraq, at
auction
McKay River and Dover oil sands deal with Athabasca, Canada
Development of Iran’s Masjed Soleyman oil
field
Oil development deal with
Afghanistan
Purchase of major stake in Kazakh oil company
2012201120102009 20132008
Shady RAT
( U.S.
natural gas
wholesaler
)
Night Dragon
(Kazakhstan, Taiwan,
Greece, U.S.)

14. Атака на промышленную сеть через
Facebook
Злоумышленник
нашел в Facebook
оператора ночной
смены
Злоумышленник
«подружился» с
оператором
Нарушитель ищет
персональные
данные оператора
Нарушитель
использовал
социальный
инжиниринг
Оператор
открывает
фейковый линк и
заражается
Нарушитель
скачивает базу
данных SAM &
подбирает пароль
Нарушитель входит
в систему,
запускает
процедуру
shutdown
Оператор
реагирует очень
медленно (не
верит, что это с
ним происходит!)
Злоумышленник
меняет условия
работы АСУ ТП
Удаленная
площадка теряет
функцию
удаленного запуска
Удаленная
площадка остается
недоступной в
течение 3+ дней
Снижение объемов
переработки
нефтепродуктов

15. Отчет ICS-CERT за 2015 год
• 295 инцидентов (рост 20%)
• 486 уязвимостей

16. МЧС предупреждает

17. Последние
инциденты

18. • Атака на АЭС в Японии в 2015-м году (стало известно только
сейчас)
• Неправильное позиционирование зеркал на Ivanpah Solar
Electric System привело к пожару (возможно ли сделать со
злым умыслом?)
• Столкновение поездов в Казахстане и Баварии
(киберпричина?)
• Атака на электроэнергетическую систему Украины с
последующим обвинением России
• Атака на аэропорт «Борисполь»
Последние инциденты ИБ на критической
инфраструктуре

19. • Обвинение иранцев в DDoS-атаке и взломе плотины около
Нью-Йорка
• Регулярные демонстрации взломов автомобилей
• Атака на систему электроэнергетики Израиля
• Операция Dust Storm по атаке японских объектов ТЭК,
транспорта, финансов и т.п.
• Создание первого червя для PLC Siemens, распространяемого
без ПК
• Обнаружение на немецкой АЭС вируса
Последние инциденты ИБ на критической
инфраструктуре

20. • Атака на ЖКХ-компанию Lansing Board of Water & Light в США
• Атака на CMS управления данными о содержимом и
местонахождении кораблей (взлом пиратами контейнеров с
бриллиантами)
• Атака на водоочистную систему Kemuri Water Company
• КНДР атаковало почтовые ящики сотрудников ж/д Южной
Кореи
• Атаки на АСУЗ (СКУД) и медицинские системы/датчики
• Процедура катетеризации сердца пациента была прервана
антивирусом
Последние инциденты ИБ на критической
инфраструктуре

21. Почему все пока не очень хорошо?

22. Подключенные системы
Network Automation
Service Assurance
Connected Machines
Edge Analytics Fabric
Location Services
Factory Wireless
Облачные системы
Design Collaboration
Private and Hybrid Cloud
Ecosystem Security
Secure Remote Access
Network Architectures
Network Analytics
Network Security
Изолированные системы
Virtualize Everything
Public, Private & Hybrid Cloud
Объединенные системы
Cloud Analytics Platforms
Factory Network
Factory Security
Machine as a Service
Virtualization & Compute
Factory Collaboration
Asset Management
Supply Chain
Collaboration (SXP)
Разные уровни
автоматизации

23. Пример: Границы и точки входа на атомной
электростанции в США

24. АСУ ТП
ИБучие АСУчиватели

25. Умный
транспорт
Цифровая
подстанция
Smart Grid
Connected
Factories
Mobile
Devices
Connected
Wind Turbines
Smart Street
Lights
Connected
Trucks
Connected Oil
Platforms
Умный
город
Умное
производство
Connected
Traffic Signals
Connected
Machines
Облако /
ЦОД
Connected
Equipment
Connected
Rail
Smart
Buses
Различные объекты защиты

26. • Простой промышленного оборудования в результате атаки
вредоносного кода
• Несанкционированное изменение рецептуры или логики
процесса
• Вывод из строя системы управления цепочками поставок
• Перехват управления оборудованием
• Утечка данных о рецептах/логике работы или
характеристиках процесса на производстве
• И куча традиционных офисных угроз
Разные объекты – разные киберугрозы

27. Разные стандарты кибербезопасности

28. Рекомендации и требования по ИБ

29. • Рекомендации FDA по ИБ медустройств
• Рекомендации по ИБ систем управления водным транспортом
• Рекомендации GSMA для разработчиков IoT
• Новый приказ ФСТЭК по межсетевым экранам
• Тип «Д» – промышленные МСЭ
• Базовый уровень ИБ на КВО в Германии
• Отчеты ENISA по Smart Grid, по CIIP и по транспорту
• Рекомендации немецкого BSI по безопасности OPC UA
• Проект приказа ФСТЭК по антивирусам
Новые документы, требования и
рекомендации
…и еще несколько десятков различных стандартов

30. NIST Cybersecurity
Framework

31. Цель Cybersecurity Framework
• Унификация подходов по
безопасности
информационных систем в
разных отраслях на
протяжении всего жизненного
цикла
• Унифицированные требования
• Руководство по использованию
международных стандартов
• Февраль 2014
• DCS
• PLC
• RTU
• IED
• SCADA
• Safety Instrumented Systems
(SIS)
• Ассоциированные
информационные системы
• Связанные люди, сети и
машины

