Unifying the

Global Response

to Cybercrime

Кібернетичні загрози АСУ ТП

Гліб Пахаренко

gpaharenko (at) gmail.com

2015-02-11

для форуму лідерів АСУ «Нова країна – Новий ландшафт»

Unifying the

Global Response

to Cybercrime

StuxnetStuxnet – мережевий хробак, який виявлено в 2010р.

Цілі – установки по збагаченню урану в Ірані.

Особливості:

розповсюдження через флеш-накопичувачі та мережу

використання чисельних вразливостей:

• MS10-046 to infect trough USB flash (using LNK files)

• MS10-061 to infect over the net (print spooler vuln)

• MS08-067 to infect over the net (confiker style)

• Default password in Siemens WinCC SQL database

• вкрадені цифрові сертифікати для зловмисного

драйверу.

завантаження зловмисного коду в пам'ять контролера

підміна компонент системи моніторингу контролера

виявлення лише систем, котрі відповідають певним ознакам

Спосіб дії:

різка зміна частоти обертання турбін

відображення сталих нормальних показників обертання

турбін оператору

Нащадки:

Duqu

Flame

Головна мета – збір даних для атак на індустріальні об'єкти

2

Unifying the

Global Response

to Cybercrime

SandwormSandworm– мережевий хробак, який виявлено в 2014р.

Цілі – установи енергетичного сектору.

Особливості:

розповсюдження через вразлиість в MS Office

використання соціальної інженерії

увага АСУ ТП Siemens та GE FANUC Cimplicity

походження - Росія

3

Unifying the

Global Response

to Cybercrime

Havex та інші атакиHavex– троянська програма, виявлена в 2014р.

Цілі – виробники АСУ ТП.

Особливості:

заражає дистрибутиви ПЗ на сайтах виробників;

жертвами стали більше 100 організацій;

Інцидент на газогоні Баку-Тбілісі-Чейхан

вибух на газогоні в 2008р.

можливий вплив зловмисного ПЗ на показання дачиків, щоб вибух не

помітили одразу;

зараження могло статися через камери ІР спстереження,

опубліковані в Інтернет.

Новини про загрози для АСУ ТП:

захоплення ГО «Спільна справа» будівлі Міненергетики;

використання банківських троянів для атак у енергетичному секторі;

атаки на мобільні пристрої, що використовуються в АСУ ТП;

в Україні більше 50 тис. заражених вірусами машин;

Піратське ПЗ для АСУ ТП

4

Unifying the

Global Response

to Cybercrime

Міжнародна практика безпеки АСУ ТП1996 року в США розпочалася програма захисту критичної інфраструктури. В таблиці нижче наведена інформація про

досвід різних країн у галузі захисту критичної інфраструктури.

5

Країна практика захисту критичної інфраструктури

США • 16 критичних галузей

• для кожної галузі існує план керування захистом критичної інфраструктури

• головний відповідальний – Department of HomeLand security

• частину інфраструктури захищає Department of Defense

• існує окрема команда реагування на кібер-атаки в галузях критичної інфраструктури ISC-CERT

• 9-го лютого NIST опублікував чернетку стандарта з безпеки АСУ ТП

Британія • існує окремий орган Centre for the Protection of National Infrastructure, підпорядкован національній

службі безпеки

МСЕ (ITU) • Розроблено декілька типових документів для захисту національної критичної інфраструктури

• Фокус група з вивчення Smart grid вважає безпеку ключовим фактором

OECD • 2008р. випущено рекомендації із захисту критичної інфраструктури

• Безпека «інтернету речей повинна бути закладена з самого початку, озвучено на форумі

передбачення технологій 2014р.

