InfoSecurity Russia 2013, один день из жизни посетителя

В этом году выставка проходила 25-27 сентября (Москва, Крокус Экспо). При выборе дня для посещения, мыслил так: в первый день не все успеют подготовить стенды, а в последний будут потихоньку собираться, скорее всего 2-ой день будет максимальным по эффективности, посмотрел программу докладов и выбрал для себя 26 сентября. Позднее в докладах, неоднократно звучала мысль о том, что 1-ый день выставки обычно для бизнеса, 2-ой и 3-ий для технарей, так что я не прогадал.
Доклады мне были интересней стендов, а потому решил не распылятся и посвятить день секции по информационной безопасности автоматизированных систем управления технологическими процессами (ИБ АСУ ТП). Я не специалист в данной отрасли, но мне был интересен срез на текущий момент.
Оказавшись на выставке с утра, быстро осмотрел все стенды, благо народу почти не было и можно было спокойно прочитать, кто чем занимается, чтобы иметь общее представление. А теперь вперед на доклады!
И вот я в зале G, он небольшой, но уютный, народу не много, занимаю выгодную позицию в одном из первых рядов. Итак, началось.

Вступительное слово делает модератор секций Олег Седов, журналист, редактор специальных и онлайн проектов Intelligent Enterprise. Благодаря ему на протяжении всей серии докладов зал G не отставал от плана выступлений, появлялись интересные вопросы, а его яркие представления спикеров не остались не замеченными слушателями.

Первым выступил Игорь Решетников, заместитель начальника САИТиС компании «Газпром центрремонт» с докладом «Безопасность промышленных объектов. Мнимая и реальная». Признавшись, что название не совсем удачное, он поведал множество примеров из своей профессиональной практики. О конфликте интересов между участниками производства. Цеху нужен удобный способ управления задачами на местах и не отставать от плана производства, специалистам АСУ ТП — чтобы все работало, менеджменту — оперативный мониторинг всех процессов и прибыль. Обоснование необходимости защиты АСУ ТП не только от внешних воздействий, но и от внутренних ошибок системы. Последствия нарушения процесса производства. Простой сценарий из жизни: ошибка в ПО -> поломка инструмента -> отставание от плана производства -> убытки компании. В качестве одного из способов повышения безопасности, разделение уровней АСУ ТП на подсети. Доклад очень понравился, много реальных примеров, живое выступление, практик.

Следующим был Александр Баскаков, РАНХиГС при Президенте РФ «Проблемы разработки проекта стандарта ИБ предприятия на уровне АСУ ТП». Человек науки, рассказал о защите АСУ ТП с точки зрения создания стандарта. Сейчас за рубежом развитие стандарта по защите АСУ ТП заморожено на неопределенный срок, фактически все руководствуются только 20-ю чисто техническими критериями. Современные модели зрелости у нас в России не применяются. Он в составе группы разрабатывает стандарт на основе адаптивной модели зрелости. Эта работа ведется в рамках заказа какого-то предприятия (какого не уточнялось) и, к сожалению, этот стандарт пока является закрытым. Доклад хороший, бодрый, но содержал в себе множество научных терминов, я понял лишь половину его.
Олег Седов задает спикерам вопрос: «С какого уровня должны исходить инициатива по защите АСУ ТП?»
Оба докладчика по очереди по сути отвечают одно и то же, но своими словами. Главная инициатива должна идти от руководства предприятия, владелец бизнеса должен быть заинтересован в защите АСУ ТП, иначе толку от этого не будет. Кроме того должна идти и поощряться инициатива и от остальных участников процесса производства, на которых завязана АСУ ТП.
Перерыв на ланч 25 минут. Пулей лечу к месту, где можно перекусить, благодаря утренней разведке знаю, где оно находится. Разочарование, с едой беда, пожухшая пицца, кексы, чай (только черный), кофе, кола и прочие фанты, сок. Делать нечего, беру кусок пиццы и чай = 220 руб.
Еще один круг по стендам, примечаю, где сколько народу, концентрация людей в центре зала выше, стенды у стен откровенно скучают.

Много народу у стенда нашего «НПО Эшелон», где были и представители нашего партнера компании ОАО «НПО РусБИТех», немало народу на тот момент заметил и у стенда компании «Инфосистемы Джет», на остальных стендах меньше.
Возвращаюсь в зал G пораньше, чтобы снова оказаться в первых рядах, что мне удается, народу после обеда прибавляется, если до него зал был заполнен на половину, то теперь к началу секции все места заняты.

