South Africa.pdf

© 2006 Cisco Systems, Inc. All rights reserved.Cars % Security 1/53

Безопасность компании и безопасность автомобиля: что общего?Взгляд Cisco

Лукацкий Алексей

Бизнес-консультант по безопасности

© 2006 Cisco Systems, Inc. All rights reserved.Cars & Security 2/53

Содержание

Автомобиль и компания – что общего?

Безопасность инфраструктуры и автомобиля

Как защитить автомобиль, водителя, пассажиров и окружающих?

Cisco и безопасность


Автомобиль и компания – что общего?


Автомобиль, как аналогия

Автомобиль, как компания целиком

Автомобиль, как филиал компании

Автомобиль, как ИТ-инфраструктура

Автомобиль, как система защиты


Автомобиль, как инфраструктура

Автомобиль не только прямой или косвенный источник доходов

Он обеспечивает скорость и удобство при достижении цели

Автомобиль – это символ престижа

Автомобиль – это собственность

Любые посягательства на автомобиль недопустимы и требуют соответствующей защиты


Безопасность сети и автомобиля


Угрозы

Нарушение доступности

Потеря ключа

Стихийные бедствия

Нарушение целостности

Кража

Авария

Нарушение конфиденциальности

Угон автомобиля


Почему растет число ДТП и угонов?

Неумение водить

Несоблюдение правил дорожного движения

Рост числа автолюбителей

Увеличение число новомодных функций

Рост числа некачественных автомобилей

Рост числа нарушителей и усложнение используемых ими методов


Неумение водить

Пользователи не умеют грамотно использовать возможности вычислительной техники

Этим страдают и ИТ-профессионалы, ориентированные на бесперебойную (≠ безопасную) работу СВТ


Хороших водителей не хватает

В России специальность «Защита информации» стала модной, но…

ВУЗы не в состоянии качественно готовить специалистов по информационной безопасности

Они готовят в массовом порядке только специалистов-теоретиков, не способных применять свои знания на практике


Низкая квалификация пассажиров

Пользователи не знакомы даже с базовыми понятиями информационной безопасности

Являются самым слабым звеном

Интересный факт: один доллар, вложенный в обучение своих сотрудников приносит 33 доллара прибыли


И на старуху бывает проруха

Даже компании, профессионально занимающиеся безопасностью не избежали участи, от которой они призваны защищать

Герои-неудачники – eEye, Symantec, Network Associates, RSA Security, eSafe, SecurityFocus, VeriSign, Enterasys…


Несоблюдение ПДД

Правила разрабатываются, чтобы их соблюдать

…но это происходит не всегда

Очень часто правилами пренебрегают ради достижения цели

А многие просто не знакомы с правилами


Быстро ездить или соблюдать ПДД?

Очень трудно найти компромисс между безопасностью организации и скорейшим достижением целей, поставленных руководством

В борьбе между скоростью (удобством) и безопасностью, последняя обычно проигрывает


Число автолюбителей растет

Колоссальный рост числа узлов, подключенных Интернет

Рост числа пользователей Интернет

Мало кто задумывается о безопасности – для многих она скорее миф, чем реальность

«Пока гром не грянет, мужик не перекрестится»


Новомодные функции

Постоянно появляются новые технологии, призванные «спасти мир»

При их разработке практически не соблюдаются вопросы безопасности

Безопасность не поспевает за новомодными технологиями

От этих «штучек» страдают люди


Снижение качества автомобилей

Программы пишут, а компьютеры собирают люди, которым свойственно ошибаться

Эти ошибки (уязвимости) очень дорого стоят и используются хакерами

Дыры бывают не только в программах и компьютерах

Человеческий фактор – самая большая дыра в безопасности


Слагаемые успеха

Правильная конструкция

Защита автомобиля от угона

Системы сигнализация

Системы активного воздействия на угонщика

Стоянки и спутниковое слежение

Соблюдение ПДД

ОСАГО и КАСКО

Контраварийное вождение


С чего начинается безопасность?


Анализ рисков

Какой автомобиль надежней и безопасней?

Ставить или нет противоугонную систему? Какую?

Ставить на охраняемую стоянку?

КАСКО?

Как соблюсти баланс безопасности и удобства?


Какой автомобиль выбрать?

Безопасный, удобный или представительский?

Отечественный или зарубежный?

Имеющий сертификаты соответствия или нет?

С навесной системой защиты или интегрированной?

С прицелом на будущее или для насущных задач?


Активная и пассивная безопасность


Три безопасности

ПассивнаяАктивная

Совокупность свойств, обеспечивающая выживание и сведение к минимуму травм водителя, пассажиров и пешеходов

Конструкция кузова, ремни безопасности, подушки безопасности и др.

Совокупность конструктивных и эксплуатационных свойств, направленных на предотвращение аварии

Тормозная система, рулевое управление, трансмиссия, подвеска и др.

Механизмы защиты от угона и других преступлений


Конструктивные особенности

Автомобиль даже без применения «дополнительных» защитных систем должен защищать пассажиров и водителя

Каркас безопасности

Ремни безопасности

Области гашения энергии

Подголовники

Сетевое оборудование должно обладать встроенными механизмами защиты


Проверка соответствия требованиям

Для поиска конструктивных недочетов в автомобиле используются крэш-тесты, различающиеся по типу проводимых проверок

В информационной безопасности роль крэш-тестов выполняют системы проверки соответствия требованиям тех или иных стандартов (compliance system)


Стой! Кто идет?..

Ключ от машины – первый оборонительный рубеж

Предотвращает доступ неквалифицированныхзлоумышленников

Имеются различные модификации – электронные, бесконтактные и т.п.

