Digital Security запустила новую услугу по аудиту защищенности промышленных систем
Компания Digital Security объявила о запуске новой услуги – аудит защищенности промышленных систем (АСУ ТП, SCADA) – с целью минимизации рисков в таких системах.
Сегодня для автоматизации производственных процессов обычно используются автоматизированные системы управления (АСУ ТП, SCADA, Smart Grid). При этом подобные системы уязвимы, как и любые другие; они также могут стать целью для злоумышленников, но риски при этом гораздо более высоки, вплоть до нарушения непрерывности производственного процесса и технологических катастроф, подчеркнули в Digital Security. Разработанная компанией методика аудита включает в себя комплексный многоуровневый анализ защищенности промышленных систем. Аудит проводится специалистами вручную и при необходимости с применением автоматизированных инструментальных средств с учетом особенностей каждой отдельной системы, говорится в сообщении Digital Security.
По информации компании, при проведении аудита используется обширный опыт специалистов исследовательского центра DSecRG по поиску и анализу уязвимостей, а также опыт сотрудников, осуществляющих практическое развертывание SCADA-систем в компаниях из Fortune 500.
В рамках услуги осуществляются: проверка сегментации промышленной сети и возможных внешних связей; проверка безопасности PLC-контроллеров; проверка безопасности автоматизированных рабочих мест операторов; проверка АРМ на наличие вредоносного ПО; аудит безопасности на сетевом уровне; аудит систем резервирования; аудит процедур обновления системного программного обеспечения; проверка стойкости паролей и парольной политики, используемой в АСУ ТП, и многое другое, по согласованию с заказчиком.
По итогам аудита подготавливается детальный отчет, содержащий описание выявленных уязвимостей, обнаруженных недостатков конфигураций, прав доступа и пр., детальные рекомендации по повышению защищенности системы АСУ ТП с учетом особенностей тестируемой системы.
«Выводу на рынок услуги по аудиту защищенности каждого класса приложений у нас обычно предшествуют масштабные и достаточно длительные исследования, проводимые нашим исследовательским центром DSecRG. Соответственно, последний год мы активно занимались промышленными системами как в рамках исследовательской деятельности DSecRG, так и в рамках аудитов объектов наших заказчиков, – рассказал Илья Медведовский, директор Digital Security. – Эпидемия Stuxnet и требования наших постоянных заказчиков стали для нас решающим фактором, буквально вынудившим нас в кратчайшие сроки выделить аудит безопасности АСУ ТП и SCADA систем в отдельное направление в рамках нашего департамента аудита защищенности и предложить данную услугу рынку». По его словам, в силу инертности рынка сегодня мало кто задумывается о безопасности технологических систем, однако аналогичная ситуация несколько лет назад наблюдалась и в области аудита безопасности банк-клиентов и ERP-систем, где сегодня уже не имеет смысла кому-либо объяснять жизненную необходимость проведения регулярного аудита. «Мы полагаем, что в ближайшие несколько лет аналогичная ситуация ждет и направление, связанное с аудитом защищенности технологических систем, – продолжил Илья Медведовский. – Данное направление в нашей компании возглавил Павел Волобуев, который имеет большой опыт в области обеспечения безопасности АСУ ТП, полученный им при работе с компаниями из Fortune 500».
© CNews