Выступает Алексей Мальнев, начальник отдела защиты КСИИ АМТ-ГРУП с докладом «Новый уровень защиты объектов КСИИ». Предлагается конкретное техническое решение на основе ситуационных центров. Отсюда 2 подзадачи: криптозащита и защита периметра. Основой решения предлагается устройство однонаправленной передачи информации (DataDiode), причем логика этой железки реализована полностью аппаратно, что обеспечивает ее устойчивость от взлома из вне. Для организации канала планируется использовать связку прокси-сервер + аппаратное устройство + прокси-сервер. Так же упоминается документ, по которому вскоре, все энергопроизводители, обязаны будут передавать телеметрию по производству энергии в сервисный центр, обеспечивающий ее хранение, обработку и аналитику в масштабах регионов и страны. Предлагается использовать иерархию энергопроизводители -> ситуационные центры -> сервисный центр. Решение не зависит от вендоров. Доклад был больше рекламного характера, но все равно интересно.

Далее выступил Сергей Гордейчик, технический директор Positive Technologies с докладом «Анализ защищенности АСУ ТП: от 0-day до фрода». Начинает доклад с видео, записанного с рабочего стола, где человек с легкостью получает доступ с АСУ ТП по стандартному логину и паролю. Говорит о смеси АСУ ТП и обычных сетей, о мошенничествах на станциях заправок. «Русские люди изобретательны до бесконечности!» — произносит он. Упоминается статья «SCADA под прицелом: анализ защищенности АСУ ТП» в журнале Хакер от 09.08.2011, где описаны уязвимоти «Каскад-АСУ», недавно один из специалистов по ИБ их проверил, они еще не закрыты. Реклама MaxPatrol’а. В заключение, показал видео про SCADA-систему управления игрушечной железнодорожной станцией, взлом которой был одним из конкурсов на международном форуме Positive Hack Days III прошедшем в этом году. Выступление короткое, яркое, емкое.

Рассказывает Алексей Косихин, руководитель направления по работе с ТЭК Центра информационной безопасности «Инфосистемы Джет», доклад «Практические аспекты обеспечения безопасности АСУ ТП».
Проводят pentest’ы АСУ ТП. Пример из жизни: приходят к начальнику отдела АСУ ТП и просят нарисовать схему системы, получается один вариант, когда начинаю исследовать ее, получается все намного сложнее, бывают лишние элементы, которых быть не должно, к АСУ ТП подключены банкомат, касса в столовой и прочее. В качестве рекомендаций по защите АСУ ТП предлагается: на контроллерах — контроль конфигураций, на диспетчерских станция — раздельная аутентификация, на серверах — контроль целостности. Поведал и о сложностях при создании защиты АСУ ТП. Регуляторы требуют применения сертифицированных средств, что резко сужает выбор элементов системы. Нет пилотных зон для проверки защищенности АСУ ТП все проверяют на «живой» системе. Здесь решают, организацией тестирования во время профилактических работ, отключая сегмент. При создании защиты нужно быль готовым к затратам финансовых ресурсов. Есть сложности с кадрами, людей хорошо разбирающихся в ИБ и АСУ ТП не так много. Длительное время жизни АСУ ТП, тонкая донастройка. Диспетчера часто не знаю своих действий при возникновенни нестандартных ситуаций. Доклад интересен, реальные рекомендации для повышения защищенности.

Далее Дмитрий Косинов, технический консультант Juniper Networks с докладом «Контроль доступа к сетям АСУ ТП». Обзор типовых уровней АСУ ТП, реклама своего решения на основе политик доступа Active Directory. Возможности: аутентификация и проверка конфигурации (патчи, антивирусы и т.д.), доступ с мобильных устройств. Решение является дополнительным уровнем защиты, не требующим изменения текущей инфраструктуры. Доклад не интересен, полностью рекламный.

Следующим был Сергей Рябко, президент Группы компаний «С-Терра», к.ф.-м.н. с докладом «Информационная безопасность АСУ ТП – что было, что будет». В основном рассказывал об опыте «С-Терра» по созданию устройств, связанных с защитой АСУ ТП (видеокамеры с шифрованным потоком на выходе, какие-то железки для контроллеров и прочее. Но никаких универсальных решений у них нет, только мелкие серии, опытные образцы, работа под заказчика. Докладчик в теме, технарь, но много ненавязчивой рекламы и было скучно.

После чего организаторы выставки, наградили представителя АМТ-ГРУП (AMT Group) за активное участие в подготовке секции по защите АСУ ТП.

