Одна из самых сильных сторон нашего современного развитого общества является также одним из самых главных его недостатков. В нынешнем взаимосвязанном мире развитые и высокотехнологичные социумы сильно зависят от работы ряда служб и сервисов, которые в настоящее время стали жизненно необходимыми.
Определенная инфраструктура обеспечивает нормальную работу основных служб и производственных систем в любом обществе. Поэтому сбой в их работе в силу естественных причин, технических неполадок или преднамеренных действий может иметь серьезные последствия для поставки ресурсов или работы критических служб, не говоря уже об угрозе безопасности.
В последние годы во всем мире неуклонно растет уровень кибер-преступности.
Развитие Интернета и цифровая трансформация общества представляет собой «палку о двух концах», т.к. все это дает определенные возможности для преступников. Но что может произойти, если критически важные сети станут целью для преступного сообщества?
Антивирусная лаборатория PandaLabs компании Panda Security опубликовала белую книгу под названием «Критическая инфраструктура: кибер-атаки на основы современной экономики» с хронологией самых громких атак в мире против информационной безопасности объектов критической инфраструктуры и рекомендациями по их защите.
Важные секторы и критическая инфраструктура
Защита критической инфраструктуры является важной проблемой для всех стран. Высокий уровень развития современного общества во многом зависит от ряда основных и важных услуг, в значительной степени оказываемых частным бизнесом.
Инфраструктура обеспечивает нормальную работу крайне важных для развития государства служб и систем: правительственные органы, водоснабжение, финансовые и налоговые системы, энергетика, космос, атомные электростанции и транспортные системы, крупные производственные предприятия.
К критически важной инфраструктуре мы относим объекты, сети, службы и системы, сбой в работе которых в любом случае отразится на здоровье, безопасности и благосостоянии граждан страны.
Гарантированное предоставление жизненно важных услуг в условиях новых угроз — это не только ответственность государственных органов, но также и частных компаний на национальном и международном уровнях.
Технические характеристики
Определенные технические характеристики и уровень уязвимости критических данных в таких сетях означают, что их защита не является тривиальной задачей.
Новые вторжения в кибер-физические системы производственных процессов, запущенных в критической инфраструктуре, создали потребность в новых стратегиях, адаптированных для обнаружения таких угроз без препятствий в работе самой инфраструктуры.
Гибридная архитектура
Различные критические инфраструктуры основаны на гибридной архитектуре, сочетающей в себе классические IT-сети и промышленные OT-сети, которые управляют компонентами, взаимодействующими с физическими объектами (кибер-физические системы).
Изоляция от Интернета
Этот аспект заслуживает отдельного внимания, т.к. растущая тенденция к взаимодействию всех типов инфраструктуры также расширяет количество доступных векторов атаки. Системы контроля для таких инфраструктур, как правило, изолированы от Интернета и подключены в
пределах внутренней сети.
SCADA
Впрочем, существуют такие системы контроля SCADA, которые видимы и даже доступны через Интернет. Большинство таких систем не имеют прямой связи с теми системами, которые управляют критической инфраструктурой, но они могут использоваться в качестве шлюза, чтобы хакеры могли получать конфиденциальную информацию для планирования более сложных атак.
Стратегический приоритет решения проблемы
Современные народы сталкиваются с многочисленными проблемами, касающимися национальной безопасности. В этом плане стратегические приоритеты направлены на защиту критической инфраструктуры, которая может подвергаться ряду новых угроз. Для ее защиты важно составить план, который предлагает предотвращение и защиту от потенциальных угроз, как с точки зрения физической безопасности, так и защиты технологий и коммуникаций.
За последние годы произошел ряд ключевых событий, таких как 9/11, которые стали поворотным пунктом в глобальной безопасности. С тех пор в мире сложилась ситуация, когда сбой в работе определенных объектов критической инфраструктуры может повлиять на здоровье, безопасность и благополучие не только отдельных людей, но и целых наций.
Изменился и подход к обеспечению безопасности таких объектов. Раньше безопасность являлась исключительной прерогативой государственных органов. Теперь объекты критической инфраструктуры, в основном, находятся в руках частного бизнеса, а потому он также несет серьезную ответственность за их безопасность. После трагедии 11 сентября США создали Министерство внутренней безопасности и приняли целый ряд соответствующих законов и постановлений.
В Европе подобная инициатива появилась после своего ключевого события: 11 марта 2004 года, взрывов поездов в Мадриде.
