50
29 сентября 2016 Бизнес-консультант по безопасности Информационная безопасность Industrial IoT: мировые тенденции и российские реалии Алексей Лукацкий

Кибербезопасность промышленного Интернета вещей

Embed Size (px)

Citation preview

Page 1: Кибербезопасность промышленного Интернета вещей

29 сентября 2016Бизнес-консультант по безопасности

Информационная безопасность Industrial IoT: мировые тенденции и российские реалииАлексей Лукацкий

Page 2: Кибербезопасность промышленного Интернета вещей

Почему «в стиле Agile»?

Page 3: Кибербезопасность промышленного Интернета вещей

• Сайт журналиста Брайна Кребса подвергся DDoS-атаке мощностью 665 Гбит/сек и 143 Mpps (миллионов пакетов в секунду)• В атаке участвовало множество IoT-устройств – IP-камеры,

маршрутизаторы, DVR (digital video recorder)• Интернет-провайдер OVH подвергся DDoS-атаке

мощностью до 1 Тбит/сек и 93 Mpps со стороны 150 тысяч IoT-устройств• В атаке участвовало множество IoT-устройств – IP-камеры и DVR

(digital video recorder)

Что произошло 20 сентября?

Page 4: Кибербезопасность промышленного Интернета вещей

Что произошло 20 сентября?

Page 5: Кибербезопасность промышленного Интернета вещей

А кто это?

Page 6: Кибербезопасность промышленного Интернета вещей

• Удаленная команда кардиостимулятору на выпуск разряда в 800 вольт• Интернет-дефибриллятор

• Червь, распространяющийся через кардиостимуляторы• Что насчет массового убийства?

• Дистанционный взлом инсулиновых помп

Чем известен Барнаби Джек?

Page 7: Кибербезопасность промышленного Интернета вещей
Page 8: Кибербезопасность промышленного Интернета вещей
Page 9: Кибербезопасность промышленного Интернета вещей

А что нам угрожает?

Page 10: Кибербезопасность промышленного Интернета вещей

What about a Stuxnet-style exploit?

2009!

Page 11: Кибербезопасность промышленного Интернета вещей

Но проблема возникла раньше

Page 12: Кибербезопасность промышленного Интернета вещей

Кибервойны

Промышленный шпионаж

Конкуренты

Зачем атаковать Industrial IoT?

© 2015 Cisco and/or its affiliates. All rights reserved. 12

Page 13: Кибербезопасность промышленного Интернета вещей

Зарубежные покупки Китаем активов ТЭК и кибератаки на них

Framework for LNG deal with Russia

LNG deal with Uzbekistan

LNG deal with Australia

LNG deal with Australia

LNG deal with France

Finalization of South Pars Phase 11 with Iran

LNG deal with QatarGas

LNG deal with QatarGas

LNG deal with QatarGas

LNG deal with Shell

LNG deal with Exxon

Shale gas deal with Chesapeake Energy in Texas

Aggressive bidding on multiple Iraqi oil fields at auction

Purchase of major stake in a second Kazakh oil company

China-Taiwan trade deal for petrochemicals

Purchase of Rumaila oil field, Iraq, at auction

McKay River and Dover oil sands deal with Athabasca, Canada

Development of Iran’s Masjed Soleyman oil field

Oil development deal with Afghanistan

Purchase of major stake in Kazakh oil company

2012201120102009 20132008

ShadyRAT(U.S.

naturalgaswholesaler

)

NightDragon

(Kazakhstan,Taiwan,Greece,U.S.)

Page 14: Кибербезопасность промышленного Интернета вещей

Атака на промышленную сеть через Facebook

Злоумышленник нашел в Facebookоператора ночной

смены

Злоумышленник «подружился» с

оператором

Нарушитель ищет персональные

данные оператора

Нарушитель использовал социальный инжиниринг

Оператор открывает

фейковый линк и заражается

Нарушитель скачивает базу данных SAM &

подбирает пароль

Нарушитель входит в систему, запускает процедуру shutdown

Оператор реагирует очень

медленно (не верит, что это с

ним происходит!)

