positive hack days. Гарбук. Стандартизация в области...

Стандартизация в области обеспечения информационной безопасности АСУ ТП.

Реалии и российские перспективы

Научно-технический центр «Станкоинформзащита»Доклад на Positive Hack Days 2011

Хроника некоторых инцидентов информационной безопасности АСУ ТП

1998: перехват контроля над центром управления системой трубопроводов ОАО «Газпром»

2000: доступ к системе управления станцией очистки сточных вод в г. Маручи-Шир (Австралия). В окружающую среду было вылито несколько миллионов литров неочищенных стоков

2002: проникновение хакеров в информационную сеть индийского ядерного исследовательского центра BARC, приведшее к отключению защитных систем объекта

2003: в железнодорожной компании CSX Transportation (США) червь поразил сеть управления, вследствие чего все поезда были остановлены на полдня

2003: заражение червём Slammer АСУ ТП энергетической станции Davis-Besse, вызвавшее сбои в её работе (США, Огайо)

2004: червь Sasser заразил систему сигнализации и управления австралийской железнодорожной компании RailCorp. 300 000 пассажиров в Сиднее и пригородах на сутки лишились возможности добраться до места назначения

2005: остановка сборочной линии на заводе Diamler-Chrysler в результате внедрения червя Zotob

2008: атака в отношении системы УВД, в результате которой было нарушено воздушное сообщение на юге Великобритании, включая аэропорты Лондона

2009: сбои АСУ железнодорожным транспортом, приведшие к приостановлению железнодорожного сообщения на всей территории Израиля

2010: заявления компании Siemens об угрозах АСУ ТП собственного производства, связанных с появлением нового компьютерного червя Stuxnet

БД по инцидентам информационной безопасности АСУ ТП

Группы реагирования на инциденты информационной безопасности (Computer Emergency Response Team, CERT и Collaboration Security Incident Response Team, CSIRT, www.cert.org) , включая российский центр (RU-CERT, www.cert.ru)

Форум групп информационной безопасности и реагирования на инциденты (Forum of Incident Response and Security Teams, FIRST, www.first.org)

Национальный институт стандартов и технологий США (National Vulnerability Database of National Institute of Standard and Technology, http://nvd.nist.gov)

Центр хранения данных по инцидентам промышленной безопасности (The Repository of Industrial Security Incidents, RISI, securityincidents.org)

Центр информационной безопасности Интернет (Center for Internet Security, CIS, www.cisecurity.org)

Центр защиты национальных инфраструктур (Centre for the Protection of National Infrastructure, CPNI, www.cpni.gov.uk)

БД компании Novell (support.novell.com/security/oval/),Red Hat (www.redhat.com/security/data/oval/), другие организации

Классификация информационных атак наАСУ ТП по способам реализации и последствиям

ДоступностьДоступно

сть

Целостность

Конфиденциальность

Конфиденциально

сть

DoS атаки на WEB-сервисы АСУ ТП

Внедрение в АСУ ТП вредоносного программного кода

НСД к сервисам и ресурсам АСУ ТП

Программное обеспечение АСУ ТП

Управляющая информация

Данные о состоянии управляемого объекта (ТЛМИ)

Стандарты корпорации MITRE (США) на форматы описания уязвимостей, способов реализации атак и результатов экспертизы АСУ ТП Правила присвоения имен и идентификации информационных систем и

платформ АСУ ТП (Common Platform Enumeration, CPE, cpe.mitre.org) Правила уникальной идентификации конфигурации информационных

систем (Common Configuration Enumeration, CCE, cce.mitre.org) Язык описания уязвимостей и конфигурации информационных систем

(Open Vulnerability and Assesment Language, OVAL, oval.mitre.org) Типы уязвимостей программного обеспечения (Common Weakness

Enumeration, CWE, cwe.mitre.org) Правила присвоения имен уязвимостям информационной безопасности и

