Информационная безопасность Интернета вещей: от...

Информационная безопасность Интернета вещей: от кофеварки до

атомной электростанции #3326

Лукацкий Алексей, консультант по безопасности

ИНТЕРНЕТ ВЕЩЕЙ – ЧТО ЭТО?

Типы всеобъемлющего Интернета (IoE)

ТИП СОЕДИНЕНИЯ

МАШИНА-С-МАШИНОЙ (M2M) §  Данные посылаются / получаются от одного устройства (вещи) к другому §  Часто называется «Интернетом вещей» («Internet of Things»)

$7.4 ТРИЛЛИОНА

МАШИНА-С-ЧЕЛОВЕКОМ (M2P) §  Данные посылаются / получаются от одного устройства (вещи) к человеку §  Часто называется «данные и аналитика»

$4.6 ТРИЛЛИОНА

ЧЕЛОВЕК-С-ЧЕЛОВЕКОМ (P2P) §  Данные посылаются / получаются от одного человека к другому §  Часто называется «взаимодействие» («обычный Интернет»)

$7.0 ТРИЛЛИОНА

ОБЪЕМ РЫНКА (2013-2022)

7.2 6.8 7.6

Всеобъемлющий Интернет (Internet of Everything) уже существует

Лавинообразный рост внедрений цифровых

технологий: В 5 раз быстрее, чем в электроэнергетике или

телефонии

50 Миллиардов

“Умных устройств”

50

2010 2015 2020

0

40

30

20

10

Миллиарды

устройств

25

12.5

Критическая точка

Годы

Население земли

ПРИМЕРЫ ИНТЕРНЕТА ВЕЩЕЙ

Что для нас всеобъемлющий Интернет, кроме…?

Как скрестить корову и Интернет?..

МАРШРУТ ЦЕНТР УПРАВЛЕНИЯ

ПЕРЕСЕЧЕНИЕ ГРАНИЦЫ ЗОНЫ

(контроль через GPS)

Как украсть / спасти миллион!?

Автобус в Абердине под контролем

«Подключенный бульвар» в Ницце

«Умная» рисоварка качает рецепты из Интернет

«Умная» рисоварка качает рецепты из Интернет

«Умная» рисоварка качает рецепты из Интернет

Кстати, о питомцах… памперсы, шлющие твиты

Интернет-вещей в санузле

«Умная» зубная щетка

Asthmapolis для удаленного контроля астматиков

Облачный AdhereTech для слежения за приемом лекарств

Кто это?

Чем известен Барнаби Джек?

•  Удаленная команда кардиостимулятору на выпуск разряда в 800 вольт –  Интернет-дефибриллятор

•  Червь, распространяющийся через кардиостимуляторы –  Что насчет массового убийства?

•  Дистанционный взлом инсулиновых помп

IoE-стельки с навигатором

Домашняя АСУ ТП (это тоже Интернет вещей)

Использование Термостат Как экономить?

Реакция на потребности Счет Контроль техники

Промышленная АСУ ТП на объектах ТЭК

Добыча / генерация Транспортировка Переработка / хранение

ЕСТЬ ЛИ РЕШЕНИЯ ПО БЕЗОПАСНОСТИ?

Безопасность Интернета вещей – мы только в начале пути

•  Персональный Интернет вещей сегодня практически никак не защищен –  Отсутствие серьезного ущерба –  Отсутствие стандартов не только защиты, но и взаимодействия –  Безопасность может быть реализована только на уровне производителя, который не понимает (не заинтересован) в решении данного вопроса

–  Со временем ситуация должна измениться

Интернет вещей для бизнеса (АСУ ТП) – ситуация немногим лучше

•  Готовы ли традиционные средства защиты аутентифицировать одновременной 50000 датчиков АСУ ТП в условиях каскадного сбоя? –  Как вообще аутентифицировать удаленные датчики и исполнительные устройства?

–  А как управлять сертификатами и ключами при таком количестве одновременных запросов?

•  Готовы ли традиционные средства защиты работать с «однобитовыми» пакетами? –  12 бит данные от АСУ ТП и 160 бит (DSA) или 256 бит (ГОСТ) – готова ли пропускная способность каналов и АСУ ТП к такому росту?

