Актуальні кібер-загрози АСУ ТП
TRANSCRIPT
Unifying the
Global Response
to Cybercrime
Кібернетичні загрози АСУ ТП
Гліб Пахаренко
gpaharenko (at) gmail.com
2015-02-11
для форуму лідерів АСУ «Нова країна – Новий ландшафт»
Unifying the
Global Response
to Cybercrime
StuxnetStuxnet – мережевий хробак, який виявлено в 2010р.
Цілі – установки по збагаченню урану в Ірані.
Особливості:
розповсюдження через флеш-накопичувачі та мережу
використання чисельних вразливостей:
• MS10-046 to infect trough USB flash (using LNK files)
• MS10-061 to infect over the net (print spooler vuln)
• MS08-067 to infect over the net (confiker style)
• Default password in Siemens WinCC SQL database
• вкрадені цифрові сертифікати для зловмисного
драйверу.
завантаження зловмисного коду в пам'ять контролера
підміна компонент системи моніторингу контролера
виявлення лише систем, котрі відповідають певним ознакам
Спосіб дії:
різка зміна частоти обертання турбін
відображення сталих нормальних показників обертання
турбін оператору
Нащадки:
Duqu
Flame
Головна мета – збір даних для атак на індустріальні об'єкти
2
Unifying the
Global Response
to Cybercrime
SandwormSandworm– мережевий хробак, який виявлено в 2014р.
Цілі – установи енергетичного сектору.
Особливості:
розповсюдження через вразлиість в MS Office
використання соціальної інженерії
увага АСУ ТП Siemens та GE FANUC Cimplicity
походження - Росія
3
Unifying the
Global Response
to Cybercrime
Havex та інші атакиHavex– троянська програма, виявлена в 2014р.
Цілі – виробники АСУ ТП.
Особливості:
заражає дистрибутиви ПЗ на сайтах виробників;
жертвами стали більше 100 організацій;
Інцидент на газогоні Баку-Тбілісі-Чейхан
вибух на газогоні в 2008р.
можливий вплив зловмисного ПЗ на показання дачиків, щоб вибух не
помітили одразу;
зараження могло статися через камери ІР спстереження,
опубліковані в Інтернет.
Новини про загрози для АСУ ТП:
захоплення ГО «Спільна справа» будівлі Міненергетики;
використання банківських троянів для атак у енергетичному секторі;
атаки на мобільні пристрої, що використовуються в АСУ ТП;
в Україні більше 50 тис. заражених вірусами машин;
Піратське ПЗ для АСУ ТП
4
Unifying the
Global Response
to Cybercrime
Міжнародна практика безпеки АСУ ТП1996 року в США розпочалася програма захисту критичної інфраструктури. В таблиці нижче наведена інформація про
досвід різних країн у галузі захисту критичної інфраструктури.
5
Країна практика захисту критичної інфраструктури
США • 16 критичних галузей
• для кожної галузі існує план керування захистом критичної інфраструктури
• головний відповідальний – Department of HomeLand security
• частину інфраструктури захищає Department of Defense
• існує окрема команда реагування на кібер-атаки в галузях критичної інфраструктури ISC-CERT
• 9-го лютого NIST опублікував чернетку стандарта з безпеки АСУ ТП
Британія • існує окремий орган Centre for the Protection of National Infrastructure, підпорядкован національній
службі безпеки
МСЕ (ITU) • Розроблено декілька типових документів для захисту національної критичної інфраструктури
• Фокус група з вивчення Smart grid вважає безпеку ключовим фактором
OECD • 2008р. випущено рекомендації із захисту критичної інфраструктури
• Безпека «інтернету речей повинна бути закладена з самого початку, озвучено на форумі
передбачення технологій 2014р.