Европейская комиссия разработала глобальную стратегию по защите критической инфраструктуры («The European Programme for Critical Infrastructure Protection»), которая включает в себя комплекс мер по профилактике, предотвращению и реагированию на террористические атаки в Европе.
Среди прочего, директива устанавливает, что основная и конечная ответственность за защиту критических инфраструктур лежит на государствах-членах Евросоюза и операторах такой инфраструктуры, а также она настоятельно призывает все страны Евросоюза внедрять в свое национальное законодательство ряд мер и инициатив.
История атак
В целом, общественность, хоть и допускает определенные риски, но все же считает, что в реальности речь может идти о небольшом количестве кибер- атак на критическую инфраструктуру. К сожалению, все намного печальнее: мы уже знаем сотни задокументированных случаев таких атак во всем мире. Атаки на такие сети ведутся уже десятилетия, и ниже Вы сможете познакомиться с историей данных атак.
Сибирский нефтепровод
Термин «Интернет» приходит на ум всякий раз, когда мы думаем о кибер-атаках на критическую инфраструктуру.
Но первая подобная кибер-атака произошла еще до появления Интернета — в 1982 году.
Тогда группа хакеров смогла установить троян в SCADA-систему, которая контролировала работу сибирского нефтепровода, что привело к мощному взрыву. Атака была организована ЦРУ, хотя об этом не было известно до 2004 года, когда бывший секретарь Министерства обороны США и советник Р. Рейгана Томас Рид опубликовал свою книгу “At the Abyss: An Insider’s History of the Cold War”.
Chevron
Следующий инцидент произошел спустя десять лет, в 1992 году, когда был уволен рабочий нефтяной компании Chevron, который взломал компьютеры в офисах компании в Нью-Йорке и Сан-Хосе, отвечавшие за системы предупреждений, перенастроив их на аварию после запуска системы. Этот саботаж не был раскрыт до тех пор, пока не произошло утечки ядовитого вещества в Редмонде (штат Калифорния), при этом система не выдала соответствующих предупреждений. В результате тысячи людей были подвержены огромному риску в течение 10 часов, пока система была отключена.
Salt River Project
В августе 1994 года Лейн Джаррет Дэвис сумел взломать сеть Salt River Project, получив доступ к информации и удалив файлы из системы, отвечающей за мониторинг и подачу воды и электричества. Он также сумел получить доступ к персональным и финансовым данным клиентов и сотрудников компании.
Аэропорт Worcester
Другие ключевые секторы также пострадали от направленных атак. 10 марта 1997 года хакер проник в систему управления, используемую для коммуникаций системы контроля воздушного движения в Вустере (США, штат Массачусетс), вызвав сбой системы, которая отключила телефонную связь на шесть часов. Особенно это повлияло на телефонную систему башни управления, пожарной службы аэропорта и
авиакомпаний, базирующихся в аэропорту.
Газпром
В 1999 году хакеры нарушили работу систем безопасности российского энергетического гиганта — компании «Газпром». С помощью инсайдера они использовали троян, чтобы иметь возможность управлять SCADA- системой, контролирующей подачу газа. К счастью, это не привело к серьезным последствиям, а нормальная работа системы была восстановлена в кратчайшие сроки.
Maroochy Water System
Бывший сотрудник Maroochy Water System (Австралия) получил два года тюремного заключения за взлом в 2000 году системы управления водоснабжением, в результате чего миллионы литров сточных вод попали в ближайшую реку, что привело также к затоплению местной гостиницы.
Газоперерабатывающий завод
Газоперерабатывающий завод, построенный одной американской компанией, также подвергся атаке в 2001 году. 6-месячное расследование показало, что атака была проведена одним из поставщиков, который для сокрытия сделанной им ошибки, решил отвлечь внимание, взломав три ПК компании и вызвав отключение подачи газа для домашних и корпоративных клиентов в одной из европейских стран.
PDVSA
В декабре 2002 года нефтяная компания PDVSA из Венесуэлы подверглась атаке, в результате которой добыча нефти сократилась с 3 млн. до 370 тыс. баррелей в сутки. Во время атаки было взломано несколько корпоративных компьютеров.
Она была проведена во время забастовки сотрудников предприятия, чтобы можно было предположить их причастность.
Светофоры в Лос-Анджелесе
В 2006 году два инженера по организации дорожного движения в Лос-Анджелесе взломали городские светофоры в знак протеста. Им удалось изменить программу работы некоторых светофоров, размещенных на важных участках, после чего они стали гореть красным цветом, что привело к серьезным пробкам.
