Всегда ли надо бороться с инцидентом ИБ?

SecOps
Так удачно сложилось, что сегодня у меня на курсе по промышленной ИБ как раз идет тема по реагированию на инциденты, где инструктор рассказывает в чем отличие между этим процессом в обычной ИБ и в промышленной. Ну и по ходу приводит различные кейсы и примеры из жизни. Если коротко, то его идея заключается в следующем — в отличие от «обычного» корпоративного ИТ-мира, в промышленных системах надо в первую очередь оценивать воздействие инцидента на технологический процесс. Есть он? Значит с инцидентом надо бороться до конца. Нет его? Ну и фиг с этим инцидентом. Разумеется, это не значит, что про инцидент надо забыть, просто ему не надо уделять столько внимания, просто контролируя ситуацию и отслеживая статус — не начнет ли инцидент в какой-то момент влиять на технологический процесс. 
Вот, например, возьмем какую-нибудь газовую компанию «имярек». Известно, что на ее объектах «сидит» Stuxnet. Но он ничего не делает, на процессы не влияет, информацию о них не собирает, ни с кем не взаимодействует. Надо ли срочно останавливать процесс добычи и транспортировки газа или можно повременить, вычистив системы от Stuxnet в процессе планового обновления системы или иных регламентных работ? Если воздействия нет, то и спешить не надо. Останов системы обойдется гораздо дороже.
И вот сегодня же произошло другое событие; даже можно сказать инцидент. Взломали сайт конференции «Код информационной безопасности», которая сегодня проходит в Челябинске. Разместили на сайте вот такую картинку и надпись:

Возникает вопрос — надо ли срочно что-то делать организаторам?  В данном случае, как минимум, надо понять, а к чему это приведет? Отменится мероприятие? Врядли? Участники откажутся от прихода? Ну так мероприятие уже идет. Участники не придут на следующие мероприятия (а их еще 6 должно быть)? Тоже врядли — они выбирают исходя из качества докладов, а не качества сайта. Спонсоры отвернутся? Тоже маловероятно. Скорее даже наоборот. Взлом сайта — это пусть и не самый лучший, но PR. Кто помнит, пару лет назад уже была схожая ситуация. Сайт Уральского форума по банковской ИБ был взломан. Так вот после этого был всплеск посещаемости и самого сайта и смежных ресурсов организаторов. Полезно? Безусловно.
А что там с репутацией? Ведь она может пострадать. Отчасти да. Но взлом организатора обычных мероприятий и взлом ИБ-компании — это две большие разницы. Для второй такой инцидент несет гораздо больше негативных последствий, чем для первой. Для того, кто создавал и поддерживал сайт такая «слава» тоже не нужна. А вот организаторам рисков почти никаких. Хотя само событие, безусловно, неприятно.
Поэтому рвать на себе волосы и срочно закрывать сайт-визитку и пытаться все вернуть в предатакованное состояние не стоит. Это как раз и приведет к негативным последствиям — участники не узнают о новостях ближайших мероприятий и организаторы/спонсоры потеряют свою аудиторию. Надо спокойно все проанализировать, понять причины взлома, устранить их и после этого вернуть сайт в рабочее состояние.
Но… Из этого события можно сделать замечательный ход, например, рассказав на следующем мероприятии, в Самаре, рассказ о том, как ломали, как расследовали, как восстанавливали и какие уроки извлекли. Такие презентации на «живых» примерах просто отлично воспринимаются аудиторией. И не самое приятное событие оборачиваются кучей плюсов.
ЗЫ. И вообще, как отмечают коллеги, сайт любой ИБ-компании должен быть хотя бы один раз взломан 🙂 Это полезный опыт, который позволяет перейти от общих и красивых слов о важности ИБ к реальному опыту, которым потом и поделиться не стыдно (если не стыдно).
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. malotavr

    > Вот, например, возьмем какую-нибудь газовую компанию "имярек". Известно, что на ее объектах "сидит" Stuxnet. Но он ничего не делает, на процессы не влияет, информацию о них не собирает, ни с кем не взаимодействует.

    Или пример плохой, или инструктор, или ты свою мысль неточно сформулировал. Если известно, что на объектах сидит Stuxnet, то в последнее предложение цитаты перед каждым глаголом нужно добавить слово "пока". Stuxnet как-то на объект попал, а значит точно так же на объект может попасть обновление к нему. Даже если ты перекрыл известные тебе каналы заражения, всегда есть некоторая вероятность, что ты ошибся. Если ты будешь просто "контролировать обстановку и отслеживать ситуацию", то эта самая ситуация может ойти вразнос внезапно и в считанные минуты. И если "в обычной ИБ" все может закончиться малодоказуемыми репутационными потерями, то в случае ЧП, не дай бог, с человеческими жертвами, то ты рискуешь стать фигурантом уголовного дела о преступной халатности, ибо "знал, но самонадеянно не предпринял необзходимые меры".

