Если смотреть через призму ИБ:)

Если смотреть за последний период полтора месяца, и не просто смотреть, но через призму ИБ на скажем так личное или условно-личное времяпрепровождение, то получается следующее:
Май (Москва). Партнерская конференция "ИнфоТеКС". Здесь вроде бы все понятно. Познакомился с новыми людьми, был рад осознать близость старых. Тематика безопасности, все глубже в АСУ ТП.
Май (Калужская область). Проведение обучения в Росатоме (ДЛП). В общем-то, тоже чисто ИБшная тема.
Июнь (РТ). "Победа" над GE. Они все-таки сменили схему мониторинга ГТУ.
Июль (Башкортостан). Навещал родственников в Башкирии. Пишут и на форумах АСУ ТП о массовых отключениях электричества. Если честно проехал 1\3 Башкирии, но не заметил (https://rg.ru/2016/07/03/reg-pfo/v-bashkirii-nazvali-prichinu-massovogo-otkliucheniia-elektroenergii.html).
Июль Самарская область). Годы идут, иногда поигрываю в ночные игры.
В этот раз один из объектов был в градирне где-то около Новокуйбышевской ТЭЦ или на ее территории. Представьте более 10 команд, более двух машин из каждой команды, ночью, с фонарями.
И где ФЗ 256, где ПП №458, вот она безопасность промышленных объектов.

А ведь уже посещают мысли поменять род деятельности:)

Удаленный мониторинг ГТУ (газотурбинных установок)

Меня всегда занимал данный вопрос: в России много внедрений ГТУ: основная доля рынка принадлежит Siemens и General Electric.
Данные фирмы после своих внедрений предлагают своим клиентам сервис удаленного мониторинга (в рамках сервисного контракта, который и составляет основную прибыль), то есть некая система опрашивает Ваше оборудование (вплоть до самих контроллеров) и отправляют данную информацию за пределы России матушки.
Опять же, насколько я могу судить, большая часть Заказчиков досконально не пытается построить свою систему так, чтобы предотвратить любые "встречные" пакеты в свой защищенный контур ГТУ, да и Исполнители в этом плане не гибки (вот есть решение его и внедряем).
Лично меня данная ситуация всегда смущала (это как минимум).
В 2015 году после поручения Президента началось хоть какое-то движение, чтобы эти центры мониторинга находили в России.
Декларировалось это, безусловно, в основном как процесс импортозамещения, так как в России имеют место быть компании, которые потянут мониторинг импортного оборудования.
Я это к чему? А к тому, что тема еще "шевелится" и МинЭнерго пытается собрать подробную информацию с основных производителей на территории РФ об их системах мониторинга.

"Бытовые случаи" ИБ

Зачастую компании рассказывают об известных мировых или широкоизвестных региональных случаях взлома информационных систем, о требованиях законодательства в области ИБ, о глобальных рисках в случае инцидентов в системах АСУ ТП и так далее.

Это, безусловно, хорошо и нужно, но, на мой взгляд, нужно рассказывать и о том, что произошло в Вашем городе, в Вашем регионе, возможно, с Вашими соседями или друзьями.

Со временем число людей, которые скажут Вам, что они как объект атаки не представляют интереса будет минимизировано.

Условно, я назвал подобные инциденты «бытовые случаи».

Пример №1.

В одной из организаций города Казани используется самописное программное обеспечения для бизнес-планирования и учета продукции. Автор данного программного обеспечения (далее ПО) бывший сотрудник данной организации. После некоторого интервала времени руководство организации пришло к выводу, что столь частый выход из строя данного ПО имеют только одну причину, а именно финансовый интерес бывшего сотрудника, который довольно часто приходил и «устранял неисправности».

Для решения данной задачи была выполнена декомпиляция данного ПО для получения исходного кода для. На данный момент ПО не выходило из строя 5 месяцев.

Пример №2.

При миграции с одного антивирусного программного обеспечения на другой в одной из казанских организаций по настоятельной просьбе руководства один из АРМ остался без антивирусной защиты с актуальными базами сигнатур за двое суток.

Мотивировалось данная позиция тем, что работа данного сотрудника очень напряженная, и он (сотрудник) выполняет задание критичной важности.

За данный период данный сотрудник загрузил файл (пришедший по электронной почте) с криптолокером (про криптолокеры я писал ниже).

Так как антивирусная актуальная защита отсутствовала, то началось шифрование файлов на данном локальном компьютере.

В запасе у меня остался свежий случай веб-атаки на интернет-магазин и злоупотреблений на производстве бетона.

Нацеленные "трояны" или почему стало так много вскрытых систем?

  Добрый день!

  Как обычно, в начале года пытаюсь взять себя в руки и вести страницу.

  Думал над тем, что в последнее время, заработок на банальных вирусах -троянах настолько хорошо выстроен, что вызывает уважение.

  Тренд последнего времени вирусы-шифраторы. Данный вирус может зашифровать все Ваши документы, а также файлы 1С. Вы ведь готовы заплатить (средний ценник 20 тысяч рублей) за то, чтобы вся важная информация на Вашем компьютере была восстановлена?

  Следует отметить, что доставка данного вируса осуществляется при помощи атак социальной инженерии: заводится отдельная электронная почта, придумывается текст сообщения, который может Вам отправить любой Ваш контрагент и добавляется гиперссылка на скачивание. Сейчас злоумышленники пошли еще дальше – они звонят и предлагают отправить коммерческое предложение для изучения руководства. Конечно, данное дело обычное, и, снова вирус оказывается в Вашей сети.

  Недавно столкнулся с вирусом, который в офлайн режиме (имея при себе словарь для перебора паролей) пытается подобрать пароль от Вашей учетной записи, чтобы затем постараться установить удаленную сессию, которой уже воспользуется злоумышленник.

  Или возьмем пару свежих примеров:

  24 декабря 2015 года в АлтынБанке город Казань вирус отправлял платежки (с подменными реквизитами). Информации в СМИ мало, но по тем крохам, что есть можно предположить, что это действовал троян, который предоставил удаленный доступ другой стороне, после чего был запущен троян типа шифровальщика для уничтожения следов.

  Вирус скорее всего начинал свою итоговую работу 23 декабря.

  Отмечу, что АлтынБанк был самым прижимистым банком из всех в РТ, я так думаю.

  

В это же время где-то на Украине...

  В среду 23 декабря из-за технических сбоев в работе «Прикарпатьеоблэнерго» без электроэнергии осталась половина Ивано-Франковской области и часть областного центра.
  Государственные органы и специалисты американской компании SANS ICS официально сообщили, что причиной этому послужила кибератака.
  Судя по информации в СМИ отработал BlackEnergy (троян) с последующим предоставлением удаленного доступа по протоколу SSH,
  

Самое ценное, что есть в данной информации, что есть довольно простые шаги, которые помогли им избежать подобных печальных последствий:

1) Проводить постоянные работы с сотрудниками по фактам пользования usb и сомнительных писем.

2) Ввести политику блокировки wscript.exe и cscript.exe.

3) Многие трояны, чтобы остаться незамеченными, после пребывания на каком либо машине обращаются к серверу для скачивания дополнительных модулей. Установите в сети единую контролируемую точку выхода в "Интернет". Кстати, антивирусный контроль на такой точке, помог бы запретить ряд подобных соединений.

4) Запретите нелигитимные подключения извне. Например, подключение по SSH можно было бы запретить на каком-либо пограничном устройстве.

Спасибо за внимание.