Традиционные СрЗИ еще не готовы

•  Готовы ли традиционные средства защиты работать в условиях длительного автономного питания? –  А что насчет агрессивных сред? Специфическая климатика? Взрыво-, влаго-, пыле- защищенность?

•  Готовы ли традиционные средства защиты поддерживать задержку в 10-6 сек? –  На многих индустриальных объектах стандарты переданных данных требуют именно таких задержек

•  Есть ли защищенные протоколы работы в реальном времени? –  А они поддерживаются используемым оборудованием? –  А когда у вас заканчивается жизненный цикл оборудования?

Протоколы

•  70-е годы – последовательные коммуникации (serial) –  Многие протоколы разработаны для них

•  90-е года – начало перехода на TCP/IP-коммуникации •  ANSI X3.28 •  BBC 7200 •  CDC Types 1 и 2 •  Conitel 2020/2000/3000 •  DCP 1 •  DNP 3.0 •  Gedac7020 •  ICCP •  Landis & Gyr8979 •  Modbus

•  OPC •  ControlNet •  DeviceNet •  DH+ •  ProfiBus •  Tejas3 и 5 •  TRW 9550 •  UCA •  …

ПОЧЕМУ НЕТ ЗАЩИТЫ ИНТЕРНЕТА ВЕЩЕЙ?

Варианты взаимодействия устройств между собой: с высоты птичьего полета

Внутреннее сетевое

•  Взаимодействие осуществляется через внутренние сети (корпоративные или индустриальные)

Внешнее сетевое

•  Взаимодействие осуществляется через Интернет или иные каналы связи общего пользования

Персональное

•  Локальный обмен данными через протокол Bluetooth, ZigBee, NFC и т.п.

•  Взаимодействие может быть как однонаправленным, так и двунаправленным

Разница между офисными и индустриальными сетями

Критерий Офисная сеть Индустриальная сеть Сетевая архитектура Обычно:

отказоустойчивая архитектура с автоматической перестройкой в случае отказа / время восстановления – около 1 минуты

Требуется восстановление после сбоя в течение 1 секунды

Поведение при высокой нагрузке

Качество не гарантируется, но поддерживается лучшим из возможного (best effort)

Требуется снизить нагрузку (шейпинг, балансировка) для гарантий работоспособности устройств

Разница между офисными и индустриальными сетями

Критерий Офисная сеть Индустриальная сеть Коммуникации в реальном времени

Определяются ожиданиями пользователя. Задержка до 1 минуты может быть приемлемой

Требуется действительно реальное время – задержки менее 1 мсек (зависит от устройств)

Жизненный цикл Железо и софт имеют жизненный цикл 3-7 лет (зависит от срока амортизации)

Типичный срок жизни свыше 10 лет

Производительность устройств

Устаревшие устройства можно легко заменить

В зависимости от жизненного цикла замена может быть затруднительно

Мощность / производительность

Дизайн систем позволяет использовать мощные процессора

Дизайн систем может ограничивать мощность устройства

Разница между офисными и индустриальными сетями

Критерий Офисная сеть Индустриальная сеть Управление патчами Управление патчами

может иметь больший приоритет, чем работа устройства. Доступна автоматизация обновлений. Перезагрузка (простои) устройств являются приемлемыми

Обновление не должно влиять на работоспособность устройства. Патч должен быть проверен перед установкой. Перезагрузки следует избегать

Доступность и простои Отказ одного или нескольких устройств и простои в течение нескольких часов приемлемы и не вызывает общего простоя

Отказ одного устройства может привести к выходу из строя всей производственной линии или процесса. Простои приемлемы обычно до 5 минут

Разница между офисными и индустриальными сетями

Критерий Офисная сеть Индустриальная сеть Замена устройств Замена ПО и железа

может занять несколько дней. Потеря пользовательских данных может быть приемлема. Есть персонал на замену

Замена необходима в течение нескольких минут. Потеря данных и конфигураций недопустима. Обученного персонала в достаточном количестве нет

Приложения Гетерогенные среды. Тип и число приложений определяются потребностями пользователей

Хорошо известное и ограниченное окружение. Используются только приложения, нужные для процесса

Разница между офисными и индустриальными сетями

Критерий Офисная сеть Индустриальная сеть Сетевые протоколы Большое число

протоколов и форматов сообщений и файлов. Широковещательный трафик

Число протоколов автоматизации ограничено

Аппаратные платформы Применяется преимущественно PC-архитектура для Windows-платформы

Множество платформ и устаревших систем. Большое количество различных ОС, версий и сетевых протоколов

Коммуникации Высокодинамичные клиент-серверные и пиринговые соединения

Ограниченное число вариантов соединений

В чем разница в защите АСУ ТП и обычных сетей?

