Вы знаете, что делать, если с ноутбука подрядчика, осуществляющего регламентные работы в вашей промышленной инфраструктуре, началось распространение вредоносного кода (именно так в 2003-м году пострадала атомная электростанция Дэвид-Бессе в США)? Какие первые шаги вы должны предпринять, чтобы локализовать проблему и снизить возможный ущерб от нее? А что делать, если подрядчик, подключающийся к вашему промышленному контроллеру удаленно, был скомпрометирован и через его сеть по VPN-каналу на ваше предприятие лезет китайский хакер, спонсируемый государством? Может быть вы знаете, что делать в ситуации, когда оператор ночной смены АСУ ТП, скучая от безделья, решил подключить к своему компьютеру 4G-модем и полазить по Интернет (такой кейс приключился в одной арабской стране)? А как поступить, когда инженер для облегчения задачи по снятию телеметрии с оборудования ставит в цеху точку беспроводного доступа с настройками по умолчанию (почти такой же кейс, но на одном гидротехническом сооружении, произошел в России)?
Если вы не знаете, что вы будете делать в какой-либо из пяти ситуаций, то можно прочитать какую-нибудь умную книжку или пройти на курсы по промышленной ИБ. А можно посетить штабные киберучения, где отработать навыки по описанным кейсам. Собравшись в команды, вы сможете сообща найти ответы на эти и многие другие вопросы, с которыми службам ИБ приходится сталкиваться ежедневно. Пройдя по нескольким типичным сценариям атак, вы сможете получить знания и навыки их отражения и по окончании киберучения сможете эффективно переложить их на бумагу, разработав планы реагирования, которые, среди прочего, требуются и в соответствие с законодательством о безопасности критической информационной инфраструктуры. Но самое главное, вы сможете более уверенно смотреть в завтрашний день и быть готовым к различным нештатным ситуациям.
Именно такие киберучения пройдут совсем скоро, в рамках форума " Кибербезопасность. Наши дни ", который пройдет во второй половине февраля рядом с горнолыжным курортом Абзаково. Именно в этом месте проходил Уральский форум по кибербезопасности финансовых организаций, который в этом году взял паузу по причине отказа Банка России от участия в очных мероприятиях в первой половине этого года. Но свято место пусто не бывает и в хорошем месте пройдет другое мероприятие по ИБ, организуемое медиа-группе Авангард.
Если же вы знаете, что вы будете делать в описанных выше пяти кейсах (а на киберучениях будет представлено больше разных реальных ситуаций), то отлично. Надеюсь, что и соответствующие регламенты по реагированию на них у вас подготовлены и протестированы. Это значит, что вы действительно хорошо подготовлены к инцидентам ИБ и можете эффективно реагировать на них. Значит вы сможете поделиться своим опытом с коллегами и показать, как ваша организация справляется с инцидентами, которых на промышленных предприятиях становится все больше и больше.
Вести штабные киберучения буду я. Как они будут проходить, вы можете увидеть в видео с SOC Forum 2018, где я уже проводил схожее мероприятие. А пока вы можете посмотреть прикольный ролик, который подготовили в медиа-группе Авангард как раз про эти штабные киберучения.