Злоумышленник меняет условия работы АСУ ТП

Удаленная площадка теряет

функцию удаленного запуска

Удаленная площадка остается

недоступной в течение 3+ дней

Снижение объемов переработки

нефтепродуктов

Page 15: Кибербезопасность промышленного Интернета вещей

Отчет ICS-CERT за 2015 год• 295 инцидентов (рост 20%)• 486 уязвимостей

Page 16: Кибербезопасность промышленного Интернета вещей

МЧС предупреждает

Page 17: Кибербезопасность промышленного Интернета вещей

Последниеинциденты

Page 18: Кибербезопасность промышленного Интернета вещей

• Атака на АЭС в Японии в 2015-м году (стало известно только сейчас)

• Неправильное позиционирование зеркал на Ivanpah Solar Electric System привело к пожару (возможно ли сделать со злым умыслом?)

• Столкновение поездов в Казахстане и Баварии (киберпричина?)

• Атака на электроэнергетическую систему Украины с последующим обвинением России

• Атака на аэропорт «Борисполь»

Последние инциденты ИБ на критической инфраструктуре

Page 19: Кибербезопасность промышленного Интернета вещей

• Обвинение иранцев в DDoS-атаке и взломе плотины около Нью-Йорка

• Регулярные демонстрации взломов автомобилей• Атака на систему электроэнергетики Израиля• Операция Dust Storm по атаке японских объектов ТЭК,

транспорта, финансов и т.п.• Создание первого червя для PLC Siemens, распространяемого

без ПК• Обнаружение на немецкой АЭС вируса

Последние инциденты ИБ на критической инфраструктуре

Page 20: Кибербезопасность промышленного Интернета вещей

• Атака на ЖКХ-компанию Lansing Board of Water & Light в США• Атака на CMS управления данными о содержимом и

местонахождении кораблей (взлом пиратами контейнеров с бриллиантами)

• Атака на водоочистную систему Kemuri Water Company• КНДР атаковало почтовые ящики сотрудников ж/д Южной

Кореи• Атаки на АСУЗ (СКУД) и медицинские системы/датчики• Процедура катетеризации сердца пациента была прервана

антивирусом

Последние инциденты ИБ на критической инфраструктуре

Page 21: Кибербезопасность промышленного Интернета вещей

Почему все пока не очень хорошо?

Page 22: Кибербезопасность промышленного Интернета вещей

Подключенные системы

Network Automation

Service Assurance

Connected Machines

Edge Analytics Fabric

Location Services

Factory Wireless

Облачные системы

Design Collaboration

Private and Hybrid Cloud

Ecosystem Security

Secure Remote Access

Network Architectures

Network Analytics

Network Security

Изолированные системы

Virtualize Everything

Public, Private & Hybrid Cloud

Объединенные системы

Cloud Analytics Platforms

Factory Network

Factory Security

Machine as a Service

Virtualization & Compute

Factory Collaboration

Asset Management

Supply Chain Collaboration (SXP)

Разные уровниавтоматизации

Page 23: Кибербезопасность промышленного Интернета вещей

Пример: Границы и точки входа на атомной электростанции в США

Page 24: Кибербезопасность промышленного Интернета вещей

АСУ ТП

ИБучие АСУчиватели

Page 25: Кибербезопасность промышленного Интернета вещей

Умный транспорт

Цифровая подстанция

Smart Grid

Connected Factories

Mobile Devices Connected

Wind Turbines

Smart Street Lights

Connected Trucks

Connected Oil Platforms

Умный город

Умное производство

Connected Traffic Signals

Connected Machines

Облако / ЦОД

Connected Equipment

Connected Rail

Smart Buses

Различные объекты защиты

Page 26: Кибербезопасность промышленного Интернета вещей

• Простой промышленного оборудования в результате атаки вредоносного кода

• Несанкционированное изменение рецептуры или логики процесса

• Вывод из строя системы управления цепочками поставок• Перехват управления оборудованием• Утечка данных о рецептах/логике работы или