воздействиям (Common Vulnerabilities and Exposures, CVE,cve.mitre.org) Правила именования и классификации векторов атак, учитывающие

особенности обеспечения информационной безопасности на различных этапах жизненного цикла ПО (Common Attack Pattern Enumeration and Classification, CAPEC, capec.mitre.org)

Язык описания, журналирования и обмена сведениями о событиях в информационных системах (Common Event Expression, CEE, mitre.cee.org)

Язык достоверного описания характеристик вредоносного ПО, основанный на атрибутах, учитывающих поведенческие признаки, особенности реализации ПО и вектора атак (Malware Attribute Enumeration and Characterization, MAEC, maec.mitre.org)

Формализованные описания уязвимостей АСУ ТП в перечне ICS-CERT (Industrial Control Systems Cyber Emergency Response Team), НТЦ «Станкоинформзащита»

[STANKOINFORMZASCHITA-10-01] Netbiter® webSCADA – множественные уязвимости

[STANKOINFORMZASCHITA-10-02] ITS SCADA – Обход авторизации

[STANKOINFORMZASCHITA-10-03] Broadwin SCADA – Blind SQL-injection

[STANKOINFORMZASCHITA-10-04] ICSCADA (Outlaw Automation) – Blind SQL-injection

[STANKOINFORMZASCHITA-10-05] InduSoft Web Studio v7.0 – CET Web Server Directory traversal

Сводная таблица особенностей обеспечения безопасности АСУ ТП

Аспект ИБ Корпоративная АС АСУ ТП

Требования по ИБ Закладываются при проектировании ИС

При проектировании АСУ, как правило, не учитываются

Антивирусы Широко используются Использование затруднено или невозможно

Срок службы 3-5 лет 5-20 лет

Аутсорсинг Широко используется Редко используется

Обновления Часто Редко (требует согласования)

Изменения Часто Редко

Критичность к временным задержкам

Некритичны Весьма критичны

Готовность Отключения допустимы 365/7/24

Подготовленность персонала по ИБ

Как правило, хорошая Низкая

Тестирование ИБ Регулярно Как правило, при обслуживании

Физическая безопасность

Высокая, ИС в обитаемых помещениях

ИС на удаленных, в т.ч. безлюдных площадках

Основные инициативы в области обеспечения информационной безопасности АСУ ТП

IEC, Международная электротехническая комиссия, МЭК IEEE, Институт инженеров по электротехнике и электронике ANSI/ISA, Общество приборостроения, системотехники и автоматизации NIST, Национальный институт стандартов и технологий США IAONA, Альянс промышленной автоматизации на основе открытых сетей PCSF, Форум по АСУ ТП NERC, Североамериканский орган саморегламентирования для

электроэнергетических компаний FERC, Федеральная комиссия по регулированию в сфере энергетики CIGRE, Международный совет по крупным электроэнергетическим

системам CIDX, Организация по вопросам информационного обмена в химической

промышленности API, Американский институт нефти AGA, Американская ассоциация предприятий газовой промышленности Газпром

IEC, International Electrotechnical Commission, Международная электротехническая комиссия

ТК-65 «Industrial-Process Measurement and Control»ПК-65С «Digital Communications»РГ-13 «Cyber Security»

IEC 61784-4 «Digital data communications for measurement and control. Profiles for secure communications in industrial networks» IEC 62443 «Security for industrial process measurement and control – Network and system security».