32. Основная парадигма

33. Основная сетевая модель

34. Покрываемые CSF направления

35. Ссылки на другие стандарты

36. Используемые стандарты
• Стандарты NIST 800-82 и 800-53
• ISA/IEC-62443
• ISO 27001/02
• Стандарты ENISA
• Стандарт Катара
• Стандарт API
• Рекомендации ICS-CERT
• COBIT
• Council on CyberSecurity (CCS)
Top 20 Critical Security Controls (CSC)

37. Российские требования

38. Приказ ФСТЭК №31 по защите АСУ ТП
• №31 от 14.03.2014 «Об утверждении требований к
обеспечению защиты информации в
автоматизированных системах управления
производственными и технологическими процессами
на критически важных объектах, потенциально
опасных объектах, а также объектах,
представляющих повышенную опасность для жизни
и здоровья людей и для окружающей природной
среды»
• Все новые и модернизируемые системы должны
создаваться по новому приказу, а не по документам
ФСТЭК для КСИИ 2007-го и последующих годов
• В тех случаях, если КСИИ управляют технологическими
процессами
• Остальные типы КСИИ продолжают подчиняться требованиям
ФСТЭК к ключевым системами информационной инфраструктуры

39. Смена парадигмы
• Принимаемые организационные и технические меры защиты информации
должны обеспечивать доступность обрабатываемой в АСУ ТП (исключение
неправомерного блокирования информации), ее целостность (исключение
неправомерного уничтожения, модифицирования информации), а также,
при необходимости, конфиденциальность (исключение неправомерного
доступа, копирования, предоставления или распространения информации)
• Организационные и технические меры защиты информации должны быть
согласованы с мерами по промышленной, физической, пожарной,
экологической, радиационной безопасности, иными мерами по
обеспечению безопасности АСУ ТП и управляемого (контролируемого)
объекта и (или) процесса и не должны оказывать отрицательного
(мешающего) влияния на штатный режим функционирования АСУ ТП

40. Меры по защите информации АСУ ТП
Защитная мера ПДн ГИС АСУ ТП
Идентификация и аутентификация субъектов доступа и объектов доступа
+ + +
Управление доступом субъектов доступа к объектам доступа
+ + +
Ограничение программной среды
+ + +
Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ
+ + +
Регистрация событий безопасности
+ + +
Антивирусная защита
+ + +
Обнаружение (предотвращение) вторжений
+ + +
Контроль (анализ) защищенности персональных данных
+ + +
Обеспечение целостности информационной системы и КИ
+ + +
Обеспечение доступности персональных данных
+ + +
Защита среды виртуализации
+ + +
Защита технических средств
+ + +
Защита информационной системы, ее средств, систем связи и передачи данных
+ + +

41. Меры по защите информации АСУ ТП
Защитная мера ПДн ГИС АСУ ТП
Управление инцидентами
+ +
Управление конфигурацией информационной системы и системы защиты КИ
+ +
Безопасная разработка прикладного и специального программного обеспечения разработчиком
+
Управление обновлениями программного обеспечения
+
Планирование мероприятий по обеспечению защиты информации
+
Обеспечение действий в нештатных (непредвиденных) ситуациях
+
Информирование и обучение пользователей
+
Анализ угроз безопасности информации и рисков от их реализации
+
• Планы ФСТЭК
• Унификация перечня защитных мер для всех трех приказов
• Выход на 2-хлетний цикл обновления приказов

42. Какими терминами мы оперируем?
• Различные подходы законодателя к определению степени важности
и режимности объектов приводят к появлению большого
количества похожих, но все-таки разных терминов
• Критически важный объект
• Стратегически важный объект
• Стратегический объект
• Объект, имеющий стратегическое
значение…
• Важный объект
• Важный государственный объект
• Объект жизнеобеспечения
• Особо важный объект
• Специальный объект
• Режимный объект
• Потенциально опасный объект
• Особо опасный и технически сложный
объект

43. Защищенность важна, но какая?

44. Рекомендации и требования по ИБ

45. • Решение Kaspersky Industrial CyberSecurity
• Решение Positive Industrial Security Incident Manager
• Другие отечественные решения для защиты АСУ ТП
• Infowatch ASAP, DATAPK, InfoDiode, Symantron, ViPNet, Secure Diode, СТРОМ и
другие
• Появление первых решений по ИБ АСУ ТП в реестре
отечественного ПО
Отечественные решения по ИБ
промышленных сетей

46. Планы на будущее

47. • Законопроект о безопасности критической
информационной инфраструктуры и 20+ подзаконных
актов
• 10+ документов ФСБ (по направлению ГосСОПКА)
• 5+ документов ФСТЭК
Планы на ближайшее будущее (в России)

48. • Конференция по кибербезопасности МАГАТЭ в Вене
• Обновление существующих и разработка новых нормативных
документов МАГАТЭ по кибербезопасности
• Разработка новых нормативных документов по кибербезопасности
в Росатоме
• Исследования Chatham House и ПИР-Центра по
кибербезопасности ФЯБ и атомной энергетике
• Отчеты Nuclear Threat Initiative (NTI) о состоянии ИБ на атомных
объектах во многих странах мира и отчет об аудите US NRC SOC
• Моделирование атак на АЭС в США и UK
• Инциденты ИБ на атомных объектах
Мировая ядерная тематика

49. Пишите на security-request@cisco.com
Быть в курсе всех последних новостей вам помогут:
Где вы можете узнать больше?
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blogs.cisco.ru/
http://habrahabr.ru/company/cisco
http://linkedin.com/groups/Cisco-Russia-3798428
http://slideshare.net/CiscoRu
https://plus.google.com/106603907471961036146/posts
http://www.cisco.ru/

50. Спасибо!