Трамвайная сеть в Лодзе
В 2008 году 14-летний студент взломал системы трамвайной сети в польском городе Лодзь, в результате чего 4 трамвая сошли с путей, а 12 человек получили травмы. Студент создал инфракрасный пульт дистанционного управления, как у телевизоров, с помощью которого он смог контролировать трамвайные перекрестки.
Saudi Aramco
В 2012 году крупнейшая нефтяная компания в мире Saudi Aramco стала жертвой направленной атаки на свои офисы. Хакеры получили доступ к сети благодаря атаке на одного из сотрудников компании, через которого смогли получить доступ к 30 000 компьютеров в сети. В какой-то момент хакерам удалось удалить содержимое всех компьютеров, в то время как на экранах показывался горящий американский флаг.
Ответственность за атаку взяла на себя группа хакеров, называвших себя “Меч правосудия”.
Ram Gas
Всего лишь через две недели после атаки на Saudi Aramco, катарская компания RamGas, второй в мире производитель сжиженного природного газа, был атакован той же вредоносной программой, которая использовалась для атаки на нефтяную компанию из Саудовской Аравии. В течении нескольких дней не работали внутренняя корпоративная сеть и веб-сайт компании.
Металлургический завод в Германии
В 2014 году в Германии жертвой атаки стал один из металлургических заводов. Используя социальную инженерию, хакеры сумели получить доступ к компьютеру одного сотрудника, с которого они смогли получить доступ к внутренней сети системы управления. В результате этого стало невозможным выключить одну из домен, что нанесло огромный ущерб предприятию.
Электросеть Украины
В конце 2015 года Украина подверглась кибер-атаке на свою национальную электросеть, в результате чего свыше 600000 жителей остались без электричества.
Первая в истории кибер-атака против Интернет-инфраструктуры
Несмотря на длинный список инцидентов, первая в истории кибер-атака на Интернет-инфраструктуру произошла 27 апреля 2007 года, когда в Эстонии ряд атак обрушил сайты различных организаций, включая парламент, различные министерства, банки, газеты и различные СМИ и т.д.
Впрочем, атака также была направлена на определенные непубличные адреса, включая национальную систему обработки финансовых ордеров и телекоммуникационные службы. Урмас Пает, министр иностранных дел Эстонии, публично обвинил российские власти в причастности к данным атакам, хотя он не смог предоставить каких-либо доказательств этому.Самый известный случай кибер-атаки на критическую инфраструктуру: Stuxnet
В 2008 году мы стали свидетелями одного из самых печально известных в истории случаев кибер-атак на критические инфраструктуры: Stuxnet. Сейчас уже известно, что это была скоординированная атака израильских и американских спецслужб, направленная на срыв ядерной программы Ирана.
Они создали червя, который заразил компьютеры, управляющие урановыми центрифугами на иранском заводе в Натанзе, в результате чего они стали работать на полной скорости, в то время как инженеры на своих мониторах наблюдали нормальный режим работы. Это нанесло физический ущерб всем урановым центрифугам на заводе. После этого случая общественность узнала о подобного рода угрозах.Атаки в других компаниях также затрагивали объекты критической инфраструктуры
Помимо атак, специально осуществляемых для причинения ущерба подобного типа инфраструктуры, атаки, подобные тем, с которыми сталкиваются другие компании, также негативно влияют на критические объекты, а последствия иногда были такими же серьезными. Подобные проблемы в основном начались в конце прошлого десятилетия, т.к. сетевые черви стали распространяться в Сети сами по себе.
Например, случай на ведущей в США фабрике по выпуску продуктов питания, когда вирусная инфекция нанесла ущерб, измеряемый тысячами долларов. Один сотрудник удаленно подключился с домашнего ПК, который был заражен вирусом Nimda. Как только он вошел в корпоративную сеть, червь распространился на все системы управления.
В 2003 году нефтяная компания из США пострадала от червя SQLSlammer, который проник во внутреннюю сеть. Хотя это не привело к остановке производства, но он повлиял на внутренние коммуникации.
Пришлось потратить несколько дней для полного удаления червя из сети и обновления систем для предотвращения дальнейших атак. Кстати, данный червь был одним из самых разрушительных для компаний.