В информационной безопасности роль ключа выполняют системы идентификации и аутентификации (например, электронные замки)


Иммобилайзеризация всей страны

Для предотвращения запуска двигателя и блокирования доступа к другим подсистемам автомобиля используются иммобилайзеры или блокираторы коробки передач

В информационной безопасности роль иммобилайзера выполняют системы предотвращения атак на уровне узла (HIPS)


Контроль соответствия

Контроль соответствия водителя требованиям безопасности, например, проверка алкогольного опьянения или контроль превышения скорости

Автоматическое блокирование зажигания при нарушении или сигнализация о нарушении

В информационной безопасности роль «алкотестера» выполняют системы контроля сетевого доступа (Network Access Control, NAC)


Обнаружение проникновения

Мало предотвратить проникновение в салон – его надо обнаружить и предупредить владельца о вторжении

Существуют различные системы обнаружения различных типов вторжений и сигнализации -датчики разбития стекла, изменения объема, появления постороннего электрооборудования, сканеры движения


Поиск слабых мест

Для поиска конструктивных недочетов в автомобиле используются системы диагностики, обнаруживающие те или иные нарушения

В информационной безопасности роль систем диагностики выполняют сканеры безопасности


Активное реагирование

Для отбития желания у угонщика повторять свои действия можно применить активные меры воздействия – электрошоковый блокиратор руля, электрошоковый коврик, капкан, дымовые шашки, пиропатроны, газовые пушки

В информационной безопасности роль мер активного воздействия выполняют средства реализации контратак и активного реагирования


Гаражи

Ворота регулируют въезд автомобилей на стоянку

Они также не показывают посторонним, что скрывается за ними

Ворота могут быть интегрированы с системами тарификации времени нахождения на стоянке

В информационной безопасности роль ворот выполняют межсетевые экраны


Модернизация

Бортовые компьютеры автомобиля обновляются также, как и обычные компьютеры

Конструктивные недостатки автомобиля приводят к их отзыву и замене

Запчасти и расходные материалы

В информационной безопасности такую роль играют системы установки обновлений (патчей)


Объединяем все вместе

Многие системы активной и пассивной безопасности работают порознь

Проект Bosch CAPS (Combined Active & Passive Safety) по объединению всех систем в единое целое

В информационной безопасности такую роль выполняет архитектура безопасности


Безопасность группы автомобилей


Стоянки

Помимо самозащиты автомобиля используются и коллективные меры, направленные на защиту сразу множества автомашин – охраняемые стоянки, гаражи и т.п

Безопасность охраняемой стоянки складывается из нескольких элементов – ворота или шлагбаум на въезде, камеры видеонаблюдения, охрана и т.п.


Видеонаблюдение

Для круглосуточной фиксации всех действий, происходящих на стоянке используются системы видеонаблюдения

Записанные ими данные могут использоваться для судебных расследований

В информационной безопасности роль систем видеонаблюдения и сигнализации выполняют системы обнаружения атак


Пульт охраны

Для мониторинга состояния охраняемого объекта используется централизованный пульт охраны, на который стекаются сообщения от всех контролируемых датчиков, видеокамер и т.п.

В информационной безопасности роль пульта охраны выполняют системы централизованного управления информационной безопасности


Правила дорожного движения


Соблюдая правила

Даже хороший автомобиль требует соблюдения правил

Его использования

Взаимодействия с окружающими

В информационной безопасности роль правил выполняют концепция и политика безопасности


Курсы контраварийного вождения


Курсы контраварийного вождения

Желание «выжать» из автомобиля все возможное может привести вас к посещению курсов контраварийного вождения, на которых вас научат без потерь для себя выходить из любых нестандартных ситуаций

В России существуют большое количество учебных центров, преподающие различные аспекты информационной безопасности


Аутсорсинг


2 роли автомобиля

Автомобиль для собственных нужд

Автомобиль, как средство получения доходов

Провайдеры услуг – практически единственный тип компании, который может зарабатывать на безопасности


Автомобиль, как средство дохода

Сдача автомобиля в аренду

Контроль безопасности «чужого» автомобиля на постоянной основе 24 часа в сутки, 7 дней в неделю, 365 дней в году

В информационной безопасности такая услуга получила название аутсорсинг средств защиты


Дороги

Дороги – объекты, по которым передвигаются автомобили

От их качества, пропускной способности, защищенности и эффективности управления потоками зависит скорость и удобство движения автомобиля

За пользование качественными дорогами взимают плату

В информационной безопасности такую роль выполняют системы защиты от DDoS-атак и VPN-решения


ОСАГО и КАСКО


Страховка

Желание обезопасить свой автомобиль от возможного угона и других негативных воздействий может выразиться и в страховании своего «железного друга»

В информационной безопасности также существуют услуги страхования информационных рисков


Cisco и безопасность


Безопасность с самого началаБезопасность – это не опция!

Безопасность, как опцияРост сложностиВысокая стоимость интеграцииМедленное внедрениеСложность администрированияНет сквозной функциональностиОтражение не всех угрозНизкая надежность

Безопасность, как часть системыСнижение сложностиТесная интеграция сетевых сервисов и приложенийПростота внедрения и управленияСнижение стоимости владения


Последние новости

VPN-модуль с ГОСТ

Приобретение компаний IronPort и SyPixx

260+ сертификатов Гостехкомиссии / ФСТЭК

Локализация NAC Appliance

Выпуск compliance-решений – CAS и NCM

2 рассылки

Новости Cisco по информационной безопасности

Cisco Security Outlook (CSO)

TCC Launch!!!


Вопросы?

Дополнительные вопросы Вы можете задать по электронной почте [email protected]или по телефону: (495) 961-1410

South Africa.pdf

Documents

Transcript of South Africa.pdf