EU • 2008р. випущено директиву із захисту критичної інфраструктури

• 2006р. запущено програму щодо захисту критичної інфраструктури

• окремий розділ з безпеки АСУ ТП на сайті Європейського агенства з кібер-безпеки (ENISA)

NATO • 2007р. на річному саміті розгянуто питання необхідності захисту критичної інфраструктури

• 2012р. проект з енергетичної безпеки, в його рамках розглянуто безпеку АСУ ТП

Росія • 2012р. затверджені головні напрямки державної політики у галузі захисту критичних АСУ ТП

• 2014р. затверджені вимоги до захисту АСУ ТП (наказ ФСТЕК)

• проект закону про захист критичної інформаціонної інфраструктури

Unifying the

Global Response

to Cybercrime

Українська практика захисту АСУ ТПВ таблиці нижче наведена інформація нормативне регулювання захисту критичної інфраструктури в Україні

6

Нормативний акт Коментар

РЕКОМЕНДАЦІЇ

парламентських

слухань на тему:

"Законодавче

забезпечення розвитку

інформаційного

суспільства в Україні"

• забезпечити захист від кіберзагроз критично важливих об’єктів національної

інфраструктури, зокрема атомних електростанцій, гідроелектростанцій, трубопроводів

тощо шляхом проведення аудиту інформаційної безпеки і запровадження відповідних

вимог, обов’язкових для підприємств усіх форм власності;

• створити єдиний національний ІТ-депозитарій (резервну копію "бекапу" критично

важливих інформаційних ресурсів для держави);

• адаптувати системи захисту державних інформаційних ресурсів до вимог та стандартів

Європейського Союзу з проведенням тестів на проникнення критично важливих об’єктів

національної інфраструктури;

Проект указу

Президента України

«Про стратегію

забезпечення

кібернетичної безпеки

України»

• (Зі старої редакції)

• об’єкт критичної інформаційної інфраструктури – інформаційна (автоматизована),

телекомунікаційна, інформаційно-телекомунікаційна система органів державної влади,

органів місцевого самоврядування, органів управління Збройних Сил, інших військових

формувань, правоохоронних та інших державних органів, а також підприємств, установ

та організацій незалежно від форм власності на території України чи за її межами (у разі

перебування під юрисдикцією України), порушення сталого функціонування якої матиме

негативний вплив на стан національної безпеки і оборони України

• забезпечити стійкість критичної інформаційної інфраструктури щодо інцидентів і

протиправних дій у кібернетичному просторі;

Законопроект Про

основні засади

забезпечення

кібернетичної безпеки

України

• (Зі старої редакції)

• критична інформаційна інфраструктура – сукупність об’єктів критичної інформаційної

інфраструктури держави;

• Основними напрямами забезпечення кібербезпеки України є: розвиток інформаційної

інфраструктури держави, забезпечення безпечного функціонування об’єктів критичної

інформаційної інфраструктури;

Unifying the

Global Response

to Cybercrime

Українська практика захисту АСУ ТП (продовження)В таблиці нижче наведена інформація нормативне регулювання захисту критичної інфраструктури в Україні

7

Нормативний акт Коментар

Законопроект Про

основні засади

забезпечення

кібернетичної безпеки

України

• (Зі старої редакції)

• забезпечення неухильного дотримання власниками об’єктів критичної інформаційної

інфраструктури вимог законодавства у сфері захисту державних інформаційних

ресурсів, криптографічного та технічного захисту інформації, захисту персональних

даних;

• пріоритетність завдань і зосередження зусиль на забезпеченні кібербезпеки об'єктів

критичної інформаційної інфраструктури;

• Об’єктами кіберзахисту є об’єкти критичної інформаційної інфраструктури та інші

інформаційно-телекомунікаційні системи, в яких здійснюється обробка державних

інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена

законом.

• Об’єкти критичної інформаційної інфраструктури потребують першочергового

(пріоритетного) захисту від кібератак.

• Порядок віднесення об’єктів до критичної інформаційної інфраструктури та перелік цих

об’єктів затверджуються Кабінетом Міністрів України.

• Захист об’єктів критичної інформаційної інфраструктури від кібератак забезпечується

відповідно до вимог законодавства у сфері захисту інформації.