EU • 2008р. випущено директиву із захисту критичної інфраструктури
• 2006р. запущено програму щодо захисту критичної інфраструктури
• окремий розділ з безпеки АСУ ТП на сайті Європейського агенства з кібер-безпеки (ENISA)
NATO • 2007р. на річному саміті розгянуто питання необхідності захисту критичної інфраструктури
• 2012р. проект з енергетичної безпеки, в його рамках розглянуто безпеку АСУ ТП
Росія • 2012р. затверджені головні напрямки державної політики у галузі захисту критичних АСУ ТП
• 2014р. затверджені вимоги до захисту АСУ ТП (наказ ФСТЕК)
• проект закону про захист критичної інформаціонної інфраструктури
Unifying the
Global Response
to Cybercrime
Українська практика захисту АСУ ТПВ таблиці нижче наведена інформація нормативне регулювання захисту критичної інфраструктури в Україні
6
Нормативний акт Коментар
РЕКОМЕНДАЦІЇ
парламентських
слухань на тему:
"Законодавче
забезпечення розвитку
інформаційного
суспільства в Україні"
• забезпечити захист від кіберзагроз критично важливих об’єктів національної
інфраструктури, зокрема атомних електростанцій, гідроелектростанцій, трубопроводів
тощо шляхом проведення аудиту інформаційної безпеки і запровадження відповідних
вимог, обов’язкових для підприємств усіх форм власності;
• створити єдиний національний ІТ-депозитарій (резервну копію "бекапу" критично
важливих інформаційних ресурсів для держави);
• адаптувати системи захисту державних інформаційних ресурсів до вимог та стандартів
Європейського Союзу з проведенням тестів на проникнення критично важливих об’єктів
національної інфраструктури;
Проект указу
Президента України
«Про стратегію
забезпечення
кібернетичної безпеки
України»
• (Зі старої редакції)
• об’єкт критичної інформаційної інфраструктури – інформаційна (автоматизована),
телекомунікаційна, інформаційно-телекомунікаційна система органів державної влади,
органів місцевого самоврядування, органів управління Збройних Сил, інших військових
формувань, правоохоронних та інших державних органів, а також підприємств, установ
та організацій незалежно від форм власності на території України чи за її межами (у разі
перебування під юрисдикцією України), порушення сталого функціонування якої матиме
негативний вплив на стан національної безпеки і оборони України
• забезпечити стійкість критичної інформаційної інфраструктури щодо інцидентів і
протиправних дій у кібернетичному просторі;
Законопроект Про
основні засади
забезпечення
кібернетичної безпеки
України
• (Зі старої редакції)
• критична інформаційна інфраструктура – сукупність об’єктів критичної інформаційної
інфраструктури держави;
• Основними напрямами забезпечення кібербезпеки України є: розвиток інформаційної
інфраструктури держави, забезпечення безпечного функціонування об’єктів критичної
інформаційної інфраструктури;
Unifying the
Global Response
to Cybercrime
Українська практика захисту АСУ ТП (продовження)В таблиці нижче наведена інформація нормативне регулювання захисту критичної інфраструктури в Україні
7
Нормативний акт Коментар
Законопроект Про
основні засади
забезпечення
кібернетичної безпеки
України
• (Зі старої редакції)
• забезпечення неухильного дотримання власниками об’єктів критичної інформаційної
інфраструктури вимог законодавства у сфері захисту державних інформаційних
ресурсів, криптографічного та технічного захисту інформації, захисту персональних
даних;
• пріоритетність завдань і зосередження зусиль на забезпеченні кібербезпеки об'єктів
критичної інформаційної інфраструктури;
• Об’єктами кіберзахисту є об’єкти критичної інформаційної інфраструктури та інші
інформаційно-телекомунікаційні системи, в яких здійснюється обробка державних
інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена
законом.
• Об’єкти критичної інформаційної інфраструктури потребують першочергового
(пріоритетного) захисту від кібератак.
• Порядок віднесення об’єктів до критичної інформаційної інфраструктури та перелік цих
об’єктів затверджуються Кабінетом Міністрів України.
• Захист об’єктів критичної інформаційної інфраструктури від кібератак забезпечується
відповідно до вимог законодавства у сфері захисту інформації.
