Защищенность систем АСУ ТП и SCADA после массового распространения червя Stuxnet стали любимой страшилкой журналистов и страшным сном для всех, кто связан с промышленностью и национальной безопасностью. Насколько защищены системы АСУ ТП в России и в мире? Защита АСУ ТП - дань моде или насущная необходимость? Насколько тяжело найти уязвимость в SCADA? Какие векторы атак для этих систем наиболее опасны? Регулирование в области безопасности АСУ ТП - миф или реальность?
Positive Hack Days. Гарбук. Стандартизация в области обеспечения информационной безопасности АСУ ТП.Реалии и российские перспективы
1. Стандартизация в области обеспечения информационной безопасности АСУ ТП.Реалии и российские перспективы Научно-технический центр «Станкоинформзащита» Доклад на Positive Hack Days 2011
2. Хроника некоторых инцидентов информационной безопасности АСУ ТП 1998:перехват контроля над центром управления системой трубопроводов ОАО «Газпром» 2000: доступ к системе управления станцией очистки сточных вод в г. Маручи-Шир(Австралия). В окружающую среду было вылито несколько миллионов литров неочищенных стоков 2002: проникновение хакеров в информационную сеть индийского ядерного исследовательского центра BARC, приведшее к отключению защитных систем объекта 2003:в железнодорожной компании CSX Transportation (США) червь поразил сеть управления, вследствие чего все поезда были остановлены на полдня 2003: заражение червём Slammer АСУ ТП энергетической станции Davis-Besse, вызвавшее сбои в её работе (США, Огайо) 2004:червь Sasser заразил систему сигнализации и управления австралийской железнодорожной компании RailCorp. 300 000 пассажиров в Сиднее и пригородах на сутки лишились возможности добраться до места назначения 2005:остановка сборочной линии на заводе Diamler-Chrysler в результате внедрения червя Zotob 2008: атака в отношении системы УВД, в результате которой было нарушено воздушное сообщение на юге Великобритании, включая аэропорты Лондона 2009: сбои АСУ железнодорожным транспортом, приведшие к приостановлению железнодорожного сообщения на всей территории Израиля 2010: заявления компании Siemens об угрозах АСУ ТП собственного производства, связанных с появлением нового компьютерного червя Stuxnet
3. БД по инцидентам информационной безопасности АСУ ТП Группы реагирования на инциденты информационной безопасности (ComputerEmergencyResponseTeam, CERT и CollaborationSecurityIncidentResponseTeam, CSIRT, www.cert.org) , включая российский центр (RU-CERT, www.cert.ru) Форум групп информационной безопасности и реагирования на инциденты (ForumofIncidentResponseandSecurityTeams, FIRST, www.first.org) Национальный институт стандартов и технологий США (National Vulnerability Database of National Institute of Standard and Technology, http://nvd.nist.gov) Центр хранения данных по инцидентам промышленной безопасности (The Repository of Industrial Security Incidents, RISI, securityincidents.org) Центр информационной безопасности Интернет (CenterforInternetSecurity, CIS, www.cisecurity.org) Центр защиты национальных инфраструктур (Centre for the Protection of National Infrastructure, CPNI, www.cpni.gov.uk) БД компании Novell (support.novell.com/security/oval/),RedHat (www.redhat.com/security/data/oval/), другие организации
4. Классификация информационных атак наАСУ ТП по способам реализации и последствиям Доступность Целостность Конфиденциальность DoSатаки на WEB-сервисы АСУ ТП Внедрение в АСУ ТП вредоносного программного кода НСД к сервисам и ресурсам АСУ ТП Программное обеспечение АСУ ТП Управляющаяинформация Данные о состоянии управляемого объекта (ТЛМИ) Доступность Конфиденциальность
5. Стандарты корпорации MITRE (США) на форматы описания уязвимостей, способов реализации атак и результатов экспертизы АСУ ТП Правила присвоения имен и идентификации информационных систем и платформ АСУ ТП (CommonPlatformEnumeration, CPE, cpe.mitre.org) Правила уникальной идентификации конфигурации информационных систем (CommonConfigurationEnumeration, CCE, cce.mitre.org) Язык описания уязвимостей и конфигурации информационных систем (OpenVulnerabilityandAssesmentLanguage, OVAL, oval.mitre.org) Типы уязвимостей программного обеспечения (CommonWeaknessEnumeration, CWE, cwe.mitre.org) Правила присвоения имен уязвимостям информационной безопасности и воздействиям (CommonVulnerabilitiesandExposures, CVE,cve.mitre.org) Правила именования и классификации векторов атак, учитывающие особенности обеспечения информационной безопасности на различных этапах жизненного цикла ПО (CommonAttackPatternEnumerationandClassification, CAPEC, capec.mitre.org) Язык описания, журналирования и обмена сведениями о событиях в информационных системах (CommonEventExpression, CEE, mitre.cee.org) Язык достоверного описания характеристик вредоносного ПО, основанный на атрибутах, учитывающих поведенческие признаки, особенности реализации ПО и вектора атак (MalwareAttributeEnumerationandCharacterization, MAEC, maec.mitre.org)