Критерий АСУ ТП Обычная сеть Масштаб системы Географически

распределенная Локальный

Интеллект устройств Очень низкий Универсальные ПК Используемые протоколы Индустриальные Универсальные Уровень автоматизации (отсутствия человека)

Очень высокий Средний или низкий

Архитектура Клиент-сервер (RTU-MTU)

Смешанная

Количество подключаемых устройств

Десятки тысяч датчиков

Десятки и сотни

Размеры пакетов в сети Небольшие Большие Требования к задержкам Высокие Несущественные

(исключая мультимедиа) Защита канала связи Редко Часто

Безопасность АСУ ТП vs ИТ-безопасность

Вопросы ИБ Традиционные ИТ АСУ ТП

Антивирус Широкое применение / общая практика

Сложно реализовать / на практике применяется редко

Жизненный цикл технологий 3-5 лет До 20 лет и выше

Аутсорсинг Широкое применение / общая практика

Редко используется

Установка патчей Регулярно / по расписанию Долго и редко

Управление изменениями Регулярно / по расписанию Наследуемые системы (плохая реализация требования ИБ)

Контент, критичный ко времени Задержки принимаются Критично

Доступность Задержки принимаются 24 х 7 х 365 (непрерывно)

Повышение осведомленности Организовано неплохо Обычно слабо в вопросах ИБ

Аудит ИБ Планируется и реализуется третьей стороной

Время от времени (после сбоев)

Физическая безопасность Безопасности Очень неплохо, но часто удаленно и автоматизировано

РЫНОК ТОЛЬКО ФОРМИРУЕТСЯ

Специфика рынка ИБ ICS

•  ИБ ICS – это не один продукт! Это комбинация архитектуры, опыта (не всегда передового), поведения и «технологических» компонентов (не всегда современных) – «железа», профессиональных услуг и программного обеспечения –  Обычно именно в такой последовательности

52%

8%

40% Железо ПО Услуги

Специфика рынка ИБ ICS

•  Современные индустриальные решения обычно уже включают в себя различные защитные меры –  Контроллеры с интерфейсами, включающими функции МСЭ –  Сервера с установленными и протестированными антивирусами, система управления доступом, системами ограничения программной среды (application whitelisting) и системами класса HIDS

–  Услуги ИБ (например, оценка защищенности) становятся частью процесса дизайна/создания ICS, а управление ИБ часто сопровождает традиционные услуги по поддержке

•  ИБ унаследованных (legacy) систем является предметом торга между бизнесом и безопасностью и схожа с продажей страховки от вероятных рисков

Специфика рынка ИБ ICS

•  Решения по ИБ ICS включают традиционные «офисные» средства защиты и специально разработанные для АСУ ТП системы

•  Среди средств защиты доминируют аппаратные МСЭ, ориентированные на работу в агрессивных средах (повышенной надежности) –  Контроль доступа к индустриальным устройствам и защита от сетевых атак

•  В части программной ИБ фокус делается на антивирусах и замкнутой программной среде (application whitelisting) –  Защита индустриальных устройств от заражения

Специфичных средств ИБ ICS по-прежнему не хватает

•  CNetSec – МСЭ и сетевая безопасность

•  ICSNetSec – отраслевая сетевая безопасность

•  AV/WL – антивирусы и whitelisting

•  ICSSysMgmt – программные агенты и управление

КАК ПОСТУПИТЬ НА ПРАКТИКЕ?

