Кибербезопасность критической инфраструктуры

Многие специалисты по промышленной кибербезопасности ошибочно полагают, что они могут чувствовать себя в безопасности. Но Антон Шипулин (менеджер по развитию безопасности критической инфраструктуры) из Лаборатории Касперского, безжалостно развенчивает этот миф. В деле промышленной безопасности не обойтись без комбинации пассивной защиты, активной защиты и проактивной защиты. Практически любые системы АСУ ТП (автоматизированные системы управления технологическими процессами), имеющие выход во внешнюю сеть могут быть подвержены киберрискам. Не спасает даже резервирование, так как атака может осуществляться в том числе и на устройства, ответственные за резервирование.

Само собой, как в качестве вариантов защиты рассматриваются сетевое экранирование, сегментирование, вынесение инженерных устройств в отдельные сети и так далее. К сожалению полная изоляция на практике почти не возможна. Таким образом наличие киберуязвимости в одном сегменте, все равно может позволить получить контроль не только над данным сегментом, но и над соседними. Но теоретическая возможность не так страшна как практические примеры. Буквально в декабре 2017 года был зафиксирован крупный инцидент с оборудованием компании Schneider Electric (из за которого, компания Транснефть отказалась использовать оборудование данной компании). Обращаем ваше внимание, что продукция Schneider Electric была сертифицирована специальной комиссией для работы на атомных реакторах США! А США занимают одну из лидирующих позиций в мире по уровню противодействия киберрискам и развитию кибербезопасности.

Вы видите, что защититься от подобных угроз достаточно сложно. Сигнатуры вирусов неизвестны, они используют уязвимости нулевого дня и так далее. В данном случае могла бы сработать защита по формату WhiteList (предварительно заданные метрики по которым разрешается работать). Если вредоносная программа пытается использовать какие-либо уязвимости, протокол работы по WhiteList может позволить выявить нестандартный паттерн поведения и заблокировать атаку, а в случае неудачи — привлечь внимание к проблеме, используя механизмы уведомления о киберинцидентах.

Читайте также  Что такое DLP?