• Міністерство оборони України: бере участь у підготовці об’єктів критичної інформаційної

інфраструктури держави до функціонування в особливий період та в умовах воєнного

стану;

• Державна служба спеціального зв’язку та захисту інформації України:

• розробляє критерії та порядок оцінки стану кіберзахисту об’єктів критичної

інформаційної інфраструктури, забезпечує її організацію та проведення;

• здійснює державний контроль за станом захисту інформації, яка циркулює на об’єктах

критичної інформаційної інфраструктури;

• створює та забезпечує функціонування підрозділу з питань оперативного реагування на

кіберінциденти;

Unifying the

Global Response

to Cybercrime

Українська практика захисту АСУ ТП (продовження)В таблиці нижче наведена інформація нормативне регулювання захисту критичної інфраструктури в Україні

8

Нормативний акт Коментар

Законопроект «Про

основні засади

забезпечення

кібернетичної безпеки

України»

• (Зі старої редакції)

• Внести зміни до таких законодавчих актів України: у Законі України “Про правовий

режим надзвичайного стану” частину першу статті 6 після пункту 4 «доповнити новим

пунктом такого змісту:

Стаття 6. Указ Президента України про введення надзвичайного стану «В Указі Президента

України про введення надзвичайного стану зазначаються: перелік заходів, пов’язаних з

функціонуванням національного сегмента кіберпростору та об'єктів критичної

інформаційної інфраструктури”;

Стаття 18. Додаткові заходи правового режиму надзвичайного стану у зв'язку з масовими

порушеннями громадського порядку

У разі введення надзвичайного стану з підстав додатково можуть здійснюватися такі заходи:

особливі правила функціонування національного сегмента кіберпростору та об'єктів

критичної інформаційної інфраструктури”;

Проект змін до закону

«Про інформацію»

• (ДССЗЗІ не дозволило оприлюднення тексту)

• Коментар: Технологічна інформація в об»єктах критичної інфраструктури буде

захищатися законом. Тобто буде потрібна побудова комплексної системи захисту

інформації (КСЗІ) за вимогами ДССЗЗІ.

Проект постанови

Кабміну про

інвентаризацію об'єктів

критичної

інфраструктури

• (ДССЗЗІ не дозволило оприлюднення тексту)

• Коментар: потрібно на папері направити в ДССЗЗІ перелік критичної технологічної

інформації. Не прописані чіткі критерії визначення критичності технологічної інформації.

Буде повторення досвіду служби захисту персональних даних.

Unifying the

Global Response

to Cybercrime

Українська практика захисту АСУ ТП (продовження)В таблиці нижче наведена інформація нормативне регулювання захисту критичної інфраструктури в Україні

9

Нормативний акт Коментар

Постанова Кабміну.

«ПЛАН

заходів щодо захисту

державних

інформаційних

ресурсів.»

• Адміністрація Держспецзв’язку. Перше півріччя 2015 року. Сформувати перелік об’єктів,

що належать до критичної інформаційної інфраструктури держави, організувати та

провести оцінку стану захищеності державних інформаційних ресурсів зазначених

об’єктів: розробити та подати для затвердження Кабінетові Міністрів України порядок

віднесення об’єктів до критичної інформаційної інфраструктури держави та перелік

таких об’єктів.

• Протягом 2014-2015 років; організувати та провести оцінку стану захищеності державних

інформаційних ресурсів об’єктів, що належать до критичної інформаційної

інфраструктури держави (згідно з процедурою оцінки стану захищеності).

Unifying the

Global Response

to Cybercrime

Захист АСУ ТП. Крок 1. Підвищення освіченості.В переліку нижче наводяться корисні стандарти для захисту критичної інфраструктури:

http://www.isaca.org/chapters2/latvia/events/Documents/Rudens%20konference%202012/04%20-%20Andris%20Laucins%20-

%20SCADA.pdf

http://www.isaca.org/Journal/Past-Issues/2010/Volume-4/Documents/10v4-online-security-of.pdf

http://www.isaca.org/Journal/Past-Issues/2014/Volume-1/Pages/SCADA-Cybersecurity-Framework.aspx

https://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/scada-industrial-control-

systems

http://www.isaca.org/cobit/pages/info-sec.aspx?utm_medium=event-tradeshow&utm_source=insights-brochure-25-june-

2012&utm_campaign=cobit5-for-is&utm_content=cobit

http://www.isaca.org.ua/index.php/homepage/download/category/2-standards?download=1:cobit-4-1-ukr

https://www.owasp.org/images/e/e3/OWASP_Top_10_-_2013_Final_Ukrainian.pdf

http://www.isaca.org/Knowledge-Center/Research/Documents/ITAF-3rd-Edition_fmk_Ukr_1214.pdf