Для распространения, он использовал уязвимость в серверах баз данных SQL (стандартный инструмент в корпоративных сетях). Уязвимость была исправлена Microsoft в январе 2003 года. Кстати, другая американская нефтяная компания начала обновлять все свои объекты сразу же после появления этого патча, чтобы оградить себя от этого червя. Однако, для завершения обновления необходимо было перезагрузить серверы, на которых этот патч был установлен, в то время как некоторые из них находились на нефтяных платформах, где не было выделенного IT-персонала. Для этого пришлось отправлять специалистов на вертолете. И пока они не успели приехать, червь проник в некоторые корпоративные системы и заразил те из них, которые еще не успели обновить.
В том же 2003 году один из крупнейших автопроизводителей в США также пострадал от атаки червем SQLSlammer, который мгновенно распространился на его 17 заводах. Общий ущерб для компании составил 150 млн. долларов США. Хотя патч уже был доступен на протяжении шести месяцев, ИТ-менеджеры компании до сих пор не установили его.
В том же году от вредоносной инфекции (та вредоносная программа не была публичной) пострадал компьютер авиакомпании Air Canada, отвечающий за летную информацию, заправку топлива и пр. В результате инфекции 200 рейсов были задержаны или отменены.
В 2005 году в Японии компьютер сотрудника компании Mitsubishi Electric был заражен вредоносной программой, что привело к утечке конфиденциальных инспекционных документов о двух атомных электростанциях, принадлежащих данной компании.
В 2006 году два компьютера в больнице (Великобритания), отвечающие за управление комплексом лучевой терапии для больных раком людей, были заражены вредоносной программой. В результате этого пришлось отложить лечение 80 пациентов. Спустя два года еще три больницы в Великобритании были заражены вариантом червя Mytob, после чего пришлось отключить все компьютеры от сети на 24 часа для решения инцидента.
В 2013 году были заражены 200 компьютеров Департамента автомобильных дорог и транспорта в округе Кук (штат Иллинойс, США). Эти системы отвечали за поддержание сотни километров дорог в пригороде Чикаго. В результате атаки пришлось отключать сеть на 9 дней, чтобы вылечить все компьютеры.
Этот список инцидентов показывает, что опасность кибер-атак на критические инфраструктуры вполне реальна, и сегодня правительства всех стран знают об этих рисках.
Дополнительная защита для критической инфраструктуры
Учитывая реальность, которую мы наблюдаем и в которой мы живем, необходимо регулировать защиту критической инфраструктуры, чтобы обеспечить ей более высокий уровень защиты от всех типов угроз.
В мае 2016 года после встречи министров энергетики стран G7, была принята совместная декларация, в которой, среди прочего, был поставлен акцент на важности создания отказоустойчивых энергосистем (включая газ, электричество и нефть), чтобы эффективно реагировать на появляющиеся кибер-угрозы и поддерживать нормальную работу жизненно необходимых служб.
Чтобы усовершенствовать меры по предотвращению и реагированию на логические атаки, правительства стран осуществляют ряд мер на глобальном уровне. Эти меры направлены на создание центров по сбору всей необходимой информации для улучшения защиты критических инфраструктур. Как результат, была разработана комплексная стратегия для решения данной проблемы, которая должна быть включена в национальное законодательство этих стран.
Нелегко ответить на вопрос, насколько безопасность объектов критической инфраструктуры адекватна в настоящее время, т.к. неизвестна информация или техники, которые могут быть использованы кибер-преступниками, а потому нельзя быть на 100% в безопасности. Что можно улучшить — это защиту от известных атак, для предотвращения которых необходимо применять ряд эффективных мер:
1. Проверка систем на уязвимости, особенно тех систем, на которых уже были зафиксированы дыры безопасности и они были известны в течение некоторого времени.
2. Адекватный мониторинг сетей, используемых для контроля таких объектов критической инфраструктуры, и при необходимости их полная изоляция от внешних соединений, что позволит обнаруживать внешние атаки и предотвращать доступ к системам, управляемым из внутренней сети.
3. Контроль над съемными устройствами, что важно в любой инфраструктуре не только потому, что они являются направлением таких атак, как в случае с Stuxnet. При защите таких объектов критической инфраструктуры крайне важно, чтобы вредоносные программы не проникали во внутреннюю сеть через съемные устройства, которые также могут bспользоваться и для кражи конфиденциальной информации.
4. Мониторинг ПК, к которым подключены программируемые логические контроллеры (или PLC). Эти подключенные к Интернету устройства являются наиболее чувствительными, т.к. они могут предоставлять хакерам доступ к критически важным системам управления. Даже если они не смогут получить контроль над системой, они смогут получить ценную информацию для других направлений атаки.