• Міністерство оборони України: бере участь у підготовці об’єктів критичної інформаційної
інфраструктури держави до функціонування в особливий період та в умовах воєнного
стану;
• Державна служба спеціального зв’язку та захисту інформації України:
• розробляє критерії та порядок оцінки стану кіберзахисту об’єктів критичної
інформаційної інфраструктури, забезпечує її організацію та проведення;
• здійснює державний контроль за станом захисту інформації, яка циркулює на об’єктах
критичної інформаційної інфраструктури;
• створює та забезпечує функціонування підрозділу з питань оперативного реагування на
кіберінциденти;
Unifying the
Global Response
to Cybercrime
Українська практика захисту АСУ ТП (продовження)В таблиці нижче наведена інформація нормативне регулювання захисту критичної інфраструктури в Україні
8
Нормативний акт Коментар
Законопроект «Про
основні засади
забезпечення
кібернетичної безпеки
України»
• (Зі старої редакції)
• Внести зміни до таких законодавчих актів України: у Законі України “Про правовий
режим надзвичайного стану” частину першу статті 6 після пункту 4 «доповнити новим
пунктом такого змісту:
Стаття 6. Указ Президента України про введення надзвичайного стану «В Указі Президента
України про введення надзвичайного стану зазначаються: перелік заходів, пов’язаних з
функціонуванням національного сегмента кіберпростору та об'єктів критичної
інформаційної інфраструктури”;
Стаття 18. Додаткові заходи правового режиму надзвичайного стану у зв'язку з масовими
порушеннями громадського порядку
У разі введення надзвичайного стану з підстав додатково можуть здійснюватися такі заходи:
особливі правила функціонування національного сегмента кіберпростору та об'єктів
критичної інформаційної інфраструктури”;
Проект змін до закону
«Про інформацію»
• (ДССЗЗІ не дозволило оприлюднення тексту)
• Коментар: Технологічна інформація в об»єктах критичної інфраструктури буде
захищатися законом. Тобто буде потрібна побудова комплексної системи захисту
інформації (КСЗІ) за вимогами ДССЗЗІ.
Проект постанови
Кабміну про
інвентаризацію об'єктів
критичної
інфраструктури
• (ДССЗЗІ не дозволило оприлюднення тексту)
• Коментар: потрібно на папері направити в ДССЗЗІ перелік критичної технологічної
інформації. Не прописані чіткі критерії визначення критичності технологічної інформації.
Буде повторення досвіду служби захисту персональних даних.
Unifying the
Global Response
to Cybercrime
Українська практика захисту АСУ ТП (продовження)В таблиці нижче наведена інформація нормативне регулювання захисту критичної інфраструктури в Україні
9
Нормативний акт Коментар
Постанова Кабміну.
«ПЛАН
заходів щодо захисту
державних
інформаційних
ресурсів.»
• Адміністрація Держспецзв’язку. Перше півріччя 2015 року. Сформувати перелік об’єктів,
що належать до критичної інформаційної інфраструктури держави, організувати та
провести оцінку стану захищеності державних інформаційних ресурсів зазначених
об’єктів: розробити та подати для затвердження Кабінетові Міністрів України порядок
віднесення об’єктів до критичної інформаційної інфраструктури держави та перелік
таких об’єктів.
• Протягом 2014-2015 років; організувати та провести оцінку стану захищеності державних
інформаційних ресурсів об’єктів, що належать до критичної інформаційної
інфраструктури держави (згідно з процедурою оцінки стану захищеності).
