29 сентября 2016Бизнес-консультант по безопасности

Информационная безопасность Industrial IoT: мировые тенденции и российские реалииАлексей Лукацкий

Почему «в стиле Agile»?

• Сайт журналиста Брайна Кребса подвергся DDoS-атаке мощностью 665 Гбит/сек и 143 Mpps (миллионов пакетов в секунду)• В атаке участвовало множество IoT-устройств – IP-камеры,

маршрутизаторы, DVR (digital video recorder)• Интернет-провайдер OVH подвергся DDoS-атаке

мощностью до 1 Тбит/сек и 93 Mpps со стороны 150 тысяч IoT-устройств• В атаке участвовало множество IoT-устройств – IP-камеры и DVR

(digital video recorder)

Что произошло 20 сентября?

Что произошло 20 сентября?

А кто это?

• Удаленная команда кардиостимулятору на выпуск разряда в 800 вольт• Интернет-дефибриллятор

• Червь, распространяющийся через кардиостимуляторы• Что насчет массового убийства?

• Дистанционный взлом инсулиновых помп

Чем известен Барнаби Джек?

А что нам угрожает?

What about a Stuxnet-style exploit?

2009!

Но проблема возникла раньше

Кибервойны

Промышленный шпионаж

Конкуренты

Зачем атаковать Industrial IoT?

© 2015 Cisco and/or its affiliates. All rights reserved. 12

Зарубежные покупки Китаем активов ТЭК и кибератаки на них

Framework for LNG deal with Russia

LNG deal with Uzbekistan

LNG deal with Australia

LNG deal with Australia

LNG deal with France

Finalization of South Pars Phase 11 with Iran

LNG deal with QatarGas

LNG deal with QatarGas

LNG deal with QatarGas

LNG deal with Shell

LNG deal with Exxon

Shale gas deal with Chesapeake Energy in Texas

Aggressive bidding on multiple Iraqi oil fields at auction

Purchase of major stake in a second Kazakh oil company

China-Taiwan trade deal for petrochemicals

Purchase of Rumaila oil field, Iraq, at auction

McKay River and Dover oil sands deal with Athabasca, Canada

Development of Iran’s Masjed Soleyman oil field

Oil development deal with Afghanistan

Purchase of major stake in Kazakh oil company

2012201120102009 20132008

ShadyRAT(U.S.

naturalgaswholesaler

)

NightDragon

(Kazakhstan,Taiwan,Greece,U.S.)

Атака на промышленную сеть через Facebook

Злоумышленник нашел в Facebookоператора ночной

смены

Злоумышленник «подружился» с

оператором

Нарушитель ищет персональные

данные оператора

Нарушитель использовал социальный инжиниринг

Оператор открывает

фейковый линк и заражается

Нарушитель скачивает базу данных SAM &

подбирает пароль

Нарушитель входит в систему, запускает процедуру shutdown

Оператор реагирует очень

медленно (не верит, что это с

ним происходит!)

Злоумышленник меняет условия работы АСУ ТП

Удаленная площадка теряет

функцию удаленного запуска

Удаленная площадка остается

недоступной в течение 3+ дней

Снижение объемов переработки

нефтепродуктов

Отчет ICS-CERT за 2015 год• 295 инцидентов (рост 20%)• 486 уязвимостей

МЧС предупреждает

Последниеинциденты

• Атака на АЭС в Японии в 2015-м году (стало известно только сейчас)

• Неправильное позиционирование зеркал на Ivanpah Solar Electric System привело к пожару (возможно ли сделать со злым умыслом?)

• Столкновение поездов в Казахстане и Баварии (киберпричина?)

• Атака на электроэнергетическую систему Украины с последующим обвинением России

• Атака на аэропорт «Борисполь»

Последние инциденты ИБ на критической инфраструктуре

• Обвинение иранцев в DDoS-атаке и взломе плотины около Нью-Йорка

• Регулярные демонстрации взломов автомобилей• Атака на систему электроэнергетики Израиля• Операция Dust Storm по атаке японских объектов ТЭК,

транспорта, финансов и т.п.• Создание первого червя для PLC Siemens, распространяемого

без ПК• Обнаружение на немецкой АЭС вируса

Последние инциденты ИБ на критической инфраструктуре

• Атака на ЖКХ-компанию Lansing Board of Water & Light в США• Атака на CMS управления данными о содержимом и

местонахождении кораблей (взлом пиратами контейнеров с бриллиантами)

• Атака на водоочистную систему Kemuri Water Company• КНДР атаковало почтовые ящики сотрудников ж/д Южной

Кореи• Атаки на АСУЗ (СКУД) и медицинские системы/датчики• Процедура катетеризации сердца пациента была прервана

антивирусом

Последние инциденты ИБ на критической инфраструктуре

Почему все пока не очень хорошо?

