АСУ ТП, 3G и мобильная безопасность. Terra Incognita?

На проходившей в эти дни в Москве конференции InfoSecurity 2012 рассматривалось большое количество актуальных вопросов сферы ИБ. Наша компания приняла в нем участие, став организатором одной из секций, посвященной тем областям информационной безопасности, для которых по большей части еще не выработаны адекватные меры защиты. Прежде всего это защищенность АСУ ТП, практические подходы к аудиту SCADA, построение процессов Compliance Management для телекоммуникационных сетей и новейшие уязвимости мобильных устройств. Подробности докладов, а также слайды презентаций наших сотрудников под катом.

Безопасность АСУ ТП. Добро пожаловать в прошлый век!

В промышленных компаниях наиболее ценными IТ-ресурсами являются системы АСУ ТП (SCADA) и ERP-системы. Первые управляют процессом производства, вторые контролируют продажи и позволяют управлять бизнес-активностью. В последнее время наметилась тенденция к объединению данных систем, поскольку интеграция АСУ ТП и ERP позволяет повысить оперативность управления и прозрачность управления бизнесом. Однако с точки зрения безопасности наиболее ценными являются те объекты, с которыми связаны максимальные риски.


В ходе доклада эксперты Positive Technologies Евгений Зайцев и Роман Ильин продемонстрировали катастрофические последствия объединения этих двух систем при отсутствии учета требований безопасности в рамках подобных проектов. Кроме того, были представлены результаты практического анализа защищенности систем SCADA и построенных на их основе АСУ ТП ведущих производителей.

От SS7 к IP — эволюция безопасности сетей связи

Эволюция сетей связи в телекоммуникационных компаниях привела к появлению термина «конвергентная IP-сеть». Такая сеть стала объединять ранее разрозненные сегменты сетей операторов в единую сеть с IP-адресацией. В связи с этим угрозы информационной безопасности, связанные с обычными корпоративными сетями, теперь актуальны и для специализированных сетей, включая сети ШПД, мобильные и фиксированные сети.


В своей презентации руководитель телеком направления Positive Technologies Константин Гурзов рассказал о перспективах развития информационной безопасности в подобных сетях.

Наша компания уже сейчас предоставляет новые услуги, такие как аудит и тест на проникновение для VoIP-сегмента, адаптация и разработка новых стандартов ИБ в рамках технических сетей. В настоящий момент, в частности, завершается первый этап проекта по контролю защищенности технических сетей для ОАО «Вымпелком».

Мобильные устройства + BYOD + критические данные = ?

Сегодня мы используем смартфоны и планшетные компьютеры для самых различных задач — от просмотра фильмов до платежей в банке, от веб-серфинга до работы с важными корпоративными данными. Фактически мобильное устройство — это офис в кармане, и отношение к его защите должно быть не менее серьезным, чем к защите офисных систем и приложений. Однако наш опыт показывает, что при разработке мобильных версий платформ практически не учитываются те наработки, которые накоплены в области безопасности традиционных приложений и веб-систем.


В рамках доклада эксперт Positive Technologies Артем Чайкин рассмотрел актуальные проблемы мобильной безопасности, привел рекомендации по защите мобильных устройств и приложений. Кроме того, слушателям была представлена демонстрация реальных уязвимостей в популярных приложениях для мобильных платформ, включая недавно устраненные проблемы безопасности Chrome для Android.