Типичная архитектура АСУ ТП

SCADA Server / Master /

Master Terminal Unit (MTU)

Реальная статистика по типам инцидентов

Реальная статистика по типу входа в АСУ ТП

Корпоративная зона

DMZ

PCD – Process Control Domain / Производственная зона

PCN – Process Control Network /

Cell / Area Zone

Корпоративная сеть

Бизнес-планирование и анализ данных

Контроль и управление

Зони мониторинга

Базовый контроль

Процессы

ДМЗ – Разделяемый доступ

Level 5

Level 4

Level 3

Level 2

Level 1

Level 0

Level 3½

Модель зонирования Пурдью (Purdue)

Элементы защиты индустриальной сети

VPN  

VDI  

WSA  

IPS  

NGFW  

FW  

ISE  

Level 5

Level 4

Level 3

Level 2

Level 1

Level 0

Level 3½

Enterprise Zone

DMZ

PCD /

Manufacturing Zone

PCN /

Cell / Area Zone

?

?

Начать с главного – правильной архитектуры

Cell/Area Zone Уровни 0-2

Индустриальная зона

Уровень 3

Буферная зона

(DMZ)

Контроль в реальном времени

Конвергенция

Multicast Traffic

Простота использования

Сегментация Мультсервисные сети

Безопасность приложений и управления

Контроль доступа

Защита от угроз

Сеть предприятия Уровни 4-5

Gbps Link for Failover Detection

Firewall & IPS

Firewall & IPS

Application Servers

Cisco Catalyst Switch

Network Services

Cisco Catalyst 6500/4500

Cisco Cat. 3750 StackWise Switch Stack

Patch Management Terminal Services Application Mirror

AV Server

Cell/Area #1 (Redundant Star Topology)

Drive

Controller

HMI Distributed I/O

Controller

Drive Drive

HMI

Distributed I/O

HMI

Cell/Area #2 (Ring Topology)

Cell/Area #3 (Bus/Star Topology)

Controller

Интеграция в сеть предприятия

UC Wireless

Application Optimization Web Apps DNS FTP

Internet

Identity Services Engine

Router

ESC Experion Server

Safety Manager

Terminal Server

Domain Controller ESF

PHD Server

Firewall

Enterprise Switch

Level 3

Level 3.5 DMZ

Level 4

Terminal Server

Patch Mgmt Server

Anti Virus

Server

Level 2

Level 1

Топология типичной индустриальной сети

Сегмент Характеристики Технологии

Заводы/ИТ

•  COTS •  Обычный Wireless •  МСЭ •  Обычный L2/L3 Switching и

Routing •  Богатый функционал

Процесс/SCADA

•  Повышенной прочности & COTS

•  Отказоустойчивый •  DIN или Rack

mounted

•  Стандартные СКС, Ethernet/IP •  Обычный Wireless •  Функции L2/L3 •  МСЭ/ИБ

Контроль/”Поле”

•  Надежный, •  Отказоустойчивый и резервный

•  DIN и rack mounted •  Защитный кожух •  Срок жизни 10-20 лет

•  Минимальное вмешательство

•  Просто & прочно •  Детерминированно

•  Кабеля – оптика и медь •  Разные стандарты Ethernet и не-Ethernet (e.g. Modbus, Hart, Profinet)

•  L2, без маршрутизации •  Фиксированные адреса, нет

DHCP •  Только мониторинг: Wireless

Sensors (e.g. ISA 100, WiHart) •  Преобразование протоколов

Разные зоны = разные требования

Big

Cell/Area зона: Level 0 — Process – Уровень подключени сенсоров, актуаторов, насосов, датчиков и т.д. устройств, выполняющих ключевые функции. Level 1 — Basic Control – Контроллеры, которые являются интерфейсом для устройств уровня 0, взаимодействую с ними. Общаются с другими контроллерами, отсылают информацию на HMI. Level 2 — Area Supervisory Control – Управление зоной, операторские пульты и HMI, тревожные системы и станции управления. Связь с уровнем 3 и даже 4,5 через DMZ.

Manufacturing zone – Объединяет все вышеуказанные зоны,

обеспечивает их сегментирование и защиту от уровней 4 и 5.

Level 3 — Site Level – Верхний уровень IACS сети, здесь располагаются приложения и системы контролирующие всё происводство.

