Таблетка для завода.

Previous Entry Поделиться Next Entry
29 января, 2016
e_kaspersky
Ура! Мы выпустили KICS (Kaspersky Industrial CyberSecurity) – специальную «таблетку» от кибер-неприятностей для заводов, электростанций, больниц, аэропортов, отелей, складов, вашей любимой пекарни и тысяч других видов предприятий, использующих компьютерные системы управления. А поскольку редкое современное предприятие обходится без таких систем, то, да, мы выпустили решение для миллионов больших, средних и малых производственных и сервисных бизнесов по всему миру!

Что такое KICS? Зачем это нужно? И для чего конкретно?

До начала 2000-х возможность кибер-атак на промышленные объекты была источником вдохновения для научных фантастов. А 14 августа 2003г. на востоке США и Канады неожиданно случилось вот такое:

kics-launch-1

Из-за неких неполадок в электросети 50 миллионов человек остались без электричества на срок от нескольких часов до нескольких дней. Обсуждалось много причин этой техногенной катастрофы, в том числе нестриженные деревья, удар молнии, злонамеренные белки и ... версия побочного эффекта от атаки компьютерного червя Slammer (Blaster).

Насколько я понимаю, там было совмещение всех этих факторов. Т.е. случилась нештатная ситуация (ёлки-белки) и одновременно червяк порушил систему оповещения. ЧП местного масштаба, которое не смогло быть отработано на центральном уровне, из-за чего ситуация веерно накрыла весь регион.

Наверняка подобные инциденты случались и до этого, ведь компьютеры вошли в практику управления производствами уже давно, да и компьютерные сети родились не вчера. Но инциденты эти либо умалчивались, либо навешивались на некие другие причины. Впрочем, важно другое – с тех пор новости про кибер-атаки на промышленные объекты посыпались одна за другой и чем дальше, тем больше. А атака Stuxnet против иранской ядерной программы в 2010г. показала, что у проблемы есть ещё и военный аспект.

kics-launch-2

Вывод: промышленные объекты также уязвимы перед кибер-атаками, причём последствия игнорирования этого факта могут быть ой какими неприятными, иногда даже катастрофическими.

Понятно, что защищать надо, но как?

Обычные endpoint-решения могут прикрыть только часть инфраструктуры предприятия – то, что принято называть корпоративной сетью. Защита производственных процессов (индустриальная сеть) требует совершенно другого подхода. Здесь вообще всё другое – объекты защиты (PLC, SCADA, HMI…), окружение, а главное – задачи и их реализация.

В отличие от обычной офисной IT-инфраструктуры здесь важно обеспечить непрерывность производственного процесса. То есть классический принцип «конфиденциальность, целостность, доступность» в порядке приоритетности звучит как «доступность, целостность, конфиденциальность». Поэтому мы и сделали KICS.

kics-launch-3

Что хочу отметить особенно: это не продукт, а проектное решение.

Простой установкой софта не защитить индустриальную сеть – нужно проанализировать внутренние процессы, технологии и оборудование, разработать модель угроз и стратегию защиты, адаптировать софт под специфические требования сети, обучить специалистов и много всего другого, чтобы обеспечить ту самую непрерывность. Мы внимательно изучили все эти требования, много консультировались с заказчиками, смотрели на мировой опыт и у нас уже есть два успешных внедрения в нефтяной и логистической компаниях.

Самое любопытное – это первые результаты внедрений.

К сожалению, мы (по понятным причинам) не можем рассказать обо всех находках – только в общих чертах, чтобы представить масштабы и градус открытий. В течение нескольких дней после начала работы KICS один заказчик выявил сразу несколько серьёзных нарушений, в том числе несанкционированное подключение ноутбука одним из сотрудников (опс!). Можно себе представить сколько «открытий чудных» приносит KICS каждую неделю и какие неприятности он помогает предотвратить.

В некоторой степени индустриальные сети даже менее защищены, чем обычные корпоративные IT-инфраструктуры.

Бытует мнение, что на промышленных объектах главное правило - «работает – не трогай». Конечно, не повсеместно, но такое правило действительно есть и оно, увы, превалирует. Т.е. если есть налаженный производственный цикл, то пусть он крутится хоть на ни разу не обновлённом софте 20-летней давности. Пусть объект «торчит» в Интернет. Пусть всё что угодно, главное НЕ ТРОГАТЬ. Потому что слишком радивый сотрудник, решивший озаботиться безопасностью будет немедленно уволен с волчьим билетом, если установленный патч хоть на минуту остановит процесс. И это вполне логично!

Но обречённо ждать неприятностей в угоду непрерывности тоже не выход! («пока гром не грянет - мужик не перекрестится»).

В конце прошлого года мы провели открытое кибер-соревнование для изучения векторов атак против критической инфраструктуры на примере стенда реальной электрической подстанции, построенной по современным технологиям и в соответствии со стандартом IEC61850.

kics-launch-4

И что бы вы думали? На подстанции устроили короткое замыкание взломом уже через 3 часа, причём сразу двумя способами! Всего за 2 дня стенд «ломанули» 26 раз (несколько раз был даже остановлен технологический процесс), «ломанули» абсолютно все устройства и даже нашли зеродей уязвимость. Но самое важное в этом испытании, что все атаки были отловлены KICS – т.е. в реальной сети наше решение сможет предотвратить нападение, причём следать это без остановки производства!



Previous Entry Поделиться Next Entry

Записи из этого журнала по тегу «prombez»


Круто. Поздравляю с выходом и реализацией хорошей идеи. А государственные сети типа ФСБ, ФСО и тд "патрулируют" они сами или частники? Система управления запуском ракет и спутников - те же корпоративные или индустриальные сети. Кто занимается их комплексной безопасностью?

Как сочетается
> был даже остановлен технологический процесс
и
> без остановки производства
?

На вершине прогресса в современных системах безопасности - поздравляю!

Kaspersky kicks!
Касперский даёт пинка!

- как Вам такой нэйм?

?

Log in

No account? Create an account