Kaspersky Lab a publié un
communiqué de presse sur la
sixième conférence sur la cybersécurité industrielle (Sotchi, 19-21 septembre 2018), dont elle était l'organisatrice.
Les organisateurs ont aimablement fourni des diapositives pour les présentations et promettent de publier des reportages vidéo dans le réseau prochainement. Malheureusement, je n'ai pas pu assister à la conférence, mais j'ai décidé de me familiariser avec les présentations et je n'ai pas été déçu. Tout semble pertinent, utile et même inspirant. Et pourtant, la portée du sujet est impressionnante, il semble que Kaspersky Lab soit engagé dans "tout", tant en termes de marchés verticaux qu'horizontaux. J'ai d'abord fait une critique "pour moi-même", puis j'ai décidé de la publier.
Il y a 40 rapports dans le programme de la conférence, je les ai divisés en plusieurs catégories. Cette classification est la mienne et ne prétend pas être la seule correcte, car certains des rapports peuvent être affectés à plusieurs catégories à la fois. Cependant, certaines généralisations le feront. Ainsi, les sujets suivants ont été présentés lors de la conférence.
1. Examens de l'état de la cybersécurité industrielle en général - 5 rapportsBien sûr, parmi les rapports d'examen, il convient de noter
«Pensez comme un pirate informatique, mais agissez comme un ingénieur» (Marty Edwards, International Society of Automation) , qui a ouvert la conférence et donné le ton. Voici une analyse comparative des technologies de l'information et des opérations (IT-OT), et des tendances des lacunes de la cyberdéfense basée sur l'
ICS-CERT américain , et une analyse des conséquences des incidents, et un scénario d'attaque typique, et bien plus, d'une part, évident et connu, d'autre part systématiquement et initialement indiqué. Deux tendances ont été exprimées qui me semblent importantes: la convergence avec le domaine de la sécurité (sécurité fonctionnelle) et l'importance d'utiliser le
cadre de cybersécurité du
NIST . Un aperçu intéressant multidimensionnel avec des infographies de qualité est présenté dans les
«50 nuances des contrôles de sécurité ICS» (Ibrahim Samir Hamad, An Oil & Gas Company) . Des statistiques intéressantes et informatives ont été impressionnées par le rapport
«Cinq mythes de la cybersécurité industrielle» (Evgeny Goncharov, Kaspersky Lab) .
2. Présentations d'entreprises et de produits - 10 rapportsLes présentations de «produits» ou de «ventes» sont les plus critiquées, bien que tout le monde comprenne que les vendeurs vont aux conférences pour «vendre». À Sotchi, je pense que l'équilibre a été maintenu, car les présentations de produits étaient accompagnées d'une composante théorique générale et de détails techniques intéressants.
À mon avis, un intérêt particulier était
«KICS * HICS = testé et protégé» (Ruslan Stefanov, Honeywell) , ainsi que
«Une approche complexe de la cyberdéfense industrielle à l'ère de la numérisation» (Yan Sukhikh, Schneider Electric) .
3. Technologies de cybersécurité sélectionnées - 7 rapportsDans le domaine de la technologie, vous pouvez entrer dans une tentative d'embrasser l'immensité, ou dans des choses évidentes, ou dans des détails techniques complexes qui ne sont compréhensibles que par les pirates. Les organisateurs ont réussi à présenter plusieurs directions intéressantes et importantes: problèmes des technologies cloud, analyse des attaques à l'aide d'outils d'administration à distance, empreintes digitales des pots de miel, surveillance des menaces et systèmes compromis déconnectés d'Internet. Une excellente analyse des attaques ciblées APT (Advanced Persistent Threat) a été faite dans le rapport
«Attribution dans un monde de cyber-espionnage» (Yury Namestnikov, Kaspersky Lab) .
L'une des présentations les plus importantes de la conférence est peut-être
«Examen de la sécurité PHA pour analyser la vulnérabilité des usines de processus aux cyberattaques» (Edward Marszal, Kenexis) . Edward a commencé à se lancer dans la cybersécurité, ayant une vaste expérience dans l'analyse des risques et la sécurité fonctionnelle. Par conséquent, sa thèse principale - la cybersécurité devrait être basée sur les risques du processus. Cette évaluation est basée sur la
méthode HAZOP (Hazard and Operability study) et ses variantes pour les processus, PHA (Process Hazard Analysis). Ces méthodes sont utilisées dans le domaine de la sécurité fonctionnelle depuis plusieurs décennies. Le rapport se réfère uniquement à l'évaluation quantitative (une approche déterministe), bien que si nous ajoutons des probabilités d'événement aux tableaux, nous pouvons procéder à une évaluation quantitative. Le
site Internet de Kenexis contient de nombreuses informations utiles (ce qui est rare pour les sociétés de conseil): modèles de tableaux d'analyse, manuels, articles. Ils écrivent que même la version de base de leur outil,
OPEN PHA , ils fournissent gratuitement.