Historian

Зоны ETTF-архитектуры

Особенности Cell/Area зоны

•  Оборудование должно быть индустриального класса •  Оборудование должно легко заменяться в случае аварии •  Не должно быть единой точки отказа, необходимо использование отказоустойчивых топологий

•  Максимальная сегментация для предотвращения влияния аварий на работу других сегментов, а также для повышения времени сходимости и повышения производительности

•  Политика качества обслуживания должна применяться на ключевой трафик

•  Управление Multicast трафиком

Безопасность Cell/Area зоны

•  Только авторизованные устройства должны подключаться в сеть, должна быть исключена возможность подключения неавторизованных устройств, способных прервать работу сети

•  Сетевая инфраструктура и ключевые сервисы должны быть защищены

•  Защита от атак

•  STP атаки •  MAC flooding •  MAC spoofing •  ARP spoofing •  VLAN hopping •  VLAN tagging •  DHCP starvation •  Rogue DHCP •  Storm Control

Big Особенности зоны Manufacturing

•  Основное назначение: связь различных AREA зон, связь Layer 3 сервисов, управление сетью и сервисы безопасности для уровней 0-3, защита оконечных узлов.

•  Для обеспечения стабильной работы предприятия эта зона изолирована от сети Enterprise по средствам устройств безопасности в зоне Demilitarized zone (DMZ) –  Такой подход позволяет функционировать производству независимо от состояния связи на более высоких уровнях, данные должны буферизоваться в случае недоступности Enterprise сети по средствам DMZ

•  Производственные приложения и контроллеры теперь уязвимы для обычных атак корпоративного уровня, это надо учитывать в политиках безопасности

•  Рекомендуется размещаться все необходимые сервисы для работы сети Manufacturing именно в этой зоне

Big

SIEM IPS;

Prime Infrastructure

Компоненты: •  Коммутаторы 3 и 2 уровня, маршрутизаторы

•  Системы управления сетью •  Системы контроля доступа •  Системы контроля безопасности на оконечных узлах

•  Системы управления производством

•  Системы обнаружения вторжений в системы SCADA, DCS, PLC, SIS, RTU сигнатуры индустриального уровня;

•  Системы экспертного анализа событий (OpenSOC)

Identity Services Engine

Cisco Security Manager

Наполнение зоны Manufacturing

Big Обзор зоны ДМЗ

•  Одним из критических моментов при дизайне индустриальной сети является правильное разделение сети АСУ ТП от сети предприятия –  Отказ в работе индустриальной сети влечет намного большие потери, чем соизмеримая авария в корпоративной сети

•  МСЭ контролирует доступ между зонами –  Производит аутентификацию пользователей –  Жесткий контроль трафика –  Инспекция протоколов и предотвращение вторжений –  Безопасное управление сетью –  Обслуживание VPN сессий внешних/внутренних пользователей –  Предоставление WEB-портала для прокси-сервисов, таких как

RDP до некоторых серверов в Manufacturing зоне

Big

В данном примере данные АСУ ТП собираются и

передаются в бизнес систему в Enterprise зоне

Данные не хранятся и не используются в зоне

Manufacturing, таким образом отказ зоны DMZ не влияет на

процесс производства

Данные АСУ ТП должны буфферизоваться на тот

случай если не будет связи с DMZ

Потоки трафика в ДМЗ

Big

•  МСЭ предприятия должен работать в HA режиме Active/Active либо Active/Standby

•  Рекомендуется топология с двумя МСЭ, данное разделение в том числе позволяет разным организациям контролировать потоки данных между зонами

DMZ <-> Manufacturing и DMZ <-> Enterprise

Рекомендуемые уровни безопасности:

Внедрение зоны ДМЗ

Big

Технологии, которые дают удаленным пользователям

доступ к приложениям АСУ ТП

Построение удаленного доступа

Big

1)  Использовать стандартный Enterprise уровня удаленный доступ IPSEC с аутентификацией через Radius.

2)  Ограничить возможность удаленных пользователей соединяться к DMZ только через HTTPS.

3)  Соединиться с порталом в DMZ https. 4)  Установить VPN сессию через SSL и

ограничить использование приложений, например только RDP до терминального сервера.

5)  Использовать IPS/IDS системы для отслеживания атак и червей от удаленных пользователей.

6)  Ограничить количество терминальных приложений, которые пользователь может запустить, иметь систему аутентификации/авторизации каждого приложения.

