ENDEUA

Безопасность промышленных ИТ и ОТ

Безопасность промышленных информационных технологий (ИТ) и операционных технологий (ОТ): систем управления промышленными процессами (Industrial Control System, ICS), автоматизированных систем диспетчерского управления и сбора данных (АСДУ, Supervisory Control And Data Acquisition, SCADA), автоматизированных систем управления технологическими процессами (АСУ ТП)

Мы предоставляем услуги аудита, внедрения и обучения безопасности промышленных ИТ/ОТ в партнёрстве с AT Engineering (ATE). Это команда инженеров по программному обеспечению, электротехнике и промышленным процессам, которая специализируется в области промышленной автоматизации. Опыт промышленной автоматизации и программного обеспечения сотрудников ATE начинается с 1995 года и включает более чем 120 завершённых проектов. С 2005 года командой было реализовано более 80 проектов со средней нагрузкой в 500 человеко-часов каждый.

Наши международные сертификаты по промышленной безопасности ИТ/ОТ — это ISA CFS и CRS (ISA/IEC 62443). Нашими международными сертификатами по общей информационной безопасности являются ISC2 CISSP и SSCP, ISACA CISA, Offensive Security OSCP, EC-Council CEH, ISO 27001 Audit/Implementation и другие.

Узнайте больше о промышленных проблемах, которые мы решаем, о методах и инструментах, которые мы применяем, о бизнес-ценностях наших сервисов, а также об опциях и результатах наших сервисов.

Изображения на тему безопасности промышленных ИТ  

Проблемы промышленных ИТ/ОТ-систем

Примеры технических уязвимостей безопасности, организационных недостатков и угроз безопасности промышленных ИТ/ОТ-систем, которые мы обнаруживали в ходе нескольких проектов:

  • Чрезмерный доступ обслуживающего персонала или субподрядчиков к SCADA-машинам или ПЛК.
  • Несанкционированное подключение (временное, отладочное и т.д.) промышленных сетей Ethernet к другим заводским или офисным сетям.
  • Несанкционированное подключение модемов или маршрутизаторов WiFi/GPRS/3G к промышленным коммутаторам.
  • Несанкционированное копирование или модификация промышленного программного обеспечения электриками или механиками, которые имеют физический доступ к промышленным компьютерам.
  • ПЛК используют Profibus, Modbus, CAN, Profinet или другие шины для связи с удаленными устройствами ввода-вывода и подчиненными устройствами. Эти шины часто могут быть использованы для программирования ПЛК. Таким образом, неавторизованный пользователь, имеющий доступ к сети, может скопировать и/или изменить программу ПЛК.
  • Подходы Industry 4.0 / Industrial Internet of Things (IIoT) требуют подключения к Интернету, что резко увеличивает риски безопасности.
  • Энтропийные угрозы и уязвимости. Потеря исходных кодов и документации на протяжении многих лет, неправильное управление изменениями и т. д.
  • Переход на автоматизацию ПЛК на базе ПК увеличивает риски безопасности. Уязвимости являются как специфичными для контроллера (SoftPLC и т. д.), так и общими для операционных систем.
  • Несчастные случаи и саботаж на промышленном предприятии могут привести к серьёзным разрушениям, ущербу окружающей среды, ущербу репутации, судебным процессам, штрафам, а также к травмам и даже смерти людей.
  • Использование только сегментации сети и игнорирование других мер безопасности (управление физическим и логическим доступом на всех уровнях, управление конфигурациями, мониторинг событий безопасности, обновление программного обеспечения и операционных систем, антивирусы, брандмауэры, правила безопасности для пользователей, политика паролей и т.д.) приводят к постоянному накоплению проблем безопасности со временем.
 

Бизнес-ценности услуг промышленной безопасности


  1. Общие преимущества ИТ-безопасности: защита репутации, конфиденциальной информации и авторских прав, обеспечение непрерывности бизнеса и т. д.
  2. Физическая безопасность, включая безопасность при военных действиях и террористических актах
  3. Предотвращенные штрафов
  4. Содействие обновлению до Industrie 4.0 — конкурентное преимущество наших клиентов

Не стесняйтесь нажимать кнопку ниже для получения консультации по сервисам промышленной ИТ-безопасности.




 

Методы и инструменты

Для представления уровня нашей компетенции и эрудиции ниже перечислены методы и инструменты, которые мы применяем в повседневной работе.