Подключенные системы

Network Automation

Service Assurance

Connected Machines

Edge Analytics Fabric

Location Services

Factory Wireless

Облачные системы

Design Collaboration

Private and Hybrid Cloud

Ecosystem Security

Secure Remote Access

Network Architectures

Network Analytics

Network Security

Изолированные системы

Virtualize Everything

Public, Private & Hybrid Cloud

Объединенные системы

Cloud Analytics Platforms

Factory Network

Factory Security

Machine as a Service

Virtualization & Compute

Factory Collaboration

Asset Management

Supply Chain Collaboration (SXP)

Разные уровниавтоматизации

Пример: Границы и точки входа на атомной электростанции в США

АСУ ТП

ИБучие АСУчиватели

Умный транспорт

Цифровая подстанция

Smart Grid

Connected Factories

Mobile Devices Connected

Wind Turbines

Smart Street Lights

Connected Trucks

Connected Oil Platforms

Умный город

Умное производство

Connected Traffic Signals

Connected Machines

Облако / ЦОД

Connected Equipment

Connected Rail

Smart Buses

Различные объекты защиты

• Простой промышленного оборудования в результате атаки вредоносного кода

• Несанкционированное изменение рецептуры или логики процесса

• Вывод из строя системы управления цепочками поставок• Перехват управления оборудованием• Утечка данных о рецептах/логике работы или

характеристиках процесса на производстве• И куча традиционных офисных угроз

Разные объекты – разные киберугрозы

Разные стандарты кибербезопасности

Рекомендации и требования по ИБ

• Рекомендации FDA по ИБ медустройств• Рекомендации по ИБ систем управления водным транспортом• Рекомендации GSMA для разработчиков IoT• Новый приказ ФСТЭК по межсетевым экранам

• Тип «Д» – промышленные МСЭ

• Базовый уровень ИБ на КВО в Германии• Отчеты ENISA по Smart Grid, по CIIP и по транспорту• Рекомендации немецкого BSI по безопасности OPC UA• Проект приказа ФСТЭК по антивирусам

Новые документы, требования и рекомендации

…и еще несколько десятков различных стандартов

NIST CybersecurityFramework

Цель Cybersecurity Framework• Унификация подходов по

безопасности информационных систем в разных отраслях на протяжении всего жизненного цикла

• Унифицированные требования• Руководство по использованию

международных стандартов • Февраль 2014

• DCS• PLC• RTU• IED• SCADA• Safety Instrumented Systems

(SIS)• Ассоциированные

информационные системы• Связанные люди, сети и

машины

Основная парадигма

Основная сетевая модель

Покрываемые CSF направления

Ссылки на другие стандарты

Используемые стандарты

• Стандарты NIST 800-82 и 800-53• ISA/IEC-62443• ISO 27001/02• Стандарты ENISA• Стандарт Катара• Стандарт API• Рекомендации ICS-CERT• COBIT• Council on CyberSecurity (CCS)

Top 20 Critical Security Controls (CSC)

Российские требования

Приказ ФСТЭК №31 по защите АСУ ТП• №31 от 14.03.2014 «Об утверждении требований к

обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»

• Все новые и модернизируемые системы должны создаваться по новому приказу, а не по документам ФСТЭК для КСИИ 2007-го и последующих годов• В тех случаях, если КСИИ управляют технологическими

процессами• Остальные типы КСИИ продолжают подчиняться требованиям

ФСТЭК к ключевым системами информационной инфраструктуры

Смена парадигмы

• Принимаемые организационные и технические меры защиты информации должны обеспечивать доступность обрабатываемой в АСУ ТП (исключение неправомерного блокирования информации), ее целостность (исключение неправомерного уничтожения, модифицирования информации), а также, при необходимости, конфиденциальность (исключение неправомерного доступа, копирования, предоставления или распространения информации)

