Cybersecurity en privacy zijn hot issues

Transcriptie

1 Cybersecurity en privacy zijn hot issues De recente ransomware-aanval maakt alweer duidelijk dat veel bedrijven en systemen kwetsbaar zijn. Ver van ons bed? Hoe zit dat dan bij ons in de gebouwautomatisering en domotica? En wat kunnen we eraan doen ook in het kader van nieuwe wetgeving rondom veiligheid en privacy. Jan praat u tijdens deze interactieve sessie bij over de oplossingen die we kunnen vinden in de architectuur van onze systemen en ons eigen gedrag. Jan Kerdèl Kerdèl Business Development Consultancy en Management ondersteuning voor gebouwautomatisering en energie-innovatie 1 TVVL, meer dan een halve eeuw bundeling van kennis Opgericht in 1959, en op dit moment persoonlijke leden en 500 bedrijfsleden Kennisknooppunt voor technologische innovatie in de sector van gebouw-gebonden installaties en met aandacht voor de mens en zijn omgeving TVVL verenigt adviseurs, installateurs, onderzoekers, architecten en fabrikanten, eigenaren en gebruikers van gebouwen, en óók studenten Kennisdeling, kennisontwikkeling en kennisoverdracht _1 TVVL (KIEN Technodag CyberSecurity) 13 juni

2 Eerste groep Systeemarchitecten bestormt de markt Eerste leergang Systeemarchitect Gebouwautomatisering oogst 9 geslaagden en 4 certificaten Gebouwautomatisering speelt een essentiële rol in elk gebouw. De invloed op de levensduurkosten (TCO) is zeer hoog. Daarom moet gebouwautomatisering een volwaardige discipline worden Initiatief van de Brancheorganisatie Gebouw Automatisering en TVVL HBO+ gecertificeerd Meer info: 3 Industroyer NOS 12 juni 2017 Nieuw computervirus kan stroomnetwerken platleggen. Daarvoor waarschuwt ESET, die het virus 'Industroyer' hebben gedoopt. In december legden hackers het stroomnetwerk van de stad Kiev deels plat. ESET vermoedt dat deze malware is gebruikt. Het virus is in staat industriële systemen aan te vallen zoals oliecentrales, transportnetwerken en sluizen. ESET zegt te hopen dat energieleveranciers en andere beheerders van industriële systemen maatregelen nemen om te voorkomen dat het virus zijn gang kan gaan 4

3 Nederlands bedrijfsleven leert niets van WannaCry Weinig schade in NL Organisaties maken het cybercriminelen vandaag de dag nog steeds makkelijk om hun systemen binnen te dringen Toch geen leereffect Laag bedrag losgeld NL niet hard getroffen Waarschuwingsvermoeidheid Gedreven door wet- en regelgeving WannaCry vrijdag 12 mei 2017 Wereldwijde ransomware-aanval gestart Volgens Europol grootste omvang ooit Volgens Gartner ruim 150 landen getroffen door de aanval. Volgens het NCSC in NL nog geen slachtoffers bekend Bron: 15 mei 2017 Computable Eric Remmelzwaal 5 Security trends 6

4 Nationaal Cyber Security Center (NCSC) NCSC draagt bij aan het gezamenlijk vergroten van de weerbaarheid van de Nederlandse samenleving in het digitale domein, en daarmee aan een veilige, open en stabiele informatiesamenleving door het leveren van inzicht het bieden van handelingsperspectief 7 NCSC Afgehandelde incidenten (Responsible disclosure) 8

5 Brede doelgroep voor het grijpen 80% van de meldingen die het NCSC in het verleden heeft ontvangen betreft kwetsbare ICS/SCADA/GBS-systemen Organisaties weten niet dat systemen verbonden zijn Onvoldoende bewust van de risico s Zijn vaak geen ICT-experts Risico neemt toe door het Internet of Things (IoT) Black fora verkopen toegang 9 Architectuur IoT Alle componenten verbonden Open platform tbv aansturing Techniek Any glass device Beheer PC HVAC Bedien PC HVAC Cloud diensten Datanet (IP) 10

