A Kaspersky Lab publicou um
comunicado de imprensa na
sexta conferência sobre segurança cibernética industrial (Sochi, 19 a 21 de setembro de 2018), cujo organizador era o organizador.
Os organizadores forneceram slides para as apresentações e prometem publicar reportagens em vídeo na rede em breve. Infelizmente, não pude comparecer à conferência, mas decidi me familiarizar com as apresentações e não fiquei desapontado. Tudo parece relevante, útil e até inspirador. E, no entanto, o escopo do assunto é impressionante, parece que a Kaspersky Lab está envolvida em "tudo", tanto em termos de mercados verticais quanto horizontais. Primeiro fiz uma resenha "para mim" e depois decidi publicá-la.
Existem 40 relatórios no programa da conferência, dividi-os em várias categorias. Essa classificação é minha e não afirma ser a única correta, pois alguns dos relatórios podem ser atribuídos a várias categorias ao mesmo tempo. No entanto, algumas generalizações permitirão que isso seja feito. Assim, os seguintes tópicos foram apresentados na conferência.
1. Revisões sobre o estado das coisas na cibersegurança industrial em geral - 5 relatóriosDos relatórios de revisão, é claro, deve-se notar
"Pense como um hacker, mas aja como um engenheiro" (Marty Edwards, Sociedade Internacional de Automação) , que abriu a conferência e deu o tom para isso. Aqui está uma análise comparativa das informações e tecnologias operacionais (IT-OT) e tendências das deficiências da defesa cibernética com base no
ICS-CERT dos
EUA , e análise das consequências de incidentes, e um cenário típico de ataque e muito mais, por um lado, óbvio e conhecido, por outro sistematicamente e originalmente declarado. Duas tendências foram expressas que me parecem importantes: convergência com o campo da segurança (segurança funcional) e a importância do uso da
estrutura de cibersegurança do
NIST . Uma visão geral interessante e multidimensional com infográficos de qualidade é apresentada nas
"50 tons de controles de segurança do ICS" (Ibrahim Samir Hamad, An Oil & Gas Company) . Estatísticas interessantes e informativas ficaram impressionadas com o relatório
“Cinco mitos da cibersegurança industrial” (Evgeny Goncharov, Kaspersky Lab) .
2. Apresentações de empresas e produtos - 10 relatóriosAs apresentações de "produtos" ou "vendas" são as mais criticadas, embora todos entendam que os fornecedores vão a conferências para "vender". Em Sochi, acho que o equilíbrio foi mantido, pois as apresentações do produto foram acompanhadas por um componente teórico geral e detalhes técnicos interessantes.
De interesse particular, na minha opinião, foram
“KICS * HICS = Testado e protegido” (Ruslan Stefanov, Honeywell) , bem como
“Uma abordagem complexa à defesa cibernética industrial na era da digitalização” (Yan Sukhikh, Schneider Electric) .
3. Tecnologias selecionadas de cibersegurança - 7 relatóriosNo campo da tecnologia, você pode tentar abraçar a imensidão, ou coisas óbvias, ou detalhes técnicos complexos que são compreensíveis apenas para hackers. Os organizadores conseguiram apresentar várias direções interessantes e importantes: problemas de tecnologias em nuvem, análise de ataques usando ferramentas de administração remota, impressão digital de honeypots, monitoramento de ameaças e sistemas comprometidos desconectados da Internet. Uma excelente análise dos ataques direcionados ao APT (Ameaça Persistente Avançada) foi feita no relatório
“Atribuição em um mundo de espionagem cibernética” (Yury Namestnikov, Kaspersky Lab) .
Talvez uma das apresentações mais importantes da conferência seja
“Revisão do PHA de segurança para analisar a vulnerabilidade da planta de processo ao ciberataque” (Edward Marszal, Kenexis) . Edward começou a se envolver em segurança cibernética, tendo vasta experiência em análise de risco e segurança funcional. Portanto, sua principal tese - segurança cibernética deve basear-se nos riscos do processo. Esta avaliação é baseada no método
HAZOP (Estudo de Perigos e Operabilidade) e suas variantes para processos, PHA (Análise de Perigos do Processo). Esses métodos têm sido utilizados no campo da segurança funcional há várias décadas. O relatório refere-se apenas à avaliação quantitativa (uma abordagem determinística), embora se adicionarmos probabilidades de eventos às tabelas, podemos prosseguir para a avaliação quantitativa. O
site da Kenexis possui muitas informações úteis (o que é raro para empresas de consultoria): modelos de tabelas para análise, manuais, artigos. Eles escrevem que mesmo a versão básica de sua ferramenta,
OPEN PHA , eles fornecem gratuitamente.
