Информационная безопасность АСУ ТП и КИПиА Глебов Олег Ведущий консультант

ИБ технологических процессов требует пристального внимания Несанкционированное управление или потеря видимости технологического процесса Несанкционированное изменение параметров (показателей, измерений, отчетности и т. д.) Отказ в обслуживании (авария, перегрузка систем) и/или сокрытие следов случайных или преднамеренных событий/ошибок Снижение производительности промышленного объекта и/или качества продукции (брак) Несчастные случаи, вред экологии, человеческие жертвы Неэффективное внедрение и управление средствами обеспечения ИБ приводит к комплексным проблемам

Типовой подход периметровой защиты АСУ ТП и тех. сетей Точечное решение СОИБ Эшелонированная защита периметра + сегментирование по уровню критичности ZONE 1 ZONE 2 ZONE 3 Внешние угрозы! Результат: достигается максимальная защита от внешних злоумышленников, но долго (обследование и внедрение требуют времени) и затратной (серьезная эшелонированная защита периметра требует инвестиций и редизайна сети) Преимущества подхода – не надо глубокого понимания проблематики, индивидуальных особенностей защищаемой компании и отраслевой специфики АУДИТ

Риски ИБ технологических процессов 20% умышленные 47% внешние хакеры 53% внутренние инсайдеры Инциденты ИБ Периметровая защита Менее 10% всех инцидентов! Подавляющее большинство инцидентов связаны с внутренним воздействием, ошибками сотрудников или случайными заражениями 80% неумышленные 38% вредоносное ПО 48% ошибки 14% человеческий фактор

Неумышленные инциденты – следствие 3 факторов: АСУ ТП Инфраструктура Персонал низкая квалификация новых кадров непонимание аспектов ИБ персоналом расширение возможностей АРМ (управление, воздействие, сокрытие следов) размытость разделения полномочий между IT, инженерами и разработчиками Специфика устаревшее оборудование и ПО отсутствие централизованного управления нет видимости реальной топологии сети высокая критичность зависимость от вендора высокий уровень рисков требования к: отказоустойчивости безостановочной работе

На чем концентрировать свои силы? АСУ ТП Инфраструктура Персонал Специфика Контролировать операторов, администраторов, 3-и лица и их права доступа Обеспечить выполнение требований ИБ с учетом отраслевой специфики Устранять ошибки и уязвимости в прикладных системах и инфраструктуре

Информационная безопасность АСУ ТП Информационная безопасность АСУ ТП и технологических сетей, как и физическая безопасность – это сквозной процесс, который эффективно работает только при тесном взаимодействии разработчика средств автоматизации, интегратора решений по безопасности и персонала промышленного объекта Разработчик решений Персонал Промышленного объекта R-Style низкая защищенность кастомизация отсутствие встроенных средств контроля глубокое понимание специализированного ПО и технологий отработанные компенсирующие меры автоматизация управления контроль действий разграничение прав низкая квалификация в вопросах ИБ инсайдеры несоответствие прав доступа

Ключевые угрозы АСУ ТП и технологических сетей Персонал ИнфраструктураСпецифика несанкционированное изменение настроек сетевых устройств и серверов несанкционированные соединения (wi-fi, модемы, мобильные устройства) незадекларированные и неучтенные изменения сети непропатченное ПО и ОС неполнота и скудность информации о состоянии ИБ нет плана на случай восстановления или редизайна сети чрезмерные права оператора доступ 3-их лиц и удаленный доступ к сети медленное обнаружение инцидентов локальный доступ к БД мультивендорная сетевая инфраструктура отсутствие централизованного управления стороннее ПО на АРМ отсутствие сегментации сети и контроля потоков данных ошибки и несоответствия, нарушения работы Противодействовать Автоматически выявлять и оперативно расследовать Оперативно получать информацию и контролировать

Поэтапное развитие информационной безопасности Уровень Противодействия Уровень внутреннего Контроля Уровень пассивного Мониторинга быстрота внедрения минимальные изменения в сети полнота получаемой информации диагностика инфраструктуры оперативное выявление инцидентов контроль действий персонала централизация управления контроль рабочих мест и каналов передачи данных выявление аномалий требует изменений инфраструктуры (агенты, редизайн сети) АСУ ТП Инфраструктура Персонал Специфика

Сотрудники ИнфраструктураСпецифика Уровень пассивного мониторинга контроль изменений настроек сетевого и серверного оборудования диагностика и мониторинг сети моделирование угроз поиск уязвимостей эффективность, риски и метрики ИБ централизованное хранение конфигураций оборудования Уровень внутреннего контроля мониторинг активности операторов АРМ контроль доступа к привилегированным УЗ (администраторов) сбор и выявление инцидентов ИБ мониторинг активности баз данных и разграничение прав доступа централизованное управление настройками сетевого оборудования Уровень противодействия контроль целостности АРМ межсетевое экранирование (сегментирование) контроль трафика в сети оперативное выявление аномалий и ошибок в технологической сети Оптимальный путь развития уровня ИБ АСУ ТП и тех. процессов Этап 1 Этап 3 Этап 2

Технологии и продукты Сотрудники ИнфраструктураСпецифика Уровень пассивного мониторинга контроль изменений настроек сетевого и серверного оборудования диагностика и мониторинг сети моделирование угроз поиск уязвимостей эффективность, риски и метрики ИБ централизованное хранение конфигураций оборудования Уровень внутреннего контроля мониторинг активности операторов АРМ контроль доступа к привилегированным УЗ (администраторов) сбор и выявление инцидентов ИБ мониторинг активности баз данных и разграничение прав доступа централизованное управление настройками сетевого оборудования Уровень противодействия контроль целостности АРМ межсетевое экранирование (сегментирование) контроль трафика в сети оперативное выявление аномалий и ошибок в технологической сети Cisco Sourcefire Algosec Oracle BI BackBox NAC Cisco Netasq Symanitron Q1 IBM Imperva DAM Lumeta Skybox IBM/McAfee VM Observe IT Wallix PIM Endpoint Security Config Inspector Whitelisting

Решения оттестированные в технологических сетях Вендор Крупнейшие заказчики Config Inspector Газинформавтоматика, Газпром LumetaShell, Kaiser permanente, Internet Communication Association SkyboxBritish Energy, PepsiCo, PPL, SNAM Rete Gas, Ericsson, EMC, SASOL IBM/McAfee VMAus. electric company, top-3 oil company Middle East, Mainova AG BackBoxCoca-Cola, Dimension Data, Mellanox, TEVA, Airbus, IAI, Nestle AlgosecGM, Mercedes-Benz, Siemens, BP, Statoil, Chevron, Intel, Powercor Observe ITSiemens, Toshiba, XEROX, IBM, Sanofi Aventis, Nissan, BP, ZIM Imperva DAMFujitsu, Sony, Hertz, LG, DELL, HP, US Governance Energy NetasqKerneos, EADS, Sagem Communication, Renault, Anios, Heineken NAC CiscoTasnee, Seagate, A&E

Варианты внедрения Влияние на инфраструктуру Ресурсоемкость Antivirus Whitelisting Observe IT Config Inspector Закрывает ошибки сотрудников Lumeta Imperva DAM Netasq Symanitron NAC Сisco Защита от случайных заражений и несанкционированного доступа BackBox Algosec Cisco Sourcefire Оперативность и полнота получаемой информации, контроль эффективности ИБ Oracle BI Wallix Q1 IBM IBM/McAfee VM Skybox

г. Москва, ул. Рочдельская д. 15 к. 16 а Т. +7 (495) Контактная информация