характеристиках процесса на производстве• И куча традиционных офисных угроз

Разные объекты – разные киберугрозы

Page 27: Кибербезопасность промышленного Интернета вещей

Разные стандарты кибербезопасности

Page 28: Кибербезопасность промышленного Интернета вещей

Рекомендации и требования по ИБ

Page 29: Кибербезопасность промышленного Интернета вещей

• Рекомендации FDA по ИБ медустройств• Рекомендации по ИБ систем управления водным транспортом• Рекомендации GSMA для разработчиков IoT• Новый приказ ФСТЭК по межсетевым экранам

• Тип «Д» – промышленные МСЭ

• Базовый уровень ИБ на КВО в Германии• Отчеты ENISA по Smart Grid, по CIIP и по транспорту• Рекомендации немецкого BSI по безопасности OPC UA• Проект приказа ФСТЭК по антивирусам

Новые документы, требования и рекомендации

…и еще несколько десятков различных стандартов

Page 30: Кибербезопасность промышленного Интернета вещей

NIST CybersecurityFramework

Page 31: Кибербезопасность промышленного Интернета вещей

Цель Cybersecurity Framework• Унификация подходов по

безопасности информационных систем в разных отраслях на протяжении всего жизненного цикла

• Унифицированные требования• Руководство по использованию

международных стандартов • Февраль 2014

• DCS• PLC• RTU• IED• SCADA• Safety Instrumented Systems

(SIS)• Ассоциированные

информационные системы• Связанные люди, сети и

машины

Page 32: Кибербезопасность промышленного Интернета вещей

Основная парадигма

Page 33: Кибербезопасность промышленного Интернета вещей

Основная сетевая модель

Page 34: Кибербезопасность промышленного Интернета вещей

Покрываемые CSF направления

Page 35: Кибербезопасность промышленного Интернета вещей

Ссылки на другие стандарты

Page 36: Кибербезопасность промышленного Интернета вещей

Используемые стандарты

• Стандарты NIST 800-82 и 800-53• ISA/IEC-62443• ISO 27001/02• Стандарты ENISA• Стандарт Катара• Стандарт API• Рекомендации ICS-CERT• COBIT• Council on CyberSecurity (CCS)

Top 20 Critical Security Controls (CSC)

Page 37: Кибербезопасность промышленного Интернета вещей

Российские требования

Page 38: Кибербезопасность промышленного Интернета вещей

Приказ ФСТЭК №31 по защите АСУ ТП• №31 от 14.03.2014 «Об утверждении требований к

обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»

• Все новые и модернизируемые системы должны создаваться по новому приказу, а не по документам ФСТЭК для КСИИ 2007-го и последующих годов• В тех случаях, если КСИИ управляют технологическими

процессами• Остальные типы КСИИ продолжают подчиняться требованиям

ФСТЭК к ключевым системами информационной инфраструктуры

Page 39: Кибербезопасность промышленного Интернета вещей

Смена парадигмы

• Принимаемые организационные и технические меры защиты информации должны обеспечивать доступность обрабатываемой в АСУ ТП (исключение неправомерного блокирования информации), ее целостность (исключение неправомерного уничтожения, модифицирования информации), а также, при необходимости, конфиденциальность (исключение неправомерного доступа, копирования, предоставления или распространения информации)

• Организационные и технические меры защиты информации должны быть согласованы с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности АСУ ТП и управляемого (контролируемого) объекта и (или) процесса и не должны оказывать отрицательного (мешающего) влияния на штатный режим функционирования АСУ ТП

Page 40: Кибербезопасность промышленного Интернета вещей

Меры по защите информации АСУ ТПЗащитная мера ПДн ГИС АСУ ТПИдентификация и аутентификация субъектов доступа и объектов доступа + + +Управление доступом субъектов доступа к объектам доступа + + +Ограничение программной среды + + +Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ + + +Регистрация событий безопасности + + +Антивирусная защита + + +Обнаружение (предотвращение) вторжений + + +Контроль (анализ) защищенности персональных данных + + +Обеспечение целостности информационной системы и КИ + + +Обеспечение доступности персональных данных + + +Защита среды виртуализации + + +Защита технических средств + + +Защита информационной системы, ее средств, систем связи и передачи данных + + +