4. Recursos para garantir a cibersegurança em setores industriais selecionados - 7 relatóriosTodas as apresentações são muito informativas, porque falam sobre áreas especiais que não enfrentamos todos os dias e, muitas vezes, nem percebem suas especificidades surpreendentes. Uma boa visão geral das tendências da indústria automotiva moderna é apresentada em
“Como a transformação digital permite que a Ferrari seja ainda mais rápida” (Remigio Armano, Ferrari) , embora não se diga muito diretamente sobre segurança cibernética. A história da Kaspersky Lab entrando no mercado automotivo é encantadora: primeiro patrocinamos uma equipe de corrida e depois fornecemos segurança cibernética. Um relatório muito interessante foi sobre a aplicação de soluções de IoT em iates
“Swimming IoT: A hacker journey at the secret of modern iate (in) security” (Stephan Gerling, Rosen Group) , um verdadeiro romance de segurança cibernética. Não houve apresentações de indústrias "tradicionais" (energia, aviônica, química, petróleo e gás) na conferência. Talvez as informações sobre essas indústrias sejam mais visíveis, e os organizadores seguiram na direção do "exótico" porque apresentaram sistemas de abastecimento de água, casas "inteligentes", transporte ferroviário, sistemas de videovigilância.
5. Quadro regulamentar para a cibersegurança - 4 relatóriosApresentações afetadas principalmente FZ-187.
7. Fator humano e gestão de pessoas - 2 relatóriosFoi feito um relatório sobre a criação de equipes de resposta a incidentes e um relatório sobre a organização dos treinamentos.
8. Aspectos sociológicos da segurança cibernética - 1 relatórioFoi apresentado um relatório sobre o impacto da mídia na percepção pública sobre questões de segurança cibernética. Como esperado, temos muitas distorções da realidade.
Como você pode ver, a cobertura da segurança industrial é ampla o suficiente. Para mim, talvez a mais importante tenha sido a tendência geral, que é claramente vista nos relatórios - no ambiente de segurança cibernética há um certo movimento em direção à adoção e aplicação de desenvolvimentos no campo da segurança funcional. Aparentemente, o ISA está firmemente convencido da importância disso, e estabeleceu o tom para o mundo inteiro nisso. Até agora, o resto diz mais do que colocar algo em prática. Como resultado, muitas coisas no campo da segurança são "redescobertas" para segurança novamente (os mesmos exemplos são "redescobertos" pelo HAZOP e MILS).
Pelo que não soou na conferência (embora, talvez, possa parecer):
- não havia nada na avaliação probabilística da segurança cibernética; talvez os especialistas em segurança da informação ainda não tenham chegado a esse ponto (embora já tenham chegado ao HAZOP e MILS), ou isso não seja muito relevante do ponto de vista prático; por outro lado, a probabilidade de falha da função IS seria possível e deve ser calculada, seria um análogo do SIS (função instrumentada de segurança);
- não havia relatórios detalhados sobre o quadro regulatório internacional, melhores práticas, etc .; provavelmente também "acadêmico" ou todo mundo já está cansado.
De pequenas adições ou sugestões (os organizadores de outras conferências fazem isso). Quando tentei classificar 40 relatórios, pareceu-me que seria conveniente usar uma chave compartilhada curta para revisar. Você pode fazer a numeração de ponta a ponta de todas as apresentações em ordem ou por seções, por exemplo, relatórios plenários: P1, P2, etc., Business Track: BT1, BT2, etc. Obviamente, isso não é a coisa mais importante.
O mais importante são os aspectos positivos visíveis da conferência, a saber:
- um bom nível da conferência é sentido até remotamente, porque muitos oradores "fortes" fizeram discursos;
- O programa da conferência forneceu uma cobertura abrangente dos aspectos mais importantes da segurança cibernética industrial sem “distorções” em uma direção ou outra;
- a conferência acabou sendo verdadeiramente internacional; caso contrário, conferências "internacionais" são frequentemente organizadas, onde vários "consultores estrangeiros" se enquadram acidentalmente; em Sochi tudo era "honesto"; embora a maior parte dos participantes fosse da Federação Russa, fazer slides em inglês para que os participantes estrangeiros entendessem o que estava sendo discutido é uma boa prática, mesmo que a apresentação seja sobre a Lei Federal;
- como regra, os organizadores da conferência podem adicionar quantos relatórios quiserem, e isso às vezes causa algumas queixas; Havia muitos relatórios da Kaspersky Lab, mas todos eles eram objetivamente de alta qualidade e aumentavam o nível geral da conferência do que vice-versa.
Tudo acabou graças aos organizadores de um grande evento!