IEC 62210 – «Data and Communication Security» IEC 62351 – «Data and Communication Security»

Стандарты IEC в электроэнергетике(по материалам компании КРОК)

IEEE, Institute of Electrical and Electronic Engineers, Институт инженеров по электротехнике и электронике

IEEE 1402 «IEEE Guide for Electric Power Substation Physical and Electronic Security», 2000

Комитет ISA SP99 «Защита технологических систем и систем управления»

ISA-TR99.00.01-2004 «Security Technologies for Manufacturing and Control Systems»

ISA-TR99.00.02-2004 «Integrating Electronic Security into the Manufacturing and Control Systems Environment»

Стандарт SP99 «Manufacturing and Control System Security Standard»

Стандарт ISA100 «Wireless standard for industrial automation»

Комитет ISA SP99 «Защита технологических систем и систем управления». Стандарт SP99

ISA 99.00.01 «Security for Industrial Automation and Control Systems: Concepts, Models and Terminology»;ISA 99.00.02 «Establishing an Industrial Automation and Control Systems Security Program»;ISA 99.00.03 «Operating an Industrial Automation and Control Systems Security Program»;ISA 99.00.04 «Specific Security Requirements for Industrial Automation and Control Systems».

NIST, National Institute of Standards and Technology, Национальный институт стандартов и технологий США

SP800-53 «Recommended Security Controls for Federal Information Systems», 2005

SP800-82 «Guide to Industrial Control Systems (ICS) Security», 2008, окончательная редакция

SP 800-30 «Risk Management Guide for Information Technology System»

PCSRF «Форум по вопросам безопасности систем АСУ ТП» NIST

SPP-ICS: Security Capabilities Profile for Industrial Control Systems – «Специальный профиль безопасности для промышленных систем управления»

IAONA, Альянс промышленной автоматизации на основе открытых сетей, завершил работу в 2007

Формуляр безопасности, разработанный Совместной технической группой по безопасности (JTWG-SE) IAONA, предназначенный для использования в качестве шаблона поставщиками систем и приборов автоматизации при документировании функций связи и обеспечения безопасности, а также особых требований, связанных с их продукцией

NERC, Североамериканский орган саморегламен-тирования для электроэнергетических компаний

NERC 1200 – «Urgent Action Standard 1200 – Cyber Security»

NERC 1300 – «Cyber Security» NERC Security Guidelines – «Security

Guidelines for the Electricity Sector»

FERC, Федеральная комиссия по регулированию вопросов в сфере энергетики

FERC SSEMP - “Security Standards for Electric Market Participants”, 2002

CIGRE, Международный совет по крупным электроэнергетическим системам

Работа над вопросами информационной безопасности в ряде рабочих групп

CIDX, Организация по вопросам информационного обмена в химической промышленности

Guidance for Addressing Cyber Security in the Chemical Sector, 2009

Vulnerability Assessment Methodology (VAM) Guidance

API, American Petroleum Institute, Американский институт нефти

API STD 1164 «Pipeline SCADA Security», 2004

API «Security Guidance for the Petroleum Industry»

API «Security Vulnerability Assessment Methodology for the Petroleum and Petrochemical Industries»

AGA, American Gas Association, Американская ассоциация организаций газовой промышленности AGA-12. “Cryptographic Protection of SCADA Communications

General Recommendations” AGA 12-1: «Cryptographic Protection of SCADA

Communications. Background, Policies & Test Plan» AGA 12-2: « Cryptographic Protection of SCADA

Communications: Retrofit link encryption for asynchronous serial communications of SCADA systems»

AGA 12-3: « Cryptographic Protection of SCADA Communications: Protection of IP-based, networked SCADA systems»

AGA 12-4: « Cryptographic Protection of SCADA Communications: Protection embedded in SCADA components»

Security Practices Guidelines Natural Gas Industry Transmission and Distribution, 2008

Газпром

Р Газпром 4.2-0-003.Типовая политика информационной безопасности автоматизированных систем управления технологическими процессами

СТО Газпром 4.2-2-002.Система обеспечения информационной безопасности ОАО «Газпром». Требования к автоматизированным системам управления технологическими процессами

