ENDERU

Безпека промислових ІТ і ОТ

Безпека промислових інформаційних технологій (ІТ) і операційних технологій (ОТ): систем управління промисловими процесами (Industrial Control System, ICS), автоматизованих систем диспетчерського управління та збору даних (АСДУ, Supervisory Control And Data Acquisition, SCADA), автоматизованих систем управління технологічними процесами (АСУ ТП)

Ми надаємо послуги аудиту, впровадження та тренінгів з промислової безпеки ІТ/ОТ у партнерстві з AT Engineering (ATE). Це команда інженерів з програмного забезпечення, електротехніки та промислових процесів, яка спеціалізується у галузі промислової автоматизації. Досвід промислової автоматизації та програмного забезпечення співробітників ATE починається з 1995 року та включає більш ніж 120 завершених проектів. З 2005 року командою було реалізовано понад 80 проектів із середнім навантаженням 500 людино-годин кожен.

Наші міжнародні сертифікати з промислової безпеки ИТ/ОТ — це ISA CFS та CRS (ISA/IEC 62443). Нашими міжнародними сертифікатами з загальної інформаційної безпеки є ISC2 CISSP та SSCP, ISACA CISA, Offensive Security OSCP, EC-Council CEH, ISO 27001 Audit/Implementation та інші.

Дізнайтеся більше про промислові проблеми, які ми вирішуємо, про методи та інструменти, які ми застосовуємо, про бізнес-цінності наших сервісів, а також про опції та результати наших сервісів.

Зображення на тему безпеки промислових ІТ  

Проблеми промислових ІТ/ОТ-систем

Приклади технічних вразливостей безпеки, організаційних недоліків і загроз безпеки промислових ІТ/ОТ-систем, які ми виявляли в ході декількох проектів:

  • Надмірний доступ персоналу, що обслуговує, або субпідрядників до SCADA-машин або ПЛК.
  • Несанкціоноване підключення (тимчасове, налагоджувальне, тощо) промислових мереж Ethernet до інших заводських або офісних мереж.
  • Несанкціоноване підключення модемів або маршрутизаторів WiFi/GPRS/3G до промислових комутаторів.
  • Несанкціоноване копіювання або модифікація промислового програмного забезпечення електриками або механіками, які мають фізичний доступ до промислових комп'ютерів.
  • ПЛК використовують Profibus, Modbus, CAN, Profinet або інші шини для зв'язку з віддаленими пристроями введення-виведення та підлеглими пристроями. Ці шини часто можуть бути використані для програмування ПЛК. Таким чином, неавторизований користувач, який має доступ до мережі, може скопіювати та/або змінити програму ПЛК.
  • Підходи Industry 4.0 вимагають підключення до Інтернету, що різко збільшує ризики безпеки.
  • Ентропійні загрози та вразливості. Втрата вихідних кодів і документації протягом багатьох років, неправильне управління змінами, тощо.
  • Перехід на автоматизацію ПЛК на базі ПК збільшує ризики безпеки. Уразливості є як специфічними для контролера (SoftPLC, тощо), так і загальними для операційних систем.
  • Нещасні випадки та саботаж на промисловому підприємстві можуть привести до серйозних руйнувань, збитків навколишнього середовища, збитків репутації, судових процесів, штрафів, а також до травм і навіть смерті людей.
  • Використання тільки сегментації мережі та ігнорування інших заходів безпеки (управління фізичним та логічним доступом на всіх рівнях, управління конфігураціями, моніторинг подій безпеки, оновлення програмного забезпечення та операційних систем, антивіруси, брандмауери, правила безпеки для користувачів, політика паролів, тощо) з часом призводять до постійного накопичення проблем безпеки.
 

Бізнес-цінності послуг промислової безпеки


  1. Загальні переваги ІТ-безпеки: захист репутації, конфіденційної інформації та авторських прав, забезпечення безперервності бізнесу, тощо.
  2. Фізична безпека, включаючи безпеку при військових діях та терористичних актах
  3. Запобігання штрафам
  4. Сприяння оновленню до Industrie 4.0 — конкурентна перевага наших клієнтів

Не соромтеся натискати кнопку нижче для отримання консультації з сервісів промислової ІТ-безпеки.




 

Методи та інструменти

Для представлення рівня нашої компетенції та ерудиції нижче перераховано методи та інструменти, які ми застосовуємо у повсякденній роботі.