Далее ораторствовал Дмитрий Дудов, ведущий инженер отдела защиты КСИИ АМТ-ГРУП с докладом «Актуальность ИБ в АСУ ТП: домыслы и действительность». Примеры Stuxnet, Duqu, китайская группировка APT1 (а их в Китае более 20-ти), огромные возможности и ресурсы у военных и правительственных хакеров, ISS X-Force (IBM) нашли в США более 7200 устройств АСУ ТП с выходом в интернет. Примеры, как бывший сотрудник АСУ ТП получил доступ к системе и слил 14 тонн сточных вод в парки и курортную зону. 14-летний школьник, сделал из пульта ДУ, устройство для переключения стрелок трамваев, 4 трамвая сошли с рельсов. Предложения: не противится появления внешних связей АСУ ТП с внешней сетью, если эти связи нужны они все-равно рано или поздно появятся, только будут скрытыми, проще контролировать то, о чем знаешь. Выступление очень понравилось много примеров, но мало практических советов.

Доклад делает Александр Большев, аудитор ИБ Digital Security «Атака на АСУ ТП: от ERP и MES до контроллеров. Уровни АСУ ТП, которые Вы наверняка забыли защитить». Пример, на атомной электростанции во Франции 5 часов была не доступна система мониторинга и контроля, если бы состояние энергоблоков дестабилизировалось, получите второй Чернобыль. Другой пример, хакер нашел АСУ ТП, доступную из интернета, остановил турбину, после чего сотрудники АСУ ТП 10 часов пытались ее запустить. Рассказал о примерах атак из своей практики pentest’ов, с различных уровней (контроллер, диспетчер, менеджмент), протоколы для передачи данных в промышленных сетях разрабатывались давно, и на тот момент об их безопасности не особо заботились, отсюда фундаментальные узявимости. Повествует о прослушке сетей, использующих протокол HART. Дает следующие советы: изоляция уровней АСУ ТП друг от друга, отказ от беспроводных каналов в системе. Много примеров, практик, советы по повышению защищенности.

Далее Дмитрий Михайлов, Novilabsecurity «Обзор уязвимостей систем «умного дома» и автоматизированных систем управления. Основные типы атак и их последствия». Защита АСУ ТП отстает от функционала, многие производители устройств для «умного дома» в погоне за функциональньностью, на защиту закрывают глаза, это дополнительные издержки. Применение для железнодорожных перевозок высокоскоростных поездов (САПСАН), там контроллеры Siemens, по сути это тоже АСУ ТП. Про «умный дом», как правило, это хорошая функциональность, но низкая защищенность от профессиональных воров. 95% вторжений происходит через зараженные флешки. Разработчики ПО и его установщики, также могут организовать закладки. Мерцая простой настольной лампой азбукой Морзе можно передать во вне текущий пароль разблокировки. RFID-метки тоже уязвимы (потери, кражи). Можно подглядывать пароли через видео-камеры. Неплохое выступление, но докладчик явно не уложился в отведенное время и не все успел рассказать. Было интересно.

После чего выступил Игорь Панов, директор по развитию бизнеса Belden Россия, СНГ «Сценарии реализации информационной защиты промышленных объектов: 7 практических советов». В своем выступлении использовал материалы ведущего сотрудника одного из их западных подразделений  (имя и фамилию не уловил).
7 шагов:
1) оценка рисков,
2) разработка стандартов,
3) обучение персонала,
4) формирование сети передачи данных по принципу подводной лодки (изоляция сегментов сети), как один из вариантов — сегментация сети по функциональному признаку объектов, применение промышленных файерволов,
5) контроль доступа,
6) контроль функционала,
7) мониторинг событий ИБ.
Яркий, наполненный практическими советами доклад.

