InfoSecurity Russia Москва, Крокус-Экспо, 28 сентября 2012 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ КРИТИЧЕКИ ВАЖНЫХ ОБЪЕКТОВ Новые тренды или спекуляции маркетологов? Роман Кобцев Директор Департамента развития и маркетинга ОАО «ЭЛВИС-ПЛЮС»

© 2012, ОАО «ЭЛВИС-ПЛЮС» ФСТЭК подала предложения о внесении поправок в 149-ФЗ в части защиты информации на КВО – на что Минэкономразвития выпустила отрицательное заключение. Такая же борьба идет в США между Департаментом внутренней безопасности и Внешнеторговой палатой. Произошло 5 крупных инцидентов в мире, связанных с атаками на SCADA системы В России прошло несколько мероприятий, на которых подняли вопросы ИБ АСУТП, а также вышло сразу несколько публикаций. Что изменилось для критически важных объектов? С момента анонсирования темы выступления в программу конференции (июль):

© 2012, ОАО «ЭЛВИС-ПЛЮС» Глобальные риски Катастрофы, вызванные разрушением инфраструктуры критически важного объекта. Что изменилось для критически важных объектов?

Карта глобальных рисков 2007 Что изменилось для критически важных объектов?

Карта глобальных рисков 2012 Что изменилось для критически важных объектов?

© 2012, ОАО «ЭЛВИС-ПЛЮС» Экономический ущерб бизнесу, вызванный остановкой или перебоями в работе производства. Что изменилось для критически важных объектов? Бизнес-риски закрытие бизнеса, штрафы, иски, затраты на восстановление и др.

© 2012, ОАО «ЭЛВИС-ПЛЮС» Нарушения функционирования КВО Промышленная безопасность Стихийные бедствия Внешние социальные факторы Аварии, связанные с нарушением технологического процесса Стихийные бедствия Внешние социальные факторы Аварии, связанные с нарушением технологического процесса

Угрозы нарушения технологических процессов в результате Блокирования, уничтожения, модификации, отрицания подлинности, навязывания ложной информации в технологических ЛВС © 2012, ОАО «ЭЛВИС-ПЛЮС» Информационная безопасность критически важных объектов Угрозы экономического ущерба в результате Хищения, утраты, блокирования, уничтожения, модификации, отрицания подлинности, навязывания ложной информации в корпоративных ЛВС Угрозы экономического ущерба в результате Хищения, утраты, блокирования, уничтожения, модификации, отрицания подлинности, навязывания ложной информации в корпоративных ЛВС АСУТП Корпоративные ИС

© 2012, ОАО «ЭЛВИС-ПЛЮС» РИСКИ (business impact) не изменились УГРОЗЫ не изменились Что изменилось для критически важных объектов?

© 2012, ОАО «ЭЛВИС-ПЛЮС» Серьезная эволюция МОДЕЛИ УГРОЗ критически важных объектов Что изменилось для критически важных объектов?

© 2012, ОАО «ЭЛВИС-ПЛЮС» Эволюция модели угроз Корпоративные ЛВС не взаимодействуют с АСУТП. Несанкционированный доступ к компонентам промышленной сети извне маловероятен. Долгое время промышленная безопасность занималась только обеспечением отказоустойчивости АСУТП и не уделяла достаточного внимания остальным информационным угрозам (в частности НСД), т.к. считалось:

© 2012, ОАО «ЭЛВИС-ПЛЮС» Эволюция модели угроз Рост уровня автоматизации критически важных объектов. Рост применения в системах АСУТП продуктов на базе серийно выпускаемых компонентов, а также открытых технологий, в частности, стандартных коммуникационных протоколов. Рост количества уязвимостей в программном обеспечении. Факторы роста информационных угроз

© 2012, ОАО «ЭЛВИС-ПЛЮС» Эволюция модели угроз Широкое распространение практики удаленного доступа к технологическим сетям (управление отдельными сегментами, техподдержка разработчика, и др.) Рост мобильных пользователей в АСУТП, включая технологические сегменты (ноутбуки, планшеты). Увеличение взаимодействия между корпоративным и технологическим сегментами сети. Факторы роста информационных угроз

© 2012, ОАО «ЭЛВИС-ПЛЮС» Эволюция модели угроз Источники угроз Внутренние Внешние

© 2012, ОАО «ЭЛВИС-ПЛЮС» Эволюция модели угроз Спецслужбы иностранных государств Террористы Промышленный шпионаж и организованные преступные группировки Инсайдеры Хакеры (владельцы бот-сетей, фишеры- вымогатели, разработчики зловредного кода, спамеры с целью DDOS атак и др.) Хактивисты По версии US-CERT Профиль нарушителя

© 2012, ОАО «ЭЛВИС-ПЛЮС» Эволюция модели угроз Методы реализации угроз НСД к процессам АСУТП Физический доступ НСД к процессам АСУТП Удаленный доступ

© 2012, ОАО «ЭЛВИС-ПЛЮС» Нужно ли говорить о срочном создании новых методов обеспечения безопасности информации в АСУТП

© 2012, ОАО «ЭЛВИС-ПЛЮС» Незащищенный удаленный доступ к компонентам АСУТП (серверам, АРМ, контроллерам и шлюзам). Недостаточное сегментирование вычислительных сетей (как разделение технологического и корпоративного сегментов, так и разделение самих сетей АСУТП на сегменты различного уровня защищенности). Слабая аутентификация, заключающаяся в простых паролях и паролях по умолчанию, при входе в операционную систему АРМов, серверов, коммуникационных шлюзов и контроллеров АСУТП, а также в прикладных приложениях. ТОП-3 уязвимости в защите АСУТП (по результатам тестов на проникновение):

© 2012, ОАО «ЭЛВИС-ПЛЮС» Разработать модель угроз безопасности информации в АСУТП (можно на основе модели угроз для КСИИ). Использовать специализированные СЗИ для АСУТП (такие существуют). При том что необходимо: Методы обеспечения безопасности информации АСУТП

© 2012, ОАО «ЭЛВИС-ПЛЮС» Повысить защищенность от информационных угроз можно уже сейчас, реализовав стандартные организационные и технические меры обеспечения безопасности информации. Методы обеспечения безопасности информации АСУТП

© 2012, ОАО «ЭЛВИС-ПЛЮС» Практически нулевой уровень обеспокоенности и осведомленности обслуживающего и дежурного персонала АСУТП в области ИБ. Конфликты, препятствующие внедрению информационной безопасности

© 2012, ОАО «ЭЛВИС-ПЛЮС» Усиление аутентификации (как минимум, использование сложных паролей) Информационная безопасность Промышленная безопасность Риск долгого ввода паролей диспетчерами в критических ситуациях. Конфликты, препятствующие внедрению информационной безопасности

© 2012, ОАО «ЭЛВИС-ПЛЮС» Всегда можно найти решение, устраивающие обе стороны. В случае с усилением аутентификации, например, использование смарт карт, токенов или биометрических идентификаторов. Информационная безопасность Промышленная безопасность Конфликты, препятствующие внедрению информационной безопасности

© 2012, ОАО «ЭЛВИС-ПЛЮС» Главное начать уделять внимание информационной безопасности, также как и промышленной безопасности критически важных объектов.

Спасибо за внимание ! elvis.ru © 2012, ОАО «ЭЛВИС-ПЛЮС» RomanKobtsev