Евгений Касперский (e_kaspersky) wrote,
Евгений Касперский
e_kaspersky

Categories:

Таблетка для завода.

Ура! Мы выпустили KICS (Kaspersky Industrial CyberSecurity) – специальную «таблетку» от кибер-неприятностей для заводов, электростанций, больниц, аэропортов, отелей, складов, вашей любимой пекарни и тысяч других видов предприятий, использующих компьютерные системы управления. А поскольку редкое современное предприятие обходится без таких систем, то, да, мы выпустили решение для миллионов больших, средних и малых производственных и сервисных бизнесов по всему миру!

Что такое KICS? Зачем это нужно? И для чего конкретно?

До начала 2000-х возможность кибер-атак на промышленные объекты была источником вдохновения для научных фантастов. А 14 августа 2003г. на востоке США и Канады неожиданно случилось вот такое:

kics-launch-1

Из-за неких неполадок в электросети 50 миллионов человек остались без электричества на срок от нескольких часов до нескольких дней. Обсуждалось много причин этой техногенной катастрофы, в том числе нестриженные деревья, удар молнии, злонамеренные белки и ... версия побочного эффекта от атаки компьютерного червя Slammer (Blaster).

Насколько я понимаю, там было совмещение всех этих факторов. Т.е. случилась нештатная ситуация (ёлки-белки) и одновременно червяк порушил систему оповещения. ЧП местного масштаба, которое не смогло быть отработано на центральном уровне, из-за чего ситуация веерно накрыла весь регион.

Наверняка подобные инциденты случались и до этого, ведь компьютеры вошли в практику управления производствами уже давно, да и компьютерные сети родились не вчера. Но инциденты эти либо умалчивались, либо навешивались на некие другие причины. Впрочем, важно другое – с тех пор новости про кибер-атаки на промышленные объекты посыпались одна за другой и чем дальше, тем больше. А атака Stuxnet против иранской ядерной программы в 2010г. показала, что у проблемы есть ещё и военный аспект.

kics-launch-2

Вывод: промышленные объекты также уязвимы перед кибер-атаками, причём последствия игнорирования этого факта могут быть ой какими неприятными, иногда даже катастрофическими.

Понятно, что защищать надо, но как?

Обычные endpoint-решения могут прикрыть только часть инфраструктуры предприятия – то, что принято называть корпоративной сетью. Защита производственных процессов (индустриальная сеть) требует совершенно другого подхода. Здесь вообще всё другое – объекты защиты (PLC, SCADA, HMI…), окружение, а главное – задачи и их реализация.

В отличие от обычной офисной IT-инфраструктуры здесь важно обеспечить непрерывность производственного процесса. То есть классический принцип «конфиденциальность, целостность, доступность» в порядке приоритетности звучит как «доступность, целостность, конфиденциальность». Поэтому мы и сделали KICS.

kics-launch-3

Что хочу отметить особенно: это не продукт, а проектное решение.

Простой установкой софта не защитить индустриальную сеть – нужно проанализировать внутренние процессы, технологии и оборудование, разработать модель угроз и стратегию защиты, адаптировать софт под специфические требования сети, обучить специалистов и много всего другого, чтобы обеспечить ту самую непрерывность. Мы внимательно изучили все эти требования, много консультировались с заказчиками, смотрели на мировой опыт и у нас уже есть два успешных внедрения в нефтяной и логистической компаниях.

Самое любопытное – это первые результаты внедрений.

К сожалению, мы (по понятным причинам) не можем рассказать обо всех находках – только в общих чертах, чтобы представить масштабы и градус открытий. В течение нескольких дней после начала работы KICS один заказчик выявил сразу несколько серьёзных нарушений, в том числе несанкционированное подключение ноутбука одним из сотрудников (опс!). Можно себе представить сколько «открытий чудных» приносит KICS каждую неделю и какие неприятности он помогает предотвратить.

В некоторой степени индустриальные сети даже менее защищены, чем обычные корпоративные IT-инфраструктуры.

Бытует мнение, что на промышленных объектах главное правило - «работает – не трогай». Конечно, не повсеместно, но такое правило действительно есть и оно, увы, превалирует. Т.е. если есть налаженный производственный цикл, то пусть он крутится хоть на ни разу не обновлённом софте 20-летней давности. Пусть объект «торчит» в Интернет. Пусть всё что угодно, главное НЕ ТРОГАТЬ. Потому что слишком радивый сотрудник, решивший озаботиться безопасностью будет немедленно уволен с волчьим билетом, если установленный патч хоть на минуту остановит процесс. И это вполне логично!

Но обречённо ждать неприятностей в угоду непрерывности тоже не выход! («пока гром не грянет - мужик не перекрестится»).

В конце прошлого года мы провели открытое кибер-соревнование для изучения векторов атак против критической инфраструктуры на примере стенда реальной электрической подстанции, построенной по современным технологиям и в соответствии со стандартом IEC61850.

kics-launch-4

И что бы вы думали? На подстанции устроили короткое замыкание взломом уже через 3 часа, причём сразу двумя способами! Всего за 2 дня стенд «ломанули» 26 раз (несколько раз был даже остановлен технологический процесс), «ломанули» абсолютно все устройства и даже нашли зеродей уязвимость. Но самое важное в этом испытании, что все атаки были отловлены KICS – т.е. в реальной сети наше решение сможет предотвратить нападение, причём следать это без остановки производства!



Tags: cyber warfare, malware, product launch, prombez, technology
Subscribe

Posts from This Journal “prombez” Tag

  • Первая посткарантинная промышленная.

    Итак, мальчики и девочки, у нас произошло эпохальное событие - и я без лишней скромности об этом громко заявляю. В одном небезызвестном приморском…

  • Совсем другой город Ч.

    Первая рабочая поездка в этом году... да что там "в этом году" - в этом десятилетии! :) Так вот: первая командировка в этом десятилетии у меня только…

  • Первый День ОСи.

    В конце прошлой недели мы провели первую специализированную конференцию " KasperskyOS Day" по нашей собственной безопасной иммунной…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your IP address will be recorded 

  • 4 comments