SlideShare ist ein Scribd-Unternehmen logo

Актуальні кібер-загрози АСУ ТП

Als PPTX, PDF herunterladen
U
uisgslide

Аналіз загроз та заходів безпеки для промислових інформаційних системи (АСУ ТП).

Internet
1 von 18
Unifying the Global Response to Cybercrime Кібернетичні загрози АСУ ТП Гліб Пахаренко gpaharenko (at) gmail.com 2015-02-11 для форуму лідерів АСУ «Нова країна – Новий ландшафт»
Unifying the Global Response to Cybercrime Stuxnet Stuxnet – мережевий хробак, який виявлено в 2010р. Цілі – установки по збагаченню урану в Ірані. Особливості:  розповсюдження через флеш-накопичувачі та мережу  використання чисельних вразливостей: • MS10-046 to infect trough USB flash (using LNK files) • MS10-061 to infect over the net (print spooler vuln) • MS08-067 to infect over the net (confiker style) • Default password in Siemens WinCC SQL database • вкрадені цифрові сертифікати для зловмисного драйверу.  завантаження зловмисного коду в пам'ять контролера  підміна компонент системи моніторингу контролера  виявлення лише систем, котрі відповідають певним ознакам Спосіб дії:  різка зміна частоти обертання турбін  відображення сталих нормальних показників обертання турбін оператору Нащадки:  Duqu  Flame Головна мета – збір даних для атак на індустріальні об'єкти 2
Unifying the Global Response to Cybercrime Sandworm Sandworm– мережевий хробак, який виявлено в 2014р. Цілі – установи енергетичного сектору. Особливості:  розповсюдження через вразлиість в MS Office  використання соціальної інженерії  увага АСУ ТП Siemens та GE FANUC Cimplicity  походження - Росія 3
Unifying the Global Response to Cybercrime Havex та інші атаки Havex– троянська програма, виявлена в 2014р. Цілі – виробники АСУ ТП. Особливості:  заражає дистрибутиви ПЗ на сайтах виробників;  жертвами стали більше 100 організацій; Інцидент на газогоні Баку-Тбілісі-Чейхан  вибух на газогоні в 2008р.  можливий вплив зловмисного ПЗ на показання дачиків, щоб вибух не помітили одразу;  зараження могло статися через камери ІР спстереження, опубліковані в Інтернет. Новини про загрози для АСУ ТП:  захоплення ГО «Спільна справа» будівлі Міненергетики;  використання банківських троянів для атак у енергетичному секторі;  атаки на мобільні пристрої, що використовуються в АСУ ТП;  в Україні більше 50 тис. заражених вірусами машин;  Піратське ПЗ для АСУ ТП 4
Unifying the Global Response to Cybercrime Міжнародна практика безпеки АСУ ТП 1996 року в США розпочалася програма захисту критичної інфраструктури. В таблиці нижче наведена інформація про досвід різних країн у галузі захисту критичної інфраструктури. 5 Країна практика захисту критичної інфраструктури США • 16 критичних галузей • для кожної галузі існує план керування захистом критичної інфраструктури • головний відповідальний – Department of HomeLand security • частину інфраструктури захищає Department of Defense • існує окрема команда реагування на кібер-атаки в галузях критичної інфраструктури ISC-CERT • 9-го лютого NIST опублікував чернетку стандарта з безпеки АСУ ТП Британія • існує окремий орган Centre for the Protection of National Infrastructure, підпорядкован національній службі безпеки МСЕ (ITU) • Розроблено декілька типових документів для захисту національної критичної інфраструктури • Фокус група з вивчення Smart grid вважає безпеку ключовим фактором OECD • 2008р. випущено рекомендації із захисту критичної інфраструктури • Безпека «інтернету речей повинна бути закладена з самого початку, озвучено на форумі передбачення технологій 2014р. EU • 2008р. випущено директиву із захисту критичної інфраструктури • 2006р. запущено програму щодо захисту критичної інфраструктури • окремий розділ з безпеки АСУ ТП на сайті Європейського агенства з кібер-безпеки (ENISA) NATO • 2007р. на річному саміті розгянуто питання необхідності захисту критичної інфраструктури • 2012р. проект з енергетичної безпеки, в його рамках розглянуто безпеку АСУ ТП Росія • 2012р. затверджені головні напрямки державної політики у галузі захисту критичних АСУ ТП • 2014р. затверджені вимоги до захисту АСУ ТП (наказ ФСТЕК) • проект закону про захист критичної інформаціонної інфраструктури
Unifying the Global Response to Cybercrime Українська практика захисту АСУ ТП В таблиці нижче наведена інформація нормативне регулювання захисту критичної інфраструктури в Україні 6 Нормативний акт Коментар РЕКОМЕНДАЦІЇ парламентських слухань на тему: "Законодавче забезпечення розвитку інформаційного суспільства в Україні" • забезпечити захист від кіберзагроз критично важливих об’єктів національної інфраструктури, зокрема атомних електростанцій, гідроелектростанцій, трубопроводів тощо шляхом проведення аудиту інформаційної безпеки і запровадження відповідних вимог, обов’язкових для підприємств усіх форм власності; • створити єдиний національний ІТ-депозитарій (резервну копію "бекапу" критично важливих інформаційних ресурсів для держави); • адаптувати системи захисту державних інформаційних ресурсів до вимог та стандартів Європейського Союзу з проведенням тестів на проникнення критично важливих об’єктів національної інфраструктури; Проект указу Президента України «Про стратегію забезпечення кібернетичної безпеки України» • (Зі старої редакції) • об’єкт критичної інформаційної інфраструктури – інформаційна (автоматизована), телекомунікаційна, інформаційно-телекомунікаційна система органів державної влади, органів місцевого самоврядування, органів управління Збройних Сил, інших військових формувань, правоохоронних та інших державних органів, а також підприємств, установ та організацій незалежно від форм власності на території України чи за її межами (у разі перебування під юрисдикцією України), порушення сталого функціонування якої матиме негативний вплив на стан національної безпеки і оборони України • забезпечити стійкість критичної інформаційної інфраструктури щодо інцидентів і протиправних дій у кібернетичному просторі; Законопроект Про основні засади забезпечення кібернетичної безпеки України • (Зі старої редакції) • критична інформаційна інфраструктура – сукупність об’єктів критичної інформаційної інфраструктури держави; • Основними напрямами забезпечення кібербезпеки України є: розвиток інформаційної інфраструктури держави, забезпечення безпечного функціонування об’єктів критичної інформаційної інфраструктури;
Unifying the Global Response to Cybercrime Українська практика захисту АСУ ТП (продовження) В таблиці нижче наведена інформація нормативне регулювання захисту критичної інфраструктури в Україні 7 Нормативний акт Коментар Законопроект Про основні засади забезпечення кібернетичної безпеки України • (Зі старої редакції) • забезпечення неухильного дотримання власниками об’єктів критичної інформаційної інфраструктури вимог законодавства у сфері захисту державних інформаційних ресурсів, криптографічного та технічного захисту інформації, захисту персональних даних; • пріоритетність завдань і зосередження зусиль на забезпеченні кібербезпеки об'єктів критичної інформаційної інфраструктури; • Об’єктами кіберзахисту є об’єкти критичної інформаційної інфраструктури та інші інформаційно-телекомунікаційні системи, в яких здійснюється обробка державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом. • Об’єкти критичної інформаційної інфраструктури потребують першочергового (пріоритетного) захисту від кібератак. • Порядок віднесення об’єктів до критичної інформаційної інфраструктури та перелік цих об’єктів затверджуються Кабінетом Міністрів України. • Захист об’єктів критичної інформаційної інфраструктури від кібератак забезпечується відповідно до вимог законодавства у сфері захисту інформації. • Міністерство оборони України: бере участь у підготовці об’єктів критичної інформаційної інфраструктури держави до функціонування в особливий період та в умовах воєнного стану; • Державна служба спеціального зв’язку та захисту інформації України: • розробляє критерії та порядок оцінки стану кіберзахисту об’єктів критичної інформаційної інфраструктури, забезпечує її організацію та проведення; • здійснює державний контроль за станом захисту інформації, яка циркулює на об’єктах критичної інформаційної інфраструктури; • створює та забезпечує функціонування підрозділу з питань оперативного реагування на кіберінциденти;
