Железный ад, или бег на месте

Железный ад, или Бег на месте

Илья Медведовскийк. т. н. Директор Digital Security

Почему безопасность АСУ ТП буксует?

© 2002—2014, Digital Security


2

Твоя моя не понимать



3

• Инженеры не понимают ИБ• ИБ не понимают инженеров




4

• ИТ-интеграторы не понимают в промышленной автоматике• Интеграторы по промышленной автоматике не понимают в

ИБ




5

• ИБ-вендоры не понимают в промышленной автоматике• Вендоры по промышленной автоматике не понимают в ИБ

Вендор: уязвимость, да и ладно



• Вендоры промышленной автоматики не хотят исправлять уязвимости

‒ Siemens и Schneider Electric – приятное исключение• Чем ниже уровнем уязвимость – тем меньше желание ее

исправлять

6

Заказчик: работает – не трогай



• Менять что-то дорого и сложно‒ Нет резервирования‒ Нет глубокого понимания часто у самих инженеров‒ Зоопарк систем от MS-DOS до XP и VAХ‒ Датчики 80-х годов рядом с последними контроллерами

7

Заказчик: зачем?



• А зачем нам заниматься ИБ АСУ ТП? Механические контроли защитят систему

8

Заказчик: кто?



• Непонятно, кто отвечает за ИБ АСУ ТП

9

Заказчик: вывод



Нет мотивации

10

Что делать? Регулятор



• Создать мотивацию и заставить владельцев критичных объектов АСУ ТП заниматься их безопасностью

11

Что делать? Заказчик



• Необходимо, чтобы на заводе была отдельная служба, отвечающая за безопасность и внутренний аудит инфраструктуры АСУ ТП, как это происходит на Западе.

• Громко проявлять недовольство и давить на вендоров, заставляя их исправлять уязвимости

• Проводить внешние аудиты защищенности инфраструктуры АСУ ТП

• Соответствовать нормативным требованиям регулятора

12

www.dsec.ru [email protected]

Digital Security в Москве: (495) 223-07-86

Digital Security в Санкт-Петербурге: (812) 703-15-47

© 2002—2014, Digital Security 13

Спасибо за внимание!Вопросы?

http://www.dsec.ru/

mailto:[email protected]

Железный ад, или бег на месте

Technology

digital security

msdos xp va

siemens schneider electric