Решение
Решение состоит в защите от современных угроз и направленных атак, которая также должна позволить обнаруживать необычное или подозрительное поведение. Система, которая должна обеспечить конфиденциальность данных, защиту активов и репутации компании.
Интеллектуальная платформа, которая может помочь специалистам по безопасности критической инфраструктуры оперативно реагировать на угрозы и получать всю необходимую информацию для подготовки адекватного ответа.
Решение Adaptive Defense 360 — система расширенной ИТ-безопасности, которая сочетает новейшие технологии защиты и современные технологии обнаружения и реагирования на атаки с возможностью классификации 100% выполняемых процессов.
Adaptive Defense 360 классифицирует абсолютно все активные процессы на компьютерах, обеспечивая защиту от известных вредоносных программ и атак «нулевого дня», постоянных угроз повышенной сложности (AРТ) и направленных атак.
Платформа использует контекстную логику для выявления вредоносных моделей поведения и генерации улучшенных действий информационной защиты от известных и неизвестных угроз.
Решение анализирует, классифицирует и сопоставляет все собираемые данные о кибер-угрозах, чтобы выполнять задачи по предотвращению, обнаружению, реагированию и восстановлению.
Решение определяет, каким образом и кем был осуществлен доступ к данным, а также контролирует утечку данных в результате работы вредоносных программ или действий сотрудников.
Решение обнаруживает и устраняет системные уязвимости и дыры в установленных программах, а также предотвращает использование нежелательных приложений (тулбары, рекламное ПО, дополнения и пр.).
Комментарии (23)
chieftain_yu
30.11.2016 15:56+2Но первая подобная кибер-атака произошла еще до появления Интернета — в 1982 году.
Тогда группа хакеров смогла установить троян в SCADA-систему, которая контролировала работу сибирского нефтепровода, что привело к мощному взрыву. Атака была организована ЦРУ, хотя об этом не было известно до 2004 года, когда бывший секретарь Министерства обороны США и советник Р. Рейгана Томас Рид опубликовал свою книгу “At the Abyss: An Insider’s History of the Cold War”.
Ага, байка известная.
Но мне не удалось найти подтверждений сему «мощному взрыву», да и SCADA на советском газопроводе в 1982-м году смотрится несколько инородно. Не может ли это быть мнэ… Фантазиями Томаса Рида?
В 1999 году хакеры нарушили работу систем безопасности российского энергетического гиганта — компании «Газпром». С помощью инсайдера они использовали троян, чтобы иметь возможность управлять SCADA- системой, контролирующей подачу газа. К счастью, это не привело к серьезным последствиям, а нормальная работа системы была восстановлена в кратчайшие сроки.
Расскажите, пожалуйста, подробнее, что именно пострадало? ЦПДД? Какой-то из Трансгазов? ПХГ? Какое-то ЛПУ МГ? КС? ГРС?
sav6622
30.11.2016 21:25+1Не это ли проишествие, просто датой ошиблись.
В момент встречного прохождения двух пассажирских поездов № 211 «Новосибирск — Адлер» и № 212 «Адлер — Новосибирск» произошёл мощный взрыв облака лёгких углеводородов, образовавшегося в результате аварии на проходящем рядом трубопроводе «Сибирь — Урал — Поволжье».
chieftain_yu
01.12.2016 08:58Нет, катастрофа под Уфой непохожа на первоисточник байки. Только в остальных версиях и в Вики упоминался газопровод.
Для начала — год совсем другой. Затем — там был не газопровод, а продуктопровод (ШФЛУ). Который изначально вообще проектировался как нефтепровод. И вряд ли имел SCADA. Ну и опять же — я не верю, что троян в SCADA может вызвать трещину в трубе.
PandaSecurityRus
01.12.2016 12:52+1Про Газпром и Сибирский нефтепровод можно узнать здесь
(в базе данных инцидентов наберите Gazprom. Будет информация о данном инциденте с более подробной информацией).
И еще подробностиchieftain_yu
02.12.2016 08:53+1Понятно. Мопед не ваш, вы просто разместили объяву.
Не нашел там ничего про сибирский нефтепровод. Только про сибирский газопровод какой-то — и то без подробностей. И с пометкой «Likely But Unconfirmed».