Unifying the Global Response to Cybercrime Українська практика захисту АСУ ТП (продовження) В таблиці нижче наведена інформація нормативне регулювання захисту критичної інфраструктури в Україні 8 Нормативний акт Коментар Законопроект «Про основні засади забезпечення кібернетичної безпеки України» • (Зі старої редакції) • Внести зміни до таких законодавчих актів України: у Законі України “Про правовий режим надзвичайного стану” частину першу статті 6 після пункту 4 «доповнити новим пунктом такого змісту: Стаття 6. Указ Президента України про введення надзвичайного стану «В Указі Президента України про введення надзвичайного стану зазначаються: перелік заходів, пов’язаних з функціонуванням національного сегмента кіберпростору та об'єктів критичної інформаційної інфраструктури”; Стаття 18. Додаткові заходи правового режиму надзвичайного стану у зв'язку з масовими порушеннями громадського порядку У разі введення надзвичайного стану з підстав додатково можуть здійснюватися такі заходи: особливі правила функціонування національного сегмента кіберпростору та об'єктів критичної інформаційної інфраструктури”; Проект змін до закону «Про інформацію» • (ДССЗЗІ не дозволило оприлюднення тексту) • Коментар: Технологічна інформація в об»єктах критичної інфраструктури буде захищатися законом. Тобто буде потрібна побудова комплексної системи захисту інформації (КСЗІ) за вимогами ДССЗЗІ. Проект постанови Кабміну про інвентаризацію об'єктів критичної інфраструктури • (ДССЗЗІ не дозволило оприлюднення тексту) • Коментар: потрібно на папері направити в ДССЗЗІ перелік критичної технологічної інформації. Не прописані чіткі критерії визначення критичності технологічної інформації. Буде повторення досвіду служби захисту персональних даних.
Unifying the Global Response to Cybercrime Українська практика захисту АСУ ТП (продовження) В таблиці нижче наведена інформація нормативне регулювання захисту критичної інфраструктури в Україні 9 Нормативний акт Коментар Постанова Кабміну. «ПЛАН заходів щодо захисту державних інформаційних ресурсів.» • Адміністрація Держспецзв’язку. Перше півріччя 2015 року. Сформувати перелік об’єктів, що належать до критичної інформаційної інфраструктури держави, організувати та провести оцінку стану захищеності державних інформаційних ресурсів зазначених об’єктів: розробити та подати для затвердження Кабінетові Міністрів України порядок віднесення об’єктів до критичної інформаційної інфраструктури держави та перелік таких об’єктів. • Протягом 2014-2015 років; організувати та провести оцінку стану захищеності державних інформаційних ресурсів об’єктів, що належать до критичної інформаційної інфраструктури держави (згідно з процедурою оцінки стану захищеності).
Unifying the Global Response to Cybercrime Захист АСУ ТП. Крок 1. Підвищення освіченості. В переліку нижче наводяться корисні стандарти для захисту критичної інфраструктури:  http://www.isaca.org/chapters2/latvia/events/Documents/Rudens%20konference%202012/04%20-%20Andris%20Laucins%20- %20SCADA.pdf  http://www.isaca.org/Journal/Past-Issues/2010/Volume-4/Documents/10v4-online-security-of.pdf  http://www.isaca.org/Journal/Past-Issues/2014/Volume-1/Pages/SCADA-Cybersecurity-Framework.aspx  https://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/scada-industrial-control- systems  http://www.isaca.org/cobit/pages/info-sec.aspx?utm_medium=event-tradeshow&utm_source=insights-brochure-25-june- 2012&utm_campaign=cobit5-for-is&utm_content=cobit  http://www.isaca.org.ua/index.php/homepage/download/category/2-standards?download=1:cobit-4-1-ukr  https://www.owasp.org/images/e/e3/OWASP_Top_10_-_2013_Final_Ukrainian.pdf  http://www.isaca.org/Knowledge-Center/Research/Documents/ITAF-3rd-Edition_fmk_Ukr_1214.pdf  ISO 27001 (є адаптований для НБУ стандарт https://kyianyn.files.wordpress.com/2010/12/nbu-27002.pdf)  ISO 27002 ((є адаптований для НБУ стандарт https://kyianyn.files.wordpress.com/2010/12/nbu-27001.pdf)  ISA 99 resources http://isa99.isa.org  Сертифікація з безпеки для замовників АСУ ТП http://www.isasecure.org/en-US/Certification/SSA-Certification В жовтні 2014р. в Києві пройшов семінар НАТО в рамках програми «Наука заради миру» з питань захисту об»єктів критичної інфраструктури від кібер-атак: https://www.facebook.com/NATOarwSCfCI 10
Unifying the Global Response to Cybercrime Захист АСУ ТП. Крок 1. Підвищення освіченості. Продовження Чому не працює захист з використанням ізольованої мережі? Зловмисне ПЗ може потрапити до мережі АСУ ТП за допомогою:  інфікованих ноутбуків  інфікованих носіїв (флеш, СД)  несанкціоновані модеми  несанкціоновані точки доступу Wi-Fi  заражене обладнання в ланцюгу постачання  заражені оновлення  тимчасово відкритий доступ для інтеграторів  кряки до піратських версій АСУ ТП 11
Unifying the Global Response to Cybercrime Захист АСУ ТП. Крок 2. Створення програми безпеки АСУ ТП Необхідно створити бізнес-кейс для розробки програми безпеки критичних АСУ ТП (аудиту).  окреслити приблизно кількість критичних АСУ ТП, фізичні площадки та інші межі програми.  окреслити загальні кібер-загрози для АСУ ТП  оцінити труд ємкість робіт з розробки програми безпеки критичних АСУ ТП  залучитись підтримкою керівної особи в організації  створити календарний план робіт  затвердити проведення аудиту та розробки програми безпеки АСУ ТП на правлінні організації Організаційна структура  наявність відповідального в правлінні установи за кібернетичну безпеку  наявність комітету з інформаційної безпеки  наявність функції внутрішнього аудиту ІТ Процеси керування  ризиком  доступом  інцидентами  змінами Політики, процедури, інструкції  інформаційної безпеки  етичної поведінки  обов'язки кожного співробітника щодо захисту інформації 12
Unifying the Global Response to Cybercrime Захист АСУ ТП. Крок 2. Створення програми безпеки АСУ ТП Освіченість кожного співробітника  постійне навчання  тестування знань Швидкі та дешеві рішення (quick-wins)  сегментація мережі на зони  мінімізація кількості співробітників з правами адміністратора  безпечні налаштування операційних систем та додатків (hardening)  системи захисту проти експлойтів (EMET)  технічне виявлення вразливостей та тести на проникнення Засоби колективної безпеки в галузі  галузева команда реагування на інциденти (CERT) та надання їй правового статуса в законодавчому полі України;  лабораторія з безпеки АСУ ТП  галузеві стандарти з ІТ безпеки АСУ ТП  обмін інформацією про кібер-загрози (вірусами, сигнатурами атак)  база файлів АСУ ТП для перевірки їх цілісності  національна база вразливостей  очищення українського Інтернет  раннє попередження загроз від урядів інших країн у кооперації з державними органами 13
Unifying the Global Response to Cybercrime Захист АСУ ТП. Ключові елементи безпеки Зони безпеки є ключовим елементом згідно ідеології ІСА99. 14
Unifying the Global Response to Cybercrime Захист АСУ ТП. ISO 27001 Стандарти ІСА99 базуються на ідеології ISO27001. 15
Unifying the Global Response to Cybercrime Захист АСУ ТП. ISO 27001 (продовження) Стандарти ІСА99 базуються на ідеології ISO27001. 16
Unifying the Global Response to Cybercrime Захист АСУ ТП. Cobit 5. Процеси. 17
Unifying the Global Response to Cybercrime Захист АСУ ТП. Cobit 5. Каскад цілей та ключові фактори. 18

