24.9.15

Всегда ли надо бороться с инцидентом ИБ?

Так удачно сложилось, что сегодня у меня на курсе по промышленной ИБ как раз идет тема по реагированию на инциденты, где инструктор рассказывает в чем отличие между этим процессом в обычной ИБ и в промышленной. Ну и по ходу приводит различные кейсы и примеры из жизни. Если коротко, то его идея заключается в следующем - в отличие от "обычного" корпоративного ИТ-мира, в промышленных системах надо в первую очередь оценивать воздействие инцидента на технологический процесс. Есть он? Значит с инцидентом надо бороться до конца. Нет его? Ну и фиг с этим инцидентом. Разумеется, это не значит, что про инцидент надо забыть, просто ему не надо уделять столько внимания, просто контролируя ситуацию и отслеживая статус - не начнет ли инцидент в какой-то момент влиять на технологический процесс. 

Вот, например, возьмем какую-нибудь газовую компанию "имярек". Известно, что на ее объектах "сидит" Stuxnet. Но он ничего не делает, на процессы не влияет, информацию о них не собирает, ни с кем не взаимодействует. Надо ли срочно останавливать процесс добычи и транспортировки газа или можно повременить, вычистив системы от Stuxnet в процессе планового обновления системы или иных регламентных работ? Если воздействия нет, то и спешить не надо. Останов системы обойдется гораздо дороже.

И вот сегодня же произошло другое событие; даже можно сказать инцидент. Взломали сайт конференции "Код информационной безопасности", которая сегодня проходит в Челябинске. Разместили на сайте вот такую картинку и надпись:



Возникает вопрос - надо ли срочно что-то делать организаторам?  В данном случае, как минимум, надо понять, а к чему это приведет? Отменится мероприятие? Врядли? Участники откажутся от прихода? Ну так мероприятие уже идет. Участники не придут на следующие мероприятия (а их еще 6 должно быть)? Тоже врядли - они выбирают исходя из качества докладов, а не качества сайта. Спонсоры отвернутся? Тоже маловероятно. Скорее даже наоборот. Взлом сайта - это пусть и не самый лучший, но PR. Кто помнит, пару лет назад уже была схожая ситуация. Сайт Уральского форума по банковской ИБ был взломан. Так вот после этого был всплеск посещаемости и самого сайта и смежных ресурсов организаторов. Полезно? Безусловно.

А что там с репутацией? Ведь она может пострадать. Отчасти да. Но взлом организатора обычных мероприятий и взлом ИБ-компании - это две большие разницы. Для второй такой инцидент несет гораздо больше негативных последствий, чем для первой. Для того, кто создавал и поддерживал сайт такая "слава" тоже не нужна. А вот организаторам рисков почти никаких. Хотя само событие, безусловно, неприятно.

Поэтому рвать на себе волосы и срочно закрывать сайт-визитку и пытаться все вернуть в предатакованное состояние не стоит. Это как раз и приведет к негативным последствиям - участники не узнают о новостях ближайших мероприятий и организаторы/спонсоры потеряют свою аудиторию. Надо спокойно все проанализировать, понять причины взлома, устранить их и после этого вернуть сайт в рабочее состояние.

Но... Из этого события можно сделать замечательный ход, например, рассказав на следующем мероприятии, в Самаре, рассказ о том, как ломали, как расследовали, как восстанавливали и какие уроки извлекли. Такие презентации на "живых" примерах просто отлично воспринимаются аудиторией. И не самое приятное событие оборачиваются кучей плюсов.

ЗЫ. И вообще, как отмечают коллеги, сайт любой ИБ-компании должен быть хотя бы один раз взломан :-) Это полезный опыт, который позволяет перейти от общих и красивых слов о важности ИБ к реальному опыту, которым потом и поделиться не стыдно (если не стыдно).


5 коммент.:

malotavr комментирует...

> Вот, например, возьмем какую-нибудь газовую компанию "имярек". Известно, что на ее объектах "сидит" Stuxnet. Но он ничего не делает, на процессы не влияет, информацию о них не собирает, ни с кем не взаимодействует.

Или пример плохой, или инструктор, или ты свою мысль неточно сформулировал. Если известно, что на объектах сидит Stuxnet, то в последнее предложение цитаты перед каждым глаголом нужно добавить слово "пока". Stuxnet как-то на объект попал, а значит точно так же на объект может попасть обновление к нему. Даже если ты перекрыл известные тебе каналы заражения, всегда есть некоторая вероятность, что ты ошибся. Если ты будешь просто "контролировать обстановку и отслеживать ситуацию", то эта самая ситуация может ойти вразнос внезапно и в считанные минуты. И если "в обычной ИБ" все может закончиться малодоказуемыми репутационными потерями, то в случае ЧП, не дай бог, с человеческими жертвами, то ты рискуешь стать фигурантом уголовного дела о преступной халатности, ибо "знал, но самонадеянно не предпринял необзходимые меры".

