Железный ад, или бег на месте
-
Upload
ilya-medvedovsky -
Category
Technology
-
view
393 -
download
3
description
Transcript of Железный ад, или бег на месте
Железный ад, или Бег на месте
Илья Медведовскийк. т. н. Директор Digital Security
Почему безопасность АСУ ТП буксует?
© 2002—2014, Digital Security
Железный ад, или Бег на месте
2
Твоя моя не понимать
© 2002—2014, Digital Security
Железный ад, или Бег на месте
3
• Инженеры не понимают ИБ• ИБ не понимают инженеров
Твоя моя не понимать
© 2002—2014, Digital Security
Железный ад, или Бег на месте
4
• ИТ-интеграторы не понимают в промышленной автоматике• Интеграторы по промышленной автоматике не понимают в
ИБ
Твоя моя не понимать
© 2002—2014, Digital Security
Железный ад, или Бег на месте
5
• ИБ-вендоры не понимают в промышленной автоматике• Вендоры по промышленной автоматике не понимают в ИБ
Вендор: уязвимость, да и ладно
© 2002—2014, Digital Security
Железный ад, или Бег на месте
• Вендоры промышленной автоматики не хотят исправлять уязвимости
‒ Siemens и Schneider Electric – приятное исключение• Чем ниже уровнем уязвимость – тем меньше желание ее
исправлять
6
Заказчик: работает – не трогай
© 2002—2014, Digital Security
Железный ад, или Бег на месте
• Менять что-то дорого и сложно‒ Нет резервирования‒ Нет глубокого понимания часто у самих инженеров‒ Зоопарк систем от MS-DOS до XP и VAХ‒ Датчики 80-х годов рядом с последними контроллерами
7
Заказчик: зачем?
© 2002—2014, Digital Security
Железный ад, или Бег на месте
• А зачем нам заниматься ИБ АСУ ТП? Механические контроли защитят систему
8
Заказчик: кто?
© 2002—2014, Digital Security
Железный ад, или Бег на месте
• Непонятно, кто отвечает за ИБ АСУ ТП
9
Заказчик: вывод
© 2002—2014, Digital Security
Железный ад, или Бег на месте
Нет мотивации
10
Что делать? Регулятор
© 2002—2014, Digital Security
Железный ад, или Бег на месте
• Создать мотивацию и заставить владельцев критичных объектов АСУ ТП заниматься их безопасностью
11
Что делать? Заказчик
© 2002—2014, Digital Security
Железный ад, или Бег на месте
• Необходимо, чтобы на заводе была отдельная служба, отвечающая за безопасность и внутренний аудит инфраструктуры АСУ ТП, как это происходит на Западе.
• Громко проявлять недовольство и давить на вендоров, заставляя их исправлять уязвимости
• Проводить внешние аудиты защищенности инфраструктуры АСУ ТП
• Соответствовать нормативным требованиям регулятора
12
www.dsec.ru [email protected]
Digital Security в Москве: (495) 223-07-86
Digital Security в Санкт-Петербурге: (812) 703-15-47
© 2002—2014, Digital Security 13
Спасибо за внимание!Вопросы?