Некоторые лучшие практики обеспечения ИБ АСУ ТП

2001. GAMP 4, Good Automated Manufacturing Practice (GAMP). Guide for Validation of Automated Systems

2005. Good Practice Guide on Firewall Deployment for SCADA and Process Control Networks (NISCC, Великобритания)

2005. Good Practice Guide Process Control and SCADA Security (NISCC, Великобритания)

2008. Best Practice Guide on Firewall Deployment for SCADA and Process Control Networks (CPNI, Великобритания)

2008. Recommended Practice: Creating Cyber Forensics Plans for Control Systems (DHS, США)

ESCORTS. Security of Control and Real Time Systems. Таксономия решений безопасности в области SCADA, 2010

Архитектура SCADAСети управленияСетевые процессыПротоколы SCADA

Уязвимости SCADAУязвимости архитектурУязвимости политик ИБУязвимости ПОУязвимости протоколов передачи данных

Сценарии информационных атакАтаки, ориентированные на уязвимости протоколов SCADAАтаки, ориентированные на сетевые процессыАтаки на сети информационного обмена

Способы обеспечения информационной безопасностиМероприятия, связанные с протоколами передачи данныхМероприятия, связанные с фильтрацией и мониторингомЛучшие практики в области архитектурных решенийОрганизационные меры

Особенности АСУ ТП как объекта обеспечения информационной безопасности

Организационные и

процессные

Архитектурные

Протоколов

Программного

обеспечения

Организационные и процессные последствия. Последствия кибератак на АСУ ТП

Нарушение целостности, доступности и

конфиденциальности информации,

обрабатываемой вАСУ ТП

Физические сбои устройств

управления, сопряженных с

АСУ ТП

Последствия (экономические,

социально-политические,

экологические…) нарушений в

объектах управления

Особенности обеспечения

информационной безопасности

Конструктивно-технологические особенности объекта управления и его экономическая и оборонная значимость

Особенности АСУ ТП как объекта обеспечения информационной безопасности

использование устаревших протоколов

организационные сложности с обновлением ПО

низкая унифицированность ПО и протоколов, организационная и ведомственная разобщенность

географическая распределенность АСУ ТП и объектов управления

Особенности, связанные с необходимостью обеспечения режима реального времени

Организационные и

процессные

Архитектурные

ПО

ПротоколыРеальный масштаб времени

Специфические технологии защиты информации в АСУ ТП

межсетевые экраны (МЭ), рассчитанные на специфические протоколы SCADA

распределенные микро-МЭ технология гарантированного качества

обслуживания (Quality of Service, QoS), рассчитанная на приоритетную передачу трафика реального времени, чувствительного к временным задержкам(IEEE 802.1q и др. протоколы)

однонаправленные проводники (например, на базе оптронов), IEEE Std 7-4.3.226, "IEEE Standard for Digital Computers in Safety Systems of Nuclear Power Generating Stations"

Автоматизированные системы реального времени (АС РВ)

Автоматизированные системы управления технологическими процессами на базе распределенных систем управления (DCS) и систем управления и диспетчеризации (SCADA)

Большинство встроенных (Embedded) систем Системы управления оружием Медицинское оборудование реального времени, в

том числе, средства жизнеобеспечения человека Системы управления транспортными средствами,

в том числе, средства местоопределения, ближней навигации и мониторинга окружающей среды, системы опознавания «свой-чужой» и др.

Оценка соответствия технологий обеспечения информационной безопасности в АС РВ

Требования к среднему значению

и центральным моментам

длительности обработки

информации

Модель угроз

Требования по предельно

допустимым рискам

Общие механизмы

обеспечения ИБ

Специальные механизмы

обеспечения ИБ

Отечественные стандарты в области АС РВ. Предложения

ГОСТ Р. Информационная технология. Обеспечение информационной безопасности АС РВ. Термины и определения.

ГОСТ Р. ... Основные положения. ГОСТ Р. ... Управление и контроль

информационной безопасности на объектах с автоматизированными системами реального времени.

ГОСТ Р. ... Требования к средствам защиты информации.

Спасибо за внимание!

Гарбук Сергей Владимирович

Научно-технический центр«Станкоинформзащита»

www.ntcsiz.ru(495) 790-16-60(917) 520-68-30