ИC промышленных предприятий: защитить нельзя взломать

Positive Technologies Российская компания-разработчик программного обеспечения. Офисы в Москве, Лондоне, Сеуле, Риме, Тунисе. Специализация: Поиск уязвимостей в информационных системах Оценка защищенности корпоративных информационных систем Оценка соответствия уровня защиты отраслевым, международным и государственным стандартам Собственные программные продукты MaxPatrol и Xspider Лицензии и сертификаты ФСТЭК, ФСБ, Минобороны, Газпромсерт SecurityLab.ru, Positive hack days

Потребители АСУТП систем Промышленные предприятия (электричество, газ, водоснабжение, нефть ……) Системы умный дом (отопление, счетчики, сигнализация……) Системы регулирования движения (умные регулировщики ……) Бизнес центры (пожарная сигнализация, водо и электро-снабжение……) Транспортные средства (скоростные поезда, автомобили, метро……)

Мир ИТ безопасности Тысячи уязвимостей ежегодно Сотни производителей Security Lifecycle Система сертификаций

АСУТП системы 10 лет назад Закрытые разработки Длительный срок эксплуатации: лет Спроектированы без учета требований по информационной безопасности

Мифы об АСУТП безопасности

Мифы АСУТП безопасности Миф 1. Закрытые сети Статистика Positive Research – большинство АСУТП сетей подключены к внешним сетям: Ошибки настроек сетевого оборудования Интеграция с ERP системами Работы подрядчиков Удаленный доступ, распределенные сети

Мифы АСУТП безопасности Миф 2. АСУТП системы - специальные разработки, их нельзя взломать Статистика Positive Research – 90% АСУТП систем может быть взломано с использованием Metasploit

Мифы АСУТП безопасности Миф 3. АСУТП системы – ограничены по функционалу, их взлом не приведет к реальному инциденту Stuxnet. 2010

АСУТП безопасность – в чем проблемы?

Нормативная база Пока только верхнеуровневые документы Многие промышленные объекты в частных руках (вспомним ФЗ-152) Проработка законов – это годы; а свет, тепло и газ нужны сейчас!

Методическая база и кадры Специалисты по ИТ безопасности не понимают в АСУТП. И наоборот Нет культуры ИТ безопасности в производстве Отсутствуют стандарты и рекомендации Производители АСУТП очень инертны, за исключением …

Технические решения АСУТП – 3 уровня: инфраструктурный, прикладной, датчики Есть решения только по защите инфраструктуры Стандартные базовые ИБ процедуры (антивирусы, патчи и тд) почти не работают

АСУТП безопасность – что делать?

Государственная политика Международный опыт: Control System Security Program Центр реагирования на инциденты Стратегия по защите систем управления Набор рекомендаций, практик, учебников Набор специализированных утилит Предложения по архитектуре систем безопасности

На уровне предприятий Проводить аудиты (не бояться!): Результаты донести до руководства, вендоров, коллег Взаимодействовать с производителем АСУТП Контролировать производственную сеть Выставлять требования к АСУТП подрядчикам

Центр контроля защищенности

На уровне эксперта Изучать международные стандарты (NIST SP800-82, API 1164, CIP-002-1, CIP-003-1, CIP ) Получать компетенции

Все будет хорошо…

Thanks! Question?