ISO 27001 (є адаптований для НБУ стандарт https://kyianyn.files.wordpress.com/2010/12/nbu-27002.pdf)

ISO 27002 ((є адаптований для НБУ стандарт https://kyianyn.files.wordpress.com/2010/12/nbu-27001.pdf)

ISA 99 resources http://isa99.isa.org

Сертифікація з безпеки для замовників АСУ ТП http://www.isasecure.org/en-US/Certification/SSA-Certification

В жовтні 2014р. в Києві пройшов семінар НАТО в рамках програми «Наука заради миру» з питань захисту об»єктів

критичної інфраструктури від кібер-атак:

https://www.facebook.com/NATOarwSCfCI

10

Unifying the

Global Response

to Cybercrime

Захист АСУ ТП. Крок 1. Підвищення освіченості. ПродовженняЧому не працює захист з використанням ізольованої мережі? Зловмисне ПЗ може потрапити до мережі АСУ ТП за

допомогою:

інфікованих ноутбуків

інфікованих носіїв (флеш, СД)

несанкціоновані модеми

несанкціоновані точки доступу Wi-Fi

заражене обладнання в ланцюгу постачання

заражені оновлення

тимчасово відкритий доступ для інтеграторів

кряки до піратських версій АСУ ТП

11

Unifying the

Global Response

to Cybercrime

Захист АСУ ТП. Крок 2. Створення програми безпеки АСУ ТПНеобхідно створити бізнес-кейс для розробки програми безпеки критичних АСУ ТП (аудиту).

окреслити приблизно кількість критичних АСУ ТП, фізичні площадки та інші межі програми.

окреслити загальні кібер-загрози для АСУ ТП

оцінити труд ємкість робіт з розробки програми безпеки критичних АСУ ТП

залучитись підтримкою керівної особи в організації

створити календарний план робіт

затвердити проведення аудиту та розробки програми безпеки АСУ ТП на правлінні організації

Організаційна структура

наявність відповідального в правлінні установи за кібернетичну безпеку

наявність комітету з інформаційної безпеки

наявність функції внутрішнього аудиту ІТ

Процеси керування

ризиком

доступом

інцидентами

змінами

Політики, процедури, інструкції

інформаційної безпеки

етичної поведінки

обов'язки кожного співробітника щодо захисту інформації

12

Unifying the

Global Response

to Cybercrime

Захист АСУ ТП. Крок 2. Створення програми безпеки АСУ ТПОсвіченість кожного співробітника

постійне навчання

тестування знань

Швидкі та дешеві рішення (quick-wins)

сегментація мережі на зони

мінімізація кількості співробітників з правами адміністратора

безпечні налаштування операційних систем та додатків (hardening)

системи захисту проти експлойтів (EMET)

технічне виявлення вразливостей та тести на проникнення

Засоби колективної безпеки в галузі

галузева команда реагування на інциденти (CERT) та надання їй правового статуса в законодавчому полі України;

лабораторія з безпеки АСУ ТП

галузеві стандарти з ІТ безпеки АСУ ТП

обмін інформацією про кібер-загрози (вірусами, сигнатурами атак)

база файлів АСУ ТП для перевірки їх цілісності

національна база вразливостей

очищення українського Інтернет

раннє попередження загроз від урядів інших країн у кооперації з державними органами

13

Unifying the

Global Response

to Cybercrime

Захист АСУ ТП. Ключові елементи безпекиЗони безпеки є ключовим елементом згідно ідеології ІСА99.

14

Unifying the

Global Response

to Cybercrime

Захист АСУ ТП. ISO 27001Стандарти ІСА99 базуються на ідеології ISO27001.

15

Unifying the

Global Response

to Cybercrime

Захист АСУ ТП. ISO 27001 (продовження)Стандарти ІСА99 базуються на ідеології ISO27001.

16

Unifying the

Global Response

to Cybercrime

Захист АСУ ТП. Cobit 5. Процеси.

17

Unifying the

Global Response

to Cybercrime

Захист АСУ ТП. Cobit 5. Каскад цілей та ключові фактори.

18