Верхнее

Кибербезопасность

Статистика инцидентов и аналитика по кибербезопасности АСУ ТП

В этом месяце вышло сразу три аналитических исследования по теме кибербезопасности промышленных систем автоматизации и управления от отечественных компаний: от Позитив Текнолоджиз, Лаборатории Каперского и Диджитал Секьюрити. Посмотрим, о чём же в них идёт речь.


«Безопасность АСУ ТП в цифрах — 2016» от Позитив Текнолоджиз

PDF, статья на Хабре

Специалисты Позитив Текнолоджиз изучили открытые источники (базы) с информацией об обнаруженных уязвимостях в различных компонентах АСУ ТП, а так же осуществили поиск и изучение компонентов АСУ ТП, доступных из сети Интернет. В отчёте отмечается сохранение из года в год числа обнаруживаемых уязвимостей на высоком уровне (около 200), при этом почти половина (47%) уязвимостей имеют «высокую степень риска», а вот процент оперативно устранённых производителями уязвимостей крайне низок (52% вовсе неисправлены либо об их исправлении не сообщается). При этом, хотя и отмечается, что только 5% известных уязвимостей имеют опубликованные эксплойты, всё же пугающей строкой указано, что «Среди найденных в сети Интернет компонентов АСУ ТП только около половины можно условно назвать защищенными«.


«Кибербезопасность промышленных систем: ландшафт угроз» от Лаборатории Касперского

ссылка, PDF со статистикой по уязвимостям, PDF со статистикой по доступности через Интернет 

Данный отчёт похож на отчёт от Позитив Текнолоджиз как две капли воды: те же источники, те же методы исследования, примерно те же диаграммы. Цифры чуть расходятся разве что. Собственно, не собираюсь решать, кто тут плагиатор и есть ли он вообще, но итоговые выводы примерно совпадают, а значит, к результатам, полученным двумя независимыми группами исследователей, доверия ещё больше. К слову, материалы Лаборатории Касперского явно больше рассчитаны на англоговорящую аудиторию: оба PDF с подробностями исключительно на английском языке, да и в русском варианте отчёта на картинках иностранные слова — даже поленились перевести.


«Безопасность железных дорог из открытых источников» от Диджитал Секьюрити

статья на Хабре

Словно бы в пику Позитив Текнолоджиз, которая совсем недавно начала открыто говорить о своих успехах в деле повышения киберзащищённости российских железных дорого, их извечные коллеги из Диджитал Секьюрити выпустили исследование на основе открытых источников, в котором подробно рассмотрели устройство современных поездов и возможные векторы атак на них. Статистики какой-либо не приводится — скорее демонстрируется экспертиза автора и готовность, если дадут, проводить уже практические эксперименты.


Инциденты кибербезопасности в АСУ ТП

Все три материала, конечно, интересные, но, в целом, они говорят лишь о гипотетических рисках. Мне очень нравится вот эта gif-картинка, объясняющая риск (Risk) через совокупность угрозы (Threat), уязвимости (Vulnerability) и последствий (Consequence) и, в частности, наглядно показывающая, что без потенциальных негативных последствий нет смысла говорить о риске.

Risk = Threat x Vulnerability x Consequence

Risk = Threat x Vulnerability x Consequence

Информацию о негативных последствиях же в АСУ ТП и даже просто о каких-либо инцидентах в открытых источника найти не так просто. Все встречающиеся мне в СМИ упоминания инцидентов в областях ИБ АСУ ТП и интернета вещей коллекционирую на площадке Blogspot (чтобы не захламлять основной блог) в публикациях с соответствующим тегом: http://zlonov.blogspot.ru/search/label/[инцидент] Легко можно убедиться, что их мало, технических подробностей почти никогда нет, да и сама классификация, т.е. корректность отнесения именно к ИБ АСУ ТП, чаще всего тоже спорная.

Пожалуй, одним из немногих источников подобного рода информации является ежегодный отчёт ICS-CERT, в котором они раскрывают обезличенные статистические данные о произошедших инцидентах.

Самые свежие данные сейчас доступны за 2015 год, они были опубликованы в отчёте ICS-CERT за ноябрь-декабрь 2015. Анализировался фискальный год — с октября 2014 по сентябрь 2015. Всего за это период было обработано 295 различных уведомлений об инцидентах в критических инфраструктурах на территории США.

Инциденты в АСУ ТП по отраслям в 2015 году

Инциденты в АСУ ТП по отраслям в 2015 году

Треть инцидентов пришлось на критическое производство (Critical Manufacturing), что значительно больше, чем в прошлые периоды. Причина: прокатившаяся в 2015 году серия адресных фишинговых атак против организаций этого сектора.

Дополнительно приведена статистика по техникам, которые использовались при попытках проникновения. Примечательно, что в 38% случаев информации для выявления причины инцидента было недостаточно.

Инциденты в АСУ ТП по типам атак в 2015 году

Инциденты в АСУ ТП по типам атак в 2015 году

Наконец, третья диаграмма показывает насколько глубоко удалось злоумышленникам проникнуть в инфраструктуру владельца АСУ ТП. 69% атак были успешно отбиты либо сами по себе не получились (хотя попытка была зафиксирована). Тем не менее, в 12% случаев признаки проникновения были обнаружены на самом нижнем из рассматриваемых уровней — в сетях систем управления.

Глубина проникновения при инцидентах в АСУ ТП в 2015 году

Глубина проникновения при инцидентах в АСУ ТП в 2015 году

Понятно, что ICS-CERT знает далеко не обо всех инцидентах — каждый владелец критического объекта самостоятельно решает, сотрудничать с ними или нет, обязательных требований по разглашению не установлено. Вместе с тем, многие предпочитают делиться информацией об инцидентах в обмен на помощь со стороны специалистов ICS-CERT. Полная анонимность при этом гарантируется.


У нас пока о подобном (раскрытие информации об инцидентах) можно только мечтать. Каждый сам за себя и борется с угрозами самостоятельно. Хорошо, что хотя бы в финансовой отрасли есть определённые положительные изменения (ЦБ потребовал киберзащиты), глядишь, в случае успешности, подобную практику и для промышленных систем применят. Должна же (хочется верить) ГосСОПКА в итоге как-то заработать.


Другие отчёты ICS-CERT:

, , , , , , , ,