Empfohlen

Пропозиції Київського відділення ISACA до проекту Закону України «Про бороть...
Пропозиції Київського відділення ISACA до проекту Закону України «Про бороть... Пропозиції Київського відділення ISACA до проекту Закону України «Про бороть...
Пропозиції Київського відділення ISACA до проекту Закону України «Про бороть...IsacaKyiv
 
ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...
ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...
ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...IsacaKyiv
 
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...IsacaKyiv
 
Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...
Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...
Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...Europe without barriers
 
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...Alexey Yankovski
 
Energy security v02_vv
Energy security v02_vvEnergy security v02_vv
Energy security v02_vvAlexey Yankovski
 
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...IsacaKyiv
 
Огляд атак на критичну інфраструктуру в Україні
Огляд атак на критичну інфраструктуру в УкраїніОгляд атак на критичну інфраструктуру в Україні
Огляд атак на критичну інфраструктуру в УкраїніGlib Pakharenko
 

Empfohlen

Пропозиції Київського відділення ISACA до проекту Закону України «Про бороть...
Пропозиції Київського відділення ISACA до проекту Закону України «Про бороть... Пропозиції Київського відділення ISACA до проекту Закону України «Про бороть...
Пропозиції Київського відділення ISACA до проекту Закону України «Про бороть...IsacaKyiv
 
ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...
ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...
ISACA Kyiv Chapter - government agencies responsible for cyber security in ot...IsacaKyiv
 
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...IsacaKyiv
 
Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...
Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...
Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...Europe without barriers
 
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...Alexey Yankovski
 
Energy security v02_vv
Energy security v02_vvEnergy security v02_vv
Energy security v02_vvAlexey Yankovski
 
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...IsacaKyiv
 
Огляд атак на критичну інфраструктуру в Україні
Огляд атак на критичну інфраструктуру в УкраїніОгляд атак на критичну інфраструктуру в Україні
Огляд атак на критичну інфраструктуру в УкраїніGlib Pakharenko
 
Необхідність реформи галузі захисту інформації в Україні
Необхідність реформи галузі захисту інформації в УкраїніНеобхідність реформи галузі захисту інформації в Україні
Необхідність реформи галузі захисту інформації в Україніuisgslide
 
Кібер-атаки на критичну інфраструктуру в Україні
Кібер-атаки на критичну інфраструктуру в УкраїніКібер-атаки на критичну інфраструктуру в Україні
Кібер-атаки на критичну інфраструктуру в УкраїніGlib Pakharenko
 
Настанови з кібербезпеки
Настанови з кібербезпекиНастанови з кібербезпеки
Настанови з кібербезпекиAlexey Yankovski
 
Основні проблеми захисту від кібератак в українських державних установах
Основні проблеми захисту від кібератак в українських державних установахОсновні проблеми захисту від кібератак в українських державних установах
Основні проблеми захисту від кібератак в українських державних установахDmytro Petrashchuk
 
Vladimir Kozak - Информационная безопасность и защита персональных данных в к...
Vladimir Kozak - Информационная безопасность и защита персональных данных в к...Vladimir Kozak - Информационная безопасность и защита персональных данных в к...
Vladimir Kozak - Информационная безопасность и защита персональных данных в к...UISGCON
 
Comments to the Draft Law on Cybersecurity Fundamentals of Ukraine
Comments to the Draft Law on Cybersecurity Fundamentals of UkraineComments to the Draft Law on Cybersecurity Fundamentals of Ukraine
Comments to the Draft Law on Cybersecurity Fundamentals of UkraineAlexey Yankovski
 
279014.pptx
279014.pptx279014.pptx
279014.pptxssuser4f37ef
 
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативи
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативиТенденції розвитку кібербезпеки в Україні: регуляторні ініціативи
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативиAsters
 