6. Формализованные описания уязвимостей АСУ ТП в перечне ICS-CERT (Industrial Control Systems Cyber Emergency Response Team), НТЦ «Станкоинформзащита» [STANKOINFORMZASCHITA-10-01] Netbiter® webSCADA – множественные уязвимости [STANKOINFORMZASCHITA-10-02] ITS SCADA – Обход авторизации [STANKOINFORMZASCHITA-10-03] Broadwin SCADA – Blind SQL-injection [STANKOINFORMZASCHITA-10-04] ICSCADA (Outlaw Automation) – Blind SQL-injection [STANKOINFORMZASCHITA-10-05] InduSoft Web Studio v7.0 – CET Web Server Directory traversal
8. Основные инициативы в области обеспечения информационной безопасности АСУ ТП IEC, Международная электротехническая комиссия, МЭК IEEE, Институт инженеров по электротехнике и электронике ANSI/ISA, Общество приборостроения, системотехники и автоматизации NIST, Национальный институт стандартов и технологий США IAONA, Альянс промышленной автоматизации на основе открытых сетей PCSF, Форум по АСУ ТП NERC, Североамериканский орган саморегламентирования для электроэнергетических компаний FERC, Федеральная комиссия по регулированию в сфере энергетики CIGRE, Международный совет по крупным электроэнергетическим системам CIDX, Организация по вопросам информационного обмена в химической промышленности API, Американский институт нефти AGA, Американская ассоциация предприятий газовой промышленности Газпром
9. IEC, International Electrotechnical Commission, Международная электротехническая комиссия ТК-65 «Industrial-Process Measurement and Control»ПК-65С «Digital Communications»РГ-13 «Cyber Security» IEC 61784-4«Digital data communications for measurement and control. Profiles for secure communications in industrial networks» IEC 62443 «Security for industrial process measurement and control – Network and system security». IEC 62210– «Data and Communication Security» IEC 62351 – «Data and Communication Security»
10. Стандарты IEC в электроэнергетике(по материалам компании КРОК)
11. IEEE, Institute of Electrical and Electronic Engineers, Институт инженеров по электротехнике и электронике IEEE 1402 «IEEE Guide for Electric Power Substation Physical and Electronic Security», 2000
12. Комитет ISA SP99 «Защита технологических систем и систем управления» ISA-TR99.00.01-2004 «SecurityTechnologiesforManufacturingandControlSystems» ISA-TR99.00.02-2004 «IntegratingElectronicSecurityintotheManufacturingandControlSystemsEnvironment» СтандартSP99 «ManufacturingandControlSystemSecurityStandard» Стандарт ISA100«Wireless standard for industrial automation»
13. Комитет ISA SP99 «Защита технологических систем и систем управления». Стандарт SP99 ISA 99.00.01 «Security for Industrial Automation and Control Systems: Concepts, Models and Terminology»;ISA 99.00.02 «Establishing an Industrial Automation and Control Systems Security Program»;ISA 99.00.03 «Operating an Industrial Automation and Control Systems Security Program»;ISA 99.00.04 «Specific Security Requirements for Industrial Automation and Control Systems».
14. NIST, National Institute of Standards and Technology, Национальный институт стандартов и технологий США SP800-53 «Recommended Security Controls for Federal Information Systems», 2005 SP800-82 «Guide to Industrial Control Systems (ICS) Security», 2008, окончательная редакция SP 800-30 «Risk Management Guide for Information Technology System»
15. PCSRF«Форум по вопросам безопасности систем АСУ ТП» NIST SPP-ICS:Security Capabilities Profile for Industrial Control Systems – «Специальный профиль безопасности для промышленных систем управления»
16. IAONA, Альянс промышленной автоматизации на основе открытых сетей, завершил работу в 2007 Формуляр безопасности, разработанный Совместной технической группой по безопасности (JTWG-SE) IAONA, предназначенный для использования в качестве шаблона поставщиками систем и приборов автоматизации при документировании функций связи и обеспечения безопасности, а также особых требований, связанных с их продукцией
17. NERC, Североамериканский орган саморегламен-тированиядля электроэнергетических компаний NERC 1200 – «Urgent Action Standard 1200 – Cyber Security» NERC 1300 – «Cyber Security» NERC Security Guidelines– «Security Guidelines for the Electricity Sector»
18. FERC, Федеральная комиссия по регулированию вопросов в сфере энергетики FERC SSEMP - “Security Standards for Electric Market Participants”, 2002
19. CIGRE, Международный совет по крупным электроэнергетическим системам Работа над вопросами информационной безопасности в ряде рабочих групп
20. CIDX, Организация по вопросам информационного обмена в химической промышленности Guidance for Addressing Cyber Security in the Chemical Sector, 2009 Vulnerability Assessment Methodology (VAM) Guidance
21. API, AmericanPetroleumInstitute, Американский институт нефти API STD 1164 «Pipeline SCADA Security», 2004 API «Security Guidance for the Petroleum Industry» API «Security Vulnerability Assessment Methodology for the Petroleum andPetrochemicalIndustries»