Понимаю, что имелось в виду "не надо наводить стерильную чистоту, нужно надежно локализовать проблему, а полностью решать ее потом, когда будет возможность", но на практике это "надежно локализовать" может быть в разы затратнее, чем "остановить и почистить".

Алексей Лукацкий комментирует...

Фигасе. Ты в Интернет вылез :-) Насчет "плохого" примера. Он как раз вполне себе хороший. Стоимость останова трубы для чистки от Стакснета составит несколько сотен миллионов в твердой валюте. Это на одной чаше весов и это точно потерянные деньги. На другой - молчащий вредонос, который ты отследил, включая пути его попадания в промышленный сегмент и перекрыл эти каналы. Вот стоит ли в таком случае бежать и лечить? Воздействия-то нет. И не факт, что будет,

John комментирует...

Где-то это уже было и очень настойчиво...

malotavr комментирует...

> Ты в Интернет вылез :-)

:) Читаю постоянно, а вот писать в какой-то момент надоело :)

> На другой - молчащий вредонос, который ты отследил, включая пути его попадания в промышленный сегмент и перекрыл эти каналы.

С точки зрения человека, смотрящего на АСУТП с позиции "как бы эту хрень разнести погромче", инструктор сделал три ошибки

1. История давняя, но правдивая. Решили как-то на одной АЭС провести эксперимент на остановленном энергоблоке. Эксперимент проводился не в первый раз, опасный, но персонал "контролировал обстановку и отслеживал ситуацию". Беда в том, что среди персонала не было специалистов по химии и физике процессов, происходящих в реакторе при нештатном режиме эксплуатации. Результат - окресности АЭС до сих пор необитаемы.

А мораль сей басни такова: безопасник на промпредприятии, скажем честно, не является специалистом ни во вредоносах, ни в функциональной безопасности. Как следствие, он не имеет права быть уверенным, что нашел все модули вредоноса и знает все каналы взаимодействия этих модулей между собой и с внешним миром, особенно если речь идет о боевым, как стакснет :) Поэтому прежде всего инструктор должен бы усомниться в способности персонала ИБ адекватно отреагировать на изменение обстановки, если и когда вредонос вдруг неожиданно активизируется.

2. Многие АСУТПшные безопасники почему-то уверены, что внутре этой фиговины есть всякие блокираторы, которые обеспечивают функциональную безопасность - фигли, она же на SIL4 сертифицирована. Если вредонос активизируется, автоматика переведет установку в аварийный режим и мягко заглушит. А вот хренушки. Функциональная безопасность в принципе не рассчитана на вмешательство шаловливых человеческих ручек в свои внутренности, и нормальная "боевая" атака включает в себя отключение блокировок (перевод в сервисный режим, заливка модифицированной прошивки, тупое отключение блокировок в настройках и т.п.). Поэтому, вполне возможно, реагировать на активизацию вредоноса придется уже под вопли "ААААААА, мы все умрем!!!". Кроме того, в тот момент, когда ты поймешь, что ошибся, возможно, что до наступления необратимых последствий останется всего несколько минут. В конце концов, даже если "это всего лишь стакснет", ты не можешь быть уверен, что он не заточен на выведение именно из строя именно твоей АСУТП, как было в Натанце, да еще и максимально варварским способом. :)

3. Ну и странно, что инструктор "забыл" про то, что промышленные установки, как правило, имеют "сдвоенные" мозги, которые в случае отказа правого полушария позволяют худо бедно продолжить эксплуатацию установки на одном левом. Что мешает воспользоваться этим, чтобы почистить полушария от вируса по очереди?

doom комментирует...

А я бы вам добавил, что даже автоматическая система пожаторушения не глушит сразу технологический объект. А дает 5 минут, чтобы затушить проблемную установку и продолжить работу. Это из реального технического регламента реальной установки.

Дак с какого перепугу, например, антивирус должен быть наделен какими-то особыми полномочиями по автоматическому вмешательству (пусть и косвенному) в управление технологической установкой? Пусть тоже информирует, сигнализирует и т.п.
В АСУ ТП управление автоматизированное - поэтому последнее слово за человеком.

ну а то, что все мы люди и можем ошибаться - ну да, шит хэппенс. Но и аварии есть безо всяких там проблем ИБ, такова жизнь (инженеры на объекте тоже, так-то, не мегагуру в работе своих установок)...