Cybersec requirements implementation by OKI (KMU 518)
Cybersec requirements implementation by OKI (KMU 518)Cybersec requirements implementation by OKI (KMU 518)
Cybersec requirements implementation by OKI (KMU 518)Anastasiia Konoplova
 
Сybersecurity system in Ukraine: reality or myth?
Сybersecurity system in Ukraine: reality or myth?Сybersecurity system in Ukraine: reality or myth?
Сybersecurity system in Ukraine: reality or myth?KostiantynKorsun
 
Норматично-правова база захисту інформації України
Норматично-правова база захисту інформації УкраїниНорматично-правова база захисту інформації України
Норматично-правова база захисту інформації УкраїниOleg Nazarevych
 
STEM-osvita..pptx
STEM-osvita..pptxSTEM-osvita..pptx
STEM-osvita..pptxklerikk1
 
Aref
ArefAref
ArefЧеркаський державний технологічний університет
 
Неліцензійне ПЗ, як джерело загрози кібербезпеки
Неліцензійне ПЗ, як джерело загрози кібербезпекиНеліцензійне ПЗ, як джерело загрози кібербезпеки
Неліцензійне ПЗ, як джерело загрози кібербезпекиnadeh
 
Кіберзагрози у фінансовій системі Європи та України.pdf
Кіберзагрози у фінансовій системі Європи та України.pdfКіберзагрози у фінансовій системі Європи та України.pdf
Кіберзагрози у фінансовій системі Європи та України.pdfssuser039bf6
 
інфраструктура
інфраструктураінфраструктура
інфраструктураssusere15f981
 
Реформи в галузі ІКТ
Реформи в галузі ІКТРеформи в галузі ІКТ
Реформи в галузі ІКТKaterina Mashevskaya
 
Grys i
Grys iGrys i
Grys igarasym
 
автореферат підлісний
автореферат підліснийавтореферат підлісний
автореферат підліснийЧеркаський державний технологічний університет
 
автореферат підлісний 02.09.17.doc
автореферат підлісний 02.09.17.docавтореферат підлісний 02.09.17.doc
автореферат підлісний 02.09.17.docЧеркаський державний технологічний університет
 
автореферат п дл сний_4__22.08.17.doc
автореферат п дл сний_4__22.08.17.docавтореферат п дл сний_4__22.08.17.doc
автореферат п дл сний_4__22.08.17.docЧеркаський державний технологічний університет
 
дисертацIя друк миронюк
дисертацIя друк миронюкдисертацIя друк миронюк
дисертацIя друк миронюкЧеркаський державний технологічний університет
 

Weitere ähnliche Inhalte

Was ist angesagt?

Необхідність реформи галузі захисту інформації в Україні
Необхідність реформи галузі захисту інформації в УкраїніНеобхідність реформи галузі захисту інформації в Україні
Необхідність реформи галузі захисту інформації в Україніuisgslide
 
Кібер-атаки на критичну інфраструктуру в Україні
Кібер-атаки на критичну інфраструктуру в УкраїніКібер-атаки на критичну інфраструктуру в Україні
Кібер-атаки на критичну інфраструктуру в УкраїніGlib Pakharenko
 
Настанови з кібербезпеки
Настанови з кібербезпекиНастанови з кібербезпеки
Настанови з кібербезпекиAlexey Yankovski
 
Основні проблеми захисту від кібератак в українських державних установах
Основні проблеми захисту від кібератак в українських державних установахОсновні проблеми захисту від кібератак в українських державних установах
Основні проблеми захисту від кібератак в українських державних установахDmytro Petrashchuk
 
Vladimir Kozak - Информационная безопасность и защита персональных данных в к...
Vladimir Kozak - Информационная безопасность и защита персональных данных в к...Vladimir Kozak - Информационная безопасность и защита персональных данных в к...
Vladimir Kozak - Информационная безопасность и защита персональных данных в к...UISGCON
 
Comments to the Draft Law on Cybersecurity Fundamentals of Ukraine
Comments to the Draft Law on Cybersecurity Fundamentals of UkraineComments to the Draft Law on Cybersecurity Fundamentals of Ukraine
Comments to the Draft Law on Cybersecurity Fundamentals of UkraineAlexey Yankovski
 

Was ist angesagt? (6)

Необхідність реформи галузі захисту інформації в Україні
Необхідність реформи галузі захисту інформації в УкраїніНеобхідність реформи галузі захисту інформації в Україні
Необхідність реформи галузі захисту інформації в Україні
 
Кібер-атаки на критичну інфраструктуру в Україні
Кібер-атаки на критичну інфраструктуру в УкраїніКібер-атаки на критичну інфраструктуру в Україні
Кібер-атаки на критичну інфраструктуру в Україні
 
Настанови з кібербезпеки
Настанови з кібербезпекиНастанови з кібербезпеки
Настанови з кібербезпеки
 
Основні проблеми захисту від кібератак в українських державних установах
Основні проблеми захисту від кібератак в українських державних установахОсновні проблеми захисту від кібератак в українських державних установах
Основні проблеми захисту від кібератак в українських державних установах
 
Vladimir Kozak - Информационная безопасность и защита персональных данных в к...
Vladimir Kozak - Информационная безопасность и защита персональных данных в к...Vladimir Kozak - Информационная безопасность и защита персональных данных в к...
Vladimir Kozak - Информационная безопасность и защита персональных данных в к...
 
Comments to the Draft Law on Cybersecurity Fundamentals of Ukraine
Comments to the Draft Law on Cybersecurity Fundamentals of UkraineComments to the Draft Law on Cybersecurity Fundamentals of Ukraine
Comments to the Draft Law on Cybersecurity Fundamentals of Ukraine
 

Ähnlich wie Актуальні кібер-загрози АСУ ТП

Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативи
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативиТенденції розвитку кібербезпеки в Україні: регуляторні ініціативи
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативиAsters
 
Cybersec requirements implementation by OKI (KMU 518)
Cybersec requirements implementation by OKI (KMU 518)Cybersec requirements implementation by OKI (KMU 518)
Cybersec requirements implementation by OKI (KMU 518)Anastasiia Konoplova
 
Сybersecurity system in Ukraine: reality or myth?
Сybersecurity system in Ukraine: reality or myth?Сybersecurity system in Ukraine: reality or myth?
Сybersecurity system in Ukraine: reality or myth?KostiantynKorsun
 
Норматично-правова база захисту інформації України
Норматично-правова база захисту інформації УкраїниНорматично-правова база захисту інформації України
Норматично-правова база захисту інформації УкраїниOleg Nazarevych
 