Про Газпром пометка аналогична. И тоже без подробностей — чем повредили, как повредили… Разве что упомянут инсайдер — ну да инсайдер в принципе может много чего интересного сделать. Метнуть по топору в САУ и САЗ, например, на объекте.
Ну и в целом я не смог на ваших ресурсах найти упоминание, скажем, червя на атомной станции Davis–Besse, а случай был очень резонансный. И подтверждается многочисленными упоминаниями этого события.
Из чего у меня лично делается вывод, что упомянутый вами ресурс несколько ангажирован либо как-то странно формирует свою БД.
opanas
30.11.2016 16:07Не обнаружил информации о BlackEnergy, а ведь довольно эпично электроенергию отключали http://blog.checkpoint.com/2016/01/14/check-point-threat-alert-blackenergy-trojan/
mayorovp
30.11.2016 16:45Электросеть Украины
В конце 2015 года Украина подверглась кибер-атаке на свою национальную электросеть, в результате чего свыше 600000 жителей остались без электричества.
Romer
01.12.2016 11:10Пошел по ссылке почитать про то, что это такое Adaptive Defense 360 и после строк: «Основные характеристики Panda Adaptive Defense 360
Будучи облачным сервисом, вся инфраструктура данного решения расположена в облаке – в дата-центрах Microsoft на платформе Windows Azure, с высочайшим уровнем физической и информационной безопасности.» — стало понятно, что ребята делают решение в виде очередного «сферического коня в вакууме» для нужд ИБ систем АСУТП… Вы на скольких реальных объектах ТП были??? У вас вообще есть в штате специалисты по АСУТП, чтобы понимать куда вы пытаетесь продвигать подобные решения? Такое ощущение, что следуя всеобщему мейнстриму по срубанию бабла на поприще ИБ для АСУТП туда сейчас лезут все кому не лень. Какой-то кавардак. Отдельно радуют страшилки в виде перечисления мифических атак, из которых 99,9% вся информация только на уровне слухов, или как тут мне недавно выдал один из «спецов» по ИБ: «про это говорили даже на саммите по ИБ в Майами»… Я аж прослезился про такие критерии оценки достоверности информации. А потом обижаются — вот АСУТПшники идиоты, ничего не понимают в ИБ. Да, мы не понимаем — как вообще вы такими методами собираетесь обеспечивать ИБ там, где нифига сами не понимаете как это должно работать, чтобы не организовать очередную техногенную катастрофу своими наворотами по этой безопасности. Утрируя: прежде чем ставить «антивирус» — выясните, а действительно ли он там нужен, и не достаточно ли будет обеспечить эту самую ИБ обычными административными мерами, насколько повлияет этот «антивирус» на сам технологический процесс и не приведет ли его работа и влияние на систему АСУТП к более фатальным последствиям. А то сразу к облаку подключить… хех…PandaSecurityRus
01.12.2016 12:04Проблема заключается в том, что ряд технологических процессов могут управляться с «обычных» компьютеров, тем более, если они интегрированы во внутреннюю сеть или даже имеют выход в Интернет в силу развития концепций по расширению взаимодействия между различными системами управления и т.д. Поэтому Panda Adaptive Defense 360 может обеспечить защиту таких компьютеров, чтобы оградить кибер-угрозы от воздействия на объекты критической инфраструктуры, когда через скомпрометированный компьютер кибер-преступники смогут осуществить ряд других операций, способных повлиять на работу таких объектов.
Естественно, мы не говорим о том, что антивирус нужно поставить везде. И, конечно, Вы правы, что помимо самих только решений ИБ, есть масса других мер, которые необходимо предпринимать. Причем в первую очередь необходимо говорить о соответствующих организационных мерах. Кстати, если Вы посмотрите наши другие статьи, то мы об этом пишем очень часто. Но сейчас мы оставили все это за скобками, т.к. в данной статье смотрим на данную проблему со стороны своей сферы — ИБ. Мы говорим о том, что проблема есть, она вполне реальна, и примеров уже достаточно. О многих из них мы не можем сказать в силу целого ряда причин, но мы знаем о них, т.к. работаем по всему миру.Romer
01.12.2016 13:46+11) Очень хочу видеть конкретное перечисление реальных АСУТП, где «обычные» ПК, управляющие технологическим процессом интегрированы во внутреннюю сеть, или ДАЖЕ имеют прямой выход в Интернет!
2) Очень хочу увидеть документы проектов таких систем, чтобы знать, кто тот безрукий и безголовый архитектор, который спроектировал подобные структуры и допустил их использование на реальных технологических объектах!
