Решение
Работы были разделены на несколько этапов.
Анализ угроз нарушения информационной безопасности и разработка методологических материалов в сфере обеспечения безопасности. Система учета электроэнергии заказчика устроена следующим образом. Устройства сбора и передачи данных получают результаты измерений с приборов учета электроэнергии, включенных в ИСУЭ. Далее информация передается на сервер верхнего уровня. Там же сводятся и данные по потреблению электроэнергии. Специалисты «Россети Цифра» разработали модели внутреннего и внешнего нарушителей, а инженеры ICL смоделировали угрозы, при которых нарушители могут получить доступ к приватной сети компании.
Разработка основных и технических решений, а также программы методики испытаний. Специалисты ICL подготовили несколько методологических документов. Среди них:
- рекомендации по приемке, вводу и выводу из эксплуатации СОИБ ИСЭУ;
- руководящие указания по риск-ориентированному управлению информационной инфраструктурой в процессе установки и эксплуатации обновлений ПО;
- руководство по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на инциденты;
- процедура проведения внутреннего контроля в области обеспечения безопасности инфраструктуры коммерческого учета электроэнергии.
Разработка и опытная эксплуатация типового стенда ИСУЭ из счетчиков,
серверной инфраструктуры и устройств сбора и передачи данных. Заказчик хотел убедиться, что заложенные решения и схемы никак не повлияют на работу ИСУЭ, и планировал испытать на стенде описанные в методологических материалах средства защиты.
На типовом стенде, в котором использовались более 10 средств защиты информационной безопасности, была развернута актуальная база данных Пирамиды-сети заказчика. Объем данных составлял 1,6 ТВ. Для приема телеметрии была перенесена конфигурация более чем 200 тыс. приборов учета, к которым можно подключиться и получать необходимую информацию.
Во время демонстрации стенда на объекте заказчика было проведено более 100 проверок. Специалисты ICL разработали и протестировали типовые сценарии атак на ИСУЭ, УСПД и приборы учета, и наглядно продемонстрировали, как реагирует система обеспечения информационной безопасности на попытку взлома при включенных и выключенных средствах защиты. В процессе тестирования были использованы следующие сценарии атак:
- Атака Пирамиды-сети из внутренней сети (внутренний нарушитель);
- Работник открывает письмо с вложенным зловредным ПО (внутренний нарушитель);
- Отправка поддельного запроса на защищаемое web-приложение (внутренний, внешний нарушитель);
- DoS атака на web-сервер Пирамиды (внутренний, внешний нарушитель);
- Подбор пароля Windows (внутренний нарушитель);
- Кража SIM карты инфраструктуры ИСУЭ (внешний нарушитель).
В ходе проведения атак выявили цели, наиболее подверженные кибератакам и сформировали рекомендации по их устранению.
Интеграция Пирамиды-сети и MaxPatrol SIEM. Все приборы учета имеют датчики — если с ними что-то происходит, данные отправляются в систему Пирамида-сети. Однако сведения, которые касаются информационной безопасности, теряются среди множества других учетных показаний.
Чтобы диспетчеры заказчика замечали атаки на счетчики, ICL разработала специализированное ПО для интеграции Пирамиды-сети и системы MaxPatrol SIEM. Эта система собирает и обрабатывает все данные о безопасности электросетей, хранит их в единой консоли и, в случае необходимости, отправляет оповещения об инцидентах.
Благодаря этому инженерам информационной безопасности проще отслеживать безопасность электросетей.