STEM-osvita..pptx
STEM-osvita..pptxSTEM-osvita..pptx
STEM-osvita..pptxklerikk1
 
Неліцензійне ПЗ, як джерело загрози кібербезпеки
Неліцензійне ПЗ, як джерело загрози кібербезпекиНеліцензійне ПЗ, як джерело загрози кібербезпеки
Неліцензійне ПЗ, як джерело загрози кібербезпекиnadeh
 
Кіберзагрози у фінансовій системі Європи та України.pdf
Кіберзагрози у фінансовій системі Європи та України.pdfКіберзагрози у фінансовій системі Європи та України.pdf
Кіберзагрози у фінансовій системі Європи та України.pdfssuser039bf6
 
інфраструктура
інфраструктураінфраструктура
інфраструктураssusere15f981
 
Реформи в галузі ІКТ
Реформи в галузі ІКТРеформи в галузі ІКТ
Реформи в галузі ІКТKaterina Mashevskaya
 
Mmi presentation long_ua new 2015
Mmi presentation long_ua new 2015Mmi presentation long_ua new 2015
Mmi presentation long_ua new 2015MMI Group
 
Comments glib pakharenko
Comments glib pakharenkoComments glib pakharenko
Comments glib pakharenkouisgslide
 

Ähnlich wie Актуальні кібер-загрози АСУ ТП (20)

279014.pptx
279014.pptx279014.pptx
279014.pptx
 
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативи
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативиТенденції розвитку кібербезпеки в Україні: регуляторні ініціативи
Тенденції розвитку кібербезпеки в Україні: регуляторні ініціативи
 
Cybersec requirements implementation by OKI (KMU 518)
Cybersec requirements implementation by OKI (KMU 518)Cybersec requirements implementation by OKI (KMU 518)
Cybersec requirements implementation by OKI (KMU 518)
 
Сybersecurity system in Ukraine: reality or myth?
Сybersecurity system in Ukraine: reality or myth?Сybersecurity system in Ukraine: reality or myth?
Сybersecurity system in Ukraine: reality or myth?
 
Норматично-правова база захисту інформації України
Норматично-правова база захисту інформації УкраїниНорматично-правова база захисту інформації України
Норматично-правова база захисту інформації України
 
STEM-osvita..pptx
STEM-osvita..pptxSTEM-osvita..pptx
STEM-osvita..pptx
 
Aref
ArefAref
Aref
 
Неліцензійне ПЗ, як джерело загрози кібербезпеки
Неліцензійне ПЗ, як джерело загрози кібербезпекиНеліцензійне ПЗ, як джерело загрози кібербезпеки
Неліцензійне ПЗ, як джерело загрози кібербезпеки
 
Кіберзагрози у фінансовій системі Європи та України.pdf
Кіберзагрози у фінансовій системі Європи та України.pdfКіберзагрози у фінансовій системі Європи та України.pdf
Кіберзагрози у фінансовій системі Європи та України.pdf
 
інфраструктура
інфраструктураінфраструктура
інфраструктура
 
Реформи в галузі ІКТ
Реформи в галузі ІКТРеформи в галузі ІКТ
Реформи в галузі ІКТ
 
Grys i
Grys iGrys i
Grys i
 
автореферат підлісний
автореферат підліснийавтореферат підлісний
автореферат підлісний
 
автореферат підлісний 02.09.17.doc
автореферат підлісний 02.09.17.docавтореферат підлісний 02.09.17.doc
автореферат підлісний 02.09.17.doc
 
автореферат п дл сний_4__22.08.17.doc
автореферат п дл сний_4__22.08.17.docавтореферат п дл сний_4__22.08.17.doc
автореферат п дл сний_4__22.08.17.doc
 
дисертацIя друк миронюк
дисертацIя друк миронюкдисертацIя друк миронюк
дисертацIя друк миронюк
 
Mmi presentation long_ua new 2015
Mmi presentation long_ua new 2015Mmi presentation long_ua new 2015
Mmi presentation long_ua new 2015
 
IT-leaders
IT-leadersIT-leaders
IT-leaders
 
Comments glib pakharenko
Comments glib pakharenkoComments glib pakharenko
Comments glib pakharenko
 
чура наталя
чура наталячура наталя
чура наталя
 

Mehr von uisgslide

Стандарт верифікації безпеки веб-додатків ASVS 3.0
Стандарт верифікації безпеки веб-додатків ASVS 3.0Стандарт верифікації безпеки веб-додатків ASVS 3.0
Стандарт верифікації безпеки веб-додатків ASVS 3.0uisgslide
 
Коментарі до концепції інформаційної безпеки
Коментарі до концепції інформаційної безпекиКоментарі до концепції інформаційної безпеки
Коментарі до концепції інформаційної безпекиuisgslide
 
Кращи практики з аудиту та підтвердження довіри до інформаційних системи (ITA...
Кращи практики з аудиту та підтвердження довіри до інформаційних системи (ITA...Кращи практики з аудиту та підтвердження довіри до інформаційних системи (ITA...
Кращи практики з аудиту та підтвердження довіри до інформаційних системи (ITA...uisgslide
 
Sandbox kiev
Sandbox kievSandbox kiev
Sandbox kievuisgslide
 
War between Russia and Ukraine in cyber space
War between Russia and Ukraine in cyber spaceWar between Russia and Ukraine in cyber space
War between Russia and Ukraine in cyber spaceuisgslide
 
Group fs owasp_26-11-14
Group fs owasp_26-11-14Group fs owasp_26-11-14
Group fs owasp_26-11-14uisgslide
 
Owasp healthcare cms
Owasp healthcare cmsOwasp healthcare cms
Owasp healthcare cmsuisgslide
 
OWASP Ukraine Thomas George presentation
OWASP Ukraine Thomas George presentationOWASP Ukraine Thomas George presentation
OWASP Ukraine Thomas George presentationuisgslide
 
Isaca kyiv chapter vygody v3
Isaca kyiv chapter vygody v3Isaca kyiv chapter vygody v3
Isaca kyiv chapter vygody v3uisgslide
 
Uisg infosec 10_crypto
Uisg infosec 10_cryptoUisg infosec 10_crypto
Uisg infosec 10_cryptouisgslide
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10uisgslide
 
Uuisg itgov 10_bcp
Uuisg itgov 10_bcpUuisg itgov 10_bcp
Uuisg itgov 10_bcpuisgslide
 
Uuisg itgov 9_itfinance
Uuisg itgov 9_itfinanceUuisg itgov 9_itfinance
Uuisg itgov 9_itfinanceuisgslide
 
Uisg itgov 19_cloud
Uisg itgov 19_cloudUisg itgov 19_cloud
Uisg itgov 19_clouduisgslide
 