7)  Ограничить количество доступных функций в приложении для пользователя.

8)  Выделить сервер удаленного доступа в отдельный VLAN и убедиться в прохождении его трафика через Firewall и IPS/IDS.

Пример сегмента удаленного доступа

Основное средство сегментации между зонами: межсетевой экран

•  Запрет прямого соединения между процессной сетью и Интернет –  Защита от DoS на полосу пропускания к серверам АСУ ТП –  Защита от вставки неавторизованных команд –  Заражение вредоносным ПО –  Угрозы нарушения целостности и конфиденциальности

•  Контролируемый доступ из сети предприятия в «полевую» сеть –  Обеспечение аутентификации –  Защита соединения между ПК и серверами АСУ ТП

•  Удаленный контроль и поддержка

Пример политики

Источник Получатель Разрешено Интранет ДМЗ Да Интранет Процессная сеть Нет ДМЗ Интранет Нет (разрешено только для ответов на

запросы, инициированные из Интранет)

ДМЗ Процессная сеть Нет (разрешено только для ответов на запросы, инициированные из процессной сети) в случае, если сервера АСУ ТП отделены от сервера архивной регистрации и размещены в процессной сети

Процессная сеть ДМЗ Да Процессная сеть Интранет Нет

Общие правила настройки МСЭ

•  Базовое правило – «все запрещено, ничего не разрешено» •  Порты и сервисы на МСЭ между корпоративной и процессной сетями должны открываться только при наличии соответствующего обоснования, документирования и ответственного лица

•  Все правила «разрешить» должны быть привязаны к конкретным IP-адресам, портам и сервисам –  Желательно с контролем состояния

•  Транзитный трафик между контрольной сетью и корпоративной должен быть запрещен –  Терминировать его надо в ДМЗ

Общие правила настройки МСЭ

•  Любой протокол, разрешенный между DMZ и полевой сетью, должен быть явно запрещен между ДМЗ и корпоративной сетью –  И наоборот

•  Исходящий трафик из полевой/процессной сети или ДМЗ должен иметь корректный адрес отправителя

•  Полевая сеть не должна иметь выхода в Интернет –  Даже с помощью МСЭ

•  Весь управляющий трафик МСЭ должен проходить либо через отдельную сеть управления (out-of-band) либо через зашифрованное соединение с многофакторной аутентификацией

Защита индустриальных систем с помощью Cisco FirePOWER

•  2 препроцессора для Modbus и DNP3 •  Возможность написания собственных сигнатур •  Свыше полутора сотен встроенных сигнатур

CitectSCADA OMRON Kingview IGSS Tecnomatix RealWin Iconics Genesis Siemens IntelliCom Cogent

RSLogix DAQFactory Beckhoff Measuresoft ScadaPro Broadwin Progea Movicon Microsys Sunway Moxa

GE Sielco ScadaTec Sinapsi DATAC WellinTech Tridium Schneider Electric CODESYS

Сигнатуры для АСУ ТП – можно и самостоятельно

ID сигнатуры

Сообщение Modbus TCP -Unauthorized Write Request to a PLC

Сигнатура alert tcp !$MODBUS_CLIENT any -> $MODBUS_SERVER 502 (flow:from_client,established; content:”|00 00|”; offset:2; depth:2; pcre:”/[\S\s]{3}(\x05|\x06|\x0F|\x10|\x15|\x16)/iAR”; msg:”Modbus TCP –Unauthorized Write Request to a PLC”; reference:scada,1111007.htm; classtype:bad-unknown; sid:1111007; rev:1; priority:1;)

Резюме Неавторизованный Modbus-клиент попытался записать информацию на PLC или иное устройства

Воздействие Целостность системы Отказ в обслуживании

Информация

Подверженные системы PLC и другие устройства с Modbus TCP сервером

Сигнатуры для АСУ ТП – можно и самостоятельно

ID сигнатуры

Сообщение Unauthorized communications with HMI

Сигнатура alert tcp192.168.0.97 any <> ![192.168.0.3,192.168.10.21] any (msg:"HMItalking to someone other than PLC or RTU -NOT ALLOWED"; priority:1; sid:1000000; rev:1;)

