29 января, 2016

Таблетка для завода.

Ура! Мы выпустили KICS (Kaspersky Industrial CyberSecurity) – специальную «таблетку» от кибер-неприятностей для заводов, электростанций, больниц, аэропортов, отелей, складов, вашей любимой пекарни и тысяч других видов предприятий, использующих компьютерные системы управления. А поскольку редкое современное предприятие обходится без таких систем, то, да, мы выпустили решение для миллионов больших, средних и малых производственных и сервисных бизнесов по всему миру!

Что такое KICS? Зачем это нужно? И для чего конкретно?

До начала 2000-х возможность кибер-атак на промышленные объекты была источником вдохновения для научных фантастов. А 14 августа 2003г. на востоке США и Канады неожиданно случилось вот такое:

kics-launch-1

Из-за неких неполадок в электросети 50 миллионов человек остались без электричества на срок от нескольких часов до нескольких дней. Обсуждалось много причин этой техногенной катастрофы, в том числе нестриженные деревья, удар молнии, злонамеренные белки и … версия побочного эффекта от атаки компьютерного червя Slammer (Blaster).

Насколько я понимаю, там было совмещение всех этих факторов. Т.е. случилась нештатная ситуация (ёлки-белки) и одновременно червяк порушил систему оповещения. ЧП местного масштаба, которое не смогло быть отработано на центральном уровне, из-за чего ситуация веерно накрыла весь регион.

Наверняка подобные инциденты случались и до этого, ведь компьютеры вошли в практику управления производствами уже давно, да и компьютерные сети родились не вчера. Но инциденты эти либо умалчивались, либо навешивались на некие другие причины. Впрочем, важно другое – с тех пор новости про кибер-атаки на промышленные объекты посыпались одна за другой и чем дальше, тем больше. А атака Stuxnet против иранской ядерной программы в 2010г. показала, что у проблемы есть ещё и военный аспект.

kics-launch-2

Вывод: промышленные объекты также уязвимы перед кибер-атаками, причём последствия игнорирования этого факта могут быть ой какими неприятными, иногда даже катастрофическими.

Понятно, что защищать надо, но как?

Обычные endpoint-решения могут прикрыть только часть инфраструктуры предприятия – то, что принято называть корпоративной сетью. Защита производственных процессов (индустриальная сеть) требует совершенно другого подхода. Здесь вообще всё другое – объекты защиты (PLC, SCADA, HMI…), окружение, а главное – задачи и их реализация.

В отличие от обычной офисной IT-инфраструктуры здесь важно обеспечить непрерывность производственного процесса. То есть классический принцип «конфиденциальность, целостность, доступность» в порядке приоритетности звучит как «доступность, целостность, конфиденциальность». Поэтому мы и сделали KICS.

kics-launch-3

Что хочу отметить особенно: это не продукт, а проектное решение.

Простой установкой софта не защитить индустриальную сеть – нужно проанализировать внутренние процессы, технологии и оборудование, разработать модель угроз и стратегию защиты, адаптировать софт под специфические требования сети, обучить специалистов и много всего другого, чтобы обеспечить ту самую непрерывность. Мы внимательно изучили все эти требования, много консультировались с заказчиками, смотрели на мировой опыт и у нас уже есть два успешных внедрения в нефтяной и логистической компаниях.

Самое любопытное – это первые результаты внедрений.

К сожалению, мы (по понятным причинам) не можем рассказать обо всех находках – только в общих чертах, чтобы представить масштабы и градус открытий. В течение нескольких дней после начала работы KICS один заказчик выявил сразу несколько серьёзных нарушений, в том числе несанкционированное подключение ноутбука одним из сотрудников (опс!). Можно себе представить сколько «открытий чудных» приносит KICS каждую неделю и какие неприятности он помогает предотвратить.

В некоторой степени индустриальные сети даже менее защищены, чем обычные корпоративные IT-инфраструктуры.

Бытует мнение, что на промышленных объектах главное правило — «работает – не трогай». Конечно, не повсеместно, но такое правило действительно есть и оно, увы, превалирует. Т.е. если есть налаженный производственный цикл, то пусть он крутится хоть на ни разу не обновлённом софте 20-летней давности. Пусть объект «торчит» в Интернет. Пусть всё что угодно, главное НЕ ТРОГАТЬ. Потому что слишком радивый сотрудник, решивший озаботиться безопасностью будет немедленно уволен с волчьим билетом, если установленный патч хоть на минуту остановит процесс. И это вполне логично!