22. AGA, American Gas Association, Американская ассоциация организаций газовой промышленности AGA-12. “Cryptographic Protection of SCADA Communications General Recommendations” AGA 12-1: «Cryptographic Protection of SCADA Communications. Background, Policies & TestPlan» AGA 12-2: « Cryptographic Protection of SCADA Communications: Retrofit link encryption for asynchronous serial communications of SCADA systems» AGA 12-3: « Cryptographic Protection of SCADA Communications: Protection of IP-based, networked SCADA systems» AGA 12-4: « Cryptographic Protection of SCADA Communications: Protection embedded in SCADA components» Security Practices Guidelines Natural Gas Industry Transmission and Distribution, 2008
23. Газпром Р Газпром 4.2-0-003.Типовая политика информационной безопасности автоматизированных систем управления технологическими процессами СТО Газпром 4.2-2-002.Система обеспечения информационной безопасности ОАО «Газпром». Требования к автоматизированным системам управления технологическими процессами
24. Некоторые лучшие практики обеспечения ИБ АСУ ТП 2001. GAMP 4, Good Automated Manufacturing Practice (GAMP).Guide for Validation of Automated Systems 2005. Good Practice GuideonFirewall Deploymentfor SCADA and Process Control Networks (NISCC, Великобритания) 2005. Good Practice Guide Process Control and SCADA Security (NISCC, Великобритания) 2008. Best Practice Guide on Firewall Deployment for SCADA and Process Control Networks(CPNI, Великобритания) 2008. Recommended Practice:Creating Cyber Forensics Plans for Control Systems(DHS, США)
25. ESCORTS. Security of Control and Real Time Systems. Таксономия решений безопасности в области SCADA, 2010 АрхитектураSCADA Сети управления Сетевые процессы Протоколы SCADA Уязвимости SCADA Уязвимости архитектур Уязвимости политик ИБ Уязвимости ПО Уязвимости протоколов передачи данных Сценарии информационных атак Атаки, ориентированные на уязвимости протоколов SCADA Атаки, ориентированные на сетевые процессы Атаки на сети информационного обмена Способы обеспечения информационной безопасности Мероприятия, связанные с протоколами передачи данных Мероприятия, связанные с фильтрацией и мониторингом Лучшие практики в области архитектурных решений Организационные меры
27. Организационные и процессные последствия. Последствия кибератак на АСУ ТП Особенности обеспечения информационной безопасности Конструктивно-технологические особенности объекта управления и его экономическая и оборонная значимость
28. Особенности АСУ ТП как объекта обеспечения информационной безопасности использование устаревших протоколов организационные сложности с обновлением ПО низкая унифицированность ПО и протоколов, организационная и ведомственная разобщенность географическая распределенность АСУ ТП и объектов управления
29. Особенности, связанные с необходимостью обеспечения режима реального времени Организационные и процессные Архитектурные ПО Протоколы Реальный масштаб времени
30. Специфические технологии защиты информации в АСУ ТП межсетевые экраны (МЭ), рассчитанные на специфические протоколы SCADA распределенные микро-МЭ технология гарантированного качества обслуживания (Quality of Service, QoS), рассчитанная на приоритетную передачу трафика реального времени, чувствительного к временным задержкам(IEEE 802.1q и др. протоколы) однонаправленные проводники (например, на базе оптронов), IEEE Std 7-4.3.226, "IEEE Standard for Digital Computers in Safety Systems ofNuclear Power Generating Stations"
31. Автоматизированные системы реального времени (АС РВ) Автоматизированные системы управления технологическими процессами на базе распределенных систем управления (DCS) и систем управления и диспетчеризации (SCADA) Большинство встроенных (Embedded) систем Системы управления оружием Медицинское оборудование реального времени, в том числе, средства жизнеобеспечения человека Системы управления транспортными средствами, в том числе, средства местоопределения, ближней навигации и мониторинга окружающей среды, системы опознавания «свой-чужой» и др.
32. Оценка соответствия технологий обеспечения информационной безопасности в АС РВ Требования к среднему значению и центральным моментам длительности обработки информации Общие механизмы обеспечения ИБ Модель угроз Специальные механизмы обеспечения ИБ Требования по предельно допустимым рискам
33. Отечественные стандарты в области АС РВ. Предложения ГОСТ Р. Информационная технология. Обеспечение информационной безопасности АС РВ. Термины и определения. ГОСТ Р. ... Основные положения. ГОСТ Р. ... Управление и контроль информационной безопасности на объектах с автоматизированными системами реального времени. ГОСТ Р. ... Требования к средствам защиты информации.
34. Спасибо за внимание! Гарбук Сергей Владимирович Научно-технический центр «Станкоинформзащита» www.ntcsiz.ru (495) 790-16-60 (917) 520-68-30