Резюме Попытка неавторизованной системы подключиться к HMI

Воздействие Компрометация системы

Информация

Подверженные системы PLC;RTU;HMI;DMZ-Web

Сигнатуры для АСУ ТП – можно и самостоятельно

ID сигнатуры

Сообщение Unauthorized to RTU Telnet/FTP

Сигнатура alert tcp!$PCS_HOSTS any -> 192.168.0.3 23 (msg:”Unauthorized connection attempt to RTU Telnet”; flow:from_client,established; content:”GET”; offset:2; depth:2; reference:DHSINLroadshow-IDStoHMI1;classtype:misc-activity; sid:1000003; rev:1; priority:1;)

Резюме Узел в контролируемой ЛВС попытлся подключиться к RTU Telnet-серверу

Воздействие Сканирование Компрометация системы управления

Информация

Подверженные системы RTU

ЧТО ГОВОРИТ ЗАКОНОДАТЕЛЬСТВО?

Новый приказ ФСТЭК №31

•  «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды» –  Ориентация на объекты ТЭК, транспортной безопасности, использования атомной энергии, опасных производственных объектов, гидротехнических сооружений

Кто попадает под действие приказа?

•  Критически важные объекты, потенциально опасные объекты, а также объекты, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды –  Ориентация на объекты ТЭК, транспортной безопасности, использования атомной энергии, опасных производственных объектов, гидротехнических сооружений

•  «В требованиях по защите АСУ ТП в соответствии с поручением Президента приведены наиболее широкие термины, которые должны охватить максимальное количество опасных, критических объектов. Формально требования распространяются только на те объекты, которые приведены в Требованиях по защите АСУ ТП» –  Мнение ФСТЭК

На что распространяется приказ?

•  Автоматизированные системы управления, обеспечивающие контроль и управление технологическим и (или) производственным оборудованием (исполнительными устройствами) и реализованными на нем технологическими и (или) производственными процессами –  В том числе системы диспетчерского управления, системы сбора

(передачи) данных, программируемые логические контроллеры, распределенные системы управления, системы управления станками с числовым программным управлением

–  На АСУ ТП с гостайной не распространяются •  Требования предназначены для лиц

–  обеспечивающих задание требований к защите информации в АСУ ТП (заказчик),

–  обеспечивающих эксплуатацию АСУ ТП (оператор), –  привлекаемых в соответствии с законодательством РФ к проведению работ по созданию (проектированию) АСУ ТП и (или) их систем защиты (разработчик)

Объект защиты

•  Информация (данные) о производственном и (или) технологическом процессе, управляемом (контролируемом) объекте (в том числе данные о параметрах (состоянии) управляемого (контролируемого) объекта или процесса, входная (выходная) информация, команды управления, контрольно-измерительная информация)

•  Программно-технический комплекс, включающий технические средства (в том числе автоматизированные рабочие места, серверы управления, телекоммуникационное оборудование, каналы связи, программируемые логические контроллеры, системы локальной автоматики, исполнительные устройства), общесистемное, прикладное (специальное, микропрограммное) программное обеспечение, а также средства защиты информации

Смена парадигмы

•  Принимаемые организационные и технические меры защиты информации должны обеспечивать доступность обрабатываемой в АСУ ТП (исключение неправомерного блокирования информации), ее целостность (исключение неправомерного уничтожения, модифицирования информации), а также, при необходимости, конфиденциальность (исключение неправомерного доступа, копирования, предоставления или распространения информации)

•  Организационные и технические меры защиты информации должны быть согласованы с мерами по промышленной, физической, пожарной, экологической, радиационной безопасности, иными мерами по обеспечению безопасности АСУ ТП и управляемого (контролируемого) объекта и (или) процесса и не должны оказывать отрицательного (мешающего) влияния на штатный режим функционирования АСУ ТП

Безопасное функционирование АСУ ТП на первом месте

•  Система защиты автоматизированной системы управления не должна препятствовать достижению целей создания автоматизированной системы управления и ее безопасному функционированию