Page 41: Кибербезопасность промышленного Интернета вещей

Меры по защите информации АСУ ТПЗащитная мера ПДн ГИС АСУ ТПУправление инцидентами + +Управление конфигурацией информационной системы и системы защиты КИ + +Безопасная разработка прикладного и специального программного обеспечения разработчиком +Управление обновлениями программного обеспечения +Планирование мероприятий по обеспечению защиты информации +Обеспечение действий в нештатных (непредвиденных) ситуациях +Информирование и обучение пользователей +Анализ угроз безопасности информации и рисков от их реализации +

• Планы ФСТЭК• Унификация перечня защитных мер для всех трех приказов• Выход на 2-хлетний цикл обновления приказов

Page 42: Кибербезопасность промышленного Интернета вещей

Какими терминами мы оперируем?

• Различные подходы законодателя к определению степени важности и режимности объектов приводят к появлению большого количества похожих, но все-таки разных терминов• Критически важный объект

• Стратегически важный объект

• Стратегический объект

• Объект, имеющий стратегическое значение…

• Важный объект

• Важный государственный объект

• Объект жизнеобеспечения

• Особо важный объект

• Специальный объект

• Режимный объект

• Потенциально опасный объект

• Особо опасный и технически сложный объект

Page 43: Кибербезопасность промышленного Интернета вещей

Защищенность важна, но какая?

Page 44: Кибербезопасность промышленного Интернета вещей

Рекомендации и требования по ИБ

Page 45: Кибербезопасность промышленного Интернета вещей

• Решение Kaspersky Industrial CyberSecurity• Решение Positive Industrial Security Incident Manager• Другие отечественные решения для защиты АСУ ТП

• Infowatch ASAP, DATAPK, InfoDiode, Symantron, ViPNet, Secure Diode, СТРОМ и другие

• Появление первых решений по ИБ АСУ ТП в реестре отечественного ПО

Отечественные решения по ИБ промышленных сетей

Page 46: Кибербезопасность промышленного Интернета вещей

Планы на будущее

Page 47: Кибербезопасность промышленного Интернета вещей

• Законопроект о безопасности критической информационной инфраструктуры и 20+ подзаконных актов

• 10+ документов ФСБ (по направлению ГосСОПКА)• 5+ документов ФСТЭК

Планы на ближайшее будущее (в России)

Page 48: Кибербезопасность промышленного Интернета вещей

• Конференция по кибербезопасности МАГАТЭ в Вене• Обновление существующих и разработка новых нормативных

документов МАГАТЭ по кибербезопасности• Разработка новых нормативных документов по кибербезопасности

в Росатоме• Исследования Chatham House и ПИР-Центра по

кибербезопасности ФЯБ и атомной энергетике• Отчеты Nuclear Threat Initiative (NTI) о состоянии ИБ на атомных

объектах во многих странах мира и отчет об аудите US NRC SOC • Моделирование атак на АЭС в США и UK• Инциденты ИБ на атомных объектах

Мировая ядерная тематика

Page 49: Кибербезопасность промышленного Интернета вещей

Пишите на [email protected]

Быть в курсе всех последних новостей вам помогут:

Где вы можете узнать больше?

http://www.facebook.com/CiscoRu

http://twitter.com/CiscoRussiahttp://www.youtube.com/CiscoRussiaMedia

http://www.flickr.com/photos/CiscoRussia

http://vkontakte.ru/Cisco

http://blogs.cisco.ru/

http://habrahabr.ru/company/cisco

http://linkedin.com/groups/Cisco-Russia-3798428

http://slideshare.net/CiscoRu

https://plus.google.com/106603907471961036146/postshttp://www.cisco.ru/

Page 50: Кибербезопасность промышленного Интернета вещей

Спасибо!