Статистика аудитов ИБ АСУ ТП

---

Данный пост перенесён автоматически с предыдущего варианта сайта. Возможны артефакты. Если информация этого поста важна для вас, свяжитесь со мной для получения полного содержимого.

---

Одним из камней преткновения при обсуждении вопросов, связанных с информационной безопасностью промышленных систем, является отсутствие репрезентативной статистики, которая наглядно показывала бы актуальность проблемы.

Информации по реальным инцидентам вообще крайне мало, а уж истории из отечественного опыта можно узнать разве что в кулуарах, да и то под NDA.

Ещё есть аналитика по уязвимостям (на PHDays, например, её приводили Лаборатория Касперского, Positive Technologies) и общего характера, но и это не всегда показывает актуальность. Каждая выявленная уязвимость имеет свою ограниченную область применения и опять же чаще относится к решениям, используемым за рубежом.

Среди основных причин недостатка статистической информации в России мне видятся две: с одной стороны у нас нет обязательных требований для владельцев промышленных объектов по информированию, например, соответствующих органов об инцидентах информационной безопасности, а с другой - число игроков, которые имели бы достаточный для проведения анализа опыт реализации проектов в области ИБ АСУ ТП, крайне ограничено.

Чтобы частично восполнить этот пробел аналитики УЦСБ в рамках серии семинаров по информационной безопасности промышленных систем автоматизации и управления подготовили краткий статистический отчёт по итогам проведённых за последнее время аудитов в предприятиях металлургической отрасли и ТЭК (более 30 предприятий и более 150 действующих АСУ ТП).

Основные выводы по используемым техническим мерам защиты следующие:

• Из технических мер защиты на большинстве (88%) объектов реализованы меры сетевой безопасности (той или иной степени полноты и достаточности). При этом в 17% случаев для АСУ ТП присутствует удалённый доступ и/или доступ из корпоративной сети.
• Встроенные механизмы защиты применяются в основном для ограничения несанкционированного взаимодействия на уровне человек-машина (режим киоска и пр.), на нижнем же уровне (ПЛК) такие механизмы либо не настроены, либо отключены.
• Антивирусная защита иногда применяется (в 25% случаев), но базы почти не обновляются (обновления осуществляются только в 11%).
• Своевременные обновления системного и прикладного ПО встречаются лишь у 8% АСУ ТП.

Некоторые другие выводы на основе проведённых аудитов:

• У всех 100% предприятий присутствует организационно-распорядительная документация.
• Лишь у 15% есть специалисты информационной безопасности на производственных объектах.
• Эффективный контроль выполнения требований ИБ сторонними подрядчиками осуществляется слабо.
• Комплекс мер по физической безопасности в силу наличия требований законодательства и понятных рисков (например, хищение продукции) реализуется практически всегда, но зачастую на общий уровень защищённости информации его наличие никак не влияет.

Презентация полностью:

Реальная защищенность АСУ ТП. Результаты аудитов ИБ. from USSC

Повышение защищённости АСУ ТП требуется практически всегда и результаты проводимых аудитов это наглядно показывают, но не всегда в качестве первоочередных мер требуются именно технические: повысить уровень защищённости часто можно и без приобретения дорогостоящих средств защиты. Правильные компенсирующие меры как раз и позволяет определить аудит информационной безопасности АСУ ТП.

[box type="info" style="rounded"]Остальные презентации с серии семинаров доступны на SlideShare.[/box]

[box type="info" style="rounded"]См. также публикацию по итогам семинара в Москве: УЦСБ. За информационной безопасностью АСУ ТП никто не следит[/box]

--- === @zlonov === ---

---

--- === @zlonov === ---