Сценарии реализации информационной защиты объектов КВО

2014

Панов И.С. , к.т.н.

Директор по развитию бизнеса

• Отказ в работе системы видео фиксации автотранспорта Подмосковья – 9 января 2014 г.

Причина - массированная атака хакеров на центр управления видео фиксации через открытые сети

• Взрыв на газовом трубопроводе «Сибирь – Урал – Поволжье» - 4 июня 1989.

Причина – неработоспособность системы контроля утечки газа магистрального трубопровода. Погибло 575 человек в результате аварии двух встречных поездов.

• Авария в энергосистеме в Москве – 25 мая 2005 г. (Подстанция «Чагино» 500кВ)

Комплекс причин – износ оборудования, вывод в ремонт большого количества оборудования, слабое взаимодействие служб оперативного управления и контроля при выполнении регламентов переключения режимов, др.

• Взрыв на газопроводе Уренгой — Сургут — Челябинск. – 1982 г.

Западные спецслужбы провели операцию с участием советского агента по поставке программного обеспечения АСУ ТП, в которое была заложена “закладка”. В результате АСУ ТП на газопроводе было запущено, однако в штатном режиме проработало недолго. Из-за нарушения в работе насосов, турбин и клапанов произошел самый мощный в истории неядерный взрыв мощностью около 3-х килотонн.

• Авария на Саяно-Шушенской ГЭС - 17 августа 2009 года.

Комплекс причин - слабый контроль за состоянием основного оборудования (превышения уровня вибраций произошел разрыв большинства шпилек крепления крышки гидротурбины !), проектные ошибки. Погибло 75 человек.

Техногенные катастрофы на территории России

BSI: Современные вызовы и угрозы

No

Угрозы

1 Несанкционированный удалённый доступ

2 Атаки через офисную корпоративную сеть

3 Атаки на промышленные системы посредством поиска уязвимостей

4 (D)DoS атаки

5 Саботаж и ошибки персонала

6 Внедрение вредоносного кода на переносных и внешних носителях

7 Чтение и перезапись команд управления (PLC)

8 Несанкционированный доступ к ресурсам

9 Атаки на сетевые устройства

10 Технические сбои и Форс-мажорные событияSource: Британский Институт Стандартов, 2010

Современные средства и технологии кибератак не

требуют квалифицированного

персонала для их применения

Индустриальный IT сектор

не имеет истории и

необходимого опыта в

части кибербезопасности, который накоплен в

корпоративном ИТ секторе

Высокотехнологичный уровень современных кибератак

Source: Lipson, Howard F.: Tracking and Tracing Cyber-Attack: Technical Challenges And Global Policy

Issues CMU/SEI-2002-SR-009

Rubber Ducky: Доступное средство для кибер-атак

5

Rubber ducky: http://hakshop.myshopify.com/products/usb-rubber-ducky

Шаг 1 – Выявление уязвимостей и оценка рисков

Шаг 2 – Разработка методологии и процедур по ИБ

Шаг 3 – Обучение персонала средствам и процедурам ИБ

Шаг 4 – Формирование требований для технических

средств защиты КВО

Шаг 5 – Регламенты доступа персонала к системам

управления

Шаг 6 – Ограничение функционала систем управления КВО

Шаг 7 – Мониторинг и управление ИБ

Сценарии создания систем промышленной ИБ

Шаг 1: Выявление уязвимостей и оценка рисков

Обследование Анализ и систематизация Оценка рисков

По результатам оценки рисков текущий уровень защищенности систем КВО

Шаг 2: Методология и Стандарты

При разработке методологии создания ИБ КВО целесообразно совместить требования ФСТЭК и рекомендации МЭК 62443/МЭК 62351 для разработки:

• Референсной модели, модели зонирования по МЭК 62443• Модели Нарушителя и Модели Угроз ИБ КВО• Методики оценки и анализа рисков ИБ КВО

8

Методика анализа рисков ИБ

Требования по защите АСУ ТП ФСТЭК

Рекомендации МЭК 62443

Рекомендации МЭК 62351

По результатам моделирования угроз формируется методически обоснованный целевой уровень защищенности КВО

Шаг 3 – Обучение персонала процедурам безопасности

Шаг 4 – Требования к техническим системам защиты

KnowHow

• Физический контроль доступа– Замки, кабинеты, видеонаблюдение– Иерархическая система контроля доступа

• Контроль доступа к системам управления– Аутентификация и Авторизация пользователей– Ролевой контроль доступа– Лист привилегий– Мониторинг и архивирование событий– Технологии: Active Directory, Radius, ldap, др.– Отслеживание изменений– Удалённый доступ

Шаг 5 – Контроль доступа к устройствам управления

• Запрещение ненужных функций– Windows: убрать все ненужные функции– Запрет ненужных сетевых коммуникаций

• Ориентация на производителей АСУ ТП, постоянно отслеживающих проблемы кибербезопасности своих систем

• Регламенты и процедуры по кибербезопасности– Обновление ПО– Антивирус– Отслеживание уязвимостей (Nessus)

Шаг 6 – Контроль функционала систем управления КВО

Шаг 6 – Контроль уязвимостей систем КВО

• Система мониторинг и управления событиями ИБ– Наличие системы сетевого мониторинга – Использование новшеств в части Intrusion Detection

Systems (IDS), Security Incident и Event Management Systems (SIEMS) и других разработок для промышленного применения

– Анализ событий ИБ на регулярной основе• Регулярный аудит системы ИБ

– Стандартная практика в индустрии (e.g. NERC/CIP – в энергетике)

– Учения и обучение по ИБ

Шаг 7 – Мониторинг и управление ИБ

Спасибо за внимание !