23.03.2015

Follow-up конференции IDC IT Security Roadshow

18 марта в Москве прошла конференция IDC IT Security Roadshow, которая совпала по датам с РусКрипто, но это не помешало первой собрать полный зал в "Radisson Славянская" (вторая тоже не пустовала, но об этом в следующей заметке). Мне довелось отвечать за две панельных дискуссии, посвященных целенаправленным атакам и информационной безопасности АСУ ТП. Помимо модерации я также был ответственен и за приглашение участников. Поэтому сразу хотел бы сказать спасибо Илье Борисову, Дмитрию Мананникову, Петру Павлову и Льву Шумскому, а также Олегу Кузьмину, который был одним из спонсоров, но при этом очень органично вписался в секцию по АСУ ТП и практически не занимался рекламой своих услуг, что мне и другим участникам очень импонировало.

Первая тема, по APT, у меня изначально вызывала опасения ввиду ее заезженности. Но большое число спонсоров, которые про нее говорили, все-таки привели меня к мысли, что попробовать стоит. Но в качестве участников приглашать не тех, кто что-то предлагает в этой области, а тех, кто это потребляет, т.е. заказчиков. Причем из разных отраслей - финансы, логистика и инжиниринг нефтехимических и химических производств. И вот тут собственно и началась нормальная дискуссия, в результате которой выяснилось вот что:

  • Мало кто до конца понимает, что такое APT. Это разработанный под конкретного заказчика вредоносный код (с этим никто не сталкивался)? Это код, разработанный под конкретное приложение или платформу (у банков такое бывает)? Это направленный на конкретную организацию фишинговый спам (такие примеры были)? Или это вообще "банальный" социальный инжиниринг? В зависимости от ответа на основной вопрос и ответ о столкновении с APT мог быть разным.
  • Все потребители сходятся во мнении, что продавцы антиAPT-решений впаривают свои продукты, а многие интеграторы и рады их втюхать. По сути тема APT сегодня, это как DLP, SIEM, SDLC в прежние годы. Фетиш, за которым не всегда есть что-то реальное. В следующем году будет еще что-нибудь.
  • Никто не помогает выстроить процессы ИБ на предприятии. Аутсорсинг борьбы с APT тоже никто не предлагает. Приходится делать все самостоятельно. В этом вопросе участники тоже разделились во мнении, хотя и не сильно, - от "хотели бы передать, но не нашли адекватных предложений" до "в России отсутствуют компании, способные оказывать услуги по аутсорсингу ИБ". 
  • Многие заказчики слишком сильно уповают на технические решения, забывая или просто не занимаясь процессами и работой с людьми. Из классических 3-х "P" (product, process, people) упор делается только на первую. При этом работа с людьми (обучение и повышение осведомленности) могла бы снять львиную долю проблем с APT.
  • На вопрос о том, какие решения используют участники дискуссии, ответы разнились от "никаких специальных не применяем" до "тестировали разные, отечественные и зарубежные, финально пока не решили".
  • Доверенных контрагентов и партнеров, а также поставщиков ИТ-решений в качестве потенциальных источников для APT никто не рассматривает. Вообще геополитику никто из участников (что понятно, видя представленные ими отрасли и компании) всерьез не рассматривает в контексте ИБ.

Вторая панельная дискуссия оказалась более жаркой. Тон ей задал Олег Кузьмин, который осветил основные проблемы в области ИБ АСУ ТП. Ну и посколько Олег "отдувался" за интеграторов, то его посыл был в целом понятен - надо заниматься темой ИБ АСУ ТП (как на уровне техники, процессов, так и на уровне законодательства), пока не бабахнуло. А вот дальше коллеги, реально занимающиеся проектированием и эксплуатацией индустриальных систем в нефтехимической и пищевой промышленностях высказали ярое сопротивление вмешательству агрессивной ИБ в свою сферу деятельности. Разумеется, они не были против ИБ как таковой, но вполне обоснованно показали, что:

  1. ИБ в АСУ ТП сейчас играет совсем не первую скрипку и в первую очередь надо разбираться с человеческим фактором и плохим программированием АСУ ТП, а не целевыми атаками на них.
  2. Многие интеграторы и поставщики услуг излишне нагнетают ситуацию вокруг ИБ АСУ ТП, продавая "страх", а не решение реальных и более насущных проблем. Взлом через токовую петлю - это конечно круто, но включенный дымоуловитель при отключенных задвижках, забирающих воздух с улицы, в реальной ситуации привел к схлопыванию здания (к счастью никто не пострадал).
  3. Ущерб от аммиачных паров, которые при неудачной розе ветров могут накрыть город (а холодильники на пищевом производстве обычно располагаются в черте города) может быть очень серьезным, а реализовать его можно и без атак на АСУ ТП, тупо открутив вентиль, который находится где-нибудь за пределами контролируемой зоны. Т.е. обычная физическая безопасность может оказаться гораздо более важной составляющей системы безопасности индустриального предприятия, чем всяческие однонаправленные МСЭ и пентесты, выводящие из строя промышленные контроллеры.
  4. Многие интеграторы лезут на промышленные объекты, совершенно не понимая их специфики и не будучи готовыми брать на себя ответственность, как это делают проектировщики, сдающие объекты Ростехнадзору. Т.е. запугать готовы все. Что-то втюхать готовы все. А вот после внесения изменения в проект АСУ ТП нести его в Ростехнадзор для повторного согласования или нести ответственность за сбои в результате "работы" предложенной системы защиты, не готов никто. Это и смущает многих потребителей с той стороны - они видят пока пустобрехов, торгующих страхом, не готовых отвечать за свои слова и дела.
  5. 31-й приказ - это реально хороший пример, когда регулятор не полез "немытыми руками" копошиться в незнакомом для себя "теле", а все взвесил и продумал, пригласив попутно еще и специалистов отрасли. Поэтому специалисты положительно оценили 31-й приказ ФСТЭК по защите АСУ ТП.
  6. Геополитические угрозы реально мало кто рассматривает. И в контексте всяческих Stuxnet'ов (есть более простые способы нанесения ущерба), и в контексте поставки оборудования и софта с закладками (опять же - все можно сделать проще), и в контексте удаленного доступа к АСУ ТП из-за пределов РФ. Кстати, все понимают риски последнего, но АСУТПшникам это удобно (а значит и бизнесу) и поэтому удаленный доступ имеет место на многих объектах в России (где-то защищенный, где-то уязвимый).
  7. С реальными инцидентами ИБ пока в России мало кто сталкивался. Гораздо чаще проблемы происходят по иным причинам. 
  8. Многие говорили о неразберихе в терминологии (КВО, опасный объект, потенциально опасный объект и т.п.), об отсутствии единого координатора вопросов ИБ индустриальных объектов и об отсутствии связки ИБ с промышленной безопасностью. Все то приводит к нестыковкам в законодательствам, в требованиях регуляторов и т.п.

Тема АСУ ТП получила и серьезное продолжение, начавшееся со статьи Валерия Васильева в PCWeek/RU. После нее в Facebook, в закрытой группе по безопасности АСУ ТП началась большая перепалка торговцев страхом с теми, кто реально работает на промышленных объектах или проектирует их. Свыше 150 комментариев... Это показывает тот интерес к теме, которая сейчас активно обсуждается и вполне может стать хитом 2015-го года (особенно если в первой половине года примут законопроект о безопасности КИИ).

Вот такой краткий обзор прошедшей IDC IT Security Roadshow в Москве. Организация была, как всегда, на высоте - регистрация, место проведения, кофе-брейки, питание... На других докладах, кроме Cisco, не был - сказать ничего о них не могу. Но модерируемые мной панельные дискуссии мне понравились. Не было набивших оскомину рекламных докладов. Не было согласных со всем и сразу. Была практика, была дискуссия, были советы вендорам и интеграторам от потребителей, были вопросы из зала... Все то, что отличает хорошее мероприятие от скучных заседаний, на которых "надо присутствовать". Число участников, оставшихся до самого конца (хотя тема АСУ ТП, которая и была последней, не всем была актуальна) показывает, что эти две панельные дискуссии удались.

ЗЫ. Материалы с конференции уже выложены (доступ только участникам).

ЗЗЫ. Очень интересную фишку придумали организаторы - на экране высвечивался номер для отправки SMS и сообщений WhatsApp, а модератору выдавали планшет, на который и приходили все вопросы. Очень удобная вещь оказалась (что не отменяет наличие микрофона в зале) для тех, кто не хочет светиться или боится спрашивать "глупости". Организаторам советую взять на вооружение.

ЗЗЗЫ. Сам себя не похвалишь - никто не похвалит :-)

2 коммент.:

Сергей Борисов комментирует...

Отличная попытка критики вендоров и интеграторов залезающих в тему ИБ АСУТП. Правда Cisco одна из первых продвигает тему SCADA Security ....

Алексей Лукацкий комментирует...

А мы в договорах ответственность серьезную прописываем. С гарантиями