Я понимаю, что второй вопрос — это лично мое, но вот по первому вопросу — пока не расскажете о таких, или не приведете примеры, все это слова слова и маркетинговые рассказки.Satyricon
01.12.2016 19:47По вашему первому пункту могу назвать два нефтезавода. Выхода в интернет нет, но ПК, принтеры и прочая лабуда находится в одной сети с контроллерами Siemens, управляющими техпроцессом. Авторы подобного — российские интеграторы. Без имён, извините.
Romer
01.12.2016 20:27+1Ага и доступ к этим ПК у любого с улицы? Или за этими ПК сидят кто угодно и таскают туда все что ни попадя на флешках? Так может туда не средства ИБ ставить, а для начала мозг в черепную коробку эксплуатации, а затем сделать систему правильно, чтобы не было бардака такого?
Я уже как-то приводил аналогию в одной из тем обсуждения ИБ в АСУ ТП:
Да, давайте теперь из-за этого придумаем специальные операционные системы, специальное ПО, анализирующее весь трафик в АСУ ТП, чтобы избежать использования подобных ситуаций злоумышленниками… Как там у Жванецкого: «Так может все же что-то в консерватории поправить?». А то смахивает на ситуацию, что после ремонта коридора кто-то ведро оставил подвешенное к потолку и теперь все кто по нему идут больно бьются об него головой, поэтому было придумано всем обязательно носить каски, разработаны методики по одеванию и снятию касок всех идущих по коридору, создано бюро по выдачи этих касок и даже повешена система видеонаблюдения за этим участком, чтобы выявлять тех, кто не одел каску и приложился лбом к ведру… В интернете куча сообществ людей, которые имеют дипломы по прохождению коридора с ведром без последствий, много форумов кишит обсуждениями как удобнее пригинаться или в какую сторону уклоняться от ведра в зависимости от скорости движения по коридору. Вот только, почему-то, снять это ведро и убрать — никому в голову не приходит. А зачем — ведь столько рабочих мест, столько инноваций, такой рынок сбыта.
Ваши примеры — это примеры реальной безграмотности построения систем и дилетантства, подкрепленные безалаберностью и пофигизмом эксплуатации-заказчика, но никак не примеры реальных АСУ ТП. Вот за такие системы как раз надо в первую очередь лицензий лишать тех, кто их создает и проектирует, и на пушечный выстрел не подпускать к АСУ ТП (это уже как раз ко второму моему вопросу).Satyricon
01.12.2016 21:47+2Воу воу, палегчэ! :) Мой посыл был не в том, что давайте защищать такие дыры всяким странным ПО, а в том, что нужно изначально делать правильно, тогда и это ПО не понадобится.
Понимаете, где я только не сталкивался с АСУТП (нефтянка), везде всем пофиг, как сделано, лишь бы работало. На мои замечания — а у вас все коммутаторы с паролем по умолчанию и ИБП можно выключить по сети без пароля мне отвечали — да кому это надо, мы сами тут ничо не понимаем, иди иди отсюда, не умничай.
Мои примеры это примеры реального подхода к АСУТП у нас в стране. Эксплуатация не понимает, что им делают на уровне железа и ПО, а интеграторам вообще пофиг, с них не требуют.
Тут еще поднимается вопрос компетенции кадров. Не каждый АСУшник спец в ИБ, и наоборот. Обычно даже ИБ-шника нет, а его функции делегируют АСУшнику. А тот ни в зуб ногой, и от слова Cisco падает в обморок. Поэтому вот эти всякие панды и идут на рынок. В каких то случаях проще навтыкать софта и хоть как-то защититься, чем полностью переделывать архитектуру АСУТП.
Satyricon
01.12.2016 21:51+1Забыл, по поводу:
Или за этими ПК сидят кто угодно и таскают туда все что ни попадя на флешках?
Да, сидят. Да, таскают. Маленький город на 85к населения, свежепостроенный нефтезавод. Люди наспех отучивались на оператора НПЗ за счет ЦЗ и шли работать. Компетенция нулевая. Поначалу даже крали ключи защиты софта, думали, что флэшки, обратно так и не вернули. Что вы хотите от этих людей, а других нет.
PandaSecurityRus
02.12.2016 08:58+1На самом деле, я думаю, есть некоторое недопонимание. Попытаюсь здесь сразу ответить на сказанное выше и ниже.