И завершал выступления Андрей Корнеев, руководитель Центра проблем энергетической безопасности Института США и Канады РАН «Информационная безопасность и зарубежный опыт учета человеческого фактора при обеспечения устойчивой работы активно-адаптивных энергетических систем».
Предложения: изменение подходов в управлении, обучении персонала, автоматизация реакции в чрезвычайных ситуациях, ситуационные центры. Моделирование сценариев на АСУ ТП с использованием квантовых компьютеров. Рефлексивное управление. Пример с аварией в Японии. Было две одинаковых электростанции Фокусима-1 и Фокусима-2, катастрофа произошла только на одной, там, где персонал не был готов к такой экстренной ситуации. Развитие высокой внутренней мотивации у персонал и способностей к быстрому принятию решений в экстремальной обстановке, методика перенята у способа подготовки американских летчиков. Взгляд на ИБ АСУ ТП с точки зрения готовности персонала и его способностей, информативно, но насыщено научными терминами.
Все доклады по АСУ ТП завершены, но выставка еще работает. Спешу в зал А, где по графику должны быть доклады по доверенным средам. Бесшумно проникаю в зал, уже кто-то вещает. Выясняется, что регламент выступлений в зале А несильно соблюдался и я попал на секцию «Mobile Security». Так я застал половину выступления Алексея Плешкова, технического эксперта по информационной безопасности «Угрозы для пользователей мобильных устройств. Как не стать жертвой мошенников», он повествует о способах мошенничества и сбора личных данных, дает практические советы как себя обезопасить. Отличный доклад сожалею, что послушал его целиком.
Два следующий доклада из той же секции были полностью рекламными и ничем особо не запомнились (Виктор Викторович Ивановский, заместитель руководителя направления инфраструктурных решений ИБ Softline «Удаленный доступ к информационным ресурсам организации: теперь ваши сотрудники могут работать удобно и безопасно в любом месте» и Карен Карагедян StoneSoft «Обеспечение безопасности удаленного доступа мобильных сотрудников организаций государственного сектора»). Секция закончилась.

Началась секция по доверенным средам, она привлекла мое внимание, т.к. у нас в компании тоже ведется разработка модуля доверенной загрузки МДЗ-Эшелон. Модератором был Роман Кобцев, директор департамента развития и маркетинга ОАО «ЭЛВИС-ПЛЮС». Из-за дефицита времени круглый стол «Доверенная среда как новая парадигма обеспечения безопасности информации» не состоялся. Народу немного, зал большой. Перешли к докладам.

Первым выступал Олег Вернер, руководитель лаборатории доверенной среды ОАО «ЭЛВИС-ПЛЮС» «Эволюция подхода к построению доверенной среды». Говорит об «Радужной серии» (Радужные книги). Это серия стандартов информационной безопасности, разработанная и опубликованная в США в период с 1980 по 1990 гг. Повествует о Trusted Computing Group (TCG) — это некоммерческая группа разрабатывает открытые спецификации Trusted Platform Module (TPM). Фактически это чип для хранения криптографических ключей, из которых генерируются все ключи в системе. На  конференции по компьютерной безопасности Black Hat 2010 было объявлено о взломе чипа Infineon SLE66 CL PE, изготовленного по спецификации TPM. Взлом был произведен в лабораторных условиях, затраты были ощутимы электронный микроскоп (стоимостью около $70000) и уйма времени и сил, оболочку чипа растворили кислотой, а для перехвата команд использовались тончайшие иголки. Внутри чипа 2 ядра, проверяющих результаты вычислений друг друга. Одна из реализаций TPM чип Integrity Guard был рекомендован для электронных паспортов в Германии. Разработчики говорят, что подглядели идею защитных механизмов у живой клетки. Предлагается разработка языка и логики доверия. Например, есть два источника с разным уровнем доверия на данный момент. Как определить общий уровень доверия? Спецификации TPM не стоят на месте, а постоянно эволюционируют. В настоящее время существует множество реализаций спецификации TPM.  Когда есть выбор, это замечательно. Очень интересный доклад.

Дмитрий Ларюшин, Technical Policy Manager, Intel GPP Russia, CIS «Практические аспекты построения доверенной среды. Открытые стандарты или ноу-хау частных компаний?». Рассматривает термины цепочка доверия, корень доверия, говорит о TCG, и ее открытой спецификации TPM, упоминавшийся в предыдущем докладе. Модератор подгоняет, времени на доклад ничтожно мало, хорошее выступление, но слишком мало времени.

Последним без слайдов делает незапланированный доклад Евгений Соколов, компания РОСА (ЗАО «РОСА»), их реализация доверенной среды на open-source для embedded-систем. Это ядро с патчами для систем реального времени. К плюсам использования open-source относит открытый исходный код (всегда можно поправить реализации того, что не устраивает) и модульность (можно выбросить лишнее и добавить недостающее). Снова огорчаюсь, что мало времени. Нас уже выгоняют из аудитории.
Время 18:10, выставка опустела, посетителей нет.
Подведем итоги: срез по ИБ АСУ ТП я получил, захватил кусочек мобильной безопасности и немного просветился о текущих трендах в создании доверенной среды. Замечательный день, сожалею лишь о том, что не успел порасспросить у тех, кто стоял на стендах компаний, что у них есть интересного, но тут как и в жизни нужно ставить приоритеты и выбирать. Я свой выбор сделал.