Статистика реальных инцидентов ИБ в индустриальных системах

Когда речь заходит о выборе защитных мер, то существует два основных подхода. Первый - выбирается базовый минимальный набор, который должен быть реализован в любом случае, невзирая на наличие или отсутствие угрозы (считается, что базовый набор рассчитан на наиболее распространенные угрозы). Второй - меры выбираются на основе соответствующего моделирования. Какой бы вариант моделирования вы не выбрали, вы будете оперировать двумя понятиями - вероятность ущерба и масштаб ущерба. Именно от них зависит актуальность угрозы, для нейтрализации которой и будет выбираться защитная мера.

Где нам взять данные два показателя для АСУ ТП, о которых в последнее время говорят очень много? Наблюдать и считать самим? Можно, но долго. Посчитать экспертным путем? А у экспертов есть соответствующая квалификация? Использовать другие методы? Можно, но есть и еще один вариант - воспользоваться готовой статистикой. Правда, в области индустриальных решений ее публичной почти нет. Эрик Байрс свою самую известную базу инцидентов закрыл, но зато вместе нее появилась база RISI. База тоже закрытая, но за деньги можно получить к ней доступ. Именно на основе этой базы составлены нижеприведенные диаграммы. Точных значений по каждому показателю я не привожу специально - моя задача была показать общие тенденции, на основе которых можно сделать соответствующие выводы.

В четверку наиболее опасных и подверженных угрозам отраслей входят энергетика, нефтегаз, транспорт и водоснабжение. А вот пятое место занимает производство питания. Про нее говорили и на прошедшем недавно форуме "Безопасность КВО ТЭК", который расширяет свои границы и уже не ограничивается только топливно-энергетическим сектором.

Статистика инцидентов по отраслям

Время простоя от инцидентов в большинстве случаев равно нулю. На втором по популярности месте - 1-4 часа. За это время, в зависимости от отрасли, в котором работает критически важный объект, может произойти очень многое - от кражи состава с рудой до экологической катастрофы с человеческими жертвами.

Время простоя от инцидента ИБ

Наиболее популярные последствия от инцидентов предсказуемы - снижение объема производства / операций (как в случае со Stuxnet), потеря управления устройствами, снижение продуктивности персонала.

Последствия от инцидента ИБ

С финансовой точки зрения статистика RISI объем потерь в более половине случаев не превышает 100 тысяч долларов США.

Масштаб финансового ущерба

Чаще всего в инцидентах бывает замешаны контроллеры (PLC), распределенная система управления (DCS), Master SCADA, индустриальный ПК и HMI.

Замешанное в инциденте оборудование

Предсказуемо, но обнаруживаются инциденты обычно операционным персоналом во время самого инцидента. На втором месте - обнаружение после инцидента. Обнаружение инцидента с помощью каких-либо средств защиты происходит очень редко. Отсюда следует простой вывод - работа с персоналом гораздо важнее технических решений (последними, правда, тоже не стоит пренебрегать).

Метод обнаружения инцидента

Проприетарные протоколы хоть и участвуют в инцидентах, самым распространенным все-таки является TCP/IP. Это лишний раз доказывает, что традиционные средства сетевой безопасности могут быть эффективно использованы для защиты АСУ ТП. Правда, второе, третье и четвертое место занимают индустриальные протоколы, которые должны распознаваться и фильтроваться выбираемыми средствами защиты.

Протоколы, в рамках которых произошел инцидент

Следующий слайд показывает, что вредоносное ПО, попавшее внутрь извне, является основной проблемой даже в индустриальных сегментах. Вопросы надежности железа и софта находятся на втором и четвертом местах соответственно. Это говорит о необходимости внедрения SDLC, соответствующего тестирования и приемочных испытаний АСУ ТП, наличия адекватной процедуры выбора оборудования и ПО, соответствующей процедура управления обновлениями и т.п.

Тип инцидента

Учитывая, что вредоносное ПО - самый распространенный тип инцидентов, а третий тип - это проникновение в систему, мы приходит к тому, что основным типом нарушителя для индустриальных сетей является внешний нарушитель / вирусописатель. А вот второе место менее приятно - нарушитель не был обнаружен или его тип не был идентифицирован.

Тип нарушителя

Наиболее интересна статистика по точке входа в индустриальный сегмент. В большинстве случаев точка входа вообще неопределена. На втором месте - точка соприкосновения с корпоративной сетью, а тройку замыкает удаленный доступ. Данная статистика опровергает миф о том, что индустриальные сегменты не подключены никуда и изолированы от Интернет, от корпоративной сети, от сетей третьих лиц и т.п.

Точка входа в АСУ ТП

Есть еще две диаграммы, которые интересны с точки зрения статистики. Это данные американской компании Red Tiger, занимающейся аудитом и тестами на проникновение в индустриальных сетях. За время своей работы они проанализировали немало сетей и собрали статистику об уязвимостях в различных сегментах АСУ ТП и типах встречаемых в них эксплойтах.