В данной статье в разделе «Технические характеристики» изначально было отмечено о том, что в силу развития технологий и самих потребностей предприятий развиваются новые системы на базе гибридных архитектур, которые представляют собой сочетание ИТ-сетей и ОТ-сетей. Т.е. есть точки соприкосновения, и эти точки — это компьютеры. Мы пишем о том, что сами системы контроля работы критических инфраструктур, конечно же, должны быть изолированы от Интернета и даже от общей внутренней сети, но существуют такие системы контроля SCADA, которые видны во внутренней сети (а в некоторых случаях, даже имеют доступ в Интернет). Т.е. сами они не принимают участие непосредственно в управлении ТП, но они могут использоваться как шлюз для получения конфиденциальной информации о той же АСУТП для планирования других атак.
Наше решение как раз и предназначено для того, чтобы защищая обычные компьютеры на основе новой модели безопасности максимально предотвратить и исключить их компрометацию. Т.е. защита этих самых точек соприкосновения.
Технологии не стоят на месте и они постоянно развиваются, конечно же, со своими плюсами и минусами. Есть определенные потребности во взаимодействии различных систем управления и мониторинга ТП. И зачастую для этого используются ИТ-ресурсы, даже тот же Интернет. Понятно, что гораздо проще все закрыть полностью и сделать обособленным, но это не всегда та схема, которая необходима для гибкого и оперативного управления. А потому здесь есть новые риски, и о них идет речь в статье.
Очень хочу видеть конкретное перечисление реальных АСУТП, где «обычные» ПК, управляющие технологическим процессом интегрированы во внутреннюю сеть, или ДАЖЕ имеют прямой выход в Интернет!
Очень хочу увидеть документы проектов таких систем, чтобы знать, кто тот безрукий и безголовый архитектор, который спроектировал подобные структуры
Вы это серьезно говорите? Неужели Вы действительно думаете, что Вам кто-то это когда-то предоставит: список АСУТП со схемами, характеристиками и другой конфиденциальной информацией? Вы бы тоже стали раздавать свои проекты направо-налево?
Те случаи атак (как и многие другие), которые описаны в данной статье, — это те случаи, о которых много говорили и есть определенная «публичность» этих событий. И даже в этом случае нет 100% подтверждений и доказательств (как и нет доказательств обратному, что этого не было или это было не из-за кибер-атак). А многие случаи остались «за кадром». Наши специалисты знают о многих таких случаях, но по понятным причинам (надеюсь, Вы понимаете их?) мы не можем говорить о них публично.
Данная статья — это попытка обратить внимание на то, что передовые критические инфраструктуры — не те, что были 20 лет назад, они интегрируются в определенное информационное пространство со всеми вытекающими отсюда новыми рисками и угрозами. Это реальность. Конечно, это надо делать профессионально и с многоуровневой системой безопасности. Жить «по-старинке» и что-то там ваять «на коленке» — это бесперспективно.Satyricon
02.12.2016 16:01Данная статья — это попытка обратить внимание на то, что передовые критические инфраструктуры — не те, что были 20 лет назад, они интегрируются в определенное информационное пространство со всеми вытекающими отсюда новыми рисками и угрозами. Это реальность.
Это не реальность, это безалаберность и отсутствие понимания.
PandaSecurityRus
01.12.2016 12:10-1решение в виде очередного «сферического коня в вакууме» для нужд ИБ систем АСУТП
По поводу «сферического коня в вакууме»… Это синоним теоретического построения или утверждения, недостижимого на практике.
Panda Adaptive Defense 360 эффективно работает на сотнях тысячах корпоративных устройств в различных компаниях (в т.ч. и с объектами критической инфраструктуры) во многих странах мира, включая Россию. В этом предложении акцент на фразе «эффективно работает». Т.е. как минимум уже достижимо на практике, что ставит под сомнение Вашу оценку продукту.Romer
01.12.2016 13:52+1Давайте не путать «корпоративные устройства» с АСУ ТП.
Мне вот даже интересно стало: из этих сотен тысяч — реальных из АСУ ТП сколько? Или это все сотни тысяч АСУ ТП по всему миру? Тогда интересно было бы узнать какие именно?
Мне кажется вы тут подменяете понятия — говоря о том, что вы защищяя ПК рядового офисного планктона начинаете думать, что способны обеспечить то же самое и для АСУ ТП. Это как бы разные вещи, и судя по вашим статьям — вы не особо вообще себе представляете что такое АСУ ТП.
hp6812er
сборище теорий заговора, без единого подтверждения.