Меры по защите информации: общее

Защитная мера ПДн ГИС АСУ ТП Идентификация и аутентификация субъектов доступа и объектов доступа + + + Управление доступом субъектов доступа к объектам доступа + + + Ограничение программной среды + + + Защита машинных носителей информации, на которых хранятся и (или) обрабатывается КИ + + + Регистрация событий безопасности + + + Антивирусная защита + + + Обнаружение (предотвращение) вторжений + + + Контроль (анализ) защищенности персональных данных + + + Обеспечение целостности информационной системы и КИ + + + Обеспечение доступности персональных данных + + + Защита среды виртуализации + + + Защита технических средств + + + Защита информационной системы, ее средств, систем связи и передачи данных + + +

Меры по защите информации: различия

Защитная мера ПДн ГИС АСУ ТП Управление инцидентами + + Управление конфигурацией информационной системы и системы защиты КИ + + Безопасная разработка прикладного и специального программного обеспечения разработчиком + Управление обновлениями программного обеспечения + Планирование мероприятий по обеспечению защиты информации + Обеспечение действий в нештатных (непредвиденных) ситуациях + Информирование и обучение пользователей + Анализ угроз безопасности информации и рисков от их реализации +

Как определяются защитные меры

•  Выбор мер защиты информации в АСУ ТП включает выбор базового набора мер адаптацию выбранного базового набора мер применительно к структурно-функциональным характеристикам АСУ ТП, реализуемым ИТ, особенностям функционирования АСУ ТП (включает исключение защитных мер) уточнение адаптированного набора дополнение адаптированного базового набора мер по обеспечению защиты информации в АСУ ТП дополнительными мерами, установленными иными нормативными актами

Базовые меры

Адаптация базового набора

Уточнение адаптированного набора

Дополнение уточненного адаптированного набора

Компенсационные меры

А если какую-то меру невозможно реализовать?

•  При отсутствии возможности реализации отдельных мер защиты информации в АСУ ТП или отдельных ее сегментах (устройствах) и (или) невозможности их применения к отдельным объектам и субъектам доступа, в том числе в следствии их негативного влияния на штатный режим функционирования АСУ ТП, на этапах адаптации базового набора мер защиты информации или уточнения адаптированного базового набора мер защиты информации разрабатываются иные (компенсирующие) меры защиты информации, обеспечивающие адекватное блокирование (нейтрализацию) угроз безопасности информации и необходимый уровень защищенности АСУ ТП

•  В качестве компенсирующих мер, в первую очередь, рассматриваются меры по обеспечению меры промышленной и (или) физической безопасности АСУ ТП, поддерживающие необходимый уровень защищенности АСУ ТП

Можно ли исключать защитные меры?

•  Исключение из базового набора мер защиты информации мер, непосредственно связанных с информационными технологиями, не используемыми в АСУ ТП, или структурно-функциональными характеристиками, не свойственными АСУ ТП

•  В целях исключения избыточности в реализации мер защиты информации и в случае, если принятые в АСУ ТП меры по обеспечению промышленной безопасности и (или) физической безопасности обеспечивают блокирование (нейтрализацию) угроз безопасности информации, отдельные меры защиты информации могут не применяться

Как осуществляется приемка системы защиты АСУ ТП?

•  По решению заказчика подтверждение соответствия системы защиты АСУ ТП техническому заданию на создание АСУ ТП и (или) техническому заданию (частному техническому заданию) на создание системы защиты АСУ ТП, а также требованиям ФСТЭК может проводиться в форме аттестации АСУ ТП на соответствие требованиям по защите информации –  В этом случае для проведения аттестации применяются национальные стандарты, а также методические документы, разработанные и утвержденные ФСТЭК

•  Приемочные испытания системы защиты АСУ ТП проводятся, как правило, в рамках приемочных испытаний АСУ ТП в целом

Сертификация средств защиты необязательна

•  Для обеспечения защиты информации в АСУ ТП применяются средства защиты информации, прошедшие оценку соответствия в соответствии с законодательством Российской Федерации о техническом регулировании

Оценка соответствия

Госконтроль и надзор

Аккредитация

Испытания

Регистрация

Подтверждение соответствия

Добровольная сертификация

Обязательная сертификация

Декларирование соответствия

Приемка и ввод в эксплуатацию

В иной форме

Есть сертифицированные МСЭ для энергетики (CGR, CGS, IE3000)

© Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco BRKSEC-1065 84

Спасибо Пожалуйста, заполните анкеты #3326

security-request@cisco.com