Unifying the
Global Response
to Cybercrime
Захист АСУ ТП. Крок 1. Підвищення освіченості.В переліку нижче наводяться корисні стандарти для захисту критичної інфраструктури:
http://www.isaca.org/chapters2/latvia/events/Documents/Rudens%20konference%202012/04%20-%20Andris%20Laucins%20-
%20SCADA.pdf
http://www.isaca.org/Journal/Past-Issues/2010/Volume-4/Documents/10v4-online-security-of.pdf
http://www.isaca.org/Journal/Past-Issues/2014/Volume-1/Pages/SCADA-Cybersecurity-Framework.aspx
https://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/scada-industrial-control-
systems
http://www.isaca.org/cobit/pages/info-sec.aspx?utm_medium=event-tradeshow&utm_source=insights-brochure-25-june-
2012&utm_campaign=cobit5-for-is&utm_content=cobit
http://www.isaca.org.ua/index.php/homepage/download/category/2-standards?download=1:cobit-4-1-ukr
https://www.owasp.org/images/e/e3/OWASP_Top_10_-_2013_Final_Ukrainian.pdf
http://www.isaca.org/Knowledge-Center/Research/Documents/ITAF-3rd-Edition_fmk_Ukr_1214.pdf
ISO 27001 (є адаптований для НБУ стандарт https://kyianyn.files.wordpress.com/2010/12/nbu-27002.pdf)
ISO 27002 ((є адаптований для НБУ стандарт https://kyianyn.files.wordpress.com/2010/12/nbu-27001.pdf)
ISA 99 resources http://isa99.isa.org
Сертифікація з безпеки для замовників АСУ ТП http://www.isasecure.org/en-US/Certification/SSA-Certification
В жовтні 2014р. в Києві пройшов семінар НАТО в рамках програми «Наука заради миру» з питань захисту об»єктів
критичної інфраструктури від кібер-атак:
https://www.facebook.com/NATOarwSCfCI
10
Unifying the
Global Response
to Cybercrime
Захист АСУ ТП. Крок 1. Підвищення освіченості. ПродовженняЧому не працює захист з використанням ізольованої мережі? Зловмисне ПЗ може потрапити до мережі АСУ ТП за
допомогою:
інфікованих ноутбуків
інфікованих носіїв (флеш, СД)
несанкціоновані модеми
несанкціоновані точки доступу Wi-Fi
заражене обладнання в ланцюгу постачання
заражені оновлення
тимчасово відкритий доступ для інтеграторів
кряки до піратських версій АСУ ТП
11
Unifying the
Global Response
to Cybercrime
Захист АСУ ТП. Крок 2. Створення програми безпеки АСУ ТПНеобхідно створити бізнес-кейс для розробки програми безпеки критичних АСУ ТП (аудиту).
окреслити приблизно кількість критичних АСУ ТП, фізичні площадки та інші межі програми.
окреслити загальні кібер-загрози для АСУ ТП
оцінити труд ємкість робіт з розробки програми безпеки критичних АСУ ТП
залучитись підтримкою керівної особи в організації
створити календарний план робіт
затвердити проведення аудиту та розробки програми безпеки АСУ ТП на правлінні організації
Організаційна структура
наявність відповідального в правлінні установи за кібернетичну безпеку
наявність комітету з інформаційної безпеки
наявність функції внутрішнього аудиту ІТ
Процеси керування
ризиком
доступом
інцидентами
змінами
Політики, процедури, інструкції
інформаційної безпеки
етичної поведінки
обов'язки кожного співробітника щодо захисту інформації
12
Unifying the
Global Response
to Cybercrime
Захист АСУ ТП. Крок 2. Створення програми безпеки АСУ ТПОсвіченість кожного співробітника
постійне навчання
тестування знань
Швидкі та дешеві рішення (quick-wins)
сегментація мережі на зони
мінімізація кількості співробітників з правами адміністратора
безпечні налаштування операційних систем та додатків (hardening)
системи захисту проти експлойтів (EMET)
технічне виявлення вразливостей та тести на проникнення
Засоби колективної безпеки в галузі
галузева команда реагування на інциденти (CERT) та надання їй правового статуса в законодавчому полі України;
лабораторія з безпеки АСУ ТП
галузеві стандарти з ІТ безпеки АСУ ТП
обмін інформацією про кібер-загрози (вірусами, сигнатурами атак)
база файлів АСУ ТП для перевірки їх цілісності
національна база вразливостей
очищення українського Інтернет
раннє попередження загроз від урядів інших країн у кооперації з державними органами
13
Unifying the
Global Response
to Cybercrime
Захист АСУ ТП. Ключові елементи безпекиЗони безпеки є ключовим елементом згідно ідеології ІСА99.
14
Unifying the
Global Response
to Cybercrime
Захист АСУ ТП. ISO 27001Стандарти ІСА99 базуються на ідеології ISO27001.
15
Unifying the
Global Response
to Cybercrime
Захист АСУ ТП. ISO 27001 (продовження)Стандарти ІСА99 базуються на ідеології ISO27001.
16
Unifying the
Global Response
to Cybercrime
Захист АСУ ТП. Cobit 5. Процеси.
17
Unifying the
Global Response
to Cybercrime
Захист АСУ ТП. Cobit 5. Каскад цілей та ключові фактори.
18