При аудитах, консультациях и внедрении в области безопасности технологических процессов, операций, оборудования и программного обеспечения промышленных ИТ/ОТ мы используем следующие стандарты, фреймворки и методологии:

  • ISO/IEC 27001, VDA/TISAX
  • ISA99, ISA/IEC 62443
  • North American Electric Reliability Corporation (NERC) Reliability and Security Guidelines
  • NIST SP 800-82 Guide to Industrial Control Systems (ICS) Security, NIST Framework for Improving Critical Infrastructure Cybersecurity
  • DHS guidelines for critical infrastructure protection and the Critical Infrastructure Protection framework

В области оценки и внедрения безопасности ОТ мы работаем на уровне конкретных вендоров. Например, с ПЛК Siemens мы работаем с помощью Step7 и TIA Portal, с оборудованием Schneider Electric — с помощью Concept, UnityPro и SoMachine, с Mitsubishi — с помощью GX Works, с Omron — с помощью CXOne, с Carel — с помощью 1tool, с Wago — с помощью CoDeSys.

В экстренных случаях, когда речь идёт о предотвращении большого материального ущерба от инцидента безопасности, мы способны выполнять обратную инженерию не только кода промышленного программного обеспечения, но и проприетарных промышленных протоколов.

Безопасность коммутаторов и компьютеров SCADA мы оцениваем и обеспечиваем общими автоматическими и полуавтоматическими инструментами (базы данных и сканеры уязвимостей, эксплоиты, IDS, IPS, EDR, SIEM, SOAR и т. д.) со специальной конфигурацией, а также мы делаем ручной анализ SCADA-скриптов и других исходных кодов в режиме «белый ящик».

 
Варианты услуг промышленной безопасности
  1. Аудит и оценка безопасности промышленной ИТ/ОТ-инфраструктуры >>
    может помочь выявить все проблемы, упомянутые выше, а также другие угрозы и уязвимости безопасности. Кроме того, мы оцениваем физическую безопасность: двери, замки, окна, контроль доступа, видеонаблюдение, системы защиты от вторжений и т. д. Рекомендации по логической и физической безопасности включаются в каждый отчет об оценке безопасности.
  2. Аудит и оценка безопасности SCADA-систем >>
    Программное обеспечение SCADA имеет свои специфические уязвимости. Уровни контроля доступа и администрирование пользователей часто могут быть улучшены для этих систем. Пользовательский программный код добавляет определенные уязвимости, которые не могут быть обнаружены обычными сканерами уязвимостей, но могут быть найдены вручную.
  3. Внедрение и повышение безопасности промышленных ИТ/ОТ-систем >>
    Рекомендации оценок, проверок и аудитов безопасности реализуются в рамках отдельных проектов. Мы выполняем бесшовный рефакторинг систем. Мы разрабатываем и внедряем физические и логические средства управления безопасностью в производственную среду.
  4. Управление аварийным восстановлением и непрерывностью бизнеса на промышленных предприятиях >>
    Для предотвращения сбоев во время внедрения мер безопасности или других изменений принимаются простые меры обеспечения непрерывности операций. Мы используем различные методы обеспечения качества: моделирование, промежуточное тестирование среды, модульное тестирование, резервное копирование программного и аппаратного обеспечения и т.д. Для предприятий с непрерывным циклом и другими критически важными процессами мы разрабатываем, тестируем и внедряем комплексные программы обеспечения непрерывности. Результаты включают в себя отчеты об оценке рисков, отчеты об анализе воздействия на бизнес, практические планы, стратегии устранения последствий и восстановления, политики, улучшение коммуникаций и готовности персонала к стихийным бедствиям и чрезвычайным ситуациям.
  5. Обучение персонала на промышленных предприятиях >>
    имеет решающее значение для безопасности любого предприятия. Промышленные предприятия отличаются тем, что в них задействованы разные уровни безопасности, стандарты и процедуры разных поставщиков и подрядчиков. Мы разрабатываем и внедряем различные меры по повышению осведомленности и управлению поведением персонала для гармонизации различных культур безопасности. Внутренний и внешний персонал должны одинаково понимать требования и ожидания безопасности. Меры включают в себя тренинги, семинары, тесты, ресурсы внутренней сети, видеофрагменты, плакаты и т. д, но не ограничиваются ими.
Результаты сервисов промышленной безопасности
  • Отчеты о выполненных оценках, проверках и аудитах безопасности
  • Риски оценены, и значения ожидаемых годовых потерь рассчитаны
  • Планы обработки рисков разработаны и согласованы
  • Улучшенные и подвергнутые рефакторингу документация, аппаратное и программное обеспечение
  • Внедрённые логические и физические меры безопасности
  • Проинструктированный, обученный и протестированный персонал
  • Политики и процедуры разработаны и унифицированы
  • Надлежащая промышленная информационная безопасность внедрена, риски и потери снижены до приемлемого уровня

Мы увлечены тем, что делаем, потому что верим, что делаем этот мир безопаснее и придаём уверенность людям.




Кто мы, что делаем и что предлагаем.

О тестах на проникновение.


Наши сертификаты:

(ISC)2
CISSP
ISACA
CISA
CISM
Offensive Security
OSCP
PECB
LPTP
Microsoft
Qualys
BSI