    Понимаю, что имелось в виду "не надо наводить стерильную чистоту, нужно надежно локализовать проблему, а полностью решать ее потом, когда будет возможность", но на практике это "надежно локализовать" может быть в разы затратнее, чем "остановить и почистить".

    Ответить
  2. Алексей Лукацкий

    Фигасе. Ты в Интернет вылез 🙂 Насчет "плохого" примера. Он как раз вполне себе хороший. Стоимость останова трубы для чистки от Стакснета составит несколько сотен миллионов в твердой валюте. Это на одной чаше весов и это точно потерянные деньги. На другой — молчащий вредонос, который ты отследил, включая пути его попадания в промышленный сегмент и перекрыл эти каналы. Вот стоит ли в таком случае бежать и лечить? Воздействия-то нет. И не факт, что будет,

    Ответить
  3. John

    Где-то это уже было и очень настойчиво…

    Ответить
  4. malotavr

    > Ты в Интернет вылез 🙂

    🙂 Читаю постоянно, а вот писать в какой-то момент надоело 🙂

    > На другой — молчащий вредонос, который ты отследил, включая пути его попадания в промышленный сегмент и перекрыл эти каналы.

    С точки зрения человека, смотрящего на АСУТП с позиции "как бы эту хрень разнести погромче", инструктор сделал три ошибки

    1. История давняя, но правдивая. Решили как-то на одной АЭС провести эксперимент на остановленном энергоблоке. Эксперимент проводился не в первый раз, опасный, но персонал "контролировал обстановку и отслеживал ситуацию". Беда в том, что среди персонала не было специалистов по химии и физике процессов, происходящих в реакторе при нештатном режиме эксплуатации. Результат — окресности АЭС до сих пор необитаемы.

    А мораль сей басни такова: безопасник на промпредприятии, скажем честно, не является специалистом ни во вредоносах, ни в функциональной безопасности. Как следствие, он не имеет права быть уверенным, что нашел все модули вредоноса и знает все каналы взаимодействия этих модулей между собой и с внешним миром, особенно если речь идет о боевым, как стакснет 🙂 Поэтому прежде всего инструктор должен бы усомниться в способности персонала ИБ адекватно отреагировать на изменение обстановки, если и когда вредонос вдруг неожиданно активизируется.

    2. Многие АСУТПшные безопасники почему-то уверены, что внутре этой фиговины есть всякие блокираторы, которые обеспечивают функциональную безопасность — фигли, она же на SIL4 сертифицирована. Если вредонос активизируется, автоматика переведет установку в аварийный режим и мягко заглушит. А вот хренушки. Функциональная безопасность в принципе не рассчитана на вмешательство шаловливых человеческих ручек в свои внутренности, и нормальная "боевая" атака включает в себя отключение блокировок (перевод в сервисный режим, заливка модифицированной прошивки, тупое отключение блокировок в настройках и т.п.). Поэтому, вполне возможно, реагировать на активизацию вредоноса придется уже под вопли "ААААААА, мы все умрем!!!". Кроме того, в тот момент, когда ты поймешь, что ошибся, возможно, что до наступления необратимых последствий останется всего несколько минут. В конце концов, даже если "это всего лишь стакснет", ты не можешь быть уверен, что он не заточен на выведение именно из строя именно твоей АСУТП, как было в Натанце, да еще и максимально варварским способом. 🙂

    3. Ну и странно, что инструктор "забыл" про то, что промышленные установки, как правило, имеют "сдвоенные" мозги, которые в случае отказа правого полушария позволяют худо бедно продолжить эксплуатацию установки на одном левом. Что мешает воспользоваться этим, чтобы почистить полушария от вируса по очереди?

    Ответить
  5. doom

    А я бы вам добавил, что даже автоматическая система пожаторушения не глушит сразу технологический объект. А дает 5 минут, чтобы затушить проблемную установку и продолжить работу. Это из реального технического регламента реальной установки.

    Дак с какого перепугу, например, антивирус должен быть наделен какими-то особыми полномочиями по автоматическому вмешательству (пусть и косвенному) в управление технологической установкой? Пусть тоже информирует, сигнализирует и т.п.
    В АСУ ТП управление автоматизированное — поэтому последнее слово за человеком.

    ну а то, что все мы люди и можем ошибаться — ну да, шит хэппенс. Но и аварии есть безо всяких там проблем ИБ, такова жизнь (инженеры на объекте тоже, так-то, не мегагуру в работе своих установок)…

    Ответить