При аудитах, консультаціях та впровадженні у галузі безпеки технологічних процесів, операцій, обладнання та програмного забезпечення промислових ІТ/ОТ ми використовуємо такі нормативні документи, фреймворки та методології:

  • ISO/IEC 27001, VDA/TISAX
  • ISA99, ISA/IEC 62443
  • North American Electric Reliability Corporation (NERC) Reliability and Security Guidelines
  • NIST SP 800-82 Guide to Industrial Control Systems (ICS) Security, NIST Framework for Improving Critical Infrastructure Cybersecurity
  • DHS guidelines for critical infrastructure protection and the Critical Infrastructure Protection framework

В галузі оцінки та впровадження безпеки ОТ ми працюємо на рівні конкретних вендорів. Наприклад, з ПЛК Siemens ми працюємо за допомогою Step7 і TIA Portal, з обладнанням Schneider Electric — за допомогою Concept, UnityPro та SoMachine, з Mitsubishi — за допомогою GX Works, з Omron — за допомогою CXOne, з Carel — за допомогою 1tool, з Wago — за допомогою CoDeSys.

В екстрених випадках, коли мова йде про запобігання великому матеріальному збитку від інциденту безпеки, ми здатні виконувати зворотню інженерію не тільки коду промислового програмного забезпечення, але й пропрієтарних промислових протоколів.

Безпеку комутаторів і комп'ютерів SCADA ми оцінюємо та забезпечуємо загальними автоматичними та напівавтоматичними інструментами (бази даних і сканери вразливостей, експлоїти, IDS, IPS, EDR, SIEM, SOAR, тощо) зі спеціальною конфігурацією, а також ми робимо ручний аналіз SCADA-скриптів та інших вихідних кодів в режимі «білий ящик».

 
Варіанти послуг промислової безпеки
  1. Аудит та оцінка безпеки промислової ІТ/ОТ-інфраструктури >>
    може допомогти виявити всі проблеми, згадані вище, а також інші загрози та вразливості безпеки. Крім того, ми оцінюємо фізичну безпеку: двері, замки, вікна, контроль доступу, відеоспостереження, системи захисту від вторгнень, тощо. Рекомендації з логічної та фізичної безпеки включаються у кожен звіт з оцінки безпеки.
  2. Аудит та оцінка безпеки SCADA-систем >>
    Програмне забезпечення SCADA має свої специфічні вразливості. Рівні контролю доступу та адміністрування користувачів часто можуть бути покращені для цих систем. Призначений для користувача програмний код додає певні вразливості, які не можуть бути виявлені звичайними сканерами вразливостей, але можуть бути знайдені вручну.
  3. Впровадження та підвищення безпеки промислових ІТ/ОТ-систем >>
    Рекомендації оцінок, перевірок та аудитів безпеки реалізуються у рамках окремих проектів. Ми виконуємо безшовний рефакторинг систем. Ми розробляємо та впроваджуємо фізичні та логічні засоби управління безпекою у виробниче середовище.
  4. Управління аварійним відновленням та безперервністю бізнесу на промислових підприємствах >>
    Для запобігання збоям під час впровадження заходів безпеки або інших змін приймаються прості заходи забезпечення безперервності операцій. Ми використовуємо різні методи забезпечення якості: моделювання, проміжне тестування середовища, модульне тестування, резервне копіювання програмного та апаратного забезпечення, тощо. Для підприємств з безперервним циклом та іншими критично важливими процесами ми розробляємо, тестуємо та впроваджуємо комплексні програми забезпечення безперервності. Результати включають в себе звіти з оцінки ризиків, звіти з аналізу впливу на бізнес, практичні плани, стратегії усунення наслідків і відновлення, політики, поліпшення комунікацій та готовності персоналу до стихійних лих і надзвичайних ситуацій.
  5. Навчання персоналу на промислових підприємствах  >>
    має вирішальне значення для безпеки будь-якого підприємства. Промислові підприємства відрізняються тим, що в них задіяні різні рівні безпеки, стандарти та процедури різних постачальників і підрядників. Ми розробляємо та впроваджуємо різні заходи щодо підвищення обізнаності та управління поведінкою персоналу для гармонізації різних культур безпеки. Внутрішній та зовнішній персонал повинні однаково розуміти вимоги та очікування безпеки. Заходи включають у себе тренінги, семінари, тести, ресурси внутрішньої мережі, відеофрагменти, плакати, тощо, але не обмежуються ними.
Результати сервісів промислової безпеки
  • Звіти про виконані оцінки, перевірки та аудити безпеки
  • Ризики оцінено, та значення очікуваних річних втрат розраховано
  • Плани обробки ризиків розроблено та узгоджено
  • Покращено та піддано рефакторингу документацію, апаратне та програмне забезпечення
  • Упроваджено логічні та фізичні заходи безпеки
  • Проінструктовано та протестовано персонал
  • Політики та процедури розроблено та уніфіковано
  • Належну промислову інформаційну безпеку впроваджено, ризики та втрати знижено до прийнятного рівня

Ми захоплені тим, що робимо, бо віримо, що робимо цей світ безпечнішим і надаємо впевненість людям.




Хто ми, що робимо та що пропонуємо.

Про тести на проникнення.


Наші сертифікати:

(ISC)2
CISSP
ISACA
CISA
CISM
Offensive Security
OSCP
PECB
LPTP
Microsoft
Qualys
BSI