4. Caractéristiques permettant d'assurer la cybersécurité dans certains secteurs industriels - 7 rapportsToutes les présentations sont très informatives, car elles parlent de domaines particuliers auxquels nous ne sommes pas confrontés tous les jours, et souvent ne réalisent même pas leurs spécificités étonnantes. Un bon aperçu des tendances de l'industrie automobile moderne est présenté dans
«Comment la transformation numérique permet à Ferrari d'être encore plus rapide» (Remigio Armano, Ferrari) , bien que peu de choses y soient dites directement sur la cybersécurité. L'histoire de l'entrée de Kaspersky Lab sur le marché automobile est enchanteresse: nous sponsorisons d'abord une équipe de course, puis nous assurons la cybersécurité. Un rapport très intéressant portait sur l'application des solutions IoT aux yachts
«Swimming IoT: Un voyage des hackers dans les secrets de la (in) sécurité moderne» (Stephan Gerling, Rosen Group) , une véritable romance de cybersécurité. Il n'y a eu aucune présentation des industries «traditionnelles» (énergie, avionique, chimie, pétrole et gaz) lors de la conférence. Peut-être que les informations sur ces industries sont plus visibles, et les organisateurs ont creusé dans le sens "exotiques" car ils ont présenté les systèmes d'approvisionnement en eau, les maisons "intelligentes", le transport ferroviaire, les systèmes de vidéosurveillance.
5. Le cadre réglementaire de la cybersécurité - 4 rapportsLes présentations ont touché principalement le FZ-187.
7. Facteur humain et gestion du personnel - 2 rapportsUn rapport a été établi sur la création d'équipes de réponse aux incidents et un rapport sur l'organisation des formations.
8. Aspects sociologiques de la cybersécurité - 1 rapportUn rapport a été présenté sur l'impact des médias sur la perception du public des problèmes de cybersécurité. Comme prévu, nous avons de nombreuses distorsions de la réalité.
Comme vous pouvez le voir, la couverture de la sécurité industrielle est suffisamment large. Pour moi, le plus important est peut-être la tendance générale, qui se voit clairement dans les rapports - dans l'environnement de la cybersécurité, il y a un certain mouvement vers l'adoption et l'application de développements dans le domaine de la sécurité fonctionnelle. Apparemment, l'ISA est fortement convaincue de l'importance de cela, et elle a donné le ton au monde entier à cet égard. Jusqu'à présent, les autres disent plus que mettre quelque chose en pratique. En conséquence, beaucoup de choses dans le domaine de la sécurité sont à nouveau «redécouvertes» pour la sécurité (les mêmes exemples sont «redécouverts» par HAZOP et MILS).
D'après ce qui n'a pas retenti à la conférence (bien que, peut-être, cela puisse paraître):
- il n'y avait rien sur l'évaluation probabiliste de la cybersécurité; peut-être, les experts en sécurité de l'information n'y sont pas encore parvenus (bien qu'ils soient déjà arrivés à HAZOP et MILS), ou ce n'est pas très pertinent d'un point de vue pratique; d'autre part, la probabilité de défaillance de la fonction SI serait possible et devrait être calculée, il s'agirait d'un analogue de SIS (Safety Instrumented Function);
- aucun rapport détaillé sur le cadre réglementaire international, les meilleures pratiques, etc. n'a été présenté; probablement soit trop "académique", soit tout le monde est déjà fatigué.
À partir de petits ajouts ou suggestions (les organisateurs d'autres conférences le font). Lorsque j'ai essayé de trier 40 rapports, il m'a semblé qu'il serait pratique d'utiliser une courte clé partagée pour la révision. Vous pouvez effectuer une numérotation de bout en bout de toutes les présentations dans l'ordre ou une numérotation par sections, par exemple, les rapports pléniers: P1, P2, etc., Business Track: BT1, BT2, etc. Bien sûr, ce n'est pas la chose la plus importante.
La chose la plus importante est les aspects positifs notables de la conférence, à savoir:
- un bon niveau de la conférence est ressenti même à distance, car de nombreux orateurs "forts" ont prononcé des discours;
- Le programme de la conférence a fourni une couverture complète des aspects les plus importants de la cybersécurité industrielle sans «distorsions» dans un sens ou dans l'autre;
- la conférence s'est avérée être vraiment internationale, sinon des conférences «internationales» sont souvent organisées, où plusieurs «consultants étrangers» tombent accidentellement; à Sotchi, tout était «honnête»; bien que la plupart des participants venaient de la Fédération de Russie, faire des diapositives en anglais pour que les participants étrangers comprennent ce qui était discuté est une bonne pratique, même si la présentation porte sur la loi fédérale;
- en règle générale, les organisateurs de la conférence peuvent ajouter autant de rapports qu'ils le souhaitent, ce qui provoque parfois des plaintes; Il y avait de nombreux rapports de Kaspersky Lab, mais tous étaient objectivement de haute qualité, et ils ont plutôt augmenté le niveau général de la conférence que l'inverse.
Tout s'est avéré, merci aux organisateurs pour un grand événement!