Но обречённо ждать неприятностей в угоду непрерывности тоже не выход! («пока гром не грянет — мужик не перекрестится»).

В конце прошлого года мы провели открытое кибер-соревнование для изучения векторов атак против критической инфраструктуры на примере стенда реальной электрической подстанции, построенной по современным технологиям и в соответствии со стандартом IEC61850.

kics-launch-4

И что бы вы думали? На подстанции устроили короткое замыкание взломом уже через 3 часа, причём сразу двумя способами! Всего за 2 дня стенд «ломанули» 26 раз (несколько раз был даже остановлен технологический процесс), «ломанули» абсолютно все устройства и даже нашли зеродей уязвимость. Но самое важное в этом испытании, что все атаки были отловлены KICS – т.е. в реальной сети наше решение сможет предотвратить нападение, причём следать это без остановки производства!

Прочитать комментарии 0
Оставить заметку
Facebook

19 апреля, 2024

Потоп кибериммунитету не помеха.

Всем привет из Дубая! Здесь у нас знаковое мероприятие — первая международная конференция по кибериммунитету. Но этот рассказ мы отложим до следующего раза. А пока что, так сказать, добро пожаловать в Объединённые Арабские Эмираты! Почему «так сказать»? Потому что фотка выше сделана через два дня после катастрофического потопа, заполнившего заголовки и ленты всех СМИ и соцсетей […]

18 апреля, 2024

Еду-пою по пути в Усть-Неру.

Планирование дальнейших рассказов об автопутешествии Якутск-Тикси-Якутск оказалось нетривиальной задачей. Ведь нужно же отметиться по всем сегментам наших передвижений, про дороги и зимники, про обычные и особые моменты пребывания, про где мы жили и как всё это было, а также про всё-всё-остальное, включая, например, цены на топливо, которым мы кормили наши автомашинки. Глядя на предыдущий абзац моих рассказов… Так и тянет […]

17 апреля, 2024

Танки Арктики не боятся.

По следам экспедиции Якутск-Тикси-Якутск мне задают много вопросов о наших средствах передвижения, очевидно отметившихся на фотках прозвучавших рассказов. Как говорится, «хороший вопрос»! Сразу замечу, что машинки и маршрут следования путешествия мы выбирали не самостоятельно. Как, куда и на чём ехать: это нам предложили — без лишней скромности заявляю — лучшие эксперты по арктическому автотранспорту. Это Александр Еликов и Евгений Шаталов. […]

16 апреля, 2024

А вы были в Хандыге?

Продолжаю рассказы об автопутешествии Якутск-Тикси-Якутск. Разогревочные темы зимников, наледей и трассы Р-504 «Колыма» рассказаны и закрыты. Пора уже за руль — и в дорогу! Начало наших последующих приключений — в Якутске, — а потом почти тысяча километров по «Колыме», затем в планах свернуть на север — и по зимникам добраться аж до Тикси. Что есть нетривиальная задачка, даже в условиях полной […]

15 апреля, 2024

Р504 — Полторы тысячи км адской красоты. Но зимой. И холодно.

Дороги бывают разные. Прямые и не очень, ровные и наоборот, скоростные и неторопливые, обычные и красивые. Вернее, так: обычные, симпатичные, красивые и мозговзрывательные. Красивых дорог много — часто в горах, вдоль морей и океанов. А особо красиво, если дорога идёт в горах и одновременно вдоль побережья — сразу достигается двойной эффект. Кстати, недавно катался по […]

11 апреля, 2024

Теория большого ледового взрыва или наледи, сэр!

Наш друг — Крайний Север. Зимой, даже в марте (а тут март — это зима). Так вот, в эти времена здесь царство вечного снега и льда, лютого мороза и бескрайних белых просторов. Но — не поверите! — здесь тоже есть место для водных развлечений. Как так и почему? Откуда здесь вода? Она же вся в […]

Еще

Блог о путешествиях