• Организационные и технические меры защиты информации должны быть согласованы с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности АСУ ТП и управляемого (контролируемого) объекта и (или) процесса и не должны оказывать отрицательного (мешающего) влияния на штатный режим функционирования АСУ ТП

Меры по защите информации АСУ ТПЗащитная мера ПДн ГИС АСУ ТПИдентификация и аутентификация субъектов доступа и объектов доступа + + +Управление доступом субъектов доступа к объектам доступа + + +Ограничение программной среды + + +Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ + + +Регистрация событий безопасности + + +Антивирусная защита + + +Обнаружение (предотвращение) вторжений + + +Контроль (анализ) защищенности персональных данных + + +Обеспечение целостности информационной системы и КИ + + +Обеспечение доступности персональных данных + + +Защита среды виртуализации + + +Защита технических средств + + +Защита информационной системы, ее средств, систем связи и передачи данных + + +

Меры по защите информации АСУ ТПЗащитная мера ПДн ГИС АСУ ТПУправление инцидентами + +Управление конфигурацией информационной системы и системы защиты КИ + +Безопасная разработка прикладного и специального программного обеспечения разработчиком +Управление обновлениями программного обеспечения +Планирование мероприятий по обеспечению защиты информации +Обеспечение действий в нештатных (непредвиденных) ситуациях +Информирование и обучение пользователей +Анализ угроз безопасности информации и рисков от их реализации +

• Планы ФСТЭК• Унификация перечня защитных мер для всех трех приказов• Выход на 2-хлетний цикл обновления приказов

Какими терминами мы оперируем?

• Различные подходы законодателя к определению степени важности и режимности объектов приводят к появлению большого количества похожих, но все-таки разных терминов• Критически важный объект

• Стратегически важный объект

• Стратегический объект

• Объект, имеющий стратегическое значение…

• Важный объект

• Важный государственный объект

• Объект жизнеобеспечения

• Особо важный объект

• Специальный объект

• Режимный объект

• Потенциально опасный объект

• Особо опасный и технически сложный объект

Защищенность важна, но какая?

Рекомендации и требования по ИБ

• Решение Kaspersky Industrial CyberSecurity• Решение Positive Industrial Security Incident Manager• Другие отечественные решения для защиты АСУ ТП

• Infowatch ASAP, DATAPK, InfoDiode, Symantron, ViPNet, Secure Diode, СТРОМ и другие

• Появление первых решений по ИБ АСУ ТП в реестре отечественного ПО

Отечественные решения по ИБ промышленных сетей

Планы на будущее

• Законопроект о безопасности критической информационной инфраструктуры и 20+ подзаконных актов

• 10+ документов ФСБ (по направлению ГосСОПКА)• 5+ документов ФСТЭК

Планы на ближайшее будущее (в России)

• Конференция по кибербезопасности МАГАТЭ в Вене• Обновление существующих и разработка новых нормативных

документов МАГАТЭ по кибербезопасности• Разработка новых нормативных документов по кибербезопасности

в Росатоме• Исследования Chatham House и ПИР-Центра по

кибербезопасности ФЯБ и атомной энергетике• Отчеты Nuclear Threat Initiative (NTI) о состоянии ИБ на атомных

объектах во многих странах мира и отчет об аудите US NRC SOC • Моделирование атак на АЭС в США и UK• Инциденты ИБ на атомных объектах

Мировая ядерная тематика

Пишите на security-request@cisco.com

Быть в курсе всех последних новостей вам помогут:

Где вы можете узнать больше?

http://www.facebook.com/CiscoRu

http://twitter.com/CiscoRussiahttp://www.youtube.com/CiscoRussiaMedia

http://www.flickr.com/photos/CiscoRussia

http://vkontakte.ru/Cisco

http://blogs.cisco.ru/

http://habrahabr.ru/company/cisco

http://linkedin.com/groups/Cisco-Russia-3798428

http://slideshare.net/CiscoRu

https://plus.google.com/106603907471961036146/postshttp://www.cisco.ru/

Спасибо!