6 Architectuur IoT Smart tussenlaag noodzakelijk 11 Gebouwautomatisering de stand van zaken Toegang System default passwoorden blijven bestaan Het standaard password is Passwords hergebruiken Zelden sterke passwords Password wordt na oplevering zelden tot nooit gewijzigd Password wordt doorgegeven Zelden apart inlog-account per gebruiker Meerdere accounts soms niet mogelijk Categorieën gebruikers vaak niet groter dan twee Account wordt niet geblokkeerd als iemand de organisatie verlaat, dus geen onderhoud op accounts 10 issues 12

7 Gebouwautomatisering de stand van zaken Netwerkverbindingen van buiten Niet versleutelde internetverbindingen (http in plaats van https) Virtual Private Networks (VPN) weinig gebruikt Rechtstreeks inloggen op Modbus, KNX, BACnet, M-bus ed. is mogelijk Gebruik van standaard poorten voor toegang Samen met office netwerk VLAN te weinig gebruikt Op verzoek een poortje open zetten naar een ander VLANsegment (en niet registreren) 6 Issues 13 Gebouwautomatisering de stand van zaken Onderhoud en instandhouding ICT-onderhoud GBS wordt vrijwel niet gedaan Back-ups worden niet regelmatig gemaakt PC wordt geblokkeerd voor automatische Windows-updates Opdrachtgever/eigenaar niet of nauwelijks bewust dat GBS onderdeel wordt van zijn ICTsysteem bij slecht onderhoud de zwakste schakel Drivers in een GBS-PC worden niet vernieuwd Gemiddelde leeftijd van een GBS- PC is negen jaar bij vernieuwing Vrijwel niemand sluit een SLA af voor software onderhoud aan het GBS 7 Issues 14

8 23 Issues Herkenbaar 90% Zelf meegemaakt 40% 15 Hulpmiddelen: SHODAN SHODAN indexeert de bannerinformatie van systemen Op eenvoudige wijze kwetsbare servers en routers vinden Voor iedereen toegankelijk Droom en tegelijk Nachtmerrie In 2009 ontwikkeld door John Matherly om TCP poorten, waaronder 80, 21 en 23 te scannen

9 Hulpmiddelen: SHODAN SHODAN vindt Open devices (o.a. camera s) Open routers Open FTP services Open MySQL Open SCADA Open Modbus, NetBios, SNMP, KNX, BACnet Open Modus + internet broadcast Webservers op poort 80 met inlogscherm en naam Admin 17 Hulpmiddelen: Have I been Pwnd Controle of een adres bij een inbraak betrokken is geraakt. Vaak het is adres één van vele die zijn gestolen bij een grote service provider Alert is mogelijk wanneer adressen opduiken in een gehackte database 18

10 Een echte structuur ISO ISO is een standaard voor informatiebeveiliging Beschrijft hoe informatie-beveiliging procesmatig ingericht zou kunnen worden In Nederland is het vastgesteld als NEN norm NEN-ISO/IEC 27001:2005 en verplicht gesteld voor Nederlandse overheden door het College standaardisatie De structuur komt nu overeen met de in 2015 geïntroduceerde 'High Level Structure' Van toepassing op alle typen organisaties (bijvoorbeeld commerciële-, overheidsinstanties, non-profit). De norm specificeert het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) De norm specificeert eisen voor de implementatie van 19 Het is net zo goed de zorg van je klant De eindgebruikers-organisatie moet beschikken over een securitybeleid dat ook van toepassing is op de ICS/SCADA/GBS-systemen Ofwel rekening houden met de verschillen tussen de kantoor- en procesomgeving Of zien als twee aparte omgevingen Is toegang via internet noodzakelijk Actueel overzicht van alle systemen die met internet (en het interne netwerk) verbonden zijn 20

11 Checklist technische/operationele maatregelen Aparte netwerkinfrastructuur voor gebouwautomatisering Koppelingen met internet en andere netwerken terughoudend Wachtwoordbeleid Beleid voor gebruik van verwijderbare media Volg de principes van defense in depth (meerdere verdedigingslagen) Richt patchmanagement in Onderhoud van systemen Beleid voor het aansluiten van mobiele apparatuur Voorzieningen om aanvallen te detecteren Fysieke toegangsbeveiliging tot systemen en locaties Integriteit van uw configuraties kunnen garanderen Beveiligde externe verbindingen (VPN) 21