Uisg itgov 15_nda
Uisg itgov 15_ndaUisg itgov 15_nda
Uisg itgov 15_ndauisgslide
 
Uisg itgov 8_i_taudit
Uisg itgov 8_i_tauditUisg itgov 8_i_taudit
Uisg itgov 8_i_taudituisgslide
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10uisgslide
 
Uisg itgov 5_apt
Uisg itgov 5_aptUisg itgov 5_apt
Uisg itgov 5_aptuisgslide
 
Uisg itgov 3_ rm -silver bullet ey
Uisg itgov 3_ rm -silver bullet eyUisg itgov 3_ rm -silver bullet ey
Uisg itgov 3_ rm -silver bullet eyuisgslide
 

Mehr von uisgslide (20)

Стандарт верифікації безпеки веб-додатків ASVS 3.0
Стандарт верифікації безпеки веб-додатків ASVS 3.0Стандарт верифікації безпеки веб-додатків ASVS 3.0
Стандарт верифікації безпеки веб-додатків ASVS 3.0
 
Коментарі до концепції інформаційної безпеки
Коментарі до концепції інформаційної безпекиКоментарі до концепції інформаційної безпеки
Коментарі до концепції інформаційної безпеки
 
Кращи практики з аудиту та підтвердження довіри до інформаційних системи (ITA...
Кращи практики з аудиту та підтвердження довіри до інформаційних системи (ITA...Кращи практики з аудиту та підтвердження довіри до інформаційних системи (ITA...
Кращи практики з аудиту та підтвердження довіри до інформаційних системи (ITA...
 
Sandbox kiev
Sandbox kievSandbox kiev
Sandbox kiev
 
War between Russia and Ukraine in cyber space
War between Russia and Ukraine in cyber spaceWar between Russia and Ukraine in cyber space
War between Russia and Ukraine in cyber space
 
Circl eco
Circl ecoCircl eco
Circl eco
 
Group fs owasp_26-11-14
Group fs owasp_26-11-14Group fs owasp_26-11-14
Group fs owasp_26-11-14
 
Owasp healthcare cms
Owasp healthcare cmsOwasp healthcare cms
Owasp healthcare cms
 
OWASP Ukraine Thomas George presentation
OWASP Ukraine Thomas George presentationOWASP Ukraine Thomas George presentation
OWASP Ukraine Thomas George presentation
 
Isaca kyiv chapter vygody v3
Isaca kyiv chapter vygody v3Isaca kyiv chapter vygody v3
Isaca kyiv chapter vygody v3
 
Uisg infosec 10_crypto
Uisg infosec 10_cryptoUisg infosec 10_crypto
Uisg infosec 10_crypto
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10
 
Uuisg itgov 10_bcp
Uuisg itgov 10_bcpUuisg itgov 10_bcp
Uuisg itgov 10_bcp
 
Uuisg itgov 9_itfinance
Uuisg itgov 9_itfinanceUuisg itgov 9_itfinance
Uuisg itgov 9_itfinance
 
Uisg itgov 19_cloud
Uisg itgov 19_cloudUisg itgov 19_cloud
Uisg itgov 19_cloud
 
Uisg itgov 15_nda
Uisg itgov 15_ndaUisg itgov 15_nda
Uisg itgov 15_nda
 
Uisg itgov 8_i_taudit
Uisg itgov 8_i_tauditUisg itgov 8_i_taudit
Uisg itgov 8_i_taudit
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10
 
Uisg itgov 5_apt
Uisg itgov 5_aptUisg itgov 5_apt
Uisg itgov 5_apt
 
Uisg itgov 3_ rm -silver bullet ey
Uisg itgov 3_ rm -silver bullet eyUisg itgov 3_ rm -silver bullet ey
Uisg itgov 3_ rm -silver bullet ey
 

Актуальні кібер-загрози АСУ ТП

  • 1. Unifying the Global Response to Cybercrime Кібернетичні загрози АСУ ТП Гліб Пахаренко gpaharenko (at) gmail.com 2015-02-11 для форуму лідерів АСУ «Нова країна – Новий ландшафт»
  • 2. Unifying the Global Response to Cybercrime Stuxnet Stuxnet – мережевий хробак, який виявлено в 2010р. Цілі – установки по збагаченню урану в Ірані. Особливості:  розповсюдження через флеш-накопичувачі та мережу  використання чисельних вразливостей: • MS10-046 to infect trough USB flash (using LNK files) • MS10-061 to infect over the net (print spooler vuln) • MS08-067 to infect over the net (confiker style) • Default password in Siemens WinCC SQL database • вкрадені цифрові сертифікати для зловмисного драйверу.  завантаження зловмисного коду в пам'ять контролера  підміна компонент системи моніторингу контролера  виявлення лише систем, котрі відповідають певним ознакам Спосіб дії:  різка зміна частоти обертання турбін  відображення сталих нормальних показників обертання турбін оператору Нащадки:  Duqu  Flame Головна мета – збір даних для атак на індустріальні об'єкти 2
  • 3. Unifying the Global Response to Cybercrime Sandworm Sandworm– мережевий хробак, який виявлено в 2014р. Цілі – установи енергетичного сектору. Особливості:  розповсюдження через вразлиість в MS Office  використання соціальної інженерії  увага АСУ ТП Siemens та GE FANUC Cimplicity  походження - Росія 3
  • 4. Unifying the Global Response to Cybercrime Havex та інші атаки Havex– троянська програма, виявлена в 2014р. Цілі – виробники АСУ ТП. Особливості:  заражає дистрибутиви ПЗ на сайтах виробників;  жертвами стали більше 100 організацій; Інцидент на газогоні Баку-Тбілісі-Чейхан  вибух на газогоні в 2008р.  можливий вплив зловмисного ПЗ на показання дачиків, щоб вибух не помітили одразу;  зараження могло статися через камери ІР спстереження, опубліковані в Інтернет. Новини про загрози для АСУ ТП:  захоплення ГО «Спільна справа» будівлі Міненергетики;  використання банківських троянів для атак у енергетичному секторі;  атаки на мобільні пристрої, що використовуються в АСУ ТП;  в Україні більше 50 тис. заражених вірусами машин;  Піратське ПЗ для АСУ ТП 4
  • 5. Unifying the Global Response to Cybercrime Міжнародна практика безпеки АСУ ТП 1996 року в США розпочалася програма захисту критичної інфраструктури. В таблиці нижче наведена інформація про досвід різних країн у галузі захисту критичної інфраструктури. 5 Країна практика захисту критичної інфраструктури США • 16 критичних галузей • для кожної галузі існує план керування захистом критичної інфраструктури • головний відповідальний – Department of HomeLand security • частину інфраструктури захищає Department of Defense • існує окрема команда реагування на кібер-атаки в галузях критичної інфраструктури ISC-CERT • 9-го лютого NIST опублікував чернетку стандарта з безпеки АСУ ТП Британія • існує окремий орган Centre for the Protection of National Infrastructure, підпорядкован національній службі безпеки МСЕ (ITU) • Розроблено декілька типових документів для захисту національної критичної інфраструктури • Фокус група з вивчення Smart grid вважає безпеку ключовим фактором OECD • 2008р. випущено рекомендації із захисту критичної інфраструктури • Безпека «інтернету речей повинна бути закладена з самого початку, озвучено на форумі передбачення технологій 2014р. EU • 2008р. випущено директиву із захисту критичної інфраструктури • 2006р. запущено програму щодо захисту критичної інфраструктури • окремий розділ з безпеки АСУ ТП на сайті Європейського агенства з кібер-безпеки (ENISA) NATO • 2007р. на річному саміті розгянуто питання необхідності захисту критичної інфраструктури • 2012р. проект з енергетичної безпеки, в його рамках розглянуто безпеку АСУ ТП Росія • 2012р. затверджені головні напрямки державної політики у галузі захисту критичних АСУ ТП • 2014р. затверджені вимоги до захисту АСУ ТП (наказ ФСТЕК) • проект закону про захист критичної інформаціонної інфраструктури
  • 6. Unifying the Global Response to Cybercrime Українська практика захисту АСУ ТП В таблиці нижче наведена інформація нормативне регулювання захисту критичної інфраструктури в Україні 6 Нормативний акт Коментар РЕКОМЕНДАЦІЇ парламентських слухань на тему: "Законодавче забезпечення розвитку інформаційного суспільства в Україні" • забезпечити захист від кіберзагроз критично важливих об’єктів національної інфраструктури, зокрема атомних електростанцій, гідроелектростанцій, трубопроводів тощо шляхом проведення аудиту інформаційної безпеки і запровадження відповідних вимог, обов’язкових для підприємств усіх форм власності; • створити єдиний національний ІТ-депозитарій (резервну копію "бекапу" критично важливих інформаційних ресурсів для держави); • адаптувати системи захисту державних інформаційних ресурсів до вимог та стандартів Європейського Союзу з проведенням тестів на проникнення критично важливих об’єктів національної інфраструктури; Проект указу Президента України «Про стратегію забезпечення кібернетичної безпеки України» • (Зі старої редакції) • об’єкт критичної інформаційної інфраструктури – інформаційна (автоматизована), телекомунікаційна, інформаційно-телекомунікаційна система органів державної влади, органів місцевого самоврядування, органів управління Збройних Сил, інших військових формувань, правоохоронних та інших державних органів, а також підприємств, установ та організацій незалежно від форм власності на території України чи за її межами (у разі перебування під юрисдикцією України), порушення сталого функціонування якої матиме негативний вплив на стан національної безпеки і оборони України • забезпечити стійкість критичної інформаційної інфраструктури щодо інцидентів і протиправних дій у кібернетичному просторі; Законопроект Про основні засади забезпечення кібернетичної безпеки України • (Зі старої редакції) • критична інформаційна інфраструктура – сукупність об’єктів критичної інформаційної інфраструктури держави; • Основними напрямами забезпечення кібербезпеки України є: розвиток інформаційної інфраструктури держави, забезпечення безпечного функціонування об’єктів критичної інформаційної інфраструктури;
  • 7. Unifying the Global Response to Cybercrime Українська практика захисту АСУ ТП (продовження) В таблиці нижче наведена інформація нормативне регулювання захисту критичної інфраструктури в Україні 7 Нормативний акт Коментар Законопроект Про основні засади забезпечення кібернетичної безпеки України • (Зі старої редакції) • забезпечення неухильного дотримання власниками об’єктів критичної інформаційної інфраструктури вимог законодавства у сфері захисту державних інформаційних ресурсів, криптографічного та технічного захисту інформації, захисту персональних даних; • пріоритетність завдань і зосередження зусиль на забезпеченні кібербезпеки об'єктів критичної інформаційної інфраструктури; • Об’єктами кіберзахисту є об’єкти критичної інформаційної інфраструктури та інші інформаційно-телекомунікаційні системи, в яких здійснюється обробка державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом. • Об’єкти критичної інформаційної інфраструктури потребують першочергового (пріоритетного) захисту від кібератак. • Порядок віднесення об’єктів до критичної інформаційної інфраструктури та перелік цих об’єктів затверджуються Кабінетом Міністрів України. • Захист об’єктів критичної інформаційної інфраструктури від кібератак забезпечується відповідно до вимог законодавства у сфері захисту інформації. • Міністерство оборони України: бере участь у підготовці об’єктів критичної інформаційної інфраструктури держави до функціонування в особливий період та в умовах воєнного стану; • Державна служба спеціального зв’язку та захисту інформації України: • розробляє критерії та порядок оцінки стану кіберзахисту об’єктів критичної інформаційної інфраструктури, забезпечує її організацію та проведення; • здійснює державний контроль за станом захисту інформації, яка циркулює на об’єктах критичної інформаційної інфраструктури; • створює та забезпечує функціонування підрозділу з питань оперативного реагування на кіберінциденти;
  • 8. Unifying the Global Response to Cybercrime Українська практика захисту АСУ ТП (продовження) В таблиці нижче наведена інформація нормативне регулювання захисту критичної інфраструктури в Україні 8 Нормативний акт Коментар Законопроект «Про основні засади забезпечення кібернетичної безпеки України» • (Зі старої редакції) • Внести зміни до таких законодавчих актів України: у Законі України “Про правовий режим надзвичайного стану” частину першу статті 6 після пункту 4 «доповнити новим пунктом такого змісту: Стаття 6. Указ Президента України про введення надзвичайного стану «В Указі Президента України про введення надзвичайного стану зазначаються: перелік заходів, пов’язаних з функціонуванням національного сегмента кіберпростору та об'єктів критичної інформаційної інфраструктури”; Стаття 18. Додаткові заходи правового режиму надзвичайного стану у зв'язку з масовими порушеннями громадського порядку У разі введення надзвичайного стану з підстав додатково можуть здійснюватися такі заходи: особливі правила функціонування національного сегмента кіберпростору та об'єктів критичної інформаційної інфраструктури”; Проект змін до закону «Про інформацію» • (ДССЗЗІ не дозволило оприлюднення тексту) • Коментар: Технологічна інформація в об»єктах критичної інфраструктури буде захищатися законом. Тобто буде потрібна побудова комплексної системи захисту інформації (КСЗІ) за вимогами ДССЗЗІ. Проект постанови Кабміну про інвентаризацію об'єктів критичної інфраструктури • (ДССЗЗІ не дозволило оприлюднення тексту) • Коментар: потрібно на папері направити в ДССЗЗІ перелік критичної технологічної інформації. Не прописані чіткі критерії визначення критичності технологічної інформації. Буде повторення досвіду служби захисту персональних даних.
  • 9. Unifying the Global Response to Cybercrime Українська практика захисту АСУ ТП (продовження) В таблиці нижче наведена інформація нормативне регулювання захисту критичної інфраструктури в Україні 9 Нормативний акт Коментар Постанова Кабміну. «ПЛАН заходів щодо захисту державних інформаційних ресурсів.» • Адміністрація Держспецзв’язку. Перше півріччя 2015 року. Сформувати перелік об’єктів, що належать до критичної інформаційної інфраструктури держави, організувати та провести оцінку стану захищеності державних інформаційних ресурсів зазначених об’єктів: розробити та подати для затвердження Кабінетові Міністрів України порядок віднесення об’єктів до критичної інформаційної інфраструктури держави та перелік таких об’єктів. • Протягом 2014-2015 років; організувати та провести оцінку стану захищеності державних інформаційних ресурсів об’єктів, що належать до критичної інформаційної інфраструктури держави (згідно з процедурою оцінки стану захищеності).
  • 10. Unifying the Global Response to Cybercrime Захист АСУ ТП. Крок 1. Підвищення освіченості. В переліку нижче наводяться корисні стандарти для захисту критичної інфраструктури:  http://www.isaca.org/chapters2/latvia/events/Documents/Rudens%20konference%202012/04%20-%20Andris%20Laucins%20- %20SCADA.pdf  http://www.isaca.org/Journal/Past-Issues/2010/Volume-4/Documents/10v4-online-security-of.pdf  http://www.isaca.org/Journal/Past-Issues/2014/Volume-1/Pages/SCADA-Cybersecurity-Framework.aspx  https://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-infrastructure-and-services/scada-industrial-control- systems  http://www.isaca.org/cobit/pages/info-sec.aspx?utm_medium=event-tradeshow&utm_source=insights-brochure-25-june- 2012&utm_campaign=cobit5-for-is&utm_content=cobit  http://www.isaca.org.ua/index.php/homepage/download/category/2-standards?download=1:cobit-4-1-ukr  https://www.owasp.org/images/e/e3/OWASP_Top_10_-_2013_Final_Ukrainian.pdf  http://www.isaca.org/Knowledge-Center/Research/Documents/ITAF-3rd-Edition_fmk_Ukr_1214.pdf  ISO 27001 (є адаптований для НБУ стандарт https://kyianyn.files.wordpress.com/2010/12/nbu-27002.pdf)  ISO 27002 ((є адаптований для НБУ стандарт https://kyianyn.files.wordpress.com/2010/12/nbu-27001.pdf)  ISA 99 resources http://isa99.isa.org  Сертифікація з безпеки для замовників АСУ ТП http://www.isasecure.org/en-US/Certification/SSA-Certification В жовтні 2014р. в Києві пройшов семінар НАТО в рамках програми «Наука заради миру» з питань захисту об»єктів критичної інфраструктури від кібер-атак: https://www.facebook.com/NATOarwSCfCI 10
  • 11. Unifying the Global Response to Cybercrime Захист АСУ ТП. Крок 1. Підвищення освіченості. Продовження Чому не працює захист з використанням ізольованої мережі? Зловмисне ПЗ може потрапити до мережі АСУ ТП за допомогою:  інфікованих ноутбуків  інфікованих носіїв (флеш, СД)  несанкціоновані модеми  несанкціоновані точки доступу Wi-Fi  заражене обладнання в ланцюгу постачання  заражені оновлення  тимчасово відкритий доступ для інтеграторів  кряки до піратських версій АСУ ТП 11
  • 12. Unifying the Global Response to Cybercrime Захист АСУ ТП. Крок 2. Створення програми безпеки АСУ ТП Необхідно створити бізнес-кейс для розробки програми безпеки критичних АСУ ТП (аудиту).  окреслити приблизно кількість критичних АСУ ТП, фізичні площадки та інші межі програми.  окреслити загальні кібер-загрози для АСУ ТП  оцінити труд ємкість робіт з розробки програми безпеки критичних АСУ ТП  залучитись підтримкою керівної особи в організації  створити календарний план робіт  затвердити проведення аудиту та розробки програми безпеки АСУ ТП на правлінні організації Організаційна структура  наявність відповідального в правлінні установи за кібернетичну безпеку  наявність комітету з інформаційної безпеки  наявність функції внутрішнього аудиту ІТ Процеси керування  ризиком  доступом  інцидентами  змінами Політики, процедури, інструкції  інформаційної безпеки  етичної поведінки  обов'язки кожного співробітника щодо захисту інформації 12
  • 13. Unifying the Global Response to Cybercrime Захист АСУ ТП. Крок 2. Створення програми безпеки АСУ ТП Освіченість кожного співробітника  постійне навчання  тестування знань Швидкі та дешеві рішення (quick-wins)  сегментація мережі на зони  мінімізація кількості співробітників з правами адміністратора  безпечні налаштування операційних систем та додатків (hardening)  системи захисту проти експлойтів (EMET)  технічне виявлення вразливостей та тести на проникнення Засоби колективної безпеки в галузі  галузева команда реагування на інциденти (CERT) та надання їй правового статуса в законодавчому полі України;  лабораторія з безпеки АСУ ТП  галузеві стандарти з ІТ безпеки АСУ ТП  обмін інформацією про кібер-загрози (вірусами, сигнатурами атак)  база файлів АСУ ТП для перевірки їх цілісності  національна база вразливостей  очищення українського Інтернет  раннє попередження загроз від урядів інших країн у кооперації з державними органами 13
  • 14. Unifying the Global Response to Cybercrime Захист АСУ ТП. Ключові елементи безпеки Зони безпеки є ключовим елементом згідно ідеології ІСА99. 14
  • 15. Unifying the Global Response to Cybercrime Захист АСУ ТП. ISO 27001 Стандарти ІСА99 базуються на ідеології ISO27001. 15
  • 16. Unifying the Global Response to Cybercrime Захист АСУ ТП. ISO 27001 (продовження) Стандарти ІСА99 базуються на ідеології ISO27001. 16
  • 17. Unifying the Global Response to Cybercrime Захист АСУ ТП. Cobit 5. Процеси. 17
  • 18. Unifying the Global Response to Cybercrime Захист АСУ ТП. Cobit 5. Каскад цілей та ключові фактори. 18