В рамках Positive Tech Press Club: «Кибербезопасность промышленных предприятий» был представлен ТОП наиболее актуальных для промышленности киберугроз, прогнозы по развитию отечественного рынка защиты технологического сегмента предприятий от кибератак и оценки места Positive Technologies на нём, а также продемонстрирована новая версия решения Positive Technologies для анализа трафика сетей АСУ ТП – PT Industrial Security Incident Manager*.
В процессе диалога CISO CLUB уточнил, как обосновать необходимость внедрения средств защиты АСУ ТП бизнесу компании. Мы задали следующий вопрос: «Вы говорили про защиту АСУ ТП. Но часто возникает вопрос – как правильно обосновать необходимость внедрения средств защиты АСУ ТП бизнесу компании? Катастрофа может наступить, а может и не наступить. Последствия с точки зрения финансов, рисков и прочего могут быть абсолютно разными. Поделитесь методиками оценки стоимости «полезности» решения от внедрения против затрат на внедрение, а также обоснованием сделки перед топ-менеджментом».
Алексей Анастасьев, руководитель направления по развитию бизнеса в промышленном секторе и ТЭК, Positive Technologies: «Да, спасибо, хороший вопрос. Естественно, вот всё наше мероприятие, The Standoff, которое сейчас проходит в онлайне, оно и является, если говорить в общем, ответом на этот вопрос. Да, конечно, топ-менеджерам и руководителям предприятий подчас тема информационной безопасности не близка и не понятна. И для того, чтобы она стала понятной, мы как раз пытаемся вести диалог в терминах недопустимых событий. Те недопустимые риски, которые видит бизнес, и которые для бизнеса являются критичными, могут быть определены руководством компании и топ-менеджментом. Поэтому здесь ответом на вопрос является как раз риск-ориентированный подход.
Если смотреть на наше отставание от более прогрессивных стран в этом плане, то мы еще не смогли адаптировать этот риск-ориентированный подход в той мере, в которой он адаптирован, например, на Западе. В первую очередь, здесь надо говорить о рисках – понимая те недопустимые события, которые не должны произойти, именно на них нужно ориентироваться, разрабатывая проекты защиты, проекты информационной безопасности компании. Затем надо сопоставлять стоимость этих проектов и этих решений с той оценкой рисков, которые могут произойти, и с убытками, с которыми потенциально может столкнуться компания.
Роман Краснов, эксперт по информационной безопасности промышленных систем, Positive Technologies: «Если кто-то не верит, что у него завтра начнется «война», то это только его проблема и только его риск, который он принимает. Можно много чего придумать, к чему может привести такая «война». Оценка рисков – это крайне важно. Их должны учитывать владельцы компаний, владельцы объектов, государство в целом. Это все про риски и иначе никак».
Биографии спикеров:
*Справка про PT Industrial Security Incident Manager: это программно-аппаратный комплекс глубокого анализа технологического трафика. Обеспечивает поиск следов нарушений информационной безопасности в сетях АСУ ТП, помогает на ранней стадии выявлять кибератаки, активность вредоносного ПО, неавторизованные действия персонала (в том числе злоумышленные) и обеспечивает соответствие требованиям законодательства (187-ФЗ, приказы ФСТЭК № 31, 239, ГосСОПКА). PT ISIM способен выявлять: чтение конфигураций и проектов ПЛК, изменение режима работы ПЛК, изменение проектов ПЛК, изменение уставок тех. процесса, отсутствие реакций систем АСУ ТП на закритические режимы, эксплуатацию уязвимостей, нацеленных на вывод оборудования АСУ ТП из строя.
Преимущества PT Industrial Security Incident Manager:
- Автоматическое обучение и пассивный анализ.
- Контроль нелегитимных подключений к сети АСУ ТП.
- Более 4000 встроенных правил обнаружения нарушений ИБ.
- Простота внедрения и масштабирования.
- Учет специфики предприятия.
- Соответствие требованиям регуляторов.
Новый движок системы PT Industrial Security Incident Manager (PT ISIM) обеспечивает более высокую производительность и расширенные возможности для глубокого анализа промышленных протоколов и трафика технологической сети. Помимо увеличения общей производительности и ускорения отдельных сценариев работы с PT ISIM 3.0 можно решать более сложные задачи выявления аномалий и нарушений безопасности и оперативнее получать от экспертов Positive Technologies актуальные знания об угрозах.
Новая версия поддерживает начатую вендором практику регулярного пополнения базы знаний продукта новыми пакетами экспертизы с актуальными правилами детектирования и индикаторами промышленных угроз (за последние месяцы были добавлены пакеты для обнаружения попыток эксфильтрации данных и туннелирования соединений из АСУ ТП, угроз для оборудования и систем B&R Industrial Automation).
PT ISIM 3.0 также получила обновленный пользовательский интерфейс, позволяющий эффективно исследовать результаты анализа трафика, а также более гибко управлять параметрами работы продукта.
PT ISIM относится к классу промышленных NTA-систем (network traffic analysis) — систем глубокого анализа трафика технологических сетей — обеспечивает выявление признаков реализации атаки на технологическую сеть предприятия различными методами, а также предоставляет дополнительные возможности для анализа инцидентов, обогащения их контекста и реагирования.
Пакеты экспертизы дополняют входящую в PT ISIM базу индикаторов промышленных киберугроз PT ISTI, которая содержит более 4000 сигнатур и правил обнаружения различных атак на оборудование ABB, Emerson, Hirschmann, Schneider Electric, Siemens, Yokogawa и других производителей АСУ ТП.
The Standoff — это киберполигон, на котором ведущие специалисты в области «нападения» (offensive) и «защиты» (defensive) борются друг с другом за ресурсы виртуальной копии нашего мира. На полигоне воссозданы производственные цепочки, бизнес-сценарии и технологический ландшафт, характерные для различных отраслей экономики. На The Standоff 2020 защитникам и атакующим из всего многообразия прототипов реальных компаний будут доступны логистические, транспортные (грузовые и пассажирские перевозки), добывающие и распределительные энергетические инфраструктуры, системы умного городского хозяйства, финансовые, телекоммуникационные структуры и многое другое. Участие в The Standoff позволяет протестировать возможность реализации кибератак и оценить масштабы их последствий в безопасной среде, получить новые знания и практические навыки выявления кибератак и противодействия им, изучить сценарии реагирования на известные и неизвестные риски, исследовать взаимосвязи кибербезопасности и бизнеса.
